Attenzione al download di core 0.13

[gbianchi]

Ho letto questo, riporto per conoscenza,
magari e' troppo paranoico, ma non si sa mai !

https://bitcoin.org/en/alert/2016-08-17-binary-safety

[HostFat]

Certo bisogna fare sempre attenzione, ma c'è anche la possibilità che sia FUD per evitare che gli utenti installino client alternativi, senza andare a scrivere il loro nome

[giammangiato]

Certo bisogna fare sempre attenzione, ma c'è anche la possibilità che sia FUD per evitare che gli utenti installino client alternativi, senza andare a scrivere il loro nome

in che senso? cioè i client alternativi fanno FUD? non ho capito

[HostFat]

No, Theymos "forse" sta facendo FUD per spingere gli utenti a non installare nient'altro che Bitcoin Core.

[Jack Liver]

sempre più contento di aver preso il trezor mesi fa ormai lo usano anche i grossi exchange 

[jack0m]

Ma in pratica, in cosa consisterebbero gli attacchi? Per modificare il binario servirebbe o un attacco MITM durante il download, oppure bucare direttamente i server da cui viene scaricato. Non mi sembra banale nessuno dei due casi.

[gbianchi]

Ma in pratica, in cosa consisterebbero gli attacchi? Per modificare il binario servirebbe o un attacco MITM durante il download, oppure bucare direttamente i server da cui viene scaricato. Non mi sembra banale nessuno dei due casi.

te ne dico due che ho visto con i miei occhi (anche se per praticarli
devono entrare in gioco entita' potenti, non e' certo il ragazzino nella cameretta)

1)  dns cache poisoning

in pratica invalidi le cache di alcuni server dns "primari",
e tu utente digiti "www.bitcoin.org", il tuo dns chiede ad uno di questi server "bucati" e
lo risolve con un ip di un server  malevolo, che e' una fotocopia del vero bitcoin.org (quindi per te
apparentemente e' tutto normale) invece sei in un altro sito
che ti sforna ogni genere di schifezza

2) falsi annunci di AS su BGP (ancora piu' a basso livello, complicato e sofisticato)

in pratica annunci a livello di bgp4 degli AS "fasulli" e deragli il traffico di intere classi IP
dove vuoi.

Sono cose complesse e sofisticate, ma fattibili da organizzazioni potenti, l'obiettivo e' comunque
portarti  su un server "fotocopia" di bitcoin.org, ma contenente software craccati.

[jack0m]

Ma in pratica, in cosa consisterebbero gli attacchi? Per modificare il binario servirebbe o un attacco MITM durante il download, oppure bucare direttamente i server da cui viene scaricato. Non mi sembra banale nessuno dei due casi.

te ne dico due che ho visto con i miei occhi (anche se per praticarli
devono entrare in gioco entita' potenti, non e' certo il ragazzino nella cameretta)

1)  dns cache poisoning

in pratica invalidi le cache di alcuni server dns "primari",
e tu utente digiti "www.bitcoin.org", il tuo dns chiede ad uno di questi server "bucati" e
lo risolve con un ip di un server  malevolo, che e' una fotocopia del vero bitcoin.org (quindi per te
apparentemente e' tutto normale) invece sei in un altro sito
che ti sforna ogni genere di schifezza

2) falsi annunci di AS su BGP (ancora piu' a basso livello, complicato e sofisticato)

in pratica annunci a livello di bgp4 degli AS "fasulli" e deragli il traffico di intere classi IP
dove vuoi.

Sono cose complesse e sofisticate, ma fattibili da organizzazioni potenti, l'obiettivo e' comunque
portarti  su un server "fotocopia" di bitcoin.org, ma contenente software craccati.

bè certo, chi è in grado di fare qualcosa del genere è in grado di fare qualunque cosa, o quasi. Però se al sito clonato si accede via https ci sarebbe in più la protezione data dal certificato. A meno che non siano così potenti da riuscire a rubare anche il certificato del server originale, e allora in quel caso ciaone...

[gbianchi]

e comunque il suggerimento e' valido a prescindere:

prima di installare un software, verificare sempre che sia
autentico e non una copia hackerata....

credo dovrebbe diventare una sorta di "abitudine automatica"
e non solo per i client bitcoin!

[giammangiato]

azz a sto punto siamo
vuol dire che il BTC conta qualcosa allora?

[jack0m]

http://www.pcworld.com/article/3106180/security/use-the-internet-this-linux-flaw-could-open-you-up-to-attack.html#tk.rss_all

Tanto per ribadire i rischi di connessioni non criptate:

a remote blind attacker can track users’ online activity, terminate connections with others and inject false material into their communications

[HostFat]

e comunque il suggerimento e' valido a prescindere:

esatto

https://www.youtube.com/watch?v=sQ8l07a4d_0

[giammangiato]

Pochi giorni fa il corriere e la gazzetta, sono capitolati con un trucco molto vecchio. Quindi si, sempre vigili.

[gbianchi]

Hanno appena sfornato il definitivo di bitcoin core 0.13.0

Contiene (anche se non ancora attivo) il codice per la segwit.
Se ho capito bene il progetto dovrebbe essere attivare la segwit nella 0.13.1

Se fate il download mi raccomando di ricordarvi di verificare:

The hashes of Bitcoin Core binaries are cryptographically signed with this key https://bitcoin.org/laanwj-releases.asc

We strongly recommend that you download that key, which should have a fingerprint of 01EA5486DE18A882D4C2684590C8019E36C2E964. You should securely verify the signature and hashes before running any Bitcoin Core binaries. This is the safest and most secure way of being confident that the binaries you’re running are the same ones created by the Core Developers.

[Micio]

Ma in pratica, in cosa consisterebbero gli attacchi? Per modificare il binario servirebbe o un attacco MITM durante il download, oppure bucare direttamente i server da cui viene scaricato. Non mi sembra banale nessuno dei due casi.

te ne dico due che ho visto con i miei occhi (anche se per praticarli
devono entrare in gioco entita' potenti, non e' certo il ragazzino nella cameretta)

1)  dns cache poisoning

in pratica invalidi le cache di alcuni server dns "primari",
e tu utente digiti "www.bitcoin.org", il tuo dns chiede ad uno di questi server "bucati" e
lo risolve con un ip di un server  malevolo, che e' una fotocopia del vero bitcoin.org (quindi per te
apparentemente e' tutto normale) invece sei in un altro sito
che ti sforna ogni genere di schifezza

2) falsi annunci di AS su BGP (ancora piu' a basso livello, complicato e sofisticato)

in pratica annunci a livello di bgp4 degli AS "fasulli" e deragli il traffico di intere classi IP
dove vuoi.

Sono cose complesse e sofisticate, ma fattibili da organizzazioni potenti, l'obiettivo e' comunque
portarti  su un server "fotocopia" di bitcoin.org, ma contenente software craccati.

Posso garantire che il primo metodo che ha descritto il nostro gbianchi è perfettamente applicabile e... facile. L'unico metodo sicuro per verificare un sito legittimo è controllare il certificato SSL, "La banda verde prima dell'url", se è un EV-SSL con il nome della società non ci sono rischi.