Bash Bug je zaskrbljujoča, vendar je majhna grožnja storitvam Bitcoin | SI.concellodemelon.org

Bash Bug je zaskrbljujoča, vendar je majhna grožnja storitvam Bitcoin

Bash Bug je zaskrbljujoča, vendar je majhna grožnja storitvam Bitcoin

Bilo je razširjena varnostna vprašanja včeraj po odkritju starega napako, ki bi lahko vplivali na spletne strežnike in internetom povezane naprave - vendar mnogi v industriji trdijo, da ne predstavlja neposredne nevarnosti za Bitcoin storitev.

Ranljivost, poimenovan bodisi "Bash Bug" ali "Shellshock Bug", bi omogočilo zlonamerni dostop do operacijskega sistema naprave UNIX je prek lupine v ukazni vrstici - najbolj pogosto uporablja, od katerih je bash.

Sistemi, ki temeljijo na UNIX vključujejo MacOS, različice za Linux (namiznih in strežniških), priljubljene mobilne platforme in vgrajenih sistemov za druge naprave, ki komunicirajo na spletu.

CNETreportedthat varnostni strokovnjak Robert Graham, describedit kot "kot velik posel kot Heartbleed" - OpenSSL razpoke odkrili v aprilu - glede na "velik odstotek programske opreme, ki komunicira z lupino".

"Over-hyped"

Jeff Garzik, Bitcoin jedro razvijalec in zdaj višji inženir pri BitPay, pa je dejal, da ni jasno in prisotna nevarnost za Bitcoin uporabnikom.

"Napoved: bash bug NE večja grožnja kot heartbleed," je objavljen na Reddit nit.

Garzik CoinDesk je povedal, da je "večina spletnih storitev, ki uporabljajo Bitcoin so veliko bolj varna kot povprečnega domačega usmerjevalnika", medtem ko je na novo odkril napako so imeli možnost, da se slabo.

Dodal je, da bi Bash Bug vplivajo večinoma niso Bitcoin mesta, in je bila prekomerno hyped.

"To zahteva posebno vrsto pogojev mogoče izkoriščati, in doma usmerjevalniki in starodavne spletne strežnike Apache so že švicarski varnosti sir nekako. Mislim, da je praktično vpliv bo veliko manj kot mainstream medijev zaradi česar je, da je."

Bitcoin cilj?

V tej fazi ni nobenih poročil o koli izkoriščati v Bash Bug vpliva na vse storitve, povezane z Bitcoin. Torej, zakaj skrb sploh?

Bitcoin storitve bi lahko bila bolj privlačna tarča za hekerje in tatovi od bolj uveljavljenih, ki temeljijo na fiat storitve, kot so spletno bančništvo in PayPal.

Obstajata dva zgodovinske razloge za to: slaba izvedba varnost na neki zgodnji fazi spletu Bitcoin storitev, in nepripravljenost oblasti, naj raziščejo ali kaznovanje valutnih zločinov digitalne, če sumijo, droge ali pranja denarja, so s tem povezani.

Zato je najbolje, da se vsaj zavedajo potencialnih problemov razvijalcev in storitev se lahko srečujejo.

Pogled eno zamenjavo v

Yan Chuan ali "YC ', CTO izmenjavo BitBays.com, je dejal bug je" relativno enostavno hekerji za uporabo ", in priporoča vsem uporabnikom obliž, varnostno kopiranje dnevnike in preverite sisteme, da vidim, če bi prišlo do kakršne koli napad.

Ker je bug dovoljeno zlonamerni hekerji poln dostop do operacijskega sistema, ni bilo možnosti za kakršno koli napad, krajo Bitcoin denarnice namestitvijo keyloggers in skrite.

YC dejal Bitcoin sama ne bi bila prizadeta zaradi svoje decentralizirane strukture.

"Vendar pa, kot centralizirano ponudnik menjalnih ali denarnico storitev je mogoče, da bi ga bash hrošča prizadeti. Zaradi prisotnosti te ranljivosti, odprt SSH, HTTP, FTP in druge aplikacije strežniki so vsi v nevarnosti, da dostopa na daljavo in heker pod nadzorom. "

Temelji UNIX, ker Windows ne, svojim uporabnikom namiznih ne bi sami prizadeti. Platforma BitBays "je pripravljen, YC nadaljeval, vendar zadevnim uporabnikom druge platforme bi rad vprašal svoje izmenjave ali denarnico storitev o položaju, če niste prepričani.

Počeno lupino

Bash Bug ranljivost izhaja iz resnih varnostnih pomanjkljivost, ki obstaja v bash (Bourne Again Shell) ukaz "env". To vpliva na lokalno lupino, kot tudi SSH, FTP, HTTP, in drugih pomembnih storitev.

YC pojasnila, kako bi bilo mogoče napako izkoristiti, pravi, da je veliko spletnih strežnikov poslati uporabnikovo informacije zahtevo HTTP (REMOTE_HOST), REQUEST_METHOD, poizvedbe STRING, itd), shranjena v spremenljivki okolja, do hrbtenica spletnih okvirnih ali skripte CGI.

Če te informacije vključujejo zlonamerne navodila, naslednjič, ko se strežnik izvaja bash, da bo izvajanje zlonamerne navodila. Tako je strežnik ogrožena.

Trenutno priljubljena Apache + PHP in nginx + WSGI okviri so ranljivi.

Ni hitra rešitev

Po Red Hat, ki je izdala svoj varnostni svetovanja, številni programi dostop do bash lupine v ozadju. Več distribucije Linuxa so že na voljo obliži, vključno z Red Hat Enterprise Linux, Debian, Ubuntu in CentOS.

Hrošč, ki je dejansko obstajal že več kot 25 let pred objavo današnje novice, lahko vplivajo na milijone naprav in pusti veliko starejših, ki potrebujejo zaplata. To je samo število naprav, ki potrebujejo krpanje, namesto kompleksnosti pomanjkljivost je, ali je znano, izkorišča, da ima nekatere zainteresirane strokovnjake.

SecurityJeff Garzik

Sorodne novice


Post Novice

Bitcoin na Filipinih: popolna kriptocurrency nevihta

Post Novice

Avstralci zdaj lahko kupijo pivo v bitkoinu v pivnici Sydney

Post Novice

Guverner Bank of Japan: Bitcoin je nezanesljiv za valuto

Post Novice

Sprejetje projekta Node je namenjeno izboljšanju varnosti omrežja Bitcoin

Post Novice

Oracles Entrance: Database Giant razkriva strategijo blokiranja podjetij

Post Novice

Bitcoin nastopil na prvi finančni konferenci Rakutena

Post Novice

Bank of England: Bitcoin bi lahko prekinil monetarno politiko Združenega kraljestva

Post Novice

Bank of Tokyo namerava uporabiti Blockchain za pogodbeno upravljanje

Post Novice

10 briljantnih bitkoinskih mest

Post Novice

Anonimni iPhone taksist in bitkoin tri pomembne črke

Post Novice

Vermont bi lahko zbral davke v Crypto na podlagi predlaganega zakona

Post Novice

Bank of America: Bitcoin ima jasen potencial za rast