Может Bitcoin ядра быть скомпрометировано Heartbleed - это частные ключи подвергаются? - Как? | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
Может Bitcoin ядра быть скомпрометировано Heartbleed — это частные ключи подвергаются? — Как?

9 апреля 2014, 10:51:24 AM	# 1
колокольчик-рапунцель Сообщения: 1120 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Некоторые вопросы о Heartbleed и Bitcoin Core: Может кто-нибудь описать, как атака будет работать, если кто-то использовал Bitcoin Ядро 0.9.0 и нажал на "Bitcoin:" ссылка? Могут ли частные ключи быть скомпрометированы, даже если я сгенерирован "Bitcoin:" связать себя и нажал его, чтобы увидеть, как новая функция оплаты работала? В этом случае, как частные ключи были бы разоблачены? Из-за MITM? Как это работает? Будет ли кошелек быть отнесен под угрозой, если я нажал на "Bitcoin:" ссылка, но не проходят через плату, и, таким образом, я не подписывать какие-либо сделки? Я просто не могу обернуть мою голову вокруг него еще.

Как заработать Биткоины?
Без вложений. Не майнинг.

9 апреля 2014, 11:24:46 AM	# 2
Wumpus Сообщения: 812 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Получил 1806 Биткоинов Реальная история. Bitcoin: ссылки могут содержать ссылку на запрос оплаты (начиная с 0.9), либо по HTTP или HTTPS. Торговец может, таким образом, чтобы ваш клиент получать запрос на оплату от враждебного сервера SSL. Из-за характера heartbleed ошибки OpenSSL может просочиться до 64k памяти на сервере. Если эта память случается содержать приватные ключи, вы просачиваться закрытыми ключами. Это маловероятно, но возможно, поэтому обновление до 0.9.1 настоятельно рекомендуется. Если вы использовали свой собственный Bitcoin: идентификаторы URI (которые не запрашивали запрос на оплату от сервера HTTPS) Вы в безопасности.

9 апреля 2014, 12:34:28 PM	# 3
Wolf0 Сообщения: 1764 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: Wumpus от 09 апреля 2014, 11:24:46 AM Bitcoin: ссылки могут содержать ссылку на запрос оплаты (начиная с 0.9), либо по HTTP или HTTPS. Торговец может, таким образом, чтобы ваш клиент получать запрос на оплату от враждебного сервера SSL. Из-за характера heartbleed ошибки OpenSSL может просочиться до 64k памяти на сервере. Если эта память случается содержать приватные ключи, вы просачиваться закрытыми ключами. Это маловероятно, но возможно, поэтому обновление до 0.9.1 настоятельно рекомендуется. Если вы использовали свой собственный Bitcoin: идентификаторы URI (которые не запрашивали запрос на оплату от сервера HTTPS) Вы в безопасности. Кроме того, RPC SSL. Если вы не знаете, что это такое, что вы не используете его, хотя.

10 апреля 2014, 2:52:38 AM	# 4
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: Wolf0 от 09 апреля 2014, 12:34:28 PM Кроме того, RPC SSL. Если вы не знаете, что это такое, что вы не используете его, хотя. Я проверил RPC SSL довольно обширно с этой атакой и не смогли заставить его течь больше ничего частного, чем запрос предварительного Rpc. Это не удивительно, OpenSSL в основном имеет свой собственный аллокатор и не освобождает память. Хотя я не могу обещать, что не существует какая-то сумасшедшая последовательность операций, которая позволяет просачиваться что-то еще в случае RPC, представляется маловероятным, и я не мог заставить его сделать это на практике. Я не был в состоянии получить фальшивый сервер SSL работает, чтобы попытаться его запуска в случае платежного протокола. Я хотел бы надеяться, ожидать, что поведение будет похоже, но, так как я даже не проверял, я менее уверен.

