Una falla di Linux renderà gli utenti di Bitcoin vulnerabili agli attacchi?

È stata individuata una falla di sicurezza in un importante programma crittografico nel pacchetto Linux gnuTLS, un componente opzionale per applicazioni client di terze parti Bitcoin e altcoin.

La libreria SSL gnuTLS è inclusa in molti pacchetti open source come quelli delle distribuzioni Linux Red Hat, Ubuntu e Debian.

Originariamente scopertodurante un auditdi gnuTLS per Red Hat, gli effetti della falla hanno una vasta portata per gli sviluppatori.

SpiegatoTecnica dell'artenel suo rapporto:

"[Gli] attacchi aggirano la Tecnologie più ampiamente utilizzata per impedire le intercettazioni su Internet, grazie a una vulnerabilità estremamente critica in una libreria di codici crittografici ampiamente utilizzata."

Il bug, spiega la fonte, è il risultato di comandi in una sezione del codice gnuTLS che gestisce la verifica del certificato. Le stime suggeriscono che l'errore potrebbe essere stato introdotto già nel 2005, anche se è stato scopertoil 4 marzo.

Inoltre, potrebbero essere interessati più di 200 sistemi operativi e app diversi.

Bug GnuTLS VERAMENTE GRAVE: bypassa SSL, TLS su oltre 200 sistemi operativi diversi, app che si basano su GnuTLS per le operazioni SSL e TLS<a href="http://t.co/Tj7nA9R0ih">T</a>





—Team Cymru (@teamcymru) 5 marzo 2014

La falla, che comporta errori con diverse chiamate "goto cleanup", è potenzialmente pericolosa in quanto consente di fatto a qualcuno di eseguire un "attacco man in the middle", mediante il quale le comunicazioni crittografate tra un client e il server web possono essere sfruttate con certificati appositamente creati.

Red Hat ha scritto nella sua valutazione:

"Un aggressore potrebbe sfruttare questa falla per creare un certificato appositamente predisposto che potrebbe essere accettato da gnuTLS come valido per un sito scelto dall'aggressore."

Impatto sugli utenti Bitcoin

Nonostantel'allarme che ha lanciato il bugnella più ampia comunità tecnologica, Jeff Garzik, sviluppatore capo Bitcoin , ha dichiarato a CoinDesk che è improbabile che il problema abbia un impatto sostanziale su Bitcoin, anche se alcuni ne saranno interessati.

Garzik ha spiegato:

"Il bug di gnuTLS è piuttosto grave, ma sono davvero pochi quelli che usano gnuTLS nella comunità Bitcoin . OpenSSL è standard."

Garzik ha affermato che l'uso di OpenSSL attenua il rischio di fork che si presenta quando si utilizzano altre librerie concorrenti per software chiave, come gnuTLS.

Ha anche affermato che i progetti che utilizzano OpenSSL, Mozilla NSS, Crypto++ o un'altra libreria Cripto non sono interessati dal bug. Chiunque abbia compilato Bitcoind su questo pacchetto SSL, tuttavia, avrebbe un'implementazione vulnerabile, ha osservato.

Ankur Nandwani, uno sviluppatore presso Bitmoneta, ha suggerito che gli utenti di portafogli ospitati e gli utenti di exchange Bitcoin sarebbero i più colpiti, ma ha affermato che esistono semplici misure di protezione per prevenire i problemi.

"In entrambi i casi, un aggressore può intercettare le credenziali degli utenti, quando questi cercano di accedere al loro account. Per ridurre la probabilità che i portafogli online e le credenziali di scambio vengano compromessi, è davvero importante che tutti utilizzino l'autenticazione a due fattori."

Nandwani ha affermato che il bug è la prova che gli utenti Bitcoin dovrebbero ridurre la loro dipendenza dai portafogli elettronici e dagli exchange.

Implementazione di una correzione

Il team gnuTLS hada quando è stato annunciato un aggiornamento per tenere conto del difetto, ONE gli utenti e gli sviluppatori Bitcoin e altcoin che hanno bisogno della correzione possono ora aggiornare. Red Hat ha indicato che gli utenti gnuTLS dovrebbero aggiornare i loro pacchetti per correggere il problema e ha indicato che tutte le applicazioni collegate alla libreria gnuTLS devono essere riavviate affinché l'aggiornamento abbia luogo.

Sebbene gli errori siano stati risolti nella versione 3.2.12, persistono ancora tra il pubblico, il che ha portato a paragoni con altri errori estremi nella storia dei difetti di codifica.

Gnu ha una falla nella sicurezza di rete ancora peggiore di quella di Apple... E dal 2005...<a href="http://t.co/iiuxG10XdK">T</a>

— JoergR (@JoergR)5 marzo 2014

Per una spiegazione completa dell'errore e su come procedere se sei interessato,clicca qui.

Credito immagine:Codice informaticotramite Shutterstock