Skip to content

Kryptowährungen erklärt: Wie funktionieren Bitcoins?

Beim Stichwort "Kryptowährungen" fällt einem meist zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich meist nichts im Laden um die Ecke kaufen, aber z. B. Lösegeld für seine von Ransomware verschlüsselten Daten zahlen. Und spekulieren kann man damit, einige Zeit konnte man das mit viel Erfolg tun, in letzter Zeit allerdings eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal einen Blick auf das Ganze zu werfen.

Das mache ich auf entwickler.de.

Carsten Eilers

Schon wenige Zeichen können Sie viel kosten, z.B. Ihre Identität

Bei der Recherche zu zwei Artikel zum Thema Phishing für den Windows Developer bin ich auch auf die Beschreibung einer Schwachstelle von Jim Fisher gestoßen: "The dots do matter: how to scam a Gmail user". Im kürzester Kurzform ist ein Angriff möglich, weil Google Punkte in Google-Mail-Adressen ignoriert und die meisten anderen Anbieter sie berücksichtigen.

Auf die Schwachstelle gehe ich in der nächsten Folge ausführlich ein, erst mal möchte ich einen tatsächlichen Angriff beschreiben der ebenfalls nur möglich war, weil verschiedene Anbieter unterschiedliche Vorstellungen davon hatten was wichtig war und was nicht.

Nur vier Zeichen kosteten Mat Honan 2012 seine digitale Identität

"Schon wenige Zeichen können Sie viel kosten, z.B. Ihre Identität" vollständig lesen

Shims unter Windows (5) - Die Ergebnisse der Sicherheitsforscher, Teil 2

Sie wissen bereits was Shims sind und wie die Shim-Infrastruktur aufgebaut ist (und wie es theoretisch mit ihrer Sicherheit aussieht). Danach haben Sie erfahren, dass Entwickler die Shims außer in einigen Ausnahmefällen gar nicht benötigen und dass sie zum Umgehen von Schutzfunktionen und zum Verstecken von Schadcode missbraucht werden können. Aber was kann schon nicht für böse Zwecke missbraucht werden? Alles, was sich zum Guten verwenden lässt, lässt sich immer auch irgendwie für etwas Schlechtes verwenden.

Was die Sicherheitsforscher dazu herausgefunden haben habe ich ihnen zum Teil bereits gezeigt, und das waren alles theoretische Gefahren. Leider gab es auch Angriffe über die Shim-Infrastruktur "in the Wild", und mit deren Analyse geht es weiter:

FixIt-Patches in Angreiferhand, und das "in the Wild"

"Shims unter Windows (5) - Die Ergebnisse der Sicherheitsforscher, Teil 2" vollständig lesen

Shims unter Windows (4) - Die Ergebnisse der Sicherheitsforscher, Teil 1

Sie wissen bereits was Shims sind und wie die Shim-Infrastruktur aufgebaut ist (und wie es theoretisch mit ihrer Sicherheit aussieht). Danach haben Sie erfahren, dass Entwickler die Shims außer in einigen Ausnahmefällen gar nicht benötigen und dass sie zum Umgehen von Schutzfunktionen und zum Verstecken von Schadcode missbraucht werden können. Aber was kann schon nicht für böse Zwecke missbraucht werden? Alles, was sich zum Guten verwenden lässt, lässt sich immer auch irgendwie für etwas Schlechtes verwenden.

Leider lässt sich mit den Shims aber auch tatsächlich Schaden anrichten, was sowohl in der Theorie als auch der Praxis bewiesen wurde. Darum geht es in dieser Folge.

FixIt-Patches in Angreiferhand - Vom Shim zum Exploit

"Shims unter Windows (4) - Die Ergebnisse der Sicherheitsforscher, Teil 1" vollständig lesen

Shims unter Windows (3) - Für Entwickler nötig oder nicht? Und wirklich sicher?

Was Shims sind haben sie im ersten Teil erfahren, und im zweiten habe ich die Shim-Infrastruktur und ihre Sicherheit vorgestellt. In dieser Folge geht es zunächst um die Frage, ob die Shims für Entwickler überhaupt nötigt sind oder nicht. Vielleicht brauchen die sie ja gar nicht, dann hätte Microsoft sie gar nicht für die Allgemeinheit zur Verfügung stellen müssen.

Und dann gibt es die erste von ein paar schlechte Nachrichten, denn die Sicherheitsforscher haben sich die Shims natürlich auch angesehen, und wie nicht anders zu erwarten gab es auch darin ein paar Probleme zu entdecken

Shims sind für die Entwickler oft überflüssig...

"Shims unter Windows (3) - Für Entwickler nötig oder nicht? Und wirklich sicher?" vollständig lesen

Ein bisschen Geschichte: Shims unter Windows (1)

Das kommt jetzt etwas spät, weil die Shims unter Windows 10 nicht mehr unterstützt werden, aber ich brauche das Material als Linkziel. Und ich finde das Thema auch generell interessant.

Shims erlauben es, die API-Aufrufe eines Programms zu manipulieren. Microsoft hat das zum Beispiel genutzt, um als sog. "FixIt-Patches" bzw. "FixIt-Tools" Workarounds für bereits ausgenutzte Schwachstellen bereit zu stellen. Ein Angreifer kann die Shims aber auch nutzen, um seinem Schadcode neue Fähigkeiten zu verschaffen.

Shims allgemein und unter Windows

"Ein bisschen Geschichte: Shims unter Windows (1)" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 9

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs hat die letzten beiden Phasen erreicht. Los ging es in der ersten Phase mit der Schaffung der nötigen Grundlagen für die sichere Entwicklung. In der zweiten Phase wurden die nötigen Anforderungen an die Webanwendung festgelegt.

In der dritten Phase (Design/Entwurf) musst ein Bedrohungsmodell für die Anwendung entwickelt werden. Theoretisch sah das ziemlich schwierig aus, praktisch was es aber durchaus zu schaffen. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Die Bedrohungsmodellierung ist ziemlich aufwendig, lässt sich aber zumindest für Webanwendungen vereinfachen.

In der vierten Phase kommt dann endlich die Implementierung sowie die Vorbereitung der sicheren Default-Installation und -Konfiguration an die Reihe. In Phase 5 muss das alles dann noch mal kontrolliert werden, und dann ist die Anwendung endlich bereit für

Phase 6: Die Auslieferung

"Der SDL am Beispiel eines Gästebuchs, Teil 9" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 8

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt.

Dann haben ich Ihnen im Rahmen der dritten Phase (Design/Entwurf) erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit. Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung. Und zu der gehört auch die

Sichere Default-Installation und -Konfiguration

"Der SDL am Beispiel eines Gästebuchs, Teil 8" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 7

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam die dritte Phase, in der ich Ihnen erklärt habe, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit.

Man kann es sich auch noch einfacher machen...

"Der SDL am Beispiel eines Gästebuchs, Teil 7" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 6

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge zeige ich Ihnen für Webanwendungen eine

Vereinfachung der Bedrohungsmodellierung

"Der SDL am Beispiel eines Gästebuchs, Teil 6" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 5

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die fünfte Runde. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.

Minimierung der Bedrohungen

"Der SDL am Beispiel eines Gästebuchs, Teil 5" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 4

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die vierte Runde. In der ersten Phase müssen Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informieren, und in der zweiten die nötigen Anforderungen an die Webanwendung festlegen. Darauf aufbauend können Sie in der dritten Phase ein Bedrohungsmodell erstellen. Und damit machen wir jetzt weiter.

Die möglichen Bedrohungen für das Gästebuch

"Der SDL am Beispiel eines Gästebuchs, Teil 4" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 3

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die dritte Runde. Nachdem Sie sich in der ersten Phase über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert und in der zweiten Phase die nötigen Anforderungen an die Webanwendung festgelegt haben kommen sie nun zur Phase 3, Design. Und in der können Sie nun ein Bedrohungsmodell für die Anwendung erstellen.

Phase 3: Design - Bedrohungsmodell erstellen

"Der SDL am Beispiel eines Gästebuchs, Teil 3" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 2

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die zweite Runde. Nachdem Sie sich in der ersten Phase über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert haben, können Sie nun die nötigen Anforderungen an die Webanwendung festlegen.

Phase 2: Anforderungen festlegen

"Der SDL am Beispiel eines Gästebuchs, Teil 2" vollständig lesen