Tę lukę wykrytą w protokole obsługującym transakcje Bitcoin ukrywano przez dwa lata

To bardzo ciekawy przypadek w świecie IT. Dopiero teraz wyszło na jaw, że w oprogramowaniu zarządzającym transakcjami finansowymi bazującymi na wirtualnej walucie Bitcoin wykryto dwa lata temu groźną podatność i nie podano wtedy tej informacji do publicznej wiadomości. Zrobiono tak aby nie dowiedzieli się o tym hakerzy i nie zaczęli atakować gremialnie systemów wykorzystujących technologię blockchain, na której bazują takie transakcje.

Bitcoin

Szczegóły techniczne opisujące szczegółowo tę podatność – której nadaną nazwę INVDoS - opublikowano dopiero w zeszłym tygodniu w momencie, gdy do publicznej wiadomości przedostała się wiadomość iż podobną lukę wykryto w oprogramowaniu obsługującym inną kryptowalutę.

Lukę INVDoS można wykorzystać do przeprowadzania klasycznych ataków typu DoS (to bombardowanie systemu tak dużą liczbą zapytań, że w pewnym momencie przestaje on świadczyć usługi i zawiesza się. Podatność INVDoS została odkryta w 2018 roku przez Braydona Fullera, informatyka specjalizującego go się w projektowaniu systemów obsługujących kryptowaluty.

Zobacz również:

Odkrył on, iż znając tę lukę – umiejscowioną w protokole obsługującym transakcje blochchain - haker może spreparować zapytania kierowane do serwera w taki sposób, że zainstalowana w nim pamięć ulega przepełnienia (błąd „out of memory”) i cały system zawiesza się.

Dobra wiadomość jest taka, że przez ostanie dwa lata nie odnotowano żadnych prób włamywania się do systemów blochchain, które próbowały wykorzystać tę lukę, a informacja o podatności została już w pilnym trybie przekazana wszystkim zainteresowanym stronom. Pojawiła się też natychmiast łata oznaczona symbolem CVE-2018-17145.

Ważne jest też to, że opis łaty – umieszczony tutaj na witrynie instytutu NIST; National Institute of Standards and Technology - nie zawiera żadnych szczegółowych informacji, które mogłyby posłużyć hakerom do prób ominięcia tej podatności. Jest tylko sucha informacja o tym, czego ona dotyczy.


TOP 200