Vulnerabilita' Openssl BITBOAT, Bitcoin-qt/core ...

[gbianchi]

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

--------------------------------------------------------------------------------------

 bitboat.it IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
 00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
 00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
 00000020  55 42 4d 41 52 49 4e 45  5d ba 18 82 14 0c 60 9a  |UBMARINE].....`.|
 00000030  fb 95 53 ee 07 34 b0 07  b9 3f da 1c 98 d6 cf 66  |..S..4...?.....f|
 00000040  65 cb f2 75 db 00 f4 7f  eb 09 e5 8f e9 fb cb 96  |e..u............|
 00000050  8b 06 cd 5d 31 ba ed 6d  50 05 6a 8a d1 4e d9 a0  |...]1..mP.j..N..|
 00000060  9c 5e 67 15 c4 9a 7e 7e  3e 1b 9f 1a 63 0a bb d1  |.^g...~~>...c...|
 00000070  f9 ab fe c8 22 08 b7 35  fd e1 04 e2 c7 42 7b e3  |...."..5.....B{.|
 00000080  0b 0d 76 5d 86 79 d2 d6  5d f7 0f b0              |..v].y..]...|
}

Please take immediate action!

http://filippo.io/Heartbleed/#bitboat.it

---------------------

[bertani]

Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base dando per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server


ps: ho segnalato comunque il problema a webfaction e mi han risposto che sono a conoscenza della cosa e stanno provvedendo a sistemare


Ah, grazie comunque per la segnalazione 

[gbianchi]

Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server

se e' noto che fastidio ti da' ?

oppure fallo spostare e/o cancellare, come usa qua.

[bertani]

Il problema e' noto e non vedo il punto di aprire un thread nella sezione principale.

In ogni caso ti ringrazio di averlo fatto perche' mi dai l'occasione di spiegare perche' questo problema non e' assolutamente rilevante per bitboat.

Bitboat e' strutturato dalla base in modo da dare per scontato che il server frontend (l'unico raggiungibile da internet dall'esterno, bitboat.net per capirci) sia compromesso, quindi anche avendo accesso completo con tutte le credenziali al server in questione non si riuscirebbe a fare molto contro il sistema.

Nessuna chiave privata (ne' altri dati sensibili) e' su quel server

se e' noto che fastidio ti da' ?

oppure fallo spostare, come usa qua.

I thread si spostano quando c'e' un errore da parte di chi lo apre, mi sembra strano che un utente non proprio nuovo compia un'azione del genere.. in ogni caso non prenderla sul personale, ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni

[gbianchi]

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

[picchio]

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

Qui' l'annuncio
https://bitcointalk.org/index.php?topic=562400.0
non ho capito se le versioni 8.x sono vulnerabili ...

[FaSan]

A bug in OpenSSL, used by Bitcoin-Qt/Bitcoin Core, could allow your bitcoins to be stolen. Immediately updating Bitcoin Core to 0.9.1 is required in some cases, especially if you're using 0.9.0. Download.

https://bitcoin.org/bin/0.9.1/

Qui' l'annuncio
https://bitcointalk.org/index.php?topic=562400.0
non ho capito se le versioni 8.x sono vulnerabili ...

Sono tutte vulnerabili, alt-coin comprese.



FaSan

[jubehat]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

[bertani]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Direi che questa é un'approssimazione eccessiva..

[geno]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

[paci]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci

[jack0m]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

Bitstamp dice di aver risolto il problema e non essere più vulnerabile:
https://www.bitstamp.net/article/update-regarding-openssl-vulnerability/

Il fatto che non siano più vulnerabili, non significa che si è al sicuro. Può essere che informazioni
importanti siano state "rubate" durante il lasso di tempo in cui lo era (e bitstamp lo è stato
per molte ore). Quindi ora che hanno un nuovo certificato SSL, è opportuno cambiare
password. Questo un po' ovunque, che male non fa.

Ovviamente, la TFA attiva, è sempre cosa buona e giusta.

/paci

la TFA non aiuta granché se c'è in atto un MITM reso possibile dalla sottrazione delle chiavi private

[Cerbix]

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? 

[jubehat]

Non sottovalutate nemmeno CoinBase, che ogni tanto di sera tardi mi arrivano SMS con i codici per la TFA, io in quell'exchange non ho proprio nulla, però è fastidioso vedere che qualcuno cerca di entrarci.

[theend1991]

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici? 

Sarebbe il bug delle connessioni SSL ai siti con certificato di protezione.
Per sapere se un sito ha tale protezione, basta leggere nella barra degli indirizzi del sito se c'è la scritta "https://".

[corsaro]

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...  

