Antileed: Bitcoinin uusin kiistely selitti | FI.democraziakmzero.org

Antileed: Bitcoinin uusin kiistely selitti

Antileed: Bitcoinin uusin kiistely selitti

Kaivosluvassa siru haavoittuvuuden, joka voi käyttää kauko-ohjatusti sammuttaa bitcoin kaivoskoneisiin paljastettiin eilen - joilla on kiinteä valmistajan seuraavat pian sen jälkeen.

Ottamalla kiistanalainen kaivos siru valmistaja Bitmain, kysymys on, mitä jotkut soitat "takaoven" on koodi, joka ohjaa sen laitteisto, joka tarjoaa yritykselle tapa etänä sammuttaa kaivostyöläisten. Koska koodia, julkaistiin anonymouslylast ilta, on altis hyökkääjät, suurin huolenaihe on se, joka pahimmassa tapauksessa se voisi käyttää väärin.

Pelkona on, että huono toimijat voisivat hyödyntää haavoittuvuutta sammuttaa Bitcoin kaivoslaitteiden irtotavarana, ja Bitmain toimittaa niin paljon koneita markkinoille, vaikutus voi olla katastrofaalinen vaikutuksia Bitcoin ekosysteemin.

Tunnetaan Antbleed (otsikko suonut, jonka verkkosivusto, dramatisoinut julkaisunsa), haavoittuvuus on avoimen lähdekoodin, jonka avulla on helppo tarkistaa. Vievät paljastaa, ryhmä kerrottiin koodin ominaisuus, joidenkin kehittäjien, kuten Satoshi Labs toimitusjohtaja Marek Palatinus riippumattomasti tarkastaa, että takaoven olemassa ja että sitä voidaan käyttää lopettamaan Bitmain kaivostyöläisten laukaista.

Bitmain nopeasti respondedwith korjausta, joka poistaa tämän osan kaivosteollisuuden firmware. Edelleen, sen joukkue väitti, että ominaisuus ei koskaan valmis, ja että se oli tarkoitettu auttamaan asiakkaita palauttamaan varastetun kaivostyöläisten, menneisyyden ongelma teollisuudelle yrityksille.

Lausuma lukee:

"Emme koskaan tarkoitus käyttää tätä ominaisuutta millään Antminer ilman lupaa sen omistajalta. Tämä on samanlainen kuin kauko pyyhkiä tai sammutuksen ominaisuus tarjoamia kuuluisin älypuhelinvalmistajille."

Suuri osa viimeaikaisesta sirinä yhteisö on ympärillä, onko niin kuvattu "takaovi" olisi voitu käyttää haitallisiin tarkoituksiin, esimerkiksi sammuttaa kaivosmies, jos se ei noudata sääntöjä, jotka Bitmain.

Lisäämällä sekaannusta ovat Bitcoin kehitys on erittäin politisoitunut viime aikoina, jossa Bitmain usein istuu keskellä Bitcoin pitkäaikainen skaalaus keskustelun vastakkaisia ​​ehdotuksia kirjoittama jäsenet Bitcoin Core yhteisöä. Esimerkiksi, haavoittuvuus paljastaa seuraa allegationsthat valmistaja oli käyttäen salaista kaivos etu lisätä sen voittoja.

Keskustelussa CoinDesk, Bitcoin rajoittamaton johtava tutkija Peter Rizun saattanut tiivisti asian ja ympäröivän ilmakehän paras:

"Draamaa sosiaalisen median tänään ympäröi kysymykseen, onko olemassa tietoturva-aukko, joka sallisi tämän kauko-ohjaus toiminto voidaan hyödyntää ilkeä tarkoituksiin."

Koodi tiedot

Vaikuttaa kuitenkin siltä, ​​että on olemassa muita syitä olla huolissaan takaoven.

Koska se voidaan hyödyntää huono toimijoiden yrityksen ulkopuolelta, kaivos- sirut ovat nyt nähdään turvallisuusriski verkkoon. Jokainen 11 minuuttia, mukaan avoimen lähdekoodin patchintroduced 12. Heinäkuuta 2016 koneet lähettämään puhelut takaisin Bitmain palvelimelle.

