Invezz

Bitcoin Core -kehittäjät ottavat käyttöön uuden virheilmoituskäytännön

Bitcoin Core -kehittäjät ottavat käyttöön uuden virheilmoituskäytännön
Rony Roy
04.7.2024, 10:36 AP.
  • Käytännössä otetaan käyttöön vakiomenettelyjä haavoittuvuuksien ilmoittamiseen ja luokitteluun vakavuuden perusteella.
  • Sen tarkoituksena on korjata väärinkäsitys siitä, että Bitcoin Core ei sisällä bugeja.
  • Uusi tiedonantopolitiikka otetaan käyttöön asteittain.

Bitcoin Coren kehittäjät ovat ottaneet käyttöön uuden tietoturvakäytännön. Käytännössä vahvistetaan standardoidut raportointitoimenpiteet haavoittuvuuksista ilmoittamista varten.

Bitcoin Core on Bitcoin-solmuoperaattoreille tarkoitettu ohjelmisto, jota käytetään tapahtumien vahvistamiseen ja lohkojen rakentamiseen. Sovelluksella on ratkaiseva rooli Bitcoin-lohkoketjun turvaamisessa.

Lisää läpinäkyvyyttä

Bitcoin-ydinkehittäjä Antoine Poinsot ja viisi muuta totesivat sähköpostissa, että Bitcoin Core "on historiallisesti tehnyt huonoa työtä paljastaessaan julkisesti tietoturvakriittisiä virheitä".

Tämä luo Bitcoin-käyttäjien keskuudessa väärän käsityksen siitä, että Bitcoin Core ei sisällä bugeja. Kehittäjät uskovat kuitenkin, ettei näin ole, ja tämä "käsitys" on epätarkka ja "vaarallinen".

Tietoturvailmoitukset ovat prosessi, jonka kautta kehittäjät ja ulkopuoliset tutkijat raportoivat järjestelmän porsaanreikistä asianomaiselle organisaatiolle. Tämä käsitys on melko samanlainen kuin bug bounty -ohjelmat.

Ilmoitusprosessi sisältää tyypillisesti haavoittuvuuden havaitsemisen, siitä ilmoittamisen luottamuksellisesti, haavoittuvuuden tarkistamisen ja sen jälkeen sen julkistamisen, joka vastaa yksityiskohtia.

Osana uutta käytäntöä verkoston haavoittuvuudet luokitellaan niiden vakavuuden mukaan.

Kolme pääluokkaa haavoittuvuuksille

Matala vakavuus sisältää virheitä, joilla on vain vähän vaikutusta verkkoon. Nämä virheet on julkistettava korjauksen julkaisemisen jälkeen. Esimerkiksi lompakkovirhe, joka vaatii fyysistä pääsyä järjestelmään, luokitellaan tähän.

Keskitasoa tai korkeaa vakavuutta aiheuttavat viat paljastetaan vuosi sen jälkeen, kun viimeinen julkaisu, johon vaikuttaa, on päättynyt (EOL). Nämä käsittävät vikoja, joilla on rajoitettu vaikutus, kuten paikallisverkon etäkaatumiset.

Lopuksi kriittiset virheet, jotka aiheuttavat merkittäviä riskejä verkolle, käsiteltiin ad hoc -menettelyillä niiden vakavan luonteen vuoksi. Nämä virheet yleensä uhkaavat verkon eheyttä.

Vuosien varrella Bitcoin-verkko on kohdannut useita tietoturvaongelmia, joita kutsutaan nimellä Common Vulnerabilities and Exposures (CVE:t).

Esimerkiksi CVE-2012-2459 antaisi hyökkääjille mahdollisuuden luoda kelvollisilta näyttäviä virheellisiä lohkoja. Samaan aikaan CVE-2018-17144 antoi hyökkääjille mahdollisuuden luoda lisää Bitcoineja verkon kiinteän tarjontarajan ulkopuolella.

Poinsotin mukaan uusi käytäntö helpottaa parempaa viestintää riskeistä, jotka liittyvät Bitcoinin ydinprotokollan vanhentuneen version käyttöön.

Hän lisäsi, että näiden bugien asettaminen laajemmalle osallistujajoukolle voi "auttaa estämään tulevia".

Päivitettyä käytäntöä on kehunut kehittäjä Eric Voskuil, joka kirjoitti:

Toistaiseksi Poinsot lisäsi, että kaikki Bitcoin Coren versioissa 0.21.0 ja aiemmissa versioissa korjatut haavoittuvuudet on paljastettu. Versioiden 0.22.0 ja 0.23.0 tiedot julkaistaan heinä- ja elokuussa.

Uudet muutokset otettaisiin käyttöön "asteittain" tulevina kuukausina, hän lisäsi.