Чи зробить біткойнерів вразливими до атак недолік Linux?

У пакеті Linux gnuTLS, додатковому компоненті сторонніх клієнтських додатків для Bitcoin і альткойнів, виявлено недолік безпеки в ключовій криптографічній програмі.

Бібліотека gnuTLS SSL включена в багато пакетів з відкритим вихідним кодом, наприклад у дистрибутивах Red Hat, Ubuntu і Debian Linux.

Спочатку виявлено під час аудиту gnuTLS для Red Hat, наслідки недоліку для розробників є широкомасштабними.

Пояснив Ars Technica у своєму звіті:

«[Ці] атаки обходять найбільш широко використовувану Технології для запобігання прослуховування в Інтернеті завдяки надзвичайно критичній вразливості в широко використовуваній бібліотеці криптографічного коду».

Помилка, пояснює джерело, є результатом команд у розділі коду gnuTLS, який обробляє перевірку сертифіката. Оцінки припускають, що помилка могла виникнути ще в 2005 році, хоча її було виявлено 4 березня.

Крім того, це може вплинути на понад 200 різних операційних систем і програм.

Помилка GnuTLS ДУЖЕ ПОГАНА: обійти SSL, TLS понад 200 різних ОС, програми, які покладаються на GnuTLS для операцій SSL і TLS <a href="http://t.co/Tj7nA9R0ih">http:// T.co/Tj7nA9R0ih</a>





— Team Cymru (@teamcymru) 5 березня 2014 року

Недолік, який містить помилки під час кількох викликів «goto cleanup», є потенційно небезпечним, оскільки фактично дозволяє комусь здійснити атаку «людина посередині», за допомогою якої можна використовувати зашифрований зв’язок між клієнтом і веб-сервером за допомогою спеціально створених сертифікатів.

У своїй оцінці Red Hat написав:

«Зловмисник може використати цю помилку, щоб створити спеціально створений сертифікат, який може бути прийнятий gnuTLS як дійсний для сайту, вибраного зловмисником».

Вплив на користувачів Bitcoin

Незважаючи на те тривога, яку підняв жучокУ ширшому технічному співтоваристві провідний розробник Bitcoin Джефф Гарзік сказав CoinDesk , що ця проблема навряд чи матиме суттєвий вплив на Bitcoin, хоча деякі з них вплинуть.

Гарзік пояснив:

«Помилка gnuTLS досить погана, але дуже мало хто використовує gnuTLS у Bitcoin спільноті. OpenSSL є стандартним».

Гарзік зазначив, що використання OpenSSL зменшує ризик розгалуження, який існує при використанні інших конкуруючих бібліотек для ключового програмного забезпечення, наприклад gnuTLS.

Він також заявив, що на проекти, які використовують OpenSSL, Mozilla NSS, Crypto++ або іншу Крипто , ця помилка не впливає. Проте будь-хто, хто скомпілював Bitcoind із цим пакетом SSL, мав би вразливу реалізацію, зазначив він.

Анкур Нандвані, розробник Бітмонет, припустив, що найбільше постраждають користувачі розміщених гаманців і користувачі бірж Bitcoin , але зазначив, що існують прості засоби захисту, щоб запобігти проблемам.

«В обох випадках зловмисник може пронюхати облікові дані користувача, коли користувачі намагаються увійти в свій обліковий запис. Щоб зменшити ймовірність злому онлайн-гаманців і облікових даних обміну, дуже важливо, щоб усі використовували двофакторну автентифікацію».

Нандвані сказав, що помилка є доказом того, що користувачі Bitcoin повинні зменшити свою залежність від онлайн-гаманців і бірж.

Реалізація виправлення

Команда gnuTLS має з моменту оголошення оновлення для усунення недоліку, користувачі та розробники, які потребують виправлення, тепер можуть оновити ONE Bitcoin та альткойн. Red Hat вказав, що користувачі gnuTLS повинні оновити свої пакунки, щоб усунути проблему, і вказав, що всі програми, пов’язані з бібліотекою gnuTLS, необхідно перезапустити, щоб відбулося оновлення.

Незважаючи на те, що помилки виправлено у версії 3.2.12, вони все ще залишаються серед громадськості, що викликало порівняння з іншими надзвичайними помилками в історії недоліків кодування.

Gnu має ще гірший недолік мережевої безпеки, ніж Apple... А з 2005 року... <a href="http://t.co/iiuxG10XdK">http:// T.co/iiuxG10XdK</a>





— JoergR (@JoergR) 5 березня 2014 року

Для повного пояснення помилки та того, як діяти, якщо ви її вплинули, натисніть тут.

Кредит зображення: Комп'ютерний код через Shutterstock