Vulnerabilita' Openssl BITBOAT, Bitcoin-qt/core ...

[babo]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

[pof]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

[babo]

chiaramente :-) hai detto giusto pof

[bertani]

Per quanto riguarda bitboat webfaction ha (finalmente) risolto il problema..

[neoxxx]

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  

[FaSan]

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
==================================================


...in pratica tocca aggiornare le librerie OpenSSL alla versione OpenSSL 1.0.1g e ricompilare gli applicativi ?
Se è così devo ricompilare tutti i wallets delle altcoins con la 1.0.1g a bordo o tocca aspettare i dev che si sintonizzino alla versione 1.0.1g ?  

Se parliamo di linux devi aggiornare la tua macchina alla versione 1.0.1g di openssl e ricompilare i wallets. I dev rilasceranno solo i precompilati (windows e qualcuno linux), nei sorgenti non hanno nulla da modificare.



FaSan

[jubehat]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Beh in ogni caso consiglio di cambiare le password su tutti i servizi online dove conservate BTC, anche quelli dove al momento non tenete nulla, quella dell'email e di servizi come lastpass. Male non fa e non costa nulla. Oltre ad aggiornare Bitcoin Core alla 9.1 se lo usate.

A questo punto conviene più che altro cambiarle anche ogni 2 settimane, visto quello che può accadere.
Ci sono sempre nuove falle che si scoprono in un sistema, e fatte le falle ci sono anche gli aggiornamenti di sicurezza.
E' sempre stato così.

[corsaro]

Ormai tutto il sistema è vulnerabile ad attacchi.
BitcoinTalk, BitCoin-Qt, BitBoat, BitStamp, niente è più sicuro.
Uno deve aspettarsi di poter perdere i propri BTC in qualsiasi momento.

non facciamoci prendere da panico inutile
la patch è gia su.. quindi non credo sia necessario preoccuparsi

Il sistema è stato vulnerabile per almeno 2 anni, senza che il grande pubblico lo sapesse (chi conosceva il bug, in pratica era il padrone di Internet) e adesso è più sicuro in quanto il bug è stato finalmente reso noto.

Circa il daemon bitcoin-qt per un utente normalissimo, protetto da NAT e firewall, che apre il proprio wallet solo per tenerci dentro i propri BTC o per fare operazioni di pagamento, non deve temere nulla, in quanto il bug affligge solo coloro che aprono le porte TCP del proprio firewall, all'esterno, e abilitano la funzionalità di server nel proprio wallet bitcoin-qt (o altcoin-qt) per fare mining (grossissimi datacenter), che peraltro immagino avranno già provveduto a ricompilare i sorgenti con gli opportuni bug fix.

Quindi non vedo motivo di preoccupazioni, e anzi, adesso il sistema è certamente più sicuro di prima, in quanto i bug fix sono stati rilasciati

[asdlolciterquit]

multibit, invece, ha problemi?

[jubehat]

multibit, invece, ha problemi?

Su multibit non è stato segnalato nulla, ormai quasi tutti i siti in pericolo sono stati aggiornati cone le nuove patch di sicurezza, e quindi c'è poco da preoccuparsi, ma ormai si sa che il prossimo bug può essere dietro l'angolo, sempre se non c'è ne sia già un altro che scopriremo tra altri 2 anni 

[corsaro]

multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.

[theend1991]

multibit, invece, ha problemi?

multibit non credo abbia insite funzioni di server e di mining (prego qualcuno del forum di confermarmi o di smentirmi), quindi il problema non si porrebbe affatto per tale wallet.

In ogni caso, tieni d'occhio il sito multibit per eventuali aggiornamenti.

Se ci fosse stato qualche problema con multibit, a quest'ora si sarebbero sentite le lamentele.
Ma la prudenza non è mai poca nel mondo delle Cryptocurrencies, quindi all'erta 

[jubehat]

Già, penso che multibit sia uno dei pochi wallet ad essere tra i più sicuri.

[asdlolciterquit]

grazie a tutti per le risposte!

[corsaro]

grazie a tutti per le risposte!

figurati... è un vero piacere

[theend1991]

grazie a tutti per le risposte!

figurati... è un vero piacere

Infatti, lo scopo principale dei forum principalmente sarebbe quello di aiutare chi lo chiede, ed ovviamente parlare in generale 

[pof]

In realtà il bug è presente nel codice da due anni, ma è stato scoperto da molto meno tempo. Non penso che sia conosciuto da così tanto tempo, altrimenti ce ne saremmo accorti molto prima a causa di hack altrimenti inspiegabili. E soprattutto sarebbe stato sfruttato dall'NSA in maniera estensiva, mentre dai leak emersi sembra che abbiano utilizzato altri trucchi per aggirare SSL. Questa falla è molto grave e potente, quindi se l'avessero conosciuta non avrebbero lavorato ad altre tecniche, se non per server che non utilizzano OpenSSL.

Mi sbagliavo...

http://www.theverge.com/2014/4/11/5605444/the-nsa-has-exploited-heartbleed-bug-for-years-bloomberg-reports

[gdassori]

Sono così sorpreso che ho bisogno di un po' di cardioaspirina, corro in farmacia...

[jubehat]

Ormai si può dire che non siano più nemmeno sorprese.
C'è sempre da aspettarsi il peggio nel mondo BTC.

[gdassori]

Certo, perché heartbleed è un bug di BTC.

"BTC! Solo il peggio!"

Nice slogan.