10 апреля 2014, 9:37:21 PM	# 5
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? https://github.com/Lekensteyn/pacemaker немного сервер SSL для проверки SSL-клиентов для heartbleed уязвимости. Я установил Bitcoin версию ядра 0.9.0 на моем Mac (скомпилированную против уязвимого OpenSSL 1.0.1f), создал веб-страницу, чтобы запустить запрос на платеж получать от кардиостимулятора ... ... и я получаю хорошие новости: Код: Соединение с: 127.0.0.1:62937 Возможно, не уязвимы Шаг за шагом, так что вы можете помочь тест на другой ОС: мерзавец клон https://github.com/Lekensteyn/pacemaker.git кд кардиостимулятора питон pacemaker.py Запуск ядра GUI Bitcoin версии 0.9.0 В Вашем браузере, посещение https://bitcoincore.org/~gavin/heartbleed.html pacemaker.py должен сообщить соединение, а затем либо сказать "Клиент возвращаются байты ли" или "Возможно, не уязвимы" Она смотрит на меня, как pacemaker.py работает; посещение https://127.0.0.1:4433/ в Chrome кардиостимулятор говорит мне: Код: Соединение с: 127.0.0.1:62514 Клиент вернулся 7 (0x7) байт 0000: 03 03 15 00 02 02 2f ...... / Это не является окончательным "нет необходимости беспокоиться, даже если вы нажали на платежно-протокол с поддержкой Bitcoin: ссылки на ненадежном сайте" ... но, учитывая доказательства, что я видел, мне кажется, закрытые ключи крайне маловероятно, ничьи были скомпрометированы.

11 апреля 2014, 1:54:35 AM	# 6
испорчены Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Спасибо для очистки все это ребята.

11 апреля 2014, 8:30:59 AM	# 7
колокольчик-рапунцель Сообщения: 1120 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Wumpus, Грегори, Гэвин: Большое спасибо за ваши усилия. Вы все делаете большую работу, это должно быть сказано!

11 апреля 2014, 1:29:24 PM	# 8
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? FWIW, я абсолютно не согласен с тем, как команда OpenSSL решена heartbleed ошибка. Кулак всего, сама проблема возникает проблема не в это изменение, но в это один (или, может быть, даже раньше, когда они ввели внутреннюю кучу памяти, к библиотеке). "Память сохранения патч" - действительно? Этот парень завернул его очень хорошо: http://article.gmane.org/gmane.os.openbsd.misc/211963 Если бы они не представили собственную кучу для OpenSSL, в первую очередь, это heartbleed ошибка была бы причиной нарушения доступа к памяти, и этот вопрос будет замечен долго эго. Кроме того, единственная причина для Lib безопасности, чтобы иметь свой собственный менеджер кучи, чтобы обеспечить более высокий уровень безопасности - это означает: убедитесь, чтобы очистить всю память, освобождая ее. То, что это куча делает вместо того, чтобы действительно убедиться, что память не очищается, независимо от того, как вы построили LIB! Так любой буфер вы выделяете, в любой функции, есть достойные изменения, которые вы получите его заполнены некоторые важные данные, как частный ключ, используемый только минуту назад. И поэтому, зная жизнь, я почти уверен, что есть и другие функции, которые просачиваются приватные данные из внутренней кучи OpenSSL, - его просто вопрос времени, прежде чем кто-то находит их. Правильный способ решить эту проблему было фиксируя внутреннюю кучу (сделать это, чтобы очистить память во время освобождения), или просто удалить его, потому что не нужно было в первую очередь. Но окончательно не просто фиксируя его как это, абстрагируясь от реальной первопричины. С другой стороны, это разработчик (который использует эту ОМТ) обязанность очистить все важные данные из памяти, перед освобождением любого буфера, который будет содержать его, и предпочтительно даже раньше; как только решающие данные больше не нужны. Но, видимо, только немногие разработчики на самом деле сделать это и Bitcoin основного devels, кажется, не быть в этом списке ... наконец, насколько я проверил этот код. Так, позор вам тоже!

11 апреля 2014, 3:17:26 PM	# 9
Loozik Сообщения: 378 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Является ли это вектор атаки можно? 1. Кто-то заражает свой компьютер вредоносным / скачать вредоносное себя. 2. Цель этой вредоносной программы заключается в поддержании соединения SSL между вашим компьютером и сервером злоумышленника или целями данной вредоносной программы, чтобы вызвать такое соединение SSL один раз каждые несколько часов. 3. С помощью этой вредоносной программы-индуцированное соединение SSL злоумышленник получает доступ к данным RAM на постоянной или периодической основе.

