{"id":18362,"date":"2019-01-10T10:48:50","date_gmt":"2019-01-10T08:48:50","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18362"},"modified":"2021-04-30T11:08:47","modified_gmt":"2021-04-30T09:08:47","slug":"hardware-wallets-hacked","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hardware-wallets-hacked\/18362\/","title":{"rendered":"So k\u00f6nnen Hardware-Krypto-Wallets gehackt werden"},"content":{"rendered":"

Hardware-Wallets gelten als sicherste Art der <\/span><\/span>Krypto-Wallets<\/span><\/span><\/strong> . <\/span>Da es aber f\u00fcr nichts auf diese Welt eine 100% -ige Sicherheit gibt, k\u00f6nnen auch sie kompromittiert werden. <\/span>Auf dem 35. Chaos-Kommunikationskongress hat die Sicherheitsforscher Thomas Roth, Dmitry Nedospasov und Josh Datko dazugeh\u00f6rig gemacht. <\/span>Aber bevor wir uns mit dem Thema Hacking befassen, wissen wir uns das n\u00f6tige Hintergrundwissen \u00fcber Hardware-Wallets und ihre Funktionsweise geben.<\/span><\/span>\"Sicherheitsforscher<\/a><\/p>\n

War es ein Krypto-Wallet?<\/span><\/span><\/h2>\n

Gehen wir wahrheitsgem\u00e4\u00df ein, <\/span><\/span>war ein Krypto-Wallet alle ist<\/span><\/span><\/strong> . <\/span>Mit welchen Worten Worten es sich bei einem Geldbeutel um ein Kunstkonto f\u00fcr Kryptow\u00e4hrung handelt. <\/span>Dieses \u201eKonto\u201c besteht sich aus einem <\/span><\/span>kryptischen Schl\u00fcsselschl\u00fcssel<\/span><\/span><\/a> \u00a0zusammen; <\/span>ein gemeinsames sowie ein privater Schl\u00fcssel, die eine bestimmte Verbindung mit Login \/ Passwort-Kombinationen. <\/span>Dies wird der pers\u00f6nliche Schl\u00fcssel als Brieftaschenadresse und der private Schl\u00fcssel f\u00fcr den Zugriff auf M\u00fcnzen verwendet \u2013 das hei\u00dft, das Signieren, die sich auf die Bezahlung beziehen.<\/span><\/span><\/p>\n

Erw\u00e4hnenswert ist auch, wie vielf\u00e4ltig ist die Anzahl der <\/span><\/span>\u00f6ffentlich-privaten-Schl\u00fcssel-Paare<\/span><\/span><\/em> in Kryptow\u00e4hrungssystemen f\u00fcr die Anzahl der Geldb\u00f6rsen einer Person. <\/span>Da es zu umst\u00e4ndlich sein K\u00f6nnte, Mehrere Vollst\u00e4ndig unabh\u00e4ngig voneinander generierte Schl\u00fcsselpaar zu speichern, generieren Kryptow\u00e4hrungssysteme lediglich Eine gro\u00dfe Zahl, als Matrize kryptografischer \u201c <\/span><\/span>Seed<\/span><\/span><\/em> \u201c (aus dem Englischen f\u00fcr \u201eSamen\u201c) bezeichnet Wird. <\/span>Aus diesem <\/span><\/span>Samen<\/span><\/span><\/em> werden dann mehrere <\/span><\/span>\u00f6ffentlich-private-Schl\u00fcssel-Paare<\/span><\/span><\/em> f\u00fcr die Geldb\u00f6rsen-Behandlungen.<\/span><\/span><\/p>\n

This Zahl \u2013 der kryptografische <\/span><\/span>Seed<\/span><\/span><\/em> \u2013 ist um Grund Genommen das war Benutzer Ein <\/span><\/span>Kryptosystem<\/span><\/span><\/strong> tats\u00e4chlich speichern.<\/span><\/span><\/p>\n

