Um grupo de desenvolvedores do Bitcoin Core introduziu uma política abrangente de divulgação de segurança para solucionar deficiências anteriores na divulgação de bugs críticos à segurança.
Esta nova política visa estabelecer um processo padronizado para relatar e divulgar vulnerabilidades, melhorando assim a transparência e a segurança dentro do ecossistema Bitcoin.
Várias vulnerabilidades não divulgadas anteriormente também estão incluídas no anúncio.
O que é uma divulgação de segurança?
Uma divulgação de segurança é um processo por meio do qual pesquisadores de segurança ou hackers éticos relatam vulnerabilidades que descobrem em software ou sistemas à organização afetada. O objetivo é permitir que a organização resolva essas vulnerabilidades antes que elas possam ser exploradas por agentes mal-intencionados. Este processo normalmente envolve a descoberta da vulnerabilidade, relatá-la confidencialmente, verificar sua existência, desenvolver uma correção e, finalmente, divulgar publicamente a vulnerabilidade juntamente com detalhes e conselhos de mitigação.
Os usuários devem estar preocupados?
As últimas divulgações de segurança do Bitcoin Core abordam várias vulnerabilidades com gravidade variável. Os principais problemas incluem múltiplas vulnerabilidades de negação de serviço (DoS) que podem causar interrupções de serviço, uma falha de execução remota de código (RCE) na biblioteca miniUPnPc, bugs de manipulação de transações que podem levar à censura ou gerenciamento inadequado de transações órfãs e vulnerabilidades de rede como como explosão de buffer e estouro de carimbo de data/hora, levando a divisões de rede.
Não se acredita que nenhuma dessas vulnerabilidades represente atualmente um risco crítico para a rede Bitcoin. Independentemente disso, os usuários são fortemente encorajados a garantir que seu software esteja atualizado.
Para obter informações detalhadas, consulte os commits no GitHub: Bitcoin Core Security Disclosures.
Melhorando o processo de divulgação
A nova política do Bitcoin Core categoriza as vulnerabilidades em quatro níveis de gravidade: Baixo, Médio, Alto e Crítico.
Baixa gravidade: Bugs difíceis de explorar ou com impacto mínimo. Eles serão divulgados duas semanas após o lançamento de uma correção.
Gravidade Média e Alta: Bugs com impacto significativo ou facilidade moderada de exploração. Eles serão divulgados um ano após o último lançamento afetado atingir o fim da vida útil (EOL).
Gravidade crítica: Bugs que ameaçam a integridade de toda a rede, como vulnerabilidades de inflação ou roubo de moedas, serão tratados com procedimentos ad-hoc devido à sua natureza grave.
Esta política visa fornecer rastreamento consistente e processos de divulgação padronizados, incentivando relatórios responsáveis e permitindo que a comunidade resolva os problemas prontamente.
História das divulgações de CVE em Bitcoin
O Bitcoin passou por vários problemas de segurança notáveis, conhecidos como CVEs (Common Vulnerabilities and Exposures), ao longo dos anos. Esses incidentes destacam a importância de práticas de segurança vigilantes e atualizações oportunas. Aqui estão alguns exemplos importantes:
CVE-2012-2459: Este bug crítico pode causar problemas de rede, permitindo que invasores criem blocos inválidos que pareçam válidos, potencialmente dividindo temporariamente a rede Bitcoin. Foi corrigido na versão 0.6.1 do Bitcoin Core e motivou novas melhorias nos protocolos de segurança do Bitcoin.
CVE-2018-17144: Um bug crítico que poderia ter permitido que invasores criassem Bitcoins extras, violando o princípio de fornecimento fixo. Este problema foi descoberto e corrigido em setembro de 2018. Os usuários precisavam atualizar seu software para evitar possível exploração.
Além disso, a comunidade Bitcoin discutiu várias outras vulnerabilidades e possíveis soluções que ainda não foram implementadas.
CVE-2013-2292: Ao criar blocos que demoram muito para serem verificados, um invasor pode tornar a rede significativamente mais lenta.
CVE-2017-12842: Esta vulnerabilidade pode fazer com que carteiras Bitcoin leves pensem que receberam um pagamento quando não o fizeram. Isso é arriscado para clientes SPV (Verificação Simplificada de Pagamento).
A conversa sobre essas vulnerabilidades ressalta a necessidade contínua de atualizações coordenadas e apoiadas pela comunidade no protocolo Bitcoin. A pesquisa em andamento em torno da ideia de um soft fork de limpeza de consenso busca abordar vulnerabilidades latentes de maneira unificada e eficiente, garantindo a robustez e segurança contínuas da rede Bitcoin.
Manter a segurança do software é um processo dinâmico que requer vigilância e atualizações contínuas. Isto se cruza com o debate mais amplo sobre a ossificação do Bitcoin – onde o protocolo central permanece inalterado para manter a estabilidade e a confiança. Enquanto alguns defendem mudanças mínimas para evitar riscos, outros argumentam que atualizações ocasionais são necessárias para aumentar a segurança e a funcionalidade.
Esta nova política de divulgação do Bitcoin Core é um passo para equilibrar essas perspectivas, garantindo que quaisquer atualizações necessárias sejam bem comunicadas e gerenciadas de forma responsável.
Fonte: Revista Bitcoin
O posto Bitcoin Core anuncia nova política de divulgação de segurança apareceu pela primeira vez em Crypto Breaking News.
