gbianchi (OP)
Legendary
 Offline
Activity: 3108
Merit: 2668
|
 |
April 08, 2014, 03:54:07 PM
Last edit: April 08, 2014, 10:27:43 PM by gbianchi |
|
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download. https://bitcoin.org/bin/0.9.1/-------------------------------------------------------------------------------------- bitboat.it IS VULNERABLE. Here is some data we pulled from the server memory: (we put YELLOW SUBMARINE there, and it should not have come back) ([]uint8) { 00000000 02 00 79 68 65 61 72 74 62 6c 65 65 64 2e 66 69 |..yheartbleed.fi| 00000010 6c 69 70 70 6f 2e 69 6f 59 45 4c 4c 4f 57 20 53 |lippo.ioYELLOW S| 00000020 55 42 4d 41 52 49 4e 45 5d ba 18 82 14 0c 60 9a |UBMARINE].....`.| 00000030 fb 95 53 ee 07 34 b0 07 b9 3f da 1c 98 d6 cf 66 |..S..4...?.....f| 00000040 65 cb f2 75 db 00 f4 7f eb 09 e5 8f e9 fb cb 96 |e..u............| 00000050 8b 06 cd 5d 31 ba ed 6d 50 05 6a 8a d1 4e d9 a0 |...]1..mP.j..N..| 00000060 9c 5e 67 15 c4 9a 7e 7e 3e 1b 9f 1a 63 0a bb d1 |.^g...~~>...c...| 00000070 f9 ab fe c8 22 08 b7 35 fd e1 04 e2 c7 42 7b e3 |...."..5.....B{.| 00000080 0b 0d 76 5d 86 79 d2 d6 5d f7 0f b0 |..v].y..]...| } Please take immediate action! http://filippo.io/Heartbleed/#bitboat.it--------------------- |
|
|
|
bertani
Legendary
Offline
Activity: 1022
Merit: 1000
|
|
April 08, 2014, 04:11:53 PM |
|
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale. In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat. Bitboat e' strutturato dalla base dando per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema. Nessuna chiave privata (ne' altri dati sensibili) e' su quel server  ps: ho segnalato comunque il problema a webfaction e mi han risposto che sono a conoscenza della cosa e stanno provvedendo a sistemare Ah, grazie comunque per la segnalazione |
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3108
Merit: 2668
|
|
April 08, 2014, 04:13:09 PM |
|
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale. In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat. Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema. Nessuna chiave privata (ne' altri dati sensibili) e' su quel server se e' noto che fastidio ti da' ? oppure fallo spostare e/o cancellare, come usa qua. |
|
|
|
bertani
Legendary
Offline
Activity: 1022
Merit: 1000
|
|
April 08, 2014, 04:16:47 PM |
|
Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale. In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat. Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema. Nessuna chiave privata (ne' altri dati sensibili) e' su quel server se e' noto che fastidio ti da' ? oppure fallo spostare, come usa qua. I thread si spostano quando c'e' un errore da parte di chi lo apre, mi sembra strano che un utente non proprio nuovo compia un'azione del genere.. in ogni caso non prenderla sul personale, ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni |
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3108
Merit: 2668
|
|
April 08, 2014, 10:20:11 PM |
|
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download. https://bitcoin.org/bin/0.9.1/ |
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
April 08, 2014, 11:05:30 PM |
|
A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download. https://bitcoin.org/bin/0.9.1/Qui' l'annuncio https://bitcointalk.org/index.php?topic=562400.0non ho capito se le versioni 8.x sono vulnerabili ... |
Waves mi piaceva ora non più.
|
|
|
|
FaSan
|
|
April 09, 2014, 01:21:54 AM |
|
Sono tutte vulnerabili, alt-coin comprese. FaSan |
|
|
|
|
jubehat
Full Member
Offline
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
|
|
April 09, 2014, 02:44:58 AM |
|
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.
|
|
|
|
|
bertani
Legendary
Offline
Activity: 1022
Merit: 1000
|
|
April 09, 2014, 05:45:51 AM |
|
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.
Direi che questa é un'approssimazione eccessiva.. |
|
|
|
|
geno
Newbie
Offline
Activity: 32
Merit: 0
|
|
April 09, 2014, 06:06:23 AM |
|
Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.
Bitstamp dice di aver risolto il problema e non essere più vulnerabile: https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/ |
|
|
|
|
|
paci
|
|
April 09, 2014, 06:35:20 AM |
|
Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare password. Questo un po' ovunque, che male non fa. Ovviamente, la TFA attiva, è sempre cosa buona e giusta. /paci |
|
|
|
jack0m
Legendary
Offline
Activity: 3640
Merit: 1988
|
|
April 09, 2014, 08:30:09 AM |
|
Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare password. Questo un po' ovunque, che male non fa. Ovviamente, la TFA attiva, è sempre cosa buona e giusta. /paci la TFA non aiuta granché se c'è in atto un MITM reso possibile dalla sottrazione delle chiavi private |
Money is a hoax. Debt is slavery. Consumerism is toxic.
|
|
|
|
Cerbix
|
|
April 09, 2014, 08:41:12 AM |
|
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  |
|
|
|
|
jubehat
Full Member
Offline
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
|
|
April 09, 2014, 08:41:55 AM |
|
Non sottovalutate nemmeno CoinBase, che ogni tanto di sera tardi mi arrivano SMS con i codici per la TFA, io in quell'exchange non ho proprio nulla, però è fastidioso vedere che qualcuno cerca di entrarci.
|
|
|
|
|
theend1991
Member
Offline
Activity: 84
Merit: 10
Comprate i vostri BTC, aiuto anche per i Newbie :)
|
|
April 09, 2014, 09:43:46 AM |
|
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? Sarebbe il bug delle connessioni SSL ai siti con certificato di protezione. Per sapere se un sito ha tale protezione, basta leggere nella barra degli indirizzi del sito se c'è la scritta "https://". |
|
|
|
corsaro
Legendary
Offline
Activity: 1400
Merit: 1000
|
|
April 09, 2014, 11:07:48 AM |
|
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico.. Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server... Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile... Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni... |
|
|
|
|
jubehat
Full Member
Offline
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
|
|
April 09, 2014, 11:15:32 AM |
|
ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico.. Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server... Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile... Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni... 2 Anni?  Ecco spiegato il motivo dei molteplici attacchi hacker da 1 anno a questa parte. |
|
|
|
|
|
pof
|
|
April 09, 2014, 01:35:46 PM |
|
In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.
|
|
|
|
jubehat
Full Member
Offline
Activity: 126
Merit: 100
Nella moltitudine dei consiglieri, c'è la riuscita
|
|
April 09, 2014, 01:54:48 PM |
|
Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?
|
|
|
|
|
|
pof
|
|
April 09, 2014, 02:06:52 PM |
|
Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?
Mtgox è fallito probabilmente per gravi mancanze nella gestione da parte dei proprietari, forse anche fraudolentemente. Bitstamp? A cosa ti riferisci? |
|
|
|
|
