Polskie Forum Bitcoin

Informacja dla wszystkich administratorów giełd (i innych serwisów WWW). Została odkryta dziura w implementacji protokołu TLS w OpenSSL, która pozwala na zdalny odczyt pamięci serwera, co może mieć fatalne następstwa - wyciek certyfikatów SSL, a być może także kluczy prywatnych Bitcoin. Zalecana jest jak najszybsza aktualizacja do OpenSSL v1.0.1g, a także wymiana certyfikatów na nowe, bo do tej pory mogły one zostać już wykradzione, nie ma żadnego sposobu, żeby to sprawdzić. Dla chcących być naprawdę bezpiecznymi: po załataniu OpenSSL wygenerowanie nowych adresów depozytowych i przelanie na nie wszystkich monet.

Więcej informacji (po ang.):
http://heartbleed.com
https://news.ycombinator.com/item?id=7548991

Jakiś potencjalny wpływ na demony? Rekompilować wszystko na nową wersję OpenSSL ?

Grubo.

Aktualizacja do najnowszej wersji libssl/OpenSSL plus restart wszystkich usług które go używają powinno załatwić sprawę. Niestety, trzeba tez uważać wszystkie wrażliwe dane które mogą znajdować sie w pamięci serwera (klucze prywatne, certyfikaty, hasła i inne) za potencjalnie odkryte.

Ta dziura podważa zaufanie do całej komunikacji SSL bo większość Internetu bazuje na OpenSSL-u.

Jeśli ktoś znał tę dziurę wcześniej i miał okazję być in-the-middle to zna np. hasła do poczty, giełd i banków.

Najgorsze jest to, że nie wystarczy update OpenSSL.

W obliczu tego błędu wypadałoby wszystko uważać za skompromitowane (klucz prywatny serwera SSL oraz całą komunikację tego serwera z użytkownikami, czyli np. ich hasła).

Co jeszcze gorsze, nie ma sposobu by ustalić, czy dany serwer został skompromitowany, czy nie został, więc formalnie wszystkie serwery bazujące na OpenSSL wypadałoby uznać za skompromitowane.

Niebezpiecznikowi też pisze o tym:
http://niebezpiecznik.pl/post/krytyczna ... -od-2-lat/

i tu:
http://zaufanatrzeciastrona.pl/post/kry ... w-openssl/

a jak to wszystko się ma do bezpieczeństwa naszych środków na giełdach. Btc i fiatów.
Np blokada edycji danych na Bitcurexie też jest teraz do obejścia w jakiś sposób?

Update 13:13: pojawiły się zastrzeżenia do narzędzia filippo.io, nie należy tych list traktować definitywnie, w szczególności Bitcurex wydaje się już poprawiony.

W tym momencie 8 kwietnia 9:50 podatność polskich giełd przestawia się tak:

Podatne:

bitcurex.pl http://filippo.io/Heartbleed/#bitcurex.pl
bitalo.com http://filippo.io/Heartbleed/#bitalo.com
bitbay.pl http://filippo.io/Heartbleed/#bitbay.pl
btcidea.eu http://filippo.io/Heartbleed/#btcidea.eu

Odporne:

bitmarket.pl http://filippo.io/Heartbleed/#bitmarket.pl
bitmarket24.pl http://filippo.io/Heartbleed/#bitmarket24.pl
ebitex.pl http://filippo.io/Heartbleed/#ebitex.pl

Zagraniczne (wklejam z reddita):

Podatne:

INSECURE - localbitcoins.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - vip.btcchina.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitfinex.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitgo.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitstamp.net:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.cryptsy.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.virwox.com:443 has the heartbeat extension enabled and is vulnerable

Odporne:

SECURE - http://www.kraken.com:443 does not have the heartbeat extension enabled
SECURE - bitpay.com:443 does not have the heartbeat extension enabled
SECURE - blockchain.info:443 does not have the heartbeat extension enabled
SECURE - btc-e.com:443 does not have the heartbeat extension enabled
SECURE - campbx.com:443 does not have the heartbeat extension enabled
SECURE - coinbase.com:443 does not have the heartbeat extension enabled
SECURE - coinkite.com:443 does not have the heartbeat extension enabled
SECURE - vircurex.com:443 does not have the heartbeat extension enabled
SECURE - http://www.bitcoin.de:443 does not have the heartbeat extension enabled
SECURE - http://www.cavirtex.com:443 does not have the heartbeat extension enabled

PS Mojego bitfona też łapie ale to całkiem inna liga - tam nie ma żadnych kont, haseł ani bitcoinów i cały SSL jest raczej pro-forma. Jedyne co użytkownik podaje to numer telefonu.

UPDATE: bitfon.pl zaktualizowany.

na stronie podanej przez Q. można sprawdzić giełdy. Btc-e odporna, Bitstamp, BtcChina podatne.

czysto informacyjnie - bitorado.com jest odporne
http://filippo.io/Heartbleed/#bitorado.com

ciekawe jak szybko zareagują na to właściciele giełd, przez ile godzin dodatkowo będzie u nich taka dziura

brawa dla tych które są już zabezpieczone

http://filippo.io/Heartbleed/#coinnector.com
odporne

Nie wystarczy zaktualizować oprogramowania i zrestartować serwisów.

Ponieważ nie ma możliwości sprawdzenia, czy serwer został skompromitowany, trzeba założyć że został i kompletnie wymienić WSZYSTKIE KLUCZE SSL !

Giełdy, które są aktualnie podatne powinny zostać CAŁKOWICIE ZAMKNIĘTE do czasu wygenerowania nowych certyfikatów. Każda minuta ich bycia dostępnym, to możliwość włamu.

btc-e latali babola juz 6 kwietnia

qertoip pisze:W tym momencie 8 kwietnia 9:50 podatność polskich giełd przestawia się tak:

Podatne:

bitbay.pl http://filippo.io/Heartbleed/#bitbay.pl

eee Bitbay nie jest podatny, sprawdzałem ich dwie domeny market.bitbay.pl i główna i jest OK - ten skrypt heartbeata do sprawdzania podatnosci najpierw odśwież f5 i potem wprowadź kolejną domenę. Bo miałem podobny efekt sprawdzając certyfikaty mojej firmy, gdzie nasz ssl nie jest podatny na luke ( a wczesniej sprawdzalem inne domeny, które sa vulnerable

I generalnie podobny test wykonał bym z pozostalymi giełdami, choć akurat bitcurex i bitstamp podatny... ;/

beta.bitonyx.com niepoddatne
http://filippo.io/Heartbleed/#beta.bitonyx.com

P.S.
Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada

Bo certy i nginx z cloudflare ehhe Generalnie ciekawe od jakiego czasu w podziemiu kraza juz jakies knowhow jak to wykorzystac.



@ BZWBK .....
http://filippo.io/Heartbleed/#centrum24.pl


PS. Można sobie zapisać teraz numery seryjne certyfikatów podatnych giełd i porównac potem jak już załatają openssla czy zmienili certyfikaty, bo serial IMO powinien sie zmienic przy wygenerowaniu nowego certyfikatu.

virus pisze:Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada

dlatego trzeba stosować podwójna weryfikacje

virus pisze:beta.bitonyx.com niepoddatne
http://filippo.io/Heartbleed/#beta.bitonyx.com
P.S.
Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada

A bo to była jakaś alternatywa ?
Wszyscy używali tego samego, bo tylko to było używalne...

oczywiscie ze sa...
sa hardware-owe, sa komercyjne
z darmowych znam tylko OpenSSL