Bitcoin Forum
November 01, 2024, 11:53:12 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Sicherheitslücke in Bitcoin Core  (Read 1168 times)
Bitcoin-Einfach (OP)
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile WWW
April 09, 2014, 04:33:29 AM
Last edit: April 09, 2014, 05:53:46 AM by Bitcoin-Einfach
 #1

Wie im englischen Forum schon geschrieben wurde, enthält die Version 0.9.0 von Bitcoin Core eine Sicherheitslücke, die durch die verwendete OpenSSL-Bibliothek ausgelöst wird. Bis jetzt konnte ich speziell zu Bitcoin noch nichts deutsches dazu finden, und auch auf englisch gibt es momentan bis auf die offizielle Ankündigung und das Thema hier im Forum nur kaum etwas zu finden. Daher habe ich soeben die bestehenden Informationen aus allen Quellen in diesem deutschen Artikel zusammengefasst: kritische Sicherheitslücke in Bitcoin Core Version 0.9.0

Da die Sicherheitslücke in der OpenSSL-Bibliothek besteht, und diese neben Bitcoin auch in vielen anderen Programmen enthalten ist, sind möglicherweise auch noch andere Clients sowie Altcoins davon betroffen. Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.

Es empfiehlt sich, möglichst schnell auf Version 0.9.1 upzugraden, in der die Sicherheitslücke geschlossen wurde.
numismatist
Legendary
*
Offline Offline

Activity: 1245
Merit: 1004



View Profile
April 09, 2014, 04:58:47 AM
 #2

Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.

Die ist wohl frisch eingebaut worden,

Quote
Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen.

und dann wäre da noch der Hinweis http://www.heise.de/security/news/foren/S-TLS-Entwickler-ist-Co-Autor-der-NSA-Hintertuer-des-Zufallszahlengenerator-von-RSA/forum-277761/msg-25049951/read/


Zusammenfassend kann man sagen, das Computer halt nix sicher sind. Aber solange man dem Computer kein Geld anvertraut, dürfte nichts passieren können, ausser das jemand deine eMails da mitspitzelt. Willkommen im Überwachungstaat!

edit: wenn da was abgeschnorchelt wurde, dann war's lautlos (ohne Sauggeräusche) aber wenn dann plötzlich die Coins alle weg sind, dann weis man wenigstens Bescheid.

IIOII
Legendary
*
Offline Offline

Activity: 1153
Merit: 1012



View Profile
April 09, 2014, 02:15:13 PM
 #3

Zu der Lücke in OpenSSL an sich lässt sich im Internet hingegen schon einiges finden.

Die ist wohl frisch eingebaut worden,

Quote
Versionen vor der aktuellen 1.0.1 wie das auf älteren Systemen noch verbreitete OpenSSL 0.9.8 sind offenbar nicht betroffen.

und dann wäre da noch der Hinweis http://www.heise.de/security/news/foren/S-TLS-Entwickler-ist-Co-Autor-der-NSA-Hintertuer-des-Zufallszahlengenerator-von-RSA/forum-277761/msg-25049951/read/


Zusammenfassend kann man sagen, das Computer halt nix sicher sind. Aber solange man dem Computer kein Geld anvertraut, dürfte nichts passieren können, ausser das jemand deine eMails da mitspitzelt. Willkommen im Überwachungstaat!

edit: wenn da was abgeschnorchelt wurde, dann war's lautlos (ohne Sauggeräusche) aber wenn dann plötzlich die Coins alle weg sind, dann weis man wenigstens Bescheid.

Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.

Generell kann man den Entwicklern auch im OpenSource-Bereich nicht einfach so vertrauen. Denn nur wenige haben bei komplexer Software die Kompetenz, Hintertüren zu erkennen.

Deshalb gibt es mir auch ein ungutes Gefühl, dass unser ehemalige Hauptentwickler zu Gast bei einer Drei-Buchstaben-Organisation war.
christinson
Full Member
***
Offline Offline

Activity: 192
Merit: 100


Hardcore4Life


View Profile
April 09, 2014, 03:19:02 PM
 #4

Diese ganzen negativ Sachen nerven so langsam. Zum Glück bin ich BTC blank. Es nervt nur noch und macht kein Spaß mehr, wenn das so weiter geht ist das Fünkchen Vertrauen das die Leute noch haben bald ganz weg  Undecided
mezzomix
Legendary
*
Offline Offline

Activity: 2730
Merit: 1261


View Profile
April 09, 2014, 09:50:46 PM
 #5

Deshalb gibt es mir auch ein ungutes Gefühl, dass unser ehemalige Hauptentwickler zu Gast bei einer Drei-Buchstaben-Organisation war.

Satoshi?

