Cez chybu v OpenSSL sa dajú kradnúť Bitcoiny, odporúčaná okamžitá aktualizácia

Značky: BitcoinbezpečnosťSSL / TLSOpenSSLkryptomenyHeartbleed

DSL.sk, 9.4.2014

Extrémne kritická chyba v OpenSSL, informácie o ktorej boli zverejnené v utorok, umožňuje potenciálne kradnúť obsah Bitcoin peňaženiek z oficiálneho klienta Bitcoin Core, v minulosti známeho ako Bitcoin-Qt.

Zároveň s vydaním novej verzie 0.9.1 využívajúcej opravenú verziu OpenSSL na to v noci na dnes upozornili vývojári Bitcoin softvéru.

Chyba v OpenSSL umožňuje útočníkovi pri pripojení sa k zariadeniu alebo softvéru využívajúcemu túto knižnicu cez SSL získať 64 KB z pamäte zariadenia potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL, pričom s opakovaním je možné získať potenciálne podstatnú časť pamäte daného procesu.

SSL protokol nie je využívaný samotným Bitcoin protokolom, podľa popisu vývojárov je ale SSL vo forme OpenSSL knižnice využívané na implementovanie dvoch funkčností. V oficiálnom GUI klientovi Bitcoin Core 0.9.0 je OpenSSL použitá na implementáciu nového protokolu pre Bitcoin platby, vo všetkých doterajších verziách je použitá na implementáciu rozhrania RPC cez SSL.

Podľa popisu ale chybu zrejme nie je možné zneužiť len pri spustenom klientovi v štandardnej konfigurácii, v prípade protokolu pre platby musí užívateľ kliknúť na požiadavku na platbu a v prípade RPC cez SSL musí toto rozhranie explicitne povoliť, štandardne nie je povolené, a umožniť naňho pripojenie z Internetu.

V oznámení novej verzie na fóre Bitcointalk je ale odporúčaná okamžitá aktualizácia.

"Ak používate grafickú verziu 0.9.0 na ľubovoľnej platforme, musíte okamžite aktualizovať. Ak nemôžete, vypnite Bitcoin pokiaľ môžete. Ak ste kedykoľvek použili protokol pre platby (klikli ste na bitcoin: linku a uvideli zelený box v dialógu pre poslanie), mali by ste považovať svoju peňaženku za kompromitovanú. Opatrne si vytvorte úplne novú peňaženku a pošlite si všetky svoje Bitcoiny tam," uvádza sa v oznámení.

Vývojári zatiaľ nepotvrdili zistené aktívne zneužívanie zraniteľnosti a zároveň podľa oznámenia by realizácia takýchto útokov bolo komplikovaná a mali by byť limitované, detaily ale neuvádzajú. Odporúčanie na prenos všetkých Bitcoinov na nové adresy a do novej peňaženky je v súčasnosti tak skôr preventívne vzhľadom na často veľké prostriedky držané v peňaženkách.

Novú opravenú verziu Bitcoin Core 0.9.1 využívajúcu opravenú verziu OpenSSL 1.0.1g je možné sťahovať z bitcoin.org.


Najnovšie články:



Diskusia:

Dajú sa kradnúť bitcoiny Od: ............. | Pridané: 9.4.2014 11:08 Bez komentára/No comment. Odpovedať Známka: -8.0 Hodnotiť:

Re: Dajú sa kradnúť bitcoiny Od: ...... | Pridané: 10.4.2014 20:58 Naco komentujes ked nemas komentar? Odpovedať Hodnotiť:

trocha paranoie Od: Koumak | Pridané: 9.4.2014 11:13 Uz len pridat trosku paranoie by trebalo - napriklad co ak boli zanesene nove zadne dvierka pre federalov do upraveneho protokolu? Vytvorenim novej penazenky a presunutim bitcoinov sa ludia tak pekne ako na podnose ukazu ... Je to ako mat auto s RJ, ktore vie odoslat GPS suradnice a zavolat pomoc. Teoreticky je mozne lokalizovat aj mobil ucastnika v aute (len musime vediet kto v nom je), ale preco to robit zlozitejsie, ked sa da aj lahsie, ze? ;) Odpovedať Známka: 4.0 Hodnotiť:

Bitcoin Od: Jäurgen | Pridané: 9.4.2014 23:18 Toto ešte niekoho zaujíma? Odpovedať Hodnotiť:

Madarsky preklad Od: izak | Pridané: 10.4.2014 7:52 Neviem, ale tento clanok prekladal madar? Vsak niektore vety nemaju hlavu/patu. Odpovedať Hodnotiť:

Pridať komentár