Bitcoin-Einfach (OP)
Newbie
 Offline
Activity: 47
Merit: 0
|
 |
April 09, 2014, 04:33:29 AM
Last edit: April 09, 2014, 05:53:46 AM by Bitcoin-Einfach |
|
Wie im englischen Forum schon geschrieben wurde, enthält die Version 0.9.0 von Bitcoin Core eine Sicherheitslücke, die durch die verwendete OpenSSL-Bibliothek ausgelöst wird. Bis jetzt konnte ich speziell zu Bitcoin noch nichts deutsches dazu finden, und auch auf englisch gibt es momentan bis auf die offizielle Ankündigung und das Thema hier im Forum nur kaum etwas zu finden. Daher habe ich soeben die bestehenden Informationen aus allen Quellen in diesem deutschen Artikel zusammengefasst: kritische Sicherheitslücke in Bitcoin Core Version 0.9.0Da die Sicherheitslücke in der OpenSSL-Bibliothek besteht, und diese neben Bitcoin auch in vielen anderen Programmen enthalten ist, sind möglicherweise auch noch andere Clients sowie Altcoins davon betroffen. Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden. Es empfiehlt sich, möglichst schnell auf Version 0.9.1 upzugraden, in der die Sicherheitslücke geschlossen wurde. |
|
|
|
|
|
|
|
|
|
|
|
It is a common myth that Bitcoin is ruled by a majority of miners. This is not true. Bitcoin miners "vote" on the ordering of transactions, but that's all they do. They can't vote to change the network rules.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
numismatist
Legendary
Offline
Activity: 1245
Merit: 1004
|
 |
April 09, 2014, 04:58:47 AM |
|
Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.
Die ist wohl frisch eingebaut worden, Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen. und dann wäre da noch der Hinweis http://www.heise.de/security/news/foren/S-TLS-Entwickler-ist-Co-Autor-der-NSA-Hintertuer-des-Zufallszahlengenerator-von-RSA/forum-277761/msg-25049951/read/Zusammenfassend kann man sagen, das Computer halt nix sicher sind. Aber solange man dem Computer kein Geld anvertraut, dürfte nichts passieren können, ausser das jemand deine eMails da mitspitzelt. Willkommen im Überwachungstaat! edit: wenn da was abgeschnorchelt wurde, dann war's lautlos (ohne Sauggeräusche) aber wenn dann plötzlich die Coins alle weg sind, dann weis man wenigstens Bescheid. |
|
|
|
IIOII
Legendary
Offline
Activity: 1153
Merit: 1012
|
|
April 09, 2014, 02:15:13 PM |
|
Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.
Die ist wohl frisch eingebaut worden, Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen. und dann wäre da noch der Hinweis http://www.heise.de/security/news/foren/S-TLS-Entwickler-ist-Co-Autor-der-NSA-Hintertuer-des-Zufallszahlengenerator-von-RSA/forum-277761/msg-25049951/read/Zusammenfassend kann man sagen, das Computer halt nix sicher sind. Aber solange man dem Computer kein Geld anvertraut, dürfte nichts passieren können, ausser das jemand deine eMails da mitspitzelt. Willkommen im Überwachungstaat! edit: wenn da was abgeschnorchelt wurde, dann war's lautlos (ohne Sauggeräusche) aber wenn dann plötzlich die Coins alle weg sind, dann weis man wenigstens Bescheid. Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt. Generell kann man den Entwicklern auch im OpenSource-Bereich nicht einfach so vertrauen. Denn nur wenige haben bei komplexer Software die Kompetenz, Hintertüren zu erkennen. Deshalb gibt es mir auch ein ungutes Gefühl, dass unser ehemalige Hauptentwickler zu Gast bei einer Drei-Buchstaben-Organisation war. |
|
|
|
|
christinson
Full Member
Offline
Activity: 192
Merit: 100
Hardcore4Life
|
|
April 09, 2014, 03:19:02 PM |
|
Diese ganzen negativ Sachen nerven so langsam. Zum Glück bin ich BTC blank. Es nervt nur noch und macht kein Spaß mehr, wenn das so weiter geht ist das Fünkchen Vertrauen das die Leute noch haben bald ganz weg  |
|
|
|
|
mezzomix
Legendary
Offline
Activity: 2618
Merit: 1252
|
|
April 09, 2014, 09:50:46 PM |
|
Deshalb gibt es mir auch ein ungutes Gefühl, dass unser ehemalige Hauptentwickler zu Gast bei einer Drei-Buchstaben-Organisation war.
Satoshi? Wobei der Verantwortliche in diesem Fall (inzwischen) in S bei einer Organisation mit einem schützenswertem Buchstaben sitzt, die einen legendären Ruf bezüglich gescheiterter Grossprojekte und mangelnder Kryptokompetenz hat.  |
|
|
|
|
numismatist
Legendary
Offline
Activity: 1245
Merit: 1004
|
|
April 10, 2014, 03:37:29 AM |
|
Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.
Wieso sollte es? Library up- oder downgraden auf die Hintertürchenfreie Version, und mal die Beträge aus der alten Wallet in eine neue Wallet schieben. Die alten Adressen kann man ja immer noch zum Empfang verwenden, oder lässt die halt erstmal leer liegen. Dann halt neue Wallet Adressen ins Impressum etc. pp. Denn bisher ist noch immer mehr Schaden durch ungerechtfertigtes Vertrauen in Handelspartner entstanden, als durch solche kurzzeitigen technischen Lücken. |
|
|
|
mezzomix
Legendary
Offline
Activity: 2618
Merit: 1252
|
|
April 10, 2014, 06:00:57 AM |
|
So wie es aussieht sind nur die Nutzer betroffen, die das Payment Protocol oder einen öffentlichen RPCSSL Port am bitcoin-core betrieben haben. Das dürften wenige sein. Umbuchen schadet trotzdem nicht, sicher ist sicher. Ich vermute mal bei denen die jetzt auf die neue Version gegangen sind, kommt es zu keinem Verlust, selbst, wenn die Umbuchung verpennt wird.
Die hauptsächliche Gefahr geht von den umgebenden Diensten und Geräten aus. Wenn, dann erwarte ich dort Probleme. Glücklicherweise läuft auf den meisten älteren Geräten auch eine ältere OpenSSL Version. Naja, das Heartbeat Design mit Payload wurde ja schon früher kritisiert. Wie man sieht zurecht. Ein schlechtes Design (Payload im Heartbeat ist unnötige Komplexität) gepaart mit einer schlechten Umsetzung führt zu solchen Problemen.
|
|
|
|
|
|
|
IIOII
Legendary
Offline
Activity: 1153
Merit: 1012
|
|
April 10, 2014, 09:27:06 PM |
|
Satoshi?
Gavin Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.
Wieso sollte es? Library up- oder downgraden auf die Hintertürchenfreie Version, und mal die Beträge aus der alten Wallet in eine neue Wallet schieben. Die alten Adressen kann man ja immer noch zum Empfang verwenden, oder lässt die halt erstmal leer liegen. Dann halt neue Wallet Adressen ins Impressum etc. pp. Denn bisher ist noch immer mehr Schaden durch ungerechtfertigtes Vertrauen in Handelspartner entstanden, als durch solche kurzzeitigen technischen Lücken. Du sprachst vom "lautlosen Abschnorcheln" (übrigens Gratulation für diese wirklich gelungene Wortschöpfung ). Klar, es ist unwahrscheinlich, aber besser einmal zuviel paranoid als Coins weg. (Die Frage ist ja, ob alle User die 0.9.0 installiert hatten auch ihre Coins verschieben.) |
|
|
|
|
|
|
numismatist
Legendary
Offline
Activity: 1245
Merit: 1004
|
|
April 11, 2014, 10:38:43 AM |
|
"besser einmal zuviel paranoid als Coins weg" ist schon richtig, nahezu unvermeidlich. Aber schade um die "Bitcoin days destroyed" in dem Zusammenhang. Die Umlaufgeschwindigkeit war ja stets eine interessante Größe zur Betrachtung der Bitcoin Wirtschaft. https://en.bitcoin.it/wiki/Bitcoin_Days_Destroyed
|
|
|
|
|
