Bitcoin.org waarschuwt voor mogelijke aanval op Bitcoin Core
De website Bitcoin.org heeft een waarschuwing afgegeven voor een mogelijke aanval op de aankomende versie van Bitcoin Core, een opensource-bitcoinclient. Bitcoin.org stelt dat het reden heeft om aan te nemen dat versie 0.13.0 het doelwit van door een staat gesponsorde aanvallers zal worden.
De Bitcoin-gemeenschap, en dan met name Chinese gebruikers, worden opgeroepen extra waakzaam te zijn bij het downloaden van bestanden via bitcoin.org. "Als je niet voorzichtig bent voor het downloaden van de bestanden kun je al je bitcoins verliezen. De malware kan je computer ook gebruiken om aanvallen tegen het Bitcoin-netwerk uit te voeren", zo laat de waarschuwing weten.
Met name Chinese diensten zoals bitcoin-beurzen zouden vanwege de herkomst van de aanvallers het grootste risico lopen. Gebruikers krijgen dan ook het advies om de sleutel waarmee het bestand is gesigneerd te downloaden en vervolgens de digitale handtekening en hashes te controleren voordat de bestanden worden uitgevoerd. "Dat is de veiligste manier om er zeker van te zijn dat je de bestanden hebt die door de Core-ontwikkelaars zijn gemaakt."
Eric Lombrozo, een ontwikkelaar van Bitcoin Core, laat tegenover The Register weten dat de beheerder van bitcoin.org, een website die losstaat van het Bitcoin Core-project, de waarschuwing zonder te overleggen online heeft geplaatst. Hij zegt verder dat de bestanden van Bitcoin Core voor zover bekend niet het doelwit van door een staat gesponsorde aanvallers zijn. "Mogelijk dat bepaalde websites kunnen worden gehackt waar mensen de bestanden downloaden, maar laten we geen onnodige paranoia over de Bitcoin Core-bestanden zelf verspreiden."
iemand bang dat er een popcorn tekort ontstaat?
DNSSEC: unsigned
Dus daarmee geen DANE, dus waar gaat de website met SSL pagina komen waar de "OK" hash staat?
Uit [1]:
A bug in the random number generator of Libgcrypt and in GnuPG 1.4 has been found. Updating the software is highly suggested. Please read this mail [2] for details. Note that the CVE id in that mail is not correct, the correct one is CVE-2016-6313.
Uit [2] (CVE nummer in titel door mij gecorrigeerd):
[Announce] Security fixes for Libgcrypt and GnuPG 1.4 [CVE-2016-6313]
Hello!
The GnuPG Project is pleased to announce the availability of new Libgcrypt and GnuPG versions to *fix a critical security problem*.
Felix Dörre and Vladimir Klebanov from the Karlsruhe Institute of Technology found a bug in the mixing functions of Libgcrypt's random number generator: An attacker who obtains 4640 bits from the RNG can trivially predict the next 160 bits of output. This bug exists since 1998 in all GnuPG and Libgcrypt versions.
Impact
======
All Libgcrypt and GnuPG versions released before 2016-08-17 are affected on all platforms.
A first analysis on the impact of this bug in GnuPG shows that existing RSA keys are not weakened. For DSA and Elgamal keys it is also unlikely that the private key can be predicted from other public information. This needs more research and I would suggest _not to_ overhasty revoke keys.
[...]
Uit [3], verwijzing uit [4]:
Version: GnuPG v1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=mufP
-----END PGP PUBLIC KEY BLOCK-----
Los daarvan, hoe veilig is hun build straat (d.w.z. hoe wordt voorkomen dat kwaadwillenden hun build straat misbruiken voor het signen van malware)? Er kan veel mis gaan... (overigens ben ik een leek op het gebied van Bitcoins).
[1] https://www.gnupg.org/
[2] https://lists.gnupg.org/pipermail/gnupg-announce/2016q3/000395.html
[3] https://bitcoin.org/laanwj-releases.asc
[4] https://bitcoin.org/en/alert/2016-08-17-binary-safety
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.