Ajatus on, että kaivosteollisuuden valmistaja voi skannata tunnistamiseksi tietoja kaivos- siru, mukaan lukien sen sarjanumero ja IP-osoite.

Mutta luultavasti suurin huolenaihe on, että koodi ei rajoitu käyttää tietyille henkilöille tai yrityksille, joten sitä voidaan hyödyntää millä tahansa man-in-the-middle tai tulevia hyökkäyksiä samasta DNS-palvelimen.

"Ilman Bitmain ilkeä, API on tunnistamattomasta ja antaisi mitään MITM, DNS tai verkkotunnus kaappaus sulkea Antminers globaalisti", jonka Antbleed verkkosivuilla lukee edelleen hahmotellaan huoli mahdollisista teknisistä tai poliittisen väärinkäytön.

Haavoittuvuuden tai 'ilkeä' takaoven?

Onko se oli tarkoitus olla ilkeä näyttää muodostavat suurimman ympäröivän keskustelun, ja toistaiseksi näyttää siltä, ​​että ilmapiiri on rikkonut tapaan skaalauksen keskustelun.

Silti jotkut irrottautui niin sanottuja puoluerajojen.

"Tämä oli holtiton heistä poistumaan kesken ominaisuus koodi koska se on merkittävä tietoturvaongelma", sanoi Henry Brade, toimitusjohtaja Bitcoin palveluntarjoajan Prasos, menneisyyden puolustaja Bitcoin Coren skaalaus ehdotuksia.

"Kuitenkin perustuu toteamus ei ole tarkka kutsua 'Antbleed' ilkeä luonteeltaan. Se on yksinkertaisesti vakava tietoturvaongelma."

F2pool operaattori Wang Chun totesi myös, että hän ei ole erityisen huolissaan kaivostyöläisten kuulu hänen altaan uhriksi manipuloinnin Bitmain. Hän totesi keskustelussa CoinDesk, että se ei tunnu yhtiö koskaan käyttänyt sitä sammuttaa kaivostyöläisten.

"He ovat voineet tehdä niin pitkään, mutta he eivät", hän sanoi.

Guy Corem entinen toimitusjohtaja Israelin kaivostoiminnan piirin valmistajan Spondoolies-Tech, chalked asti kiista on "epäpätevyys" ja "laiminlyönti", eikä ilkivalta.

"Se järkeä he halusivat kehittää tällainen ominaisuus ja se myös järkevää he eivät täyttäneet sitä ja luopua siitä", hän lisäsi. Lisäksi hän mainitsi Spondoolies-Tech oma menneisyys issueswith varastettu kaivoslaitteiden.

Silti jotkut yhteisössä eivät skepticalofBitmain vastaus.

"Kieltäminen moni on uskomatonta. 'Antbleed' ei ole bugi tai virhettä. Tarkoituksena koodi on selvä; sammuta kaivosmies kauko lippu" Palatinus tweeted.

Julkinen info?

Toiset ovat ilmaisseet huolensa tästä heikkoudesta julkistamisesta, koska ulkopuoliset voivat sitten hyödyntää hyökkäyksestä.

Bitcoin Core avustaja Matt Corallo väitti, että omistajat näiden Bitcoin kaivostyöläisten tarvitaan tietää mahdollinen haavoittuvuus, jotta korjata sen.

"Ongelma on se jo integroituna ton käyttöön laitteiston,", hän sanoi ja lisäsi:

"Se kerrottiin Bitmain kautta että vikailmoitusta kuukautta sitten, ja niiden asiakkaat täytyy tietää suojata toimintaansa mahdollisilta [man-in-the-middle hyökkäyksiä]."

Anti Ensimmäinen raportoitu Bitmain päälle Githubin syyskuu 2016.

Yksi kysymys on, miten vallalla käytäntö on Bitcoin. Salaisuus backdoorsseem olla par kurssille teknologian maailmassa, usein piirtäminen turvallisuus ennakkoluuloton kriitikot he kattamaton. Tehdä muita laitevalmistajia on sama haavoittuvuus? Kaksi kaivos valmistajat ainakin väittävät, että he eivät.

"Meidän laitteistosi ei [ole] sellaisia ​​kysymyksiä, emme [ei] tarjoa etäpäivityksen firmware - se on asiakkaan päätös päivittää niitä vai ei", sanoi blockchain käynnistyksen Bitfury konsernin sijoitusjohtaja Alex Petrov.

"Minun kaivosmies ei ole ASICBoost tai takaoven," Jack Liao toimitusjohtaja kaivos LightningAsic, kertoi CoinDesk.

Yhdessä tietoja takaoven, jotka se havaita julkaissut korjaustiedoston, joka sulkee sen kanssa riviäkään koodia.

Mining keskittäminen

Silti on viipyvä huolestuttaa, että haavoittuvuus pettää heikkous Bitcoin verkossa - eli se on puute kaivostoiminnan siru päättäjät.

Mitään selvää olemassa tietoja siitä, kuinka monta kaivostyöläiset ovat käynnissä tämän ohjelmiston, mutta Bitmain on yksi suurimmista siru valmistajien tilaan, jossa rohkeampia arvioiden viittaa se tuottaa 70% kaikista kaivos pelimerkit.

Että takaportti voitaisiin käyttää vaikuttamaan mihinkään näistä pelimerkkejä on yllättävää huolestuttavaa puoltaa sitä, että verkko on "hajautettu" ja avoin kilpailulle, joka mahdollistaa eri toimijoiden harjoittaa sitä.

Nyt vaikutus näyttää olevan, että Bitmain ryhtyy toimiin katsomaan muualle sen codebase jotta havaita muita haavoittuvuuksia.

"Kiista ympärillä koodi on tuonut huomiomme parantaa suunnittelua, jotta haavoittuvuudet että toi esiin yhteisö äskettäin," lausunnossaan lukee.

Silti toiset surkuttelemaan tilan draaman ja keskustelu aiheen ympärille, huomata kuinka nopeasti se politisoitui.

Rizun totesi:

"All-in-all aivan tavanomaisesta Bitcoin."

Bitcoin MiningSecurityBitmain

Aiheeseen liittyvät uutiset


Post Kriittisen rikkauden kaivaminen

Miksi kaivokset osallistuvat Bitcoin-koodin muutoksiin joka tapauksessa?

Post Kriittisen rikkauden kaivaminen

Bitcoin Miners Ditch Ghash.io Pool yli pelkoja 51% Attack

Post Kriittisen rikkauden kaivaminen

Tutkimus löytää suunnittelun puutteita skaalaus ehdotuksessa Bitcoin Unlimited

Post Kriittisen rikkauden kaivaminen

Bitcoin Miner hosting-yritys HashPlex nostaa $ 400k uuteen rahoitukseen

Post Kriittisen rikkauden kaivaminen

465 dollaria käytetty Bitcoin Mining -laitteisto: Final Reckoning

Post Kriittisen rikkauden kaivaminen

Mitä odottaa, kun Bitcoin-puolijako tapahtuu

Post Kriittisen rikkauden kaivaminen

DAO kritiikki puolustaa Ethereum Hard Forkia Rite of Passage

Post Kriittisen rikkauden kaivaminen

Miksi Big Bank konsultit seurasivat Ethereumin kovaa haarukkaa

Post Kriittisen rikkauden kaivaminen

Ethereum Ice Age Incoming, Momentum rakentaa Miner Pay Cut

Post Kriittisen rikkauden kaivaminen

Ei haarukkaa, ei tulta: Segwit2x-solmut pysähtyvät hylätyn Bitcoin-koodin avulla

Post Kriittisen rikkauden kaivaminen

SegWit Lock-In: Mikä tekninen välitavoite tarkoittaa bitcoinia

Post Kriittisen rikkauden kaivaminen

BitFury takaa BIP 100 estää ehdotuksen