bug cripto Critical deixa linux, centenas de aplicativos aberta para espionagem ars technica bitcoin conf

Centenas de pacotes de código aberto, incluindo o Red Hat, Ubuntu, e distribuições Debian de Linux, são suscetíveis a ataques que contornam a tecnologia mais amplamente usado para evitar a espionagem na Internet, graças a uma vulnerabilidade extremamente crítica em uma biblioteca de código criptográfico utilizado .

O bug na biblioteca GnuTLS torna trivial para os atacantes para contornar camada Secure Sockets (SSL) e proteções Transport Layer Security (TLS) disponíveis em sites que dependem do pacote de código aberto que é Bitcoin e como ele funciona. As estimativas iniciais incluídos nas discussões da Internet como este indicam que mais de 200 diferentes sistemas operacionais ou aplicativos dependem GnuTLS para implementar SSL crucial e operações TLS, mas não seria surpreendente se o número real é muito maior.


aplicações web, programas de e-mail, e outros códigos que usam a biblioteca são vulneráveis ​​a ataques que permitem conexões de monitoramento atacantes para decodificar silenciosamente passando tráfego criptografado entre os usuários finais e servidores.

O bug é o resultado de comandos em uma seção do código GnuTLS que verificar a autenticidade dos certificados TLS, que são muitas vezes conhecidos simplesmente como certificados X509. O erro de codificação, que podem ter estado presentes no código desde 2005, provoca verificações críticos a serem terminadas, traçando paralelos irónico ao extremamente crítico "Goto falhar" falha que por meses colocar os usuários de iOS da Apple e sistemas operacionais OS X em risco de ataques de espionagem sub-reptícios. desenvolvedores da Apple, desde então corrigiu o bug.

"descobriu-se que GnuTLS não lidar corretamente com determinados erros que podem ocorrer durante a verificação de um certificado X.509, fazendo-a relatar incorretamente a verificação bem sucedida," um aviso emitido pela Red Hat alertou. "Um invasor pode usar essa falha para criar um certificado especial que pode ser aceito por GnuTLS como válido para um local escolhido pelo atacante."

desenvolvedores GnuTLS publicado este comunicado de esqueleto que insta todos os usuários atualizem para a versão 3.2.12 bitcoin comentários 2017. A falha, formalmente indexados como CVE-2014-0092, é descrito por um desenvolvedor GnuTLS como "um importante (e, ao mesmo tempo embaraçoso) bug descoberto durante uma auditoria para a Red Hat." consultivo do Debian é aqui bitcoin onde comprar. parente distante de “goto falhar”

Leitura complementar New iOS falha faz com que dispositivos suscetíveis a keylogging secreta, os pesquisadores Sayas foi o caso com bug criptografia crítica da semana passada da Apple, a vulnerabilidade GnuTLS é o resultado de alguém cometer erros no código fonte que controla as funções críticas do programa. Desta vez, em vez de um único extraviado "Goto falhar" comando, os erros envolvem erros com vários "limpeza Goto" chama é mineração bitcoin pena 2017. O programa GnuTLS, por sua vez, termina prematuramente seções de código que são supostamente para estabelecer conexões TLS seguros só depois o outro lado apresenta um certificado X509 válido assinado por uma fonte confiável. Atacantes podem explorar o erro, apresentando sistemas vulneráveis ​​com um certificado fraudulento que nunca é rejeitada, apesar de sua incapacidade de passar por verificações de segurança de rotina. A falha pode permitir que atacantes usando um certificado auto-assinado para posar como o operador cryptographically autenticado de um site vulnerável e para descriptografar comunicações protegidas bitcoin preço hoje INR. É significativo que ninguém conseguiu perceber tais erros gritantes, especialmente desde que foram contidas no código que qualquer pessoa pode rever.

Os pesquisadores de segurança ainda estão estudando a vulnerabilidade e avaliar seu efeito sobre a grande variedade de sistemas operacionais e aplicativos que dependem GnuTLS bitcoin mineração na Índia. No momento, os leitores devem assumir que a gravidade é fundamental, dada a quantidade estonteante de código a jusante que podem ser afetados. Um exemplo: o apt-get instalador algumas distribuições de uso Linux para distribuir e atualizar aplicativos depende de GnuTLS, embora exploits contra o pacote provavelmente pode ser pego por código de assinatura criptográfica do programa baixado (graças aos leitores por apontar este nível secundário de proteção) atual preço do bitcoin em usd. A versão 3 do lib-onda, que é distribuído no Debian e Ubuntu, também depende GnuTLS. Algumas aplicações de redes baseadas em Ubuntu do Debian e virtuais privadas que trabalham com hardware Cisco Systems também são afetados o que é bitcoin endereço carteira. Esta lista vai sobre e sobre.

Certamente, o fato de que um projeto é Open Source não é garantia de sua qualidade. Como codificadores você tem que saber WTF você está fazendo, e os autores GnuTLS fez claramente não / não melhor carteira bitcoin para mac. É como se um dia alguém decidiu "Eu vou escrever uma biblioteca TLS! Só uma coisa, o que é TLS?"

Os caras GnuTLS não sabia nada sobre certificados X.509, que são fundamentais para a segurança TLS. Eles não sabiam nada sobre a arquitetura de software, o que levou a inúmeros problemas, como documentado aqui https://bugs.launchpad.net/debian/+sour … bug / 423252

Em particular, eles criaram uma biblioteca (libgcrypt) com requisitos de uso ("O aplicativo de chamada deve chamar esta função init antes de qualquer outro uso da biblioteca") Que eram impossíveis de cumprir no mundo real. (Porque pam ou nss pode estar usando a biblioteca de segurança, e qualquer aplicação seria usá-lo indiretamente, e não têm conhecimento de que libgcrypt estava correndo por baixo, e não há maneira de responder às suas necessidades de inicialização.)

Eu não apenas dizer que o código era ruim ganhar 1 bitcoin por dia livre. Eu disse que o código foi claramente escritos por pessoas que não sabiam o que estavam fazendo, e que levaria uma reescrita * completa por programadores competentes * para torná-lo utilizável. O projeto era ruim, e não apenas a implementação.