Author

Topic: Vulnerabilita' Openssl BITBOAT, Bitcoin-qt/core ... (Read 3032 times)

member
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
Più seri di così.....si muore... Cheesy Cheesy Roll Eyes Roll Eyes
hero member
Activity: 980
Merit: 1002
Faccio fatica a comprendere se scherzate o se siete seri.
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Il BTC non morirà mai... Grin Grin Grin
legendary
Activity: 3248
Merit: 1070
dai lo hanno fatto apposta per lanciare altra merda sui bitcoin, ecco perché è vecchio di due anni
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Ahahahahahah, sarebbe uno slogan molto costruttivo.... Grin Grin
hero member
Activity: 980
Merit: 1002
Certo, perché heartbleed è un bug di BTC.

"BTC! Solo il peggio!"

Nice slogan.
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Ormai si può dire che non siano più nemmeno sorprese.
C'è sempre da aspettarsi il peggio nel mondo BTC.
hero member
Activity: 980
Merit: 1002
Sono così sorpreso che ho bisogno di un po' di cardioaspirina, corro in farmacia...
pof
full member
Activity: 204
Merit: 100
In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.

Mi sbagliavo...

http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports
member
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
grazie a tutti per le risposte!

figurati... è un vero piacere

Infatti, lo scopo principale dei forum principalmente sarebbe quello di aiutare chi lo chiede, ed ovviamente parlare in generale  Wink Wink
legendary
Activity: 1400
Merit: 1000
grazie a tutti per le risposte!

figurati... è un vero piacere
hero member
Activity: 1666
Merit: 565
grazie a tutti per le risposte!
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Già, penso che multibit sia uno dei pochi wallet ad essere tra i più sicuri.
member
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.

Se ci fosse stato qualche problema con multibit, a quest'ora si sarebbero sentite le lamentele.
Ma la prudenza non è mai poca nel mondo delle Cryptocurrencies, quindi all'erta  Shocked Shocked
legendary
Activity: 1400
Merit: 1000
multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
multibit, invece, ha problemi?

Su multibit non è stato segnalato nulla, ormai quasi tutti i siti in pericolo sono stati aggiornati cone le nuove patch di sicurezza, e quindi c'è poco da preoccuparsi, ma ormai si sa che il prossimo bug può essere dietro l'angolo, sempre se non c'è ne sia già un altro che scopriremo tra altri 2 anni  Roll Eyes Roll Eyes Roll Eyes
hero member
Activity: 1666
Merit: 565
multibit, invece, ha problemi?
legendary
Activity: 1400
Merit: 1000
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Il sistema è stato vulnerabile per almeno 2 anni, senza che il grande pubblico lo sapesse (chi conosceva il bug, in pratica era il padrone di Internet) e adesso è più sicuro in quanto il bug è stato finalmente reso noto.

Circa il daemon bitcoin-qt per un utente normalissimo, protetto da NAT e firewall, che apre il proprio wallet solo per tenerci dentro i propri BTC o per fare operazioni di pagamento, non deve temere nulla, in quanto il bug affligge solo coloro che aprono le porte TCP del proprio firewall, all'esterno, e abilitano la funzionalità di server nel proprio wallet bitcoin-qt (o altcoin-qt) per fare mining (grossissimi datacenter), che peraltro immagino avranno già provveduto a ricompilare i sorgenti con gli opportuni bug fix.

Quindi non vedo motivo di preoccupazioni, e anzi, adesso il sistema è certamente più sicuro di prima, in quanto i bug fix sono stati rilasciati
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

A questo punto conviene più che altro cambiarle anche ogni 2 settimane, visto quello che può accadere.
Ci sono sempre nuove falle che si scoprono in un sistema, e fatte le falle ci sono anche gli aggiornamenti di sicurezza.
E' sempre stato così.
hero member
Activity: 658
Merit: 502

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  Shocked Smiley


Se parliamo di linux devi aggiornare la tua macchina alla versione 1.0.1g di openssl e ricompilare i wallets. I dev rilasceranno solo i precompilati (windows e qualcuno linux), nei sorgenti non hanno nulla da modificare.



FaSan
sr. member
Activity: 351
Merit: 250
Source of knowledge is experience. A.E.