11 апреля 2014, 3:20:21 PM	# 10
dserrano5 Сообщения: 1848 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: Loozik от 11 апреля 2014 года, 3:17:26 PM 3. С помощью этой вредоносной программы-индуцированное соединение SSL злоумышленник получает доступ к данным RAM на постоянной или периодической основе. Только память пораженного процесса сбрасывается, остальная часть системы безопасности. Если этот процесс не работает с повышенными привилегиями, но в этом случае вам не нужен уязвимый OpenSSL, чтобы выиграть.

11 апреля 2014, 3:32:43 PM	# 11
Loozik Сообщения: 378 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: dserrano5 от 11 апреля 2014 года, 3:20:21 PM Только память пораженного процесса сбрасывается, остальная часть системы безопасности. Так что, если пораженный процесс происходит с firefox.exe, то злоумышленник получит пароли, которые я использую для входа на биржах и Webmails и т.д.?

11 апреля 2014, 4:12:59 PM	# 12
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? При дальнейшем тестировании, это выглядит как OSX и Linux запросы протокола платежа с освобожденными 0.9.0 двоичные файлы не являются уязвимыми. Освобожденные для Windows 0.9.0 двоичные файлы уязвимы, поэтому Wladimir просто послал предупреждающее сообщение убеждая всех работает 0.9.0 обновить. Цитата: piotr_n от 11 апреля 2014 года, 1:29:24 PM Но, видимо, только немногие разработчики на самом деле сделать это и Bitcoin основного devels, кажется, не быть в этом списке ... наконец, насколько я проверил этот код. Так, позор вам тоже! Проверить снова; увидеть использование CKeyingMaterial / CPrivKey, который использует secure_allocator (который запрашивает операционную систему, чтобы не поменять память на диск, и которые нули памяти на свободном). Если я правильно помню, RPC importprivkey должен быть единственным местом, где используется нормальная Распределитель памяти (ключи существуют как обычные шестигранные строки в памяти, прежде чем они обрабатываются кодом importprivkey). Тщательный обзор (и тестирование и патчи) всегда приветствуются, конечно. Вы не должны доверять своему лихо неисправную память.

12 апреля 2014, 11:21:25 AM	# 13
piotr_n Сообщения: 1778 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: Гэвин Андресен на 11 апреля 2014 года, 4:12:59 PM Цитата: piotr_n от 11 апреля 2014 года, 1:29:24 PM Но, видимо, только немногие разработчики на самом деле сделать это и Bitcoin основного devels, кажется, не быть в этом списке ... наконец, насколько я проверил этот код. Так, позор вам тоже! Проверить снова; увидеть использование CKeyingMaterial / CPrivKey, который использует secure_allocator (который запрашивает операционную систему, чтобы не поменять память на диск, и которые нули памяти на свободном). Если я правильно помню, RPC importprivkey должен быть единственным местом, где используется нормальная Распределитель памяти (ключи существуют как обычные шестигранные строки в памяти, прежде чем они обрабатываются кодом importprivkey). Понимаю. Извини, я виноват. Позор на меня, потом! Ну в таком случае, последствие уязвимости не должно быть настолько большим в конце концов, даже если эксплуатировали. Если ключи не остались там, в куче, не злоумышленник не сможет получить их. В другой стороны, чтобы быть действительно уверен, один будет нужно копаться в реальный код OpenSSL, и аудит, что нигде там такие "обеспеченный" память, копируется в некоторые промежуточные буферы. Я имею в виду, во время любой из операций, которые связаны какой-то секрет (собств ключ или пароль).

15 апреля 2014, 12:35:20 AM	# 14
Wolf0 Сообщения: 1764 Цитировать по имени цитировать ответ	Re: Может ли Bitcoin ядро быть скомпрометирована Heartbleed - это частные ключи подвергаются? - Как? Цитата: Loozik от 11 апреля 2014 года, 3:17:26 PM Является ли это вектор атаки можно? 1. Кто-то заражает свой компьютер вредоносным / скачать вредоносное себя. 2. Цель этой вредоносной программы заключается в поддержании соединения SSL между вашим компьютером и сервером злоумышленника или целями данной вредоносной программы, чтобы вызвать такое соединение SSL один раз каждые несколько часов. 3. С помощью этой вредоносной программы-индуцированное соединение SSL злоумышленник получает доступ к данным RAM на постоянной или периодической основе. Если заразить ваш компьютер вредоносных программ, они не должны. Они захватить ваш пароль и загрузить свой кошелек на удаленный сервер. Игра закончена.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW