Shiftcrypto.ch jetzt bitbox.swiss?

Hallo Leute,

ich wollte grad ne (ältere) Bitbox aufsetzen und in der Verpackung befand sich ein Zettel, auf dem „shiftcrypto.ch“ als Adresse zum Download der App angegeben ist. Nun werde ich bei Eingabe dieser Adresse auf „bitbox.swiss“ weitergeleitet. Hat das seine Richtigkeit?

Ich habe diesbzgl. grad mal gegoogelt und Shiftcrypto scheint sich ja wohl tatsächlich kürzlich rebranded zu haben, aber nochmal zur Sicherheit: „Bitbox.swiss“ ist nun tatsächlich deren neue Webseite, ja?

Danke für die Beantwortung meiner wahrscheinlich etwas überflüssigen Frage :see_no_evil:

1 „Gefällt mir“

Kurzum: Ja

2 „Gefällt mir“

Vielen Dank! Dann lade ich dort jetzt beruhigt meine Bitbox-App runter :+1:

1 „Gefällt mir“

Trotzdem ist es immer zu empfehlen, die digitale Signatur oder zumindest den Hash nach dem Download zu prüfen.

1 „Gefällt mir“

Hi,

da stimm ich dir zu. Allerdings wenn jemand den Download Datei verändern kann, kann er mit hoher Wahrscheinlichkeit auch den Hash auf der Seite verändern.

Was ist denn das für ein schwaches Argument?

Kannst Du ja mit dem Hash auf der Github-Seite abgleichen.

Genau damit schützt Du Dich ja davor, dass Du eventuell auf eine Fake-Website weitergeleitet wirst und womöglich eine falsche Datei geladen hast.

Prüfsumme sollte man in solchen Angelegenheiten immer gegenprüfen.

Man kann sich auch die PGP Signatur runterladen und damit die heruntergeladene Datei prüfen. Ein Angreifer kann dann die originale Webseite theoretiosch korumpieren, aber da man die echte PGP Signatur schon davor runtergeladen hat, kann man damit die Manipulation feststellen.

Das sagt sich aber so leicht. Die allermeisten denken sich „was für eine PGP Signatur?“. Da frage ich mich wieso es nicht ein einfaches Tool gibt, womit man das mit zwei Klicks prüfen kann. Es ist aber überall so. Wer Signaturen prüfen will, muss in das geheime Wissen der PGP Signaturen eingeweiht sein. Der Rest muss leider damit leben früher oder später eine manipulierte Software zu installieren weil die Signatur nicht geprüft wird. Ist die Welt nicht ungerecht? :smiley:

Uii ich hab offenbar einen Fan :wink:

Also was war an meiner Aussage denn jetzt falsch? Ich hab doch nur etwas ergänzt und weder davon abgeraten noch gesagt das ein Hash grundsätzlich nutzlos ist.

Dann ergänz ich mal noch folgendes: Hash und Download an der selben Stelle zu hosten halte ich für unsicher(er).

Github / GitLab als Quelle für den Hash ist gut aber auch hier besteht die Möglichkeit das dir ein anderer Hash angezeigt wird als dort eigentlich steht (Manipulator-in-the-middle attack oder Man-in-the-middle attack).

Sie suggeriert, dass es keinen Nutzen hätte die Prüfsumme zu checken, weil ein Angreifer - der in der Lage wäre einen entsprechenden Angriff auszuführen - auch diese auf der Seite verändern würde.

Das ging aus Deiner Aussage aber so überhaupt nicht hervor.

So wie sie geschrieben hat ähnelte es eher einem:
Du brauchst Deine Wertsachen nicht in einen Safe tun, wenn jemand Deine Wohnungstür aufbrechen kann, dann kriegt er auch Deinen Safe auf.

(Bisschen überspitzt, entsprechend hinkt der Vergleich. Aber Du weißt sicher worauf ich hier hinaus will.)

Klar, Risiken gibt es immer.