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  Shocked Smiley
legendary
Activity: 1022
Merit: 1000
Per quanto riguarda bitboat webfaction ha (finalmente) risolto il problema..
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
chiaramente :-) hai detto giusto pof
pof
full member
Activity: 204
Merit: 100
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.
legendary
Activity: 3696
Merit: 4343
The hacker spirit breaks any spell
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi
pof
full member
Activity: 204
Merit: 100
Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?

Mtgox è fallito probabilmente per gravi mancanze nella gestione da parte dei proprietari, forse anche fraudolentemente.
Bitstamp? A cosa ti riferisci?
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?
pof
full member
Activity: 204
Merit: 100
In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  Grin

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...  



2 Anni?  Huh Huh
Ecco spiegato il motivo dei molteplici attacchi hacker da 1 anno a questa parte.
legendary
Activity: 1400
Merit: 1000
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  Grin

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...  

member
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  Grin

Sarebbe il bug delle connessioni SSL ai siti con certificato di protezione.
Per sapere se un sito ha tale protezione, basta leggere nella barra degli indirizzi del sito se c'è la scritta "https://".
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Non sottovalutate nemmeno CoinBase, che ogni tanto di sera tardi mi arrivano SMS con i codici per la TFA, io in quell'exchange non ho proprio nulla, però è fastidioso vedere che qualcuno cerca di entrarci.
full member
Activity: 165
Merit: 100
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  Grin
legendary
Activity: 3808
Merit: 2044
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci

la TFA non aiuta granché se c'è in atto un MITM reso possibile dalla sottrazione delle chiavi private
hero member
Activity: 500
Merit: 500
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci
newbie
Activity: 32
Merit: 0
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/
legendary
Activity: 1022
Merit: 1000
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Direi che questa é un'approssimazione eccessiva..
full member
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.
hero member
Activity: 658
Merit: 502
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/
Qui' l'annuncio
https://bitcointalksearch.org/topic/bitcoin-core-bitcoin-qt-091-released-update-required-562400
non ho capito se le versioni 8.x sono vulnerabili ...



Sono tutte vulnerabili, alt-coin comprese.



FaSan
legendary
Activity: 2506
Merit: 1120
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/
Qui' l'annuncio
https://bitcointalksearch.org/topic/bitcoin-core-bitcoin-qt-091-released-update-required-562400
non ho capito se le versioni 8.x sono vulnerabili ...
legendary
Activity: 3276
Merit: 2898
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/
legendary
Activity: 1022
Merit: 1000
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server Wink


se e' noto che fastidio ti da' ?

oppure fallo spostare, come usa qua.


I thread si spostano quando c'e' un errore da parte di chi lo apre, mi sembra strano che un utente non proprio nuovo compia un'azione del genere.. in ogni caso non prenderla sul personale, ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni Wink
legendary
Activity: 3276
Merit: 2898
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server Wink


se e' noto che fastidio ti da' ?

oppure fallo spostare e/o cancellare, come usa qua.
legendary
Activity: 1022
Merit: 1000
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base dando per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server Wink


ps: ho segnalato comunque il problema a webfaction e mi han risposto che sono a conoscenza della cosa e stanno provvedendo a sistemare


Ah, grazie comunque per la segnalazione  Wink
legendary
Activity: 3276
Merit: 2898
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

--------------------------------------------------------------------------------------

 bitboat.it IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
 00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
 00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
 00000020  55 42 4d 41 52 49 4e 45  5d ba 18 82 14 0c 60 9a  |UBMARINE].....`.|
 00000030  fb 95 53 ee 07 34 b0 07  b9 3f da 1c 98 d6 cf 66  |..S..4...?.....f|
 00000040  65 cb f2 75 db 00 f4 7f  eb 09 e5 8f e9 fb cb 96  |e..u............|
 00000050  8b 06 cd 5d 31 ba ed 6d  50 05 6a 8a d1 4e d9 a0  |...]1..mP.j..N..|
 00000060  9c 5e 67 15 c4 9a 7e 7e  3e 1b 9f 1a 63 0a bb d1  |.^g...~~>...c...|
 00000070  f9 ab fe c8 22 08 b7 35  fd e1 04 e2 c7 42 7b e3  |...."..5.....B{.|
 00000080  0b 0d 76 5d 86 79 d2 d6  5d f7 0f b0              |..v].y..]...|
}

Please take immediate action!

http://filippo.io/Heartbleed/#bitboat.it

---------------------
Jump to: