Više od pola interneta moglo bi biti ugroženo dvogodišnjim sigurnosnim nedostatkom koji također može utjecati na niz internetskih usluga bitcoina, objavljeno je danas.

Ranjivost, nazvana "Heartbleed", utječe na inačice OpenSSL-a, open-source implementacije SSL i TLS protokolima internetske sigurnosti koji šifriraju i osiguravaju internetski promet, uključujući: lozinke, poruke, e-trgovinu i bankarstvo i druge osjetljivih podataka, uključujući virtualne privatne mreže (VPN). OpenSSL je najpopularnija softverska biblioteka koja se koristi za tu svrhu.

Dvije godine

Heartbleed pukotina navodno je poznata istraživačima od 2011., pa čak i 'crni šeširi' hakeri od 2012. godine, što znači da su ključni podaci o velikom dijelu interneta otvoreno dostupni već godinama. Nije bilo potvrđenih izvješća o iskorištavanju, iako napadi ne ostavljaju traga.

Administratori sigurnosti diljem svijeta sada žurno primjenjuju popravak, a mijenjanje certifikata i tajnih ključeva u slučaju nesreće mogli su biti ugroženi.

Budući da slabi bilo koju web stranicu pomoću "sigurnog" https protokola, prijetnja nije konkretno bitcoin usluge poput novčanika i razmjena. No, s obzirom na tendenciju zanemarivanja krađa bitcoina ili nemogućnosti da ih učinkovito istraže, bitcoin usluge bi mogle ostaviti ranjivijim od onih "tradicionalnih" online financijskih ili drugih kritičnih.

Testirajte svoje web stranice

Talijanski stručnjak za sigurnost Filippo Valsorda izradio je test na webu koji omogućava svakome da uđe u host ime poslužitelja kako bi vidio je li to pogođeno ili ne. Također je objavio kod otvorenog koda za test na GitHubu.

U trenutku pisanja, upis velikih adresa bitcoinskih usluga na Valsordovom mjestu pokazao je da su Blockchain, Coinbase i BitPay sigurni, ali da je najpopularnija razmjena na svijetu Bitstamp ostala ranjiva.

Valsorda je više zabrinut zbog online bitcoin usluga od bilo čega što je inherentno drugim implementacijama, rekavši da je "jednostavno iskoristiti, a ne tako brzo popraviti".

"Osnovno je reći svima da provjeravaju sve svoje poslužitelje i ažuriraju ASAP [...] Ne mogu očito biti pozitivni u tome, ali softver specifičan za bitcoin (lokalne novčanike itd.) Ne bi trebao biti pogođen čak i ako koriste

"Međutim, gotovo sve javno okrenuto u ekološkom sustavu Bitcoin (s pravom) je osigurano s TLS-om (mislim na sve internetske novčanike, razmjene, ali i API-ja i poslužitelje e-pošte) i potencijalno (vjerojatno). "

Rushing to patch software, rotiranje certs

Procjenjuje se da preko 50% internetskih poslužitelja koristi neki oblik OpenSSL-a (i vjerojatno puno više). Misao da bi više od polovice osjetljivih podataka na Internetu moglo biti izloženo dvije godine ostavilo je znojenje u sigurnosnim odjelima.

Koristeći Heartbleed, napadač može pristupiti RAM-u pogođenih sustava, omogućujući im da vide do 64 kilobajta podataka odjednom - dovoljno za izgradnju dovoljno znanja za pristup tajnim ključevima sustava. Ti se ključevi koriste za šifriranje i dešifriranje osjetljivog prometa i identifikaciju pružatelja usluga.

Nakon što se dobiju tajni ključevi, napadači mogu čitati svaki promet do i od poslužitelja otvoreno ili lažno predstavljati usluge i korisnike.

Napadi na ranjivom sustavu ne zahtijevaju tehnike u sredini i ne ostavljaju nikakav trag, ostavljajući sysadminima siguran način da saznaju je li njihovi sustavi ugroženi.

Opseg potencijalne štetnosti ostavio je neko trzanje:

Heartbleed je rijedak bug: neuspjeh u kripto knjižnici koja propušta podatke izvan onoga što štiti. Tako gore nego u kripto.

Mike Hearn, developer i predsjednik Zaklade Bitcoin zaklade i politike, izjavio je kako se nada da će utjecaj na usluge bitcoina biti ograničen, ali je istaknuo da usluge bitcoina nisu " uvijek upotrebljavaju najbolje prakse za sigurnost:

"Nadam se da će utjecaj biti ograničen. Glavne web lokacije morat će zakrenuti svoje SSL ključeve nakon nadogradnje [...] Većina web mjesta trebaju imati privatne ključeve za svoje novčanike na drugom poslužitelju proces u kojem se podaci ne mogu izvući na ovaj način, no neće me iznenaditi ako neka mjesta ne rade na ovaj način iz bilo kojeg razloga i da mogu podnijeti krađu. "

Tvrtke reagiraju

Nakon vijesti, mnogi bitcoin i altcoin razmjene su na cvrkut izdale službene odgovore i ažurirale korisnike o njihovom napretku u rješavanju nedostatka.

#Bitstamp isključuje svoju registraciju, prijavu i sve funkcije virtualnog povlačenja valute kao mjere predostrožnosti nakon nedavnih vijesti OpenSSL-a.

punu sigurnost.

Stoga je razmjena odlučila ostati "na sigurnoj strani" i privremeno isključiti registraciju računa, prijave računa i sve funkcije virtualnog povlačenja valute.

Ostale burze su od tada objavile slične izjave putem platforme, uključujući Bitfinex - nedavni dodatak CoinDeskovoj BPI.

Zaključana pogreška fiksirana na Bitfinexu, povlačenja su za sada onemogućena dok nismo sigurni da su svi sigurni

- Bitfinex. com (@bitfinex) 8. travnja 2014.

U međuvremenu, platforme poput localbitcoins. com i Bitcurex su izvijestili o veći uspjeh:

Ponovno smo se vratili, čvrsto namješteni bugovi fiksni. // t. co / OwP9Ft1dE7

- Lokalni koštuni. com (@LocalBitcoins) 8. travnja 2014.

Blockchain. info također objavio izjavu putem svoje web stranice navodeći da je ažurirati usluge prije tjedan dana. Tvrtka je također naglasila da lozinke novčanika nikada ne šalju na svoj poslužitelj.

Dodano je: "Nastavit ćemo istraživati ​​prema potrebi i pružiti vam potrebna ažuriranja."

Izdanje javnog natječaja

Otkriće vijesti o Heartbleedu izdalo je finski IT savjetnik za sigurnost Codenomicon, koji je objavio opis nakon što sam pokušao iskoristiti. Inženjer za Google Sigurnost, Neel Mehta, prijavio je OpenSSL timu dok je Adam Langley i Bodo Moeller pripremili su popravak.

Ime dolazi od postojanja bugova u OpenSSL-ovom proširenju srca i ne predstavlja nikakav nedostatak u samom SSL / TLS protokolu.

Codenomicon je rekao da je eksploatacija "jednostavna" i da je uspješno napao svoje usluge, stekao pristup tajnim ključevima za X. 509 certifikate, korisnička imena i lozinke i druge "poslovno kritične" komunikacije.

OpenSSL-ov sigurnosni savjetnik rekao je da je Heartbleed utjecao na 0. 0. 1 i 1. 0. 2-beta izdanja softverske biblioteke, uključujući 1. 0. 1f i 1. 0. 2-beta1

"Nedostajuće granice provjeravanja u upravljanju TLS otkucaja srca mogu se koristiti za otkrivanje do 64 k memorije na povezani klijent ili poslužitelj, "pročitao je, savjetujući korisnike da nadogradnju odmah ili uklone otkucaje srca iz svoje inačice OpenSSL-a preoblikujući ga s" DOPENSSL_NO_HEARTBEATS ".

Ova priča je koautor je Grace Caffyn.

Slika srca preko Shutterstock