Група розробників Bitcoin Core запровадила комплексну політику розкриття безпеки, щоб усунути минулі недоліки в оприлюдненні критичних для безпеки помилок.

Ця нова політика спрямована на встановлення стандартизованого процесу звітування та розкриття вразливостей, тим самим підвищуючи прозорість і безпеку в екосистемі біткойн.

Кілька раніше нерозкритих уразливостей також включені в оголошення.

Що таке розкриття безпеки?

Розголошення безпеки — це процес, за допомогою якого дослідники безпеки або етичні хакери повідомляють уразливу організацію про вразливі місця, які вони виявляють у програмному забезпеченні чи системах. Мета полягає в тому, щоб дозволити організації усунути ці вразливості, перш ніж ними зможуть скористатися зловмисники. Зазвичай цей процес передбачає виявлення вразливості, конфіденційне повідомлення про неї, перевірку її існування, розробку виправлення та, нарешті, публічне оприлюднення вразливості разом із деталями та порадами щодо пом’якшення.

Чи варто хвилюватися користувачам?

Останні відомості про безпеку Bitcoin Core вирішують різні вразливості різного ступеня серйозності. Основні проблеми включають численні вразливості до відмови в обслуговуванні (DoS), які можуть спричинити збої в роботі служби, помилку віддаленого виконання коду (RCE) у бібліотеці miniUPnPc, помилки обробки транзакцій, які можуть призвести до цензури або неправильного керування вихідними транзакціями, а також уразливості мережі, такі як як збільшення буфера та переповнення часових позначок, що призводить до розриву мережі.

Вважається, що жодна з цих вразливостей наразі не становить критичного ризику для мережі біткойн. Незважаючи на це, користувачам наполегливо рекомендується переконатися, що їх програмне забезпечення оновлено.

Щоб отримати детальну інформацію, перегляньте коміти на GitHub: Розкриття інформації про основну безпеку біткойн.

Удосконалення процесу розкриття інформації

Нова політика Bitcoin Core класифікує вразливості на чотири рівні серйозності: низький, середній, високий і критичний.

  • Низький рівень серйозності: помилки, які важко використовувати або мають мінімальний вплив. Вони будуть оприлюднені через два тижні після випуску виправлення.

  • Середній і високий рівень серйозності: помилки зі значним впливом або помірною простотою використання. Вони будуть оприлюднені через рік після закінчення терміну служби останнього релізу.

  • Критична серйозність: помилки, які загрожують цілісності всієї мережі, такі як інфляція або вразливість монет, будуть розглядатися за допомогою спеціальних процедур через їх серйозну природу.

Ця політика спрямована на забезпечення послідовного відстеження та стандартизованих процесів розкриття інформації, заохочуючи відповідальне звітування та дозволяючи спільноті оперативно вирішувати проблеми.

Історія розкриття CVE у біткойнах

Протягом багатьох років біткойн зазнав кількох помітних проблем із безпекою, відомих як CVE (Common Vulnerabilities and Exposures). Ці інциденти підкреслюють важливість пильної безпеки та своєчасних оновлень. Ось кілька ключових прикладів:

CVE-2012-2459: ця критична помилка може спричинити проблеми з мережею, дозволяючи зловмисникам створювати недійсні блоки, які виглядають дійсними, потенційно тимчасово розбиваючи мережу Bitcoin. Це було виправлено у Bitcoin Core версії 0.6.1 і стимулювало подальші вдосконалення протоколів безпеки Bitcoin.

CVE-2018-17144: критична помилка, яка могла дозволити зловмисникам створювати додаткові біткойни, порушуючи принцип фіксованої пропозиції. Цю проблему було виявлено та вирішено у вересні 2018 року. Користувачам потрібно було оновити програмне забезпечення, щоб уникнути потенційної експлуатації​

Крім того, біткойн-спільнота обговорювала різні інші вразливості та можливі виправлення, які ще не реалізовані.

CVE-2013-2292: створюючи блоки, перевірка яких вимагає дуже багато часу, зловмисник може значно сповільнити роботу мережі.

CVE-2017-12842: ця вразливість може змусити легкі біткойн-гаманці подумати, що вони отримали платіж, хоча цього не було. Це ризиковано для клієнтів SPV (спрощена перевірка платежів).

Обговорення цих вразливостей підкреслює постійну потребу в скоординованих і підтримуваних спільнотою оновленнях протоколу Bitcoin. Поточні дослідження навколо ідеї консенсусного очищення soft fork спрямовані на усунення прихованих уразливостей єдиним і ефективним способом, забезпечуючи постійну надійність і безпеку мережі Bitcoin.

Підтримка безпеки програмного забезпечення – це динамічний процес, який вимагає постійної пильності та оновлень. Це перетинається з ширшими дебатами щодо окостеніння біткойнів, де основний протокол залишається незмінним для підтримки стабільності та довіри. У той час як деякі виступають за мінімальні зміни, щоб уникнути ризиків, інші стверджують, що періодичні оновлення необхідні для підвищення безпеки та функціональності.

Ця нова політика розкриття інформації від Bitcoin Core є кроком до збалансування цих перспектив, гарантуючи, що будь-які необхідні оновлення добре повідомляються та відповідально управляються.

Джерело: Bitcoin Magazine

Повідомлення Bitcoin Core оголошує про нову політику розкриття інформації про безпеку вперше з’явилося на Crypto Breaking News.