Invezz

Bitcoin Core-Entwickler implementieren neue Richtlinie zur Offenlegung von Fehlern

Bitcoin Core-Entwickler implementieren neue Richtlinie zur Offenlegung von Fehlern
Rony Roy
04. Juli 2024, 09:24 AM
  • Die Richtlinie führt Standardverfahren zum Melden und Kategorisieren von Schwachstellen basierend auf der Schwere ein.
  • Ziel ist es, den Irrglauben zu korrigieren, dass Bitcoin Core fehlerfrei sei.
  • Die neue Offenlegungspolitik wird schrittweise übernommen.

Die Entwickler von Bitcoin Core haben eine neue Richtlinie zur Offenlegung von Sicherheitslücken implementiert. Die Richtlinie legt standardisierte Meldemaßnahmen für die Meldung von Schwachstellen fest.

Bitcoin Core ist eine Software für Bitcoin-Knotenbetreiber, die zum Validieren von Transaktionen und Erstellen von Blöcken verwendet wird. Die Anwendung spielt eine entscheidende Rolle bei der Sicherung der Bitcoin-Blockchain.

Mehr Transparenz

Antoine Poinsot, ein Bitcoin-Core-Entwickler, bemerkte zusammen mit fünf anderen in einer E-Mail, dass Bitcoin Core „in der Vergangenheit keine gute Arbeit geleistet hat, wenn es darum ging, sicherheitskritische Fehler öffentlich zu machen.“

Dies führt bei Bitcoin-Benutzern zu der falschen Vorstellung, dass Bitcoin Core fehlerfrei sei. Die Entwickler glauben jedoch, dass dies nicht der Fall ist und diese „Wahrnehmung“ ungenau und „gefährlich“ ist.

Sicherheitsoffenlegungen sind der Prozess, über den Entwickler und externe Forscher Schwachstellen in einem System an die betroffene Organisation melden. Dieses Konzept ist Bug-Bounty-Programmen recht ähnlich.

Der Offenlegungsprozess umfasst typischerweise das Erkennen einer Schwachstelle, deren vertrauliche Meldung, die Überprüfung der Schwachstelle und ihre anschließende öffentliche Offenlegung im Einklang mit den Einzelheiten.

Im Rahmen der neuen Richtlinie werden Schwachstellen im Netzwerk nach ihrer Schwere kategorisiert.

Drei Hauptkategorisierungen für Schwachstellen

Zu den Bugs mit geringer Schwere zählen solche, die nur minimale Auswirkungen auf das Netzwerk haben. Diese Bugs müssen nach der Veröffentlichung eines Fixes offengelegt werden. Beispielsweise würde ein Wallet-Bug, der physischen Zugriff auf ein System erfordert, hierunter fallen.

Fehler mittlerer bis schwerer Schwere würden ein Jahr nach dem Ende des Lebenszyklus (EOL) der letzten betroffenen Version bekannt gegeben. Dabei würde es sich um Fehler mit begrenzten Auswirkungen handeln, wie etwa Remote-Abstürze im lokalen Netzwerk.

Kritische Fehler, die erhebliche Risiken für das Netzwerk darstellen, werden aufgrund ihrer Schwere über Ad-hoc-Verfahren behandelt. Diese Fehler gefährden häufig die Netzwerkintegrität.

Im Laufe der Jahre kam es im Bitcoin-Netzwerk zu zahlreichen Sicherheitsproblemen, den sogenannten Common Vulnerabilities and Exposures (CVEs).

Beispielsweise ermöglichte CVE-2012-2459 Angreifern, ungültige Blöcke zu erstellen, die gültig aussahen. Unterdessen ermöglichte CVE-2018-17144 Angreifern, zusätzliche Bitcoins außerhalb der festen Angebotsobergrenze des Netzwerks zu erstellen.

Laut Poinsot wird die neue Richtlinie eine bessere Kommunikation über die Risiken ermöglichen, die mit der Ausführung einer veralteten Version des Bitcoin-Kernprotokolls verbunden sind.

Er fügte hinzu, dass die Bereitstellung dieser Fehler für eine breitere Gruppe von Mitwirkenden dazu beitragen könne, „künftige Fehler zu verhindern“.

Die aktualisierte Richtlinie wurde vom Entwickler Eric Voskuil gelobt, der schrieb:

Poinsot fügte hinzu, dass bis jetzt alle in Bitcoin Core Version 0.21.0 und früher behobenen Schwachstellen offengelegt wurden. Die Offenlegung der Versionen 0.22.0 und 0.23.0 ist für Juli und August geplant.

Die neuen Änderungen würden in den kommenden Monaten „schrittweise übernommen“, fügte er hinzu.