¿La falla de Linux dejará a los Bitcoiners vulnerables a los ataques?

Se ha revelado una falla de seguridad en un programa criptográfico clave en el paquete gnuTLS de Linux, un componente opcional para aplicaciones cliente de Bitcoin y altcoin de terceros.

La biblioteca SSL gnuTLS está incluida en muchos paquetes de código abierto, como los de las distribuciones Red Hat, Ubuntu y Debian de Linux.

Descubierto originalmentedurante una auditoríaEn cuanto a gnuTLS para Red Hat, los efectos de la falla son de amplio alcance para los desarrolladores.

ExplicadoArs Technicaen su informe:

"Los ataques eluden la Tecnología más utilizada para evitar las escuchas en Internet, gracias a una vulnerabilidad extremadamente crítica en una biblioteca de código criptográfico ampliamente utilizada".

El error, explica la fuente, se debe a comandos en una sección del código gnuTLS que gestiona la verificación de certificados. Se estima que el error podría haberse introducido ya en 2005, aunque fue descubierto.el 4 de marzo.

Además, más de 200 sistemas operativos y aplicaciones diferentes podrían verse afectados.

Error de GnuTLS REALMENTE GRAVE: omite SSL, TLS en más de 200 sistemas operativos diferentes, aplicaciones que dependen de GnuTLS para operaciones SSL y TLS<a href="http://t.co/Tj7nA9R0ih">T</a>





- Equipo Cymru (@teamcymru) 5 de marzo de 2014

La falla, que implica errores con varias llamadas "goto cleanup", es potencialmente peligrosa ya que efectivamente permite a alguien realizar un "ataque de intermediario", mediante el cual se pueden explotar las comunicaciones cifradas entre un cliente y el servidor web con certificados especialmente diseñados.

Red Hat escribió en su evaluación:

Un atacante podría usar esta falla para crear un certificado especialmente diseñado que gnuTLS podría aceptar como válido para un sitio elegido por el atacante.

Impacto en los usuarios de Bitcoin

A pesar deLa alarma que ha dado el bichoEn la comunidad tecnológica más amplia, el desarrollador líder de Bitcoin , Jeff Garzik, dijo a CoinDesk que es poco probable que el problema tenga un impacto sustancial en Bitcoin, aunque algunos se verán afectados.

Garzik explicó:

El error de gnuTLS es bastante grave, pero muy pocos lo usan en la comunidad Bitcoin . OpenSSL es el estándar.

Garzik indicó que el uso de OpenSSL mitiga el riesgo de bifurcación que existe cuando se utilizan otras bibliotecas competidoras para software clave, como gnuTLS.

También afirmó que los proyectos que utilizan OpenSSL, Mozilla NSS, Crypto++ u otra biblioteca de Cripto no se ven afectados por el error. Sin embargo, señaló que cualquiera que haya compilado Bitcoind con este paquete SSL tendría una implementación vulnerable.

Ankur Nandwani, desarrollador de Bitmonet, sugirió que los usuarios de billeteras alojadas y los usuarios de intercambios de Bitcoin serían los más afectados, pero afirmó que existen protecciones fáciles para prevenir problemas.

En ambos casos, un atacante puede robar las credenciales de los usuarios cuando intentan iniciar sesión en sus cuentas. Para reducir la probabilidad de que las credenciales de las billeteras en línea y las plataformas de intercambio se vean comprometidas, es fundamental que todos utilicen la autenticación de dos factores.

Nandwani dijo que el error es una evidencia de que los usuarios de Bitcoin deberían reducir su dependencia de las billeteras y los intercambios en línea.

Implementando una solución

El equipo de gnuTLS tienedesde que se anunció Una actualización para corregir la falla. Los usuarios y desarrolladores de Bitcoin y altcoin que necesiten la corrección ya pueden actualizar a [Nombre del usuario]. Red Hat indicó que los usuarios de gnuTLS deben actualizar sus paquetes para corregir el problema y que todas las aplicaciones vinculadas a la biblioteca gnuTLS deben reiniciarse para que la actualización se implemente.

Aunque los errores se resolvieron en la versión 3.2.12, aún persisten entre el público, lo que ha dado lugar a comparaciones con otros errores extremos en el historial de fallas de codificación.

Gnu tiene una falla de seguridad de red incluso peor que la que tenía Apple... Y desde 2005...<a href="http://t.co/iiuxG10XdK">T</a>— JoergR (@JoergR)5 de marzo de 2014

Para obtener una explicación completa del error y cómo proceder si se ve afectado,haga clic aquí.

Crédito de la imagen:Código de computadoravía Shutterstock