Bitcoin Core führt neue Richtlinie zur Offenlegung von Sicherheitsdaten ein

Die Betreuer der primären Bitcoin-Software-Implementierung haben eine neue Richtlinie zur Offenlegung von Sicherheitsproblemen angekündigt, um die Kommunikation über Sicherheitsprobleme zu verbessern.

Diese Richtlinie zielt darauf ab, ein standardisiertes Verfahren für das Melden und Aufdecken von Schwachstellen zu schaffen und damit die Transparenz und Sicherheit innerhalb der Bitcoin-Community zu erhöhen.

Die Ankündigung umfasst auch mehrere bisher nicht bekannt gegebene Sicherheitslücken.

‍

Verstehe die Sicherheitsoffenlegung

Bei einer Sicherheitsoffenlegung informieren Sicherheitsforscher oder ethische Hacker die betreffende Organisation über Schwachstellen, die sie in Software oder Systemen gefunden haben. Ziel ist es, die Organisation in die Lage zu versetzen, diese Schwachstellen zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können. Der Prozess umfasst in der Regel die Entdeckung der Schwachstelle, die vertrauliche Meldung, die Überprüfung, die Entwicklung einer Lösung und schließlich die öffentliche Bekanntgabe der Schwachstelle zusammen mit Empfehlungen zur Behebung.

‍

Sollten die Nutzer besorgt sein?

Die neuesten Enthüllungen von Bitcoin Core betreffen verschiedene Schwachstellen mit unterschiedlichem Schweregrad. Zu den wichtigsten Problemen gehören mehrere Denial-of-Service (DoS)-Schwachstellen, die Dienste unterbrechen könnten, ein RCE-Fehler (Remote Code Execution) in der miniUPnPc-Bibliothek, Fehler in der Transaktionsverarbeitung, die zu Zensur oder falscher Behandlung verwaister Transaktionen führen könnten, sowie Netzwerkschwachstellen wie Pufferüberlauf und Zeitstempelüberlauf, die Netzwerkspaltungen verursachen könnten.

Es wird davon ausgegangen, dass keine dieser Sicherheitslücken derzeit ein kritisches Risiko für das Bitcoin-Netzwerk darstellt. Allerdings wird den Nutzern dringend empfohlen, ihre Software auf dem neuesten Stand zu halten.

Detailliertere Informationen finden Sie in den Commits auf GitHub: Bitcoin Core Security Disclosures.

‍

Verbesserung des Offenlegungsprozesses

Die neue Richtlinie von Bitcoin Core klassifiziert Schwachstellen in vier Schweregrade: Niedrig, Mittel, Hoch und Kritisch.

• Geringer Schweregrad: Dies sind Fehler, die schwer auszunutzen sind oder nur minimale Auswirkungen haben. Sie werden zwei Wochen nach der Veröffentlichung eines Fixes bekannt gegeben.

• Mittlerer und hoher Schweregrad: Dies sind Fehler, die erhebliche Auswirkungen haben oder leicht ausgenutzt werden können. Sie werden nach einem Jahr bekannt gegeben.

• Kritischer Schweregrad: Fehler, die die Integrität des gesamten Netzes gefährden, z. B. solche, die Inflation oder Bitcoin Diebstahl verursachen, werden aufgrund ihrer Schwere mit Ad-hoc-Verfahren behandelt.

Diese Richtlinie soll eine einheitliche Verfolgung und standardisierte Offenlegungsprozesse gewährleisten, eine verantwortungsvolle Berichterstattung fördern und es der Community ermöglichen, Probleme umgehend anzugehen.

‍

Geschichte der CVE-Enthüllungen in Bitcoin

Bitcoin ist im Laufe der Jahre auf mehrere bedeutende Sicherheitsprobleme gestoßen, die als CVEs (Common Vulnerabilities and Exposures) bekannt sind. Diese Vorfälle unterstreichen, wie wichtig es ist, wachsame Sicherheitspraktiken aufrechtzuerhalten und zeitnahe Updates zu implementieren. Bemerkenswerte Beispiele sind:

• CVE-2012-2459: Dieser kritische Fehler konnte zu Netzwerkproblemen führen, indem er Angreifern erlaubte, ungültige Blöcke zu erstellen, die als gültig erschienen, wodurch das Bitcoin-Netzwerk möglicherweise vorübergehend gespalten wurde. Er wurde in Bitcoin Core Version 0.6.1 behoben und führte zu weiteren Verbesserungen in den Sicherheitsprotokollen von Bitcoin.

• CVE-2018-17144t: Ein kritischer Fehler, der es Angreifern ermöglicht haben könnte, zusätzliche Bitcoin zu erzeugen und damit das Prinzip der festgeschriebenen Anzahl der Bitcoin zu verletzen. Dieses Problem wurde im September 2018 erkannt und behoben. Die Benutzer mussten ihre Software aktualisieren, um eine mögliche Ausnutzung zu verhindern.

Darüber hinaus hat die Bitcoin Community verschiedene andere Schwachstellen und mögliche Abhilfemaßnahmen in Betracht gezogen, die jedoch noch nicht umgesetzt wurden.

• CVE-2013-2292: Ein Angreifer könnte das Netzwerk erheblich verlangsamen, indem er Blöcke erstellt, deren Verifizierung sehr lange dauert.

• CVE-2017-12842: Diese Schwachstelle kann leichtgewichtigen Bitcoin-Wallets vorgaukeln, dass sie eine Zahlung erhalten haben, obwohl dies nicht der Fall war, was ein Risiko für SPV-Kunden (Simplified Payment Verification) darstellt.

‍

Diese Diskussionen unterstreichen die Notwendigkeit von koordinierten und von der Community unterstützten Updates des Bitcoin-Protokolls. Laufende Forschung rund um eine Konsensbereinigung Soft Fork versucht, latente Schwachstellen in einer einheitlichen und effizienten Weise zu adressieren, um die anhaltende Robustheit und Sicherheit des Bitcoin-Netzwerks zu gewährleisten.

Die Gewährleistung der Softwaresicherheit ist eine ständige Aufgabe, die eine kontinuierliche Überwachung und Aktualisierung erfordert. Dies überschneidet sich mit der größeren Debatte über die Bitcoin-Verknöcherung, bei der die Beibehaltung des Kernprotokolls als wesentlich für Stabilität und das Vertrauen angesehen wird. Einige befürworten minimale Änderungen, um Risiken zu minimieren, während andere glauben, dass regelmäßige Updates notwendig sind, um die Sicherheit und Funktionalität zu verbessern.

Die neue Veröffentlichungspolitik von Bitcoin Core versucht, diese Ansichten auszubalancieren, indem sie garantiert, dass alle wichtigen Updates effektiv kommuniziert und verantwortungsvoll gehandhabt werden.

‍