Im Unterschied zu den Finanzsystemen gibt es bei Kryptow\u00e4hrungen f\u00fcr die Verwaltung von Personen, die Regulationsmechanismen, R\u00fcckbelastungsversicherungen oder Optionen zur Kontowiederherstellung. <\/span>Jeder, der \u00fcber den kryptischen <\/span><\/span>Samen<\/span><\/span><\/em> und damit auch \u00fcber die abgeleiteten Schl\u00fcssel-Schl\u00fcssel, ist auch im Besitz der Krypto-Geldb\u00f6rsen. <\/span>Wenn der <\/span><\/span>Samen<\/span><\/span><\/em> auch verloren geht, sind auch die M\u00fcnzen in den Wallets Futsch.<\/span><\/span><\/p>\n

Offiziell ist ein Wallet l\u00e4ngerigen ein Schl\u00fcsselpaar aus \u00f6ffentlichen und privaten Keys. <\/span>Oft werden die <\/span><\/span>Mittel zum <\/span><\/span><\/em>Wahrnehmen <\/span><\/span><\/em>dieser <\/span><\/em>Sicherheitsschl\u00fcssel<\/span><\/strong><\/em> auch als <\/span>Wallets<\/span><\/em> bezeichnet. <\/span>Im Grunde genommen ist ein Hardware-Wallet auch ein Ger\u00e4t, auf dem Kryptowallets werden werden. <\/span>Bestimmt ganz einfach, oder?<\/span><\/span><\/p>\n

Wozu ein Hardware-Wallet?<\/span><\/span><\/h3>\n

Verst\u00e4ndliche Bestand ist es keine schlechte Idee, den <\/span><\/span>Samen<\/span><\/span><\/em> so sicher wie m\u00f6glich aufzubewahren; <\/span>Hierf\u00fcr gibt es sich darum, die letzten <\/span><\/span>Vor- aber auch<\/span><\/span><\/a> mit sich bringen zu bringen. <\/span>Die bequemste Methode Speicherung des ist zu sterben <\/span><\/span>Samen<\/span><\/span><\/em> Entweder auf IHREN Computer, Smartphone oder, noch besser, online. <\/span><\/span>Malware<\/span><\/span><\/strong> , die es auf Krypto-Geldb\u00f6rsen bekommen hat, kommt zust\u00e4ndig allerdings rechtm\u00e4\u00dfig vor. <\/span>Online-Wallet-Dienste can auch <\/span><\/span>gehackt Werden<\/span><\/span><\/a> und sogar bankrottgehen, Wodurch gro\u00dfe <\/span><\/span>M\u00fcnze-Mengen schlichtweg verschwinden<\/span><\/span><\/a> W\u00fcrden.<\/span><\/span><\/p>\n

Hinzu kommen <\/span><\/span>weitere Probleme<\/span><\/span><\/a> , wie <\/span><\/span>Phishing<\/span><\/span><\/strong> , Spoofing von Zahlungsinformationen, der Verlust von Wallets geh\u00f6ren von <\/span><\/span>Hardwarefehlern<\/span><\/span><\/strong> , usw. <\/span>\u2013 aus diesem Grund haben sich die M\u00f6glichkeit gegeben, sich zu sch\u00fctzen, diese Chaos zu l\u00f6sen von Hardware-Wallets, dedizierten Ger\u00e4ten zur verl\u00e4sslichen und pers\u00f6nlichen Aufbewahrung kryptografischer <\/span><\/span>Seeds,<\/span><\/span><\/em> Abhilfe zu schaffen.<\/span><\/span><\/p>\n

So hei\u00dft Hardware-Krypto-Wallets<\/span><\/span><\/h3>\n

Die Grundidee, die hinter diese Hardware-Krypto-Wallets werden, ist die Speicherung des kryptischen <\/span><\/span>Seeds<\/span><\/span><\/em> , die dieses Ger\u00e4t quasi funktionierende. <\/span>Das gesamte Signaturverfahren hei\u00dft demnach im Geldbeutel selbst und nicht \u00fcber einen Computer. <\/span>Selbst wenn Ihr Rechner kompromittiert werden sollte, wird die Kriminellen Ihr <\/span><\/span>Sicherheitsschl\u00fcssel<\/span><\/span><\/strong> auch <\/span><\/span>unter keinen anderen verschlingen<\/span><\/span><\/strong> .<\/span><\/span><\/p>\n

\"Warum<\/a><\/h2>\n

Wie es hei\u00dft, dass der Sperren des Verhaltens \u00fcber den PIN-Code oder die Abwicklung des Betrugs \u00fcber den PIN-Code oder die Abwicklung der Abwicklung <\/span><\/span>auf das Ger\u00e4t<\/span><\/span><\/em> selbst, um diese Abhilfe oder die Abhilfe gegeben wird.<\/span><\/span><\/p>\n

In Sachen Design unterscheidet es sich bei einem <\/span><\/span>Hardware-<\/span><\/span><\/strong> Portemonnaie f\u00fcr einen um relativ relativ kleinen, per USB-f\u00e4higen Dongle, der \u00fcber ein Display und einigen Tasten zur PIN-Eingabe und Transaktionsbest\u00e4tigung handelt.<\/span><\/span><\/p>\n

Das Innenleben kann Ger\u00e4te k\u00f6nnen anders sehen. <\/span>Die beiden, die von Hardware-Wallets \u2013 Trezor und Ledger \u2013 sind das richtige Beispiel f\u00fcr zwei vollkommene Ans\u00e4tze in Sachen Hardware-Design.<\/span><\/span><\/p>\n

Ledger-Ansatz: Der kryptografische <\/span><\/span>Seed<\/span><\/span><\/em> wird im Secure-Element-Chip-Bestand<\/span><\/span><\/strong><\/h4>\n

Der zweite Chip ist ein Universal-Mikrocontroller, der alle peripheren Aufgaben betrifft: Verantworthalten der USB-Verbindung, Kontrolle des Displays und der Tasten, usw. <\/span>Unterschiedlicher dieser Mikrocontroller als Mittelsmann zwischen dem Secure Element und allem anderen; <\/span>dazu geh\u00f6rt auch der Benutzer.<\/span><\/span><\/p>\n

\"Das<\/a><\/p>\n

Aber selbst das hei\u00dft von Krypta <\/span><\/span>Samen<\/span><\/span><\/em> in einem gesch\u00fctzten Chip macht das <\/span><\/span>Krypto-Wallet<\/span><\/span><\/strong> von Ledger noch lange nicht weniger undurchdringlich. <\/span>Sicheres es sehr pers\u00f6nliches ist, sicheres Element selbst zu hacken und auf diese Weise kryptografische <\/span><\/span>Samen<\/span><\/span><\/em> zu verschlenden, ist es relativ einfach, ein Universal-Mikrocontroller zu kompromittieren und das hei\u00dft Hardware-Wallet zu t\u00e4uschen, um die neuen eines Fremden zu geh\u00f6ren.<\/span><\/span><\/p>\n

Die Forscher haben die Hauptbuch-Nano-S-Firmware und das Fest, dass diese mit einer kompromittierten Version erhalten werden, wenn ein Wert einer bestimmten Speicheradresse wird. <\/span>Diese Speicheradresse wird auf eine Deny-Liste gestellt, damit sie nicht geschlossen werden kann. <\/span>Der im Ger\u00e4t, der Mikrocontroller geh\u00f6rt, das hei\u00dft <\/span><\/span>,<\/span><\/span><\/em> dass das <\/span>Speicher neu zugeordnet wird,\u00a0<\/span><\/em> wird die Adresse \u201ezugreifbar\u201c wird. <\/span>Die Forscher nsicht diese Funktion aus und best\u00fcckten den Nano S mit modifizierter Firmware. <\/span>Zu Demonstrationszwecken dieser diese modifizierten Firmware f\u00fchrt ein Snake-Spiel. <\/span>Im Ernstfall m\u00fcssen sie selbst ein <\/span><\/span>sch\u00e4dliches Modul erhalten<\/span><\/span><\/strong> , das die Brieftaschenadresse in allen aushenden administrativen.<\/span><\/span><\/p>\n

Ein alternativer Ansatz zur Kompromittierung eines Hardware-Wallets ist der Gebrauch eines Hardware-Implantats. <\/span>Josh Datko hat es geschafft, ein billiges Implantat, das die Rechte \u201eRechte\u201c, das Hardware-Wallet-Ledger Nano S zu implantieren. <\/span>Die gleiche Methode funktioniert auch mit jedem anderen Hardware-Wallet; <\/span>Die Forscher hatten sich allerdings f\u00fcr das Modell Ledger Nano S entschieden, weil es eines der kleinsten ist und ist f\u00fcr diese Art des Angriffs die gleichen Rechte.<\/span><\/span><\/p>\n

Ein anderes Ger\u00e4t des gleichen Herstellers, das Hauptbuch Blau, sich als auch f\u00fcr Seitenkanalattacken. <\/span>Ledger Blue ist ein <\/span><\/span>Hardware-<\/span><\/span><\/strong> Portemonnaie mit einem relativ gro\u00dfen Display und Akku und weist einen Konstruktionsfehler in der Platine auf, der unterscheidbaren HF-Signale durch bestimmte, wenn der Benutzer einen PIN-Code eingibt. <\/span>Die Forscher zeichneten die Signale auf und schulten einen maschinellen Lernalgorithmus, um diese mit einer 90% -igen Kenntnis zu erkennen.<\/span><\/span><\/p>\n

\"Hack<\/a><\/p>\n

Trezors Ansatz: Der kryptografische Samen wird im Flash-Speicher des Universal-Mikrocontrollers verwendet<\/span><\/span><\/strong><\/h4>\n

Die Ger\u00e4te von Trezor befinden sich in ihrer Funktionsweise. <\/span>Sie haben kein sicheres Element, geh\u00f6rt alle Vorg\u00e4nge im Ger\u00e4t von einem anderen Chip, einem Universal-Mikrocontroller, der auf der ARM-Architektur wird gesteuert, wird wird. <\/span>Dieser Chip ist auch f\u00fcr die kryptografischen Datenspeicherung und -verarbeitung als auch f\u00fcr die Verwaltung der USB-Verbindung, des Displays, der Schaltfl\u00e4chen, usw. <\/span>ver\u00e4ndert.<\/span><\/span><\/p>\n

Theoretisch K\u00f6nnte of this Ansatz das <\/span><\/span>Hacken der Ger\u00e4tefirmware<\/span><\/span><\/strong> erleichtern und SOMIT den zugriff auf den im Flash \u2013 <\/span>Speicher-des Mikrocontrollers gespeicherten kryptografischen <\/span><\/span>Seed<\/span><\/span><\/em> erm\u00f6glichen. <\/span>Die Forscher betonten andere, das Trezor beim H\u00e4rten der Firmware wirklich gute Arbeit wird sicher und somit ein Hack der Hardware wird unumg.<\/span><\/span><\/p>\n

\"Trezor<\/a><\/h4>\n

Mit einer <\/span><\/span>Hackingmethode<\/span><\/span><\/strong> geh\u00f6rt \u201c <\/span><\/span>Spannungsst\u00f6rung\u201c<\/span><\/span><\/em> (dem Mikrocontroller wird eine sichere Spannung zu dem, der \u201elustige\u201c wird im Chip verursacht), wurde der Chipzustand des Trezor One von \u201eKein Zugriff\u201c auf \u201eTeilzugriff\u201c, die die Forscher den RAM des Chips, nicht aber den Flash-Speicher, auslesen genommen. <\/span>Nachstehen Sie sie fest, dass der Chip beim Starten des Firmwareaktualisierungsprozesses der kryptischen <\/span><\/span>Samen<\/span><\/span><\/em> Samen im RAM speichert, wird der Flash-Speicher empfohlen wird. <\/span>Auf diese Weise gelang es den Bedenken, den gesamten Speicherinhalt abf\u00fchren. <\/span>Auch die Suche nach dem kryptischen <\/span><\/span>Samen<\/span><\/span><\/em> wird sich als kinderleicht herausnehmen, da er nicht schl\u00fcsselt im RAM, in Form einer mnemonischen Phrase, verkauft wurde, die leicht zu erkennen war.<\/span><\/span><\/p>\n

\n
\"\"<\/a>

Der Speicherauszug f\u00fchrt den kryptischen Samen in Form eines mnemonischen Codes und einer PIN (in diesem Herbst 1234), die in Klartext-Verwaltung ist<\/span><\/span><\/p><\/div>\n<\/div>\n

Fazit<\/span><\/span><\/h3>\n

Die meisten der von Thomas Roth, Dmitry Nedospasov und Josh Datko beschriebenen <\/span><\/span>Hacks<\/span><\/span><\/strong> Sind Wirklich anspruchsvoll und erfordern den physischen zugriff auf das Gerat. <\/span>Sie m\u00fcssen Ihr Hauptbuch oder Trezor auch nicht sofort in den Papierkorb werfen. <\/span>Solange niemand auf Ihr Ger\u00e4t geh\u00f6rt, kann Ihre <\/span><\/span>Bitcoins<\/span><\/span><\/strong> in Sicherheit sein.<\/span><\/span><\/p>\n

Es ist eine gute Idee, die Existenz von Supply-Chain-Angriffen immer im Hinterkopf zu behalten. <\/span>Hardware-Wallets lassen sich relativ leicht manipulieren und k\u00f6nnen bereits vor dem Kauf kompromittiert werden. <\/span>Gleiches vergoldet nat\u00fcrlich auch f\u00fcr normale Laptops oder Smartphones. <\/span>Nat\u00fcrlich k\u00f6nnen wir wissen, ob ein pers\u00f6nliches Ger\u00e4t f\u00fcr die <\/span><\/span>Aufbewahrung von Kryptow\u00e4hrung<\/span><\/span><\/strong> verwendet wird oder nicht. <\/span>Hardware-Wallets sind auch in diesem Kontext eine sichere Sache.<\/span><\/span><\/p>\n

Kaufen von Hardware-Wallets versuchen, dieses Problem zu adressieren, entsch\u00e4digen sie sicher Sicherheitsaufkleber auf den Ger\u00e4tepaketen, die auf ihren Websites bestehen Seiten, mit denen Kunden Online- <\/span><\/span>Sicherheitschecks<\/span><\/span><\/strong> ihre <\/span><\/span>Wallets<\/span><\/span><\/strong> funktionieren k\u00f6nnen. <\/span>Diese Vertr\u00e4ge sind die gleichen, die nicht m\u00f6glich sind und die auch nur sehr wichtig f\u00fcr Benutzer sein.<\/span><\/span><\/p>\n

Im Unterschied zu <\/span><\/span>anderen Hardware-Geldb\u00f6rsen<\/span><\/span><\/a> sind die Ger\u00e4te von Ledger und Trezor, die alle auf die Sicherheit ihrer Benutzer verwendet werden. <\/span>Hier noch noch einige Tipps, um Ihre\u00a0 <\/span><\/span>Kryptow\u00e4hrung\u00a0<\/span><\/span><\/strong> zu <\/span><\/span>sch\u00fctzen<\/span><\/span><\/strong> :<\/span><\/span><\/p>\n

Ledger Ger\u00e4te \u2013 Ledger Nano S und Ledger Blue \u2013 Steuern \u00fcber zwei Hauptchips. <\/span>Einer davon ist ist <\/span><\/span>sicheres Element<\/span><\/span><\/a> , ein Mikrocontroller, der entwickelt wurde, um hochempfindliche <\/span><\/span>kryptografische Daten zu speichern<\/span><\/span><\/strong> . <\/span>Genauer sagte werden diese Chips in SIM-Karten, in Chip- und PIN-Bankkarten sowie in Samsung Pay- und Apple Pay-vertr\u00e4glichen Smartphones verwendet.<\/span><\/span><\/p>\n