Industrie-focus

Bitcoin: Wie Anwender Sicherheitsgeheimnisse ihres virtuellen Geldbeutels verraten

 

Softwaresysteme sind anfällig für Angriffe, wenn Anwender sich nicht an die Regeln bei der Bedienung halten. Das gelte auch für so genannte Kryptowährungen, so Experten. Für die Kryptowährung Bitcoin liefern nun zwei Informatiker des CISPA--Helmholtz-Zentrums in Gründung den wissenschaftlichen Beweis. Über mehrere Monate hinweg durchsuchten sie öffentlich zugängliche Informationen nach preisgegebenen Sicherheitsdetails. Ihre Bilanz: Cyberkriminelle hätten mit Hilfe der Suchtreffer virtuelle Münzen im Wert von rund 3,3 Millionen US-Dollar stehlen können. Ihre Vorgehensweise präsentieren die beiden Forscher nun auf dem internationalen Symposium RAID 2018 im griechischen Iraklio.

 

Michael Brengel forscht am CISPA-Helmholtz-Zentrum i. G. und promoviert an der Universität des Saarlandes. Um herauszufinden, ob Anwenderinnen und Anwender der Kryptowährung Bitcoin online Geheimnisse verraten, wählte Brengel die Plattform »pastebin.com«. Das ist eine Website, auf der man bequem längere Texte anderen Personen zugänglich machen kann. Die Entwickler-Gemeinde greift darauf zurück, wenn sie Quellcode anderen zeigen möchte, dafür aber nicht das entsprechende Forum oder den Chat mit Tausenden von Programmzeilen überfluten will. Stattdessen kopieren, »pasten«, Programmiererinnen und Programmierer ihren Code in ein Formular von Pastebin.com und verweisen darauf über den dazugehörigen Link. Falls nicht anders eingestellt, sind diese Texte, so genannte pastes, auf der Pastebin-Website für jeden lesbar -- solange bis sie von neuen Pastes verdrängt werden.

Diese Texte analysierte Brengel zusammen mit Professor Christian Rossow von September 2017 bis März 2018. Sie nutzten dabei den Umstand aus, dass private Bitcoin-Codes immer in einem speziellen Format geschrieben sind. In nur knapp zwei Stunden hatten sie ein Programm geschrieben, das die Pastebin-Texte automatisch auf dieses Format hin untersuchte und Treffer speicherte. Auf diese Weise fanden sie 21.464 private Schlüssel, die auf 42.936 Konten verwiesen. Wie Brengel hierzu berichtet waren nicht alle Konten mit Geld gefüllt, aber selbst nach durchgeführter konservativer Schätzung hätten man 22,40 Bitcoins stehlen können. Die hatten damals laut Brengel einen Wert von 178.000 US-Dollar.

Des Weiteren untersuchten die beiden Computerwissenschaftler eine Art des Diebstahls, für die laut Brengel etwas Grundverständnis für Informatik und Mathematik notwendig sei.

Dieser Angriff zielt auf digitale Signaturen, die bei Bitcoin die Transaktionen absichern. Die Sicherheit der Signatur wiederum beruht unter anderem auf einem Zufallswert, in der Fachsprache »nonce« genannt. Der Anwender wählt diesen selber. Verwendet er denselben Nonce jedoch mehr als einmal, schwächt er das von Bitcoin angewandte Sicherheitsverfahren erheblich.

Um die Relevanz für die Praxis zu testen, luden sich die Forscher im vergangenen Januar das Transaktionsregister (die so genannte Blockchain) von Bitcoin auf ihre Rechner. Wie Brengel erläutert verfügt man automatisch über eine Kopie des Transaktionsregisters, wenn man Teil des Bitcoin-Netzwerkes ist. Sie extrahierten daraus rund 647 Millionen Signaturen und fanden heraus, dass rund 1.068 Nonces mindestens zweimal verwendet worden waren. Nach Brengel Einschätzung ist diese Zahl unter der Annahme, dass dies eigentlich nicht passieren dürfte, enorm hoch.

Blockchain-2

 Erneut überprüften die Forscher, welche Beute möglich gewesen wäre, hätten sie die damit verbundenen Konten ausgeraubt. Das Ergebnis: Hätte ein Angreifer oder eine Angreiferin die von den Forschern aufgedeckten Informationen über mehrmals verwendete Nonces genutzt, hätten sie rund 413 Bitcoins stehlen können. Diese Anzahl hatte zu diesem Zeitpunkt einen Gegenwert von rund 3,3 Millionen US-Dollar.

In einem abschließenden Resümee erklärt Professor Rossow, dass solche Summen und die Tatsache, dass Kryptowährungen durch ihre dezentrale Struktur und nahezu anonyme Natur die Strafverfolgung schwieriger machen, Cyberkriminelle geradezu an ziehen. Sollten in Zukunft die Kryptowährungen noch beliebter werden, steige damit auch die Wahrscheinlichkeit für solche systematischen Raubzüge.

Ihre Forschungsergebnisse und Maßnahmen gegen die Angriffe präsentierten die Informatiker auf der internationalen Tagung »RAID 2018 - The 21st International Symposium on Research in Attacks, Intrusions and Defenses«, die Mitte September in Iraklio, der Hauptstadt der griechischen Insel Kreta, stattfand.

Quelle: Forschungsaufsatz »Identifying Key Leakage of Bitcoin Users«

Bearbeitung: Wolfgang Klinker Klinker@industry-focus.info

 

Weitere Informationen

https://christian-rossow.de/publications/btcsteal-raid2018.pdf  

Web:www.cispa.saarland
 RAID 2018 - The 21st International Symposium on Research in Attacks, Intrusions and Defenses
https://www.raid2018.org/

Button-1
Home   Interviews   News   Automation   Prozessautomation   Technologien   Introduction   Smart Energy   Robotik   Lasertechnik   Digitalisierung   Künstliche Intelligenz   Autonomik 
website design software