La falla de Linux dejará a los bitcoiners vulnerables a los ataques?

Una falla de seguridad en un programa criptográfico clave se ha revelado en el paquete gnuTLS de Linux, un componente opcional para aplicaciones cliente de terceros bitcoin y altcoin.

La biblioteca SSL de gnuTLS está incluida en muchos paquetes de código abierto como los de Red Hat, Ubuntu y Debian de Linux.

Originalmente descubierto durante una auditoría de gnuTLS para Red Hat, los efectos de la falla son de gran alcance para los desarrolladores.

Explicó Ars Technica en su informe:

"[Los] ataques evitan la tecnología más utilizada para evitar la escucha en Internet, gracias a una vulnerabilidad extremadamente crítica en una biblioteca de códigos criptográficos ampliamente utilizada . "

El error, explica la fuente, es el resultado de comandos en una sección del código gnuTLS que maneja la verificación de certificados. Las estimaciones sugieren que el error podría haber sido introducido en 2005, aunque se descubrió el 4 de marzo.

Además, más de 200 sistemas operativos y aplicaciones diferentes podrían verse afectados.

Error de GnuTLS REALMENTE MALO: el bypass SSL, TLS sobre 200 OS diferentes, las aplicaciones que confían en GnuTLS para las operaciones del SSL y del TLS // t. La falla, que conlleva errores con varias llamadas "goto cleanup", es potencialmente peligrosa, ya que efectivamente permite que alguien realice un "hombre en el medio" ataque ", por el cual las comunicaciones encriptadas entre un cliente y el servidor web pueden ser explotadas con certificados especialmente diseñados.

"Un atacante podría usar esta falla para crear un certificado especialmente diseñado que podría ser aceptado por gnuTLS como válido para un sitio elegido por el atacante." < 999> A pesar de la alarma que el error ha generado en la comunidad tecnológica, el desarrollador de bitcoin, Jeff Garzik, dijo a CoinDesk que es improbable que el problema tenga un impacto sustancial en bitcoin, aunque algunos se verán afectados.

Garzik:

Garzik indicó que el uso de OpenSSL mitiga un riesgo de horquilla que está presente cuando utilizando otras bibliotecas competidoras para software clave, como gnuTLS.

También declaró que los proyectos que utilizan OpenSSL, Mozilla NSS, Crypto ++ u otra biblioteca de cifrado no son afectados por el error. Cualquiera que haya compilado Bitcoind contra este paquete SSL, sin embargo, tendría una implementación que era vulnerable, señaló.

Ankur Nandwani, un desarrollador de Bitmonet, sugirió que los usuarios de cartera alojados y los usuarios de los intercambios bitcoin serían los más afectados, pero afirmó que hay protecciones fáciles para prevenir problemas.

"En ambos casos, un atacante puede olfatear las credenciales de los usuarios, cuando los usuarios intentan iniciar sesión en su cuenta.Para reducir la probabilidad de que las carteras en línea y las credenciales de intercambio no se vean comprometidas, es realmente importante que todos usen la autenticación de dos factores ".

Nandwani dijo que el error es una evidencia de que los usuarios de bitcoin deberían reducir su dependencia de carteras e intercambios en línea.

Implementación de una corrección

El equipo gnuTLS ha anunciado desde entonces una actualización para dar cuenta de la falla, un usuario de bitcoin y altcoin y los desarrolladores que necesitan la corrección pueden ahora actualizar a Red Hat indicó que los usuarios de gnuTLS deberían actualizar sus paquetes para corregir el problema, e indicó que todas las aplicaciones vinculadas a la biblioteca gnuTLS deben reiniciarse para que la actualización tenga lugar.

Aunque los errores se resuelven en la versión 3. 2. 12, aún permanecen entre los del público, que ha invocado comparaciones con otros errores extremos en la historia de la falla de codificación.

Gnu tiene una falla de seguridad de red aún peor que la de Apple ... Y desde 2005 ... // t. co / iiuxG10XdK

- JoergR (@JoergR) 5, 2014 <99 9> Para la explicación completa del error y cómo proceder si está afectado, haga clic aquí.

Crédito de la imagen:

Código de la computadora vía Shutterstock

Líder en las noticias de la cadena de bloqueo, CoinDesk es un medio de comunicación independiente que se esfuerza por los estándares periodísticos más altos y se rige por un estricto conjunto de políticas editoriales. ¿Tiene noticias de última hora o un consejo para enviar a nuestros periodistas? Contáctenos en news @ coindesk. com