Ich habe hier im Forum nur schon so viele Opfer von Betrug gesehen, dass wie hier immer sensibilisieren sollten möglichst viele Maßnahmen zu ergreifen sich zu schützen.

Deshalb empfand ich Deine wenig konkretsierte Aussage etwas unpassend für Anfänger:innen, die daraus die falschen Schlüsse ziehen könnten.

1 „Gefällt mir“

Ja ich verstehe was du meinst aber es kommt immer auch auf den Angriffs Vektor an vor dem du dich schützen möchtest.

Wenn du dich vor manipulierten Binarys schützen möchtest ist das Speichern bzw. Laden der Binary und des Hash am / vom selben Ort schlicht und ergreifend unsicher. Wenn ich die. Möglichkeit habe das Binary aus zu tauschen hab ich ja zugriff auf den Server auf Dateiebene und kann somit auch die Html verändern. In beiden fällen (Datei und HTML Seite) findet ein Download statt.

Das ist vergleichbar wie wenn du beim Banking 2FA TAN verwendest und sich deine Banking APP am selben Gerät befindet auf welches du die Tan bekommst… werden aber die meisten wohl so machen.

Die Hash Prüfung ist dann wirkungsvoll wenn ich einen Download aus einer z.b. unsicheren Quelle wie einen Spiegelserver verifizieren möchte. Da kam das ursprünglich auch her als Bandbreite noch kostbar war.

Das sensibilisieren find ich ja auch gut aber so ist das halt leider auch ein bisschen in falscher Sicherheit wiegen.

1 „Gefällt mir“

Das ist praktisch ausgeschlossen, wenn über HTTPS kommuniziert wird (was bei Github standardmäßig der Fall ist) und man nicht absichtlich die Warnung seines Browsers über ungültige Zertifikate umgeht.

Es müsste dann entweder die certificate authority oder dein Endgerät kompromittiert sein, Ersteres unwahrscheinlich, und bei Zweiterem hast du sowieso verloren.

4 „Gefällt mir“

Ich dachte eigentlich so ein Hash dient in erster Linie dazu um Manipulationen und Fehler bei der Übertragung auszuschließen. Es ist doch gar nicht gegen einen Angreifer gedacht der den Server kapert?

Ich glaube @derderdacoint will daraufhinaus, dass wenn die Seite vom Angreifer übernommen wurde oder Du auf die Seite des Angreifers weitergeleitet wirst, dass Du dann natürlich eine Prüfsumme angezeigt bekommst, die nicht zur Originaldatei gehört, sondern zu der Schadsoftware.

Insofern würde Dich die Prüfsumme dann im Glauben lassen die korrekte Datei heruntergeladen zu haben.

Genau das meine ich. Die Prüfsumme dient doch gar nicht dazu gegen ein solches Szenario zu schützen? Sondern gegen man in the middle Attacken oder schlicht gegen Übertragungsfehler.

Gegen das kapern der Webseite und manipulieren der Dateien und Prüfsümmen kann ein vorher installierter PGP Schlüssel helfen. Ich habe beispielsweise den öffentlichen Schlüssel von ShiftCrypto auf meinem Rechner installiert. Wenn ein Angreifer jetzt die BitBox Webseite übernimmt und manipulierte Downloads und geänderte Prüfsummen liefert, kann ich mit dem PGP Schlüssel feststellen dass die Datei gar nicht von ShiftCrypto signiert wurde.
Wichtig ist natürlich dass man den öffentlichen PGP Schlüssel vor der Manipulation einer Webseite bei sich installiert.

1 „Gefällt mir“

Ich kenne mich nicht so gut aus, soll ich meine BTC jetzt woanders transferieren oder können Sie weiterhin auf der „Hardware Wallet“ bleiben? (Ich weiß, das diese auf der Blockchain liegen aber um es mal bildlich zu erklären).

Du musst gar nichts unternehmen. Es hat sich nur der Name geändert, sonst nichts. Du kannst die Bitbox02 auch weiterhin benutzen.

1 „Gefällt mir“

Danke dir für die beruhigende Antwort :slight_smile: