A falha do Linux deixará os bitcoiners vulneráveis a ataques?

Uma falha de segurança em um programa criptográfico importante foi revelada no pacote Linux gnuTLS, um componente opcional para aplicativos clientes de Bitcoin e altcoin de terceiros.

A biblioteca SSL gnuTLS está incluída em muitos pacotes de código aberto, como aqueles nas distribuições Red Hat, Ubuntu e Debian do Linux.

Originalmente descobertodurante uma auditoriado gnuTLS para Red Hat, os efeitos da falha são de amplo alcance para os desenvolvedores.

ExplicadoArte Técnicano seu relatório:

"[Os] ataques contornam a Tecnologia mais amplamente utilizada para impedir a espionagem na Internet, graças a uma vulnerabilidade extremamente crítica em uma biblioteca de código criptográfico amplamente utilizada."

O bug, explica a fonte, é o resultado de comandos em uma seção do código gnuTLS que lida com a verificação de certificado. Estimativas sugerem que o erro pode ter sido introduzido já em 2005, embora tenha sido descobertoem 4 de março.

Além disso, mais de 200 sistemas operacionais e aplicativos diferentes podem ser afetados.

Bug do GnuTLS MUITO RUIM: ignora SSL, TLS em mais de 200 sistemas operacionais diferentes, aplicativos que dependem do GnuTLS para operações SSL e TLS<a href="http://t.co/Tj7nA9R0ih">T</a>





- Equipe Cymru (@teamcymru) 5 de março de 2014

A falha, que envolve erros com diversas chamadas "goto cleanup", é potencialmente perigosa, pois efetivamente permite que alguém execute um "ataque do tipo man in the middle", pelo qual comunicações criptografadas entre um cliente e o servidor web podem ser exploradas com certificados especialmente criados.

Escreveu a Red Hat em sua avaliação:

"Um invasor poderia usar essa falha para criar um certificado especialmente criado que poderia ser aceito pelo gnuTLS como válido para um site escolhido pelo invasor."

Impacto sobre os usuários de Bitcoin

Apesar deo alarme que o bug deuna comunidade tecnológica mais ampla, o desenvolvedor líder do Bitcoin , Jeff Garzik, disse ao CoinDesk que é improvável que o problema tenha um impacto substancial no Bitcoin, embora alguns sejam afetados.

Garzik explicou:

"O bug do gnuTLS é bem ruim, mas muito poucos usam o gnuTLS na comunidade Bitcoin . O OpenSSL é padrão."

Garzik indicou que o uso do OpenSSL atenua o risco de bifurcação presente ao usar outras bibliotecas concorrentes para softwares importantes, como o gnuTLS.

Ele também afirmou que projetos usando OpenSSL, Mozilla NSS, Crypto++ ou outra biblioteca de Cripto não são impactados pelo bug. Qualquer um que tenha compilado Bitcoind contra este pacote SSL, no entanto, teria uma implementação vulnerável, ele observou.

Ankur Nandwani, desenvolvedor da Bitmonet, sugeriu que usuários de carteiras hospedadas e usuários de exchanges de Bitcoin seriam os mais afetados, mas afirmou que há proteções fáceis para evitar problemas.

"Em ambos os casos, um invasor pode farejar as credenciais dos usuários, quando eles estão tentando fazer login em suas contas. Para reduzir a probabilidade de carteiras on-line e credenciais de câmbio serem comprometidas, é realmente importante que todos usem autenticação de dois fatores."

Nandwani disse que o bug é uma evidência de que os usuários de Bitcoin devem reduzir sua dependência de carteiras e bolsas online.

Implementando uma correção

A equipe gnuTLS temdesde que anunciado uma atualização para dar conta da falha, um Bitcoin e usuários de altcoin e desenvolvedores que precisam da correção agora podem atualizar para. A Red Hat indicou que os usuários do gnuTLS devem atualizar seus pacotes para corrigir o problema, e indicou que todos os aplicativos vinculados à biblioteca gnuTLS devem ser reiniciados para que a atualização ocorra.

Embora os erros tenham sido resolvidos na versão 3.2.12, eles ainda persistem entre o público, o que gerou comparações com outros erros extremos no histórico de falhas de codificação.

O GNU tem uma falha de segurança de rede ainda pior que a da Apple... E desde 2005...<a href="http://t.co/iiuxG10XdK">T</a>

— JoergR (@JoergR)5 de março de 2014

Para obter a explicação completa do erro e como proceder caso você seja afetado,Clique aqui.

Crédito da imagem:Código de computadorvia Shutterstock