John McAfee zurück in den Schlagzeilen. Der Crypto-Guru verspricht allen Hackern seiner Bitfi-Wallet 250.000 US-Dollar Belohnung. Einige Hacker haben bereits Root-Zugang. Ein anderer versucht die Brainwallet mit seiner BrainFlayer-Software zu knacken. Währenddessen provoziert McAfee auf Twitter munter weiter. Der Schlagabtausch im Überblick.

Wer ist John McAfee?

John McAfee ist selbsternannter Crypto-Guru. In der Community gilt er als freimütiger, aber gut gelaunter Charakter mit einer Neigung zu mutigen, vorbeh5altlosen Behauptungen. Durch seine polarisierenden Aussagen gerät er häufig in die Schlagzeilen – an Kontroversen mangelt es ihm nicht. Vor allem auf seinem Twitter-Account versprüht er gerne seine tägliche Dosis Testosteron.

Die meisten kennen John McAfee selbstverständlich durch seine 1987 gründete Firma McAfee Associates (heute McAfee) zur Herstellung von Antivirus- und Compurtersicherheitssoftware. Anlass für die Gründung waren Sicherheitslecks die durch PC-Viren missbraucht wurden.

250.000$ Belohnung für die Hacker der Bitfi-Wallet

Auch wenn McAfee mittlerweile längst durch andere Schlagzeilen in der Öffentlichkeit steht – PC-Viren ist ein gutes Stichwort:
In einem seiner Twitter-Posts vom 24. Juli stiftet er Hacker dazu an seine neue Hardware-Wallet Bitfi gegen eine Belohnung von 100.000 US-Dollar zu hacken.

Wer sich von dem Wortlaut selber überzeugen möchte – hier der Twitterauszug. Keine Sorge – es wird nicht der letzte Auszug in diesem Beitrag bleiben:

Als würde der ganze Aufriss nicht schon genug Wellen schlagen, meldet sich McAfee am 31. Juli zurück und erhöht die Belohnung auf 250.000 US-Dollar.

Die Spielregeln für den Bitfi-Hack

Um die Belohnung auszuschütten hat McAfee eine Art Regelwerk veröffentlicht. Die Spielregeln finden sich sogar auf der öffentlichen Bitfi-Website unter der Roubrik: „Bounty program“.
Die Seite gleicht einer Art Propaganda. Permanent wird auf die angebliche Aussage einiger Personen Bezug genommen, dessen Wortlaut angeblich sei: „nichts sei unhackbar“. Es entsteht beinahe der Eindruck McAfee und BitFi fühlten sich durch diese Aussage persönlich beleidigt.

Nun gut. Was muss der Spieler – nennen wir ihn Hacker – leisten, um seine 250.000 US-Dollar Belohnung einzusacken?

  • Bitfi hat auf einigen ihrer Wallets einen Beitrag von 50 US-Dollar in Bitcoin hinterlegt.
  • Diese präparierten Wallets müssen gekauft werden. Die Standardausführung der Wallet kostet 120$. Zusätzlich werden 10$ für die Bitcoin-aufgeladenen Wallets fällig. Angeblich, weil sie nur unseriöse Spieler ausschließen wollen.
  • Jeder Spieler, der die Wallet hackt und Zugriff auf die eingelagerten Bitcoin erhält, hat gewonnen. Das klingt irgendwie absurd.
  • Der Hacker darf die Bitcoin behalten und bekommt zusätzlich eine Belohnung von 250.000$.

Falls jemand die Spielregeln nicht verstanden haben sollte. McAfee klärt nochmal auf: nicht nur der Erste, sondern jeder, dem es möglich sei die Wallet zu hacken, erhält die Belohnung.

Bitfi Wallet gehacked? Erste erfolgreiche Root-Zugriffe

Einige Mitspieler sind dabei das „Rätsel“ zu knacken. Unter ihnen beispielsweise Cybergibbons. Wen es interessiert wie die Cybergibbons die Bitfi-Wallet auseinander genommen haben und wie die Wallet von innen aussieht, kann sich hier das Vorgehen anschauen.

Auch der Twitternutzer OverSoft veröffentlicht die Zusammensetzung der Komponenten: Die Bitfi Wallet ist nichts anderes als ein abgespecktes, chinesisches Smartphone (Mediatek MT6580). Einige Komponenten fehlen – beispielsweise Kamera oder Sim-Karte. Die Firmware besteht aus einem Baidu GPS/WiFi-Tracker, einer Adups FOTA Malware-Suite und einem Tracker, der die Gerätaktivitäten speichert.

Von dieser Erkenntnis an ist ein Root-Zugriff nicht mehr schwierig. OverSoft bestätigt den Root Zugang und postet den Output laufender Prozesse als Root.

Root-Zugriff hin oder her. McAfee reicht das nicht. Wir könnten euch den Wortlaut übersetzen – aber im Originalton ist es amüsanter:

An dieser Stelle eine kleine Empfehlung unserer Redaktion. Die Konversationen unter den Tweets sind lesenswert!

Kurze Zeit später kündigt McAfee ein Video an („I will put this to bed“), um seinen Worten Nachdruck zu verleihen. Wir verschonen euch mit allen drei Video-Parts. Daher hier nur der wichtigste Teil:

Worum geht es in dem Video:
Der Root-Zugriff auf die Wallet sei für ihn noch lange kein Beweis für einen erfolgreichen Hack. Ein Hack sei es für ihn laut Definition erst dann, wenn jemand Geld entwendet. Da dies bisher aber nicht passiert sei, hat auch niemand die Belohnung erhalten. Wenn der Hacker die Bitcoin entwenden kann, verspricht er erneut die Belohnung von 250.000$.

BrainFlayer-Software um Brainwalltes zu hacken

Ryan Castellucci postete am 27. Juli ein Beitrag mit dem Titel „BitFi hardware wallet is terrible“.
Er beschreibt das Produkt als eine „footgun“. Sicherlich eine Methapher für etwas, womit sich McAfee und Bitfi selber in den Fuß schießen.

„Wir haben eine einfache, narrensichere Möglichkeit geschaffen, das Gehirn als Wallet zu nutzen. Die Brieftasche von Bitfi.com ist die Transkription zwischen dem inneren Gehirn und der Außenwelt digitaler Währungen.“ so McAfee.
Ryan Castellucci veröffentlichte schon am 31. August 2015 ein Video von der DefCon Hacking Konferenz 23 über das Knacken von Brainwallets. Hierzu nutzt er seine eigens erstelle Software BrainFlayer.

Wie funktionieren Brainwallets?

Brainwallets funktionieren, indem man eine frei gewählte Passphrase nimmt und sie durch eine mathematische Funktion, bekannt als „Hash“, zu einem zufällig aussenden Zahlenstrang verändert.
Dieser Strang wird dann als privater Bitcoin-Schlüssel verwendet. Der Clou daran: Jede Passphrase kann jederzeit erneut gehashed werden. Um also den privaten Schlüssel zu erstellen, muss sich der Benutzer nicht an den gehashten Zahlenstrang erinnern, sondern nur an die individuelle Passphrase.

Ryan Castellucci hat zum knacken dieser Phrasen eine Software entwickelt – BrainFlayer. Welche auf menschlichen Fehlern baisert. Diese Software ist in GitHub zum Download angeboten.

Der übliche private Bitcoin-Schlüssel ist lang genug, dass niemand ihn knacken kann, bevor die Sonne verglüht. Aber wenn Hacker nur die Passphrase erraten müssen, werden sie es tun, weil die Leute schrecklich schlecht sind Zahlen zufällig zu generieren.

Nachdem Castellucci seinen Bericht veröffentlichte, habe er von Bitfi ein Jobangebot erhalten, um die Sicherheitslücken als Berater zu lösen.

Zum Abschluss eine Twitterkonversation zwischen einem Nutzer und Bitfi bzgl. BrainFlayer:

Bild: [Gage Skidmore/Flickr]

Diskutiert mit uns auf Telegram oder abonniert unseren regelmäßigen Newsletter für die aktuellsten News und Diskussionen!

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here