Bitcoin Forum

Wie im englischen Forum schon geschrieben wurde (https://bitcointalk.org/index.php?topic=562400.0), enthält die Version 0.9.0 von Bitcoin Core eine Sicherheitslücke, die durch die verwendete OpenSSL-Bibliothek ausgelöst wird. Bis jetzt konnte ich speziell zu Bitcoin noch nichts deutsches dazu finden, und auch auf englisch gibt es momentan bis auf die offizielle Ankündigung (https://bitcoin.org/en/release/v0.9.1) und das Thema hier im Forum nur kaum etwas zu finden. Daher habe ich soeben die bestehenden Informationen aus allen Quellen in diesem deutschen Artikel zusammengefasst: kritische Sicherheitslücke in Bitcoin Core Version 0.9.0 (http://bitcoin-einfach.de/news/kritische-sicherheitsluecke-in-bitcoin-core-version-0-9-0)

Da die Sicherheitslücke in der OpenSSL-Bibliothek besteht, und diese neben Bitcoin auch in vielen anderen Programmen enthalten ist, sind möglicherweise auch noch andere Clients sowie Altcoins davon betroffen. Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.

Es empfiehlt sich, möglichst schnell auf Version 0.9.1 upzugraden (https://bitcoin.org/de/download), in der die Sicherheitslücke geschlossen wurde.

Die ist wohl frisch eingebaut worden,


und dann wäre da noch der Hinweis http://www.heise.de/security/news/foren/S-TLS-Entwickler-ist-Co-Autor-der-NSA-Hintertuer-des-Zufallszahlengenerator-von-RSA/forum-277761/msg-25049951/read/


Zusammenfassend kann man sagen, das Computer halt nix sicher sind. Aber solange man dem Computer kein Geld anvertraut, dürfte nichts passieren können, ausser das jemand deine eMails da mitspitzelt. Willkommen im Überwachungstaat!

edit: wenn da was abgeschnorchelt wurde, dann war's lautlos (ohne Sauggeräusche) aber wenn dann plötzlich die Coins alle weg sind, dann weis man wenigstens Bescheid.

Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.

Generell kann man den Entwicklern auch im OpenSource-Bereich nicht einfach so vertrauen. Denn nur wenige haben bei komplexer Software die Kompetenz, Hintertüren zu erkennen.

Deshalb gibt es mir auch ein ungutes Gefühl, dass unser ehemalige Hauptentwickler zu Gast bei einer Drei-Buchstaben-Organisation war.

Diese ganzen negativ Sachen nerven so langsam. Zum Glück bin ich BTC blank. Es nervt nur noch und macht kein Spaß mehr, wenn das so weiter geht ist das Fünkchen Vertrauen das die Leute noch haben bald ganz weg  :-\

Satoshi?

Wobei der Verantwortliche in diesem Fall (inzwischen) in S bei einer Organisation mit einem schützenswertem Buchstaben sitzt, die einen legendären Ruf bezüglich gescheiterter Grossprojekte und mangelnder Kryptokompetenz hat.  ;D

Wieso sollte es?

Library up- oder downgraden auf die Hintertürchenfreie Version, und mal die Beträge aus der alten Wallet in eine neue Wallet schieben. Die alten Adressen kann man ja immer noch zum Empfang verwenden, oder lässt die halt erstmal leer liegen.
Dann halt neue Wallet Adressen ins Impressum etc. pp.

Denn bisher ist noch immer mehr Schaden durch ungerechtfertigtes Vertrauen in Handelspartner entstanden, als durch solche kurzzeitigen technischen Lücken.

So wie es aussieht sind nur die Nutzer betroffen, die das Payment Protocol oder einen öffentlichen RPCSSL Port am bitcoin-core betrieben haben. Das dürften wenige sein. Umbuchen schadet trotzdem nicht, sicher ist sicher. Ich vermute mal bei denen die jetzt auf die neue Version gegangen sind, kommt es zu keinem Verlust, selbst, wenn die Umbuchung verpennt wird.

Die hauptsächliche Gefahr geht von den umgebenden Diensten und Geräten aus. Wenn, dann erwarte ich dort Probleme. Glücklicherweise läuft auf den meisten älteren Geräten auch eine ältere OpenSSL Version. Naja, das Heartbeat Design mit Payload wurde ja schon früher kritisiert. Wie man sieht zurecht. Ein schlechtes Design (Payload im Heartbeat ist unnötige Komplexität) gepaart mit einer schlechten Umsetzung führt zu solchen Problemen.

Laut gmaxwell ist es relativ unwahrscheinlich, dass jemand die Lücke effektiv nutzen konnte:
https://bitcointalk.org/index.php?topic=563048.msg6150036#msg6150036

Gavin


Du sprachst vom "lautlosen Abschnorcheln" (übrigens Gratulation für diese wirklich gelungene Wortschöpfung ;D). Klar, es ist unwahrscheinlich, aber besser einmal zuviel paranoid als Coins weg. (Die Frage ist ja, ob alle User die 0.9.0 installiert hatten auch ihre Coins verschieben.)

Für SSL/TLS verschlüsselte Verbindungen gibt es eine leichtgewichtige alternative zu OpenSSL, nämlich PolarSSL (https://polarssl.org/). Im Unterschied zu OpenSSL war PolarSSl nicht von der Heartbleed-Lücke betroffen (https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-01). PolarSSL wird unter Anderem in OpenVPN sowie im Hiawatha Webserver (https://www.hiawatha-webserver.org/weblog/66) eingesetzt, eventuell wäre es ja möglich PolarSSL auch in Bitcoin anstelle von OpenSSL zu verwenden.

"besser einmal zuviel paranoid als Coins weg" ist schon richtig, nahezu unvermeidlich. Aber schade um die "Bitcoin days destroyed" in dem Zusammenhang. Die Umlaufgeschwindigkeit war ja stets eine interessante Größe zur Betrachtung der Bitcoin Wirtschaft.

https://en.bitcoin.it/wiki/Bitcoin_Days_Destroyed (https://en.bitcoin.it/wiki/Bitcoin_Days_Destroyed)