[jubehat]

ringrazio per la segnalazione - anche perche' sta dando la possibilita' a diversi utenti di informarsi su uno dei bug piu' interessanti degli ultimi anni

C'è qualche buon uomo che mi spiegherebbe questo bug con parole molto semplici?  

in pratica, con tale bug si riesce ad accedere ai primi 64k di memoria del server e li dentro leggere le chiavi private che criptano il traffico..
Ciò permette di decriptare il traffico ssl in entrata ed in uscita dal server...

Però inviando pacchetti di dati, più grossi si possono avere letture più ampie della memoria del server... insomma... meglio applicare le patch il prima possibile...

Questo bug a quanto pare era noto ad un gruppo ristretto da almeno 2 anni...  

2 Anni? 
Ecco spiegato il motivo dei molteplici attacchi hacker da 1 anno a questa parte.

[pof]

In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.

[jubehat]

Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?

[pof]

Quindi gli hack avvenuti a MtGox, BitStamp, ecc, non sono dovuti a questa falla nel certificato SSL?

Mtgox è fallito probabilmente per gravi mancanze nella gestione da parte dei proprietari, forse anche fraudolentemente.
Bitstamp? A cosa ti riferisci?

[babo]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

[pof]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

[babo]

chiaramente :-) hai detto giusto pof

[bertani]

Per quanto riguarda bitboat webfaction ha (finalmente) risolto il problema..

[neoxxx]

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  

[FaSan]

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  

Se parliamo di linux devi aggiornare la tua macchina alla versione 1.0.1g di openssl e ricompilare i wallets. I dev rilasceranno solo i precompilati (windows e qualcuno linux), nei sorgenti non hanno nulla da modificare.



FaSan

[jubehat]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

A questo punto conviene più che altro cambiarle anche ogni 2 settimane, visto quello che può accadere.
Ci sono sempre nuove falle che si scoprono in un sistema, e fatte le falle ci sono anche gli aggiornamenti di sicurezza.
E' sempre stato così.

[corsaro]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Il sistema è stato vulnerabile per almeno 2 anni, senza che il grande pubblico lo sapesse (chi conosceva il bug, in pratica era il padrone di Internet) e adesso è più sicuro in quanto il bug è stato finalmente reso noto.

Circa il daemon bitcoin-qt per un utente normalissimo, protetto da NAT e firewall, che apre il proprio wallet solo per tenerci dentro i propri BTC o per fare operazioni di pagamento, non deve temere nulla, in quanto il bug affligge solo coloro che aprono le porte TCP del proprio firewall, all'esterno, e abilitano la funzionalità di server nel proprio wallet bitcoin-qt (o altcoin-qt) per fare mining (grossissimi datacenter), che peraltro immagino avranno già provveduto a ricompilare i sorgenti con gli opportuni bug fix.

Quindi non vedo motivo di preoccupazioni, e anzi, adesso il sistema è certamente più sicuro di prima, in quanto i bug fix sono stati rilasciati

[asdlolciterquit]

multibit, invece, ha problemi?

[jubehat]

multibit, invece, ha problemi?

Su multibit non è stato segnalato nulla, ormai quasi tutti i siti in pericolo sono stati aggiornati cone le nuove patch di sicurezza, e quindi c'è poco da preoccuparsi, ma ormai si sa che il prossimo bug può essere dietro l'angolo, sempre se non c'è ne sia già un altro che scopriremo tra altri 2 anni 

[corsaro]

multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.

[theend1991]

multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.

Se ci fosse stato qualche problema con multibit, a quest'ora si sarebbero sentite le lamentele.
Ma la prudenza non è mai poca nel mondo delle Cryptocurrencies, quindi all'erta 

[jubehat]

Già, penso che multibit sia uno dei pochi wallet ad essere tra i più sicuri.

[asdlolciterquit]

grazie a tutti per le risposte!

[corsaro]

grazie a tutti per le risposte!

figurati... è un vero piacere

[theend1991]

grazie a tutti per le risposte!

figurati... è un vero piacere

Infatti, lo scopo principale dei forum principalmente sarebbe quello di aiutare chi lo chiede, ed ovviamente parlare in generale 

[pof]

In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.

Mi sbagliavo...

http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports

[gdassori]

Sono così sorpreso che ho bisogno di un po' di cardioaspirina, corro in farmacia...

[jubehat]

Ormai si può dire che non siano più nemmeno sorprese.
C'è sempre da aspettarsi il peggio nel mondo BTC.

[gdassori]

Certo, perché heartbleed è un bug di BTC.

"BTC! Solo il peggio!"

Nice slogan.

[jubehat]

Ahahahahahah, sarebbe uno slogan molto costruttivo....

[Amph]

dai lo hanno fatto apposta per lanciare altra merda sui bitcoin, ecco perché è vecchio di due anni

[jubehat]

Il BTC non morirà mai...

[gdassori]

Faccio fatica a comprendere se scherzate o se siete seri.

[theend1991]

Più seri di così.....si muore...