Wobei der Verantwortliche in diesem Fall (inzwischen) in S bei einer Organisation mit einem schützenswertem Buchstaben sitzt, die einen legendären Ruf bezüglich gescheiterter Grossprojekte und mangelnder Kryptokompetenz hat.  Grin
numismatist
Legendary
*
Offline Offline

Activity: 1245
Merit: 1004



View Profile
April 10, 2014, 03:37:29 AM
 #6

Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.

Wieso sollte es?

Library up- oder downgraden auf die Hintertürchenfreie Version, und mal die Beträge aus der alten Wallet in eine neue Wallet schieben. Die alten Adressen kann man ja immer noch zum Empfang verwenden, oder lässt die halt erstmal leer liegen.
Dann halt neue Wallet Adressen ins Impressum etc. pp.

Denn bisher ist noch immer mehr Schaden durch ungerechtfertigtes Vertrauen in Handelspartner entstanden, als durch solche kurzzeitigen technischen Lücken.

mezzomix
Legendary
*
Offline Offline

Activity: 2730
Merit: 1261


View Profile
April 10, 2014, 06:00:57 AM
 #7

So wie es aussieht sind nur die Nutzer betroffen, die das Payment Protocol oder einen öffentlichen RPCSSL Port am bitcoin-core betrieben haben. Das dürften wenige sein. Umbuchen schadet trotzdem nicht, sicher ist sicher. Ich vermute mal bei denen die jetzt auf die neue Version gegangen sind, kommt es zu keinem Verlust, selbst, wenn die Umbuchung verpennt wird.

Die hauptsächliche Gefahr geht von den umgebenden Diensten und Geräten aus. Wenn, dann erwarte ich dort Probleme. Glücklicherweise läuft auf den meisten älteren Geräten auch eine ältere OpenSSL Version. Naja, das Heartbeat Design mit Payload wurde ja schon früher kritisiert. Wie man sieht zurecht. Ein schlechtes Design (Payload im Heartbeat ist unnötige Komplexität) gepaart mit einer schlechten Umsetzung führt zu solchen Problemen.
btcash
Hero Member
*****
Offline Offline

Activity: 968
Merit: 515



View Profile
April 10, 2014, 11:28:55 AM
 #8

Laut gmaxwell ist es relativ unwahrscheinlich, dass jemand die Lücke effektiv nutzen konnte:
https://bitcointalk.org/index.php?topic=563048.msg6150036#msg6150036

IIOII
Legendary
*
Offline Offline

Activity: 1153
Merit: 1012



View Profile
April 10, 2014, 09:27:06 PM
 #9

Satoshi?

Gavin

Hoffe nicht, dass es da im Nachhinein noch zu einer mittleren Katastrophe kommt.

Wieso sollte es?

Library up- oder downgraden auf die Hintertürchenfreie Version, und mal die Beträge aus der alten Wallet in eine neue Wallet schieben. Die alten Adressen kann man ja immer noch zum Empfang verwenden, oder lässt die halt erstmal leer liegen.
Dann halt neue Wallet Adressen ins Impressum etc. pp.

Denn bisher ist noch immer mehr Schaden durch ungerechtfertigtes Vertrauen in Handelspartner entstanden, als durch solche kurzzeitigen technischen Lücken.

Du sprachst vom "lautlosen Abschnorcheln" (übrigens Gratulation für diese wirklich gelungene Wortschöpfung Grin). Klar, es ist unwahrscheinlich, aber besser einmal zuviel paranoid als Coins weg. (Die Frage ist ja, ob alle User die 0.9.0 installiert hatten auch ihre Coins verschieben.)
Bitcoin-Einfach (OP)
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile WWW
April 11, 2014, 04:28:08 AM
 #10

Für SSL/TLS verschlüsselte Verbindungen gibt es eine leichtgewichtige alternative zu OpenSSL, nämlich PolarSSL. Im Unterschied zu OpenSSL war PolarSSl nicht von der Heartbleed-Lücke betroffen. PolarSSL wird unter Anderem in OpenVPN sowie im Hiawatha Webserver eingesetzt, eventuell wäre es ja möglich PolarSSL auch in Bitcoin anstelle von OpenSSL zu verwenden.
numismatist
Legendary
*
Offline Offline

Activity: 1245
Merit: 1004



View Profile
April 11, 2014, 10:38:43 AM
 #11

"besser einmal zuviel paranoid als Coins weg" ist schon richtig, nahezu unvermeidlich. Aber schade um die "Bitcoin days destroyed" in dem Zusammenhang. Die Umlaufgeschwindigkeit war ja stets eine interessante Größe zur Betrachtung der Bitcoin Wirtschaft.

https://en.bitcoin.it/wiki/Bitcoin_Days_Destroyed

Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!