Vulnerabilita' Openssl BITBOAT, Bitcoin-qt/core ... - page 2.

neoxxx

sr. member

Activity: 351

Merit: 250

Source of knowledge is experience. A.E.

OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2. ==================================================

...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ? Shocked

bertani

legendary

Activity: 1022

Merit: 1000

Per quanto riguarda bitboat webfaction ha (finalmente) risolto il problema..

babo

legendary

Activity: 3696

Merit: 4343

The hacker spirit breaks any spell

chiaramente :-) hai detto giusto pof

pof

full member

Activity: 204

Merit: 100

Quote from: babo on April 09, 2014, 09:07:54 AM

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

babo

legendary

Activity: 3696

Merit: 4343

The hacker spirit breaks any spell

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

pof

full member

Activity: 204

Merit: 100

Quote from: jubehat on April 09, 2014, 08:54:48 AM

Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?

Mtgox è fallito probabilmente per gravi mancanze nella gestione da parte dei proprietari, forse anche fraudolentemente.
Bitstamp? A cosa ti riferisci?

jubehat

full member

Activity: 126

Merit: 100

Nella moltitudine dei consiglieri, c'è la riuscita

Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?

pof

full member

Activity: 204

Merit: 100

In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.

jubehat

full member

Activity: 126

Merit: 100

Nella moltitudine dei consiglieri, c'è la riuscita

Quote from: corsaro on April 09, 2014, 06:07:48 AM

Quote from: Cerbix on April 09, 2014, 03:41:12 AM

Quote from: bertani on April 08, 2014, 11:16:47 AM

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? Grin

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...

2 Anni?

Ecco spiegato il motivo dei molteplici attacchi hacker da 1 anno a questa parte.

corsaro

legendary

Activity: 1400

Merit: 1000

Quote from: Cerbix on April 09, 2014, 03:41:12 AM

Quote from: bertani on April 08, 2014, 11:16:47 AM

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? Grin

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...

theend1991

member

Activity: 84

Merit: 10

Comprate i vostri BTC, aiuto anche per i Newbie :)

Quote from: Cerbix on April 09, 2014, 03:41:12 AM

Quote from: bertani on April 08, 2014, 11:16:47 AM

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? Grin

Sarebbe il bug delle connessioni SSL ai siti con certificato di protezione.
Per sapere se un sito ha tale protezione, basta leggere nella barra degli indirizzi del sito se c'è la scritta "https://".

jubehat

full member

Activity: 126

Merit: 100

Nella moltitudine dei consiglieri, c'è la riuscita

Non sottovalutate nemmeno CoinBase, che ogni tanto di sera tardi mi arrivano SMS con i codici per la TFA, io in quell'exchange non ho proprio nulla, però è fastidioso vedere che qualcuno cerca di entrarci.

Cerbix

full member

Activity: 165

Merit: 100

Quote from: bertani on April 08, 2014, 11:16:47 AM

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? Grin

jack0m

legendary

Activity: 3808

Merit: 2044

Quote from: paci on April 09, 2014, 01:35:20 AM

Quote from: geno on April 09, 2014, 01:06:23 AM

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci

la TFA non aiuta granché se c'è in atto un MITM reso possibile dalla sottrazione delle chiavi private

paci

hero member

Activity: 500

Merit: 500

Quote from: geno on April 09, 2014, 01:06:23 AM

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci

geno

newbie

Activity: 32

Merit: 0

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

bertani

legendary

Activity: 1022

Merit: 1000

Quote from: jubehat on April 08, 2014, 09:44:58 PM

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Direi che questa é un'approssimazione eccessiva..

jubehat

full member

Activity: 126

Merit: 100

Nella moltitudine dei consiglieri, c'è la riuscita

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

FaSan

hero member

Activity: 658

Merit: 502

Quote from: picchio on April 08, 2014, 06:05:30 PM

Quote from: gbianchi on April 08, 2014, 05:20:11 PM

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

Qui' l'annuncio
https://bitcointalksearch.org/topic/bitcoin-core-bitcoin-qt-091-released-update-required-562400
non ho capito se le versioni 8.x sono vulnerabili ...

Sono tutte vulnerabili, alt-coin comprese.

FaSan

picchio

legendary

Activity: 2506

Merit: 1120

Quote from: gbianchi on April 08, 2014, 05:20:11 PM

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

Qui' l'annuncio
https://bitcointalksearch.org/topic/bitcoin-core-bitcoin-qt-091-released-update-required-562400
non ho capito se le versioni 8.x sono vulnerabili ...

Topic: Vulnerabilita' Openssl BITBOAT, Bitcoin-qt/core ... - page 2. (Read 3031 times)