Un grupo de desarrolladores de Bitcoin Core ha introducido una política integral de divulgación de seguridad para abordar las deficiencias del pasado en la publicidad de errores críticos para la seguridad.
Esta nueva política tiene como objetivo establecer un proceso estandarizado para informar y revelar vulnerabilidades, mejorando así la transparencia y la seguridad dentro del ecosistema de Bitcoin.
En el anuncio también se incluyen varias vulnerabilidades no reveladas anteriormente.
¿Qué es una divulgación de seguridad?
Una divulgación de seguridad es un proceso mediante el cual los investigadores de seguridad o los piratas informáticos éticos informan a la organización afectada las vulnerabilidades que descubren en el software o los sistemas. El objetivo es permitir que la organización aborde estas vulnerabilidades antes de que puedan ser explotadas por actores maliciosos. Este proceso generalmente implica descubrir la vulnerabilidad, informarla de manera confidencial, verificar su existencia, desarrollar una solución y, finalmente, revelar públicamente la vulnerabilidad junto con detalles y consejos de mitigación.
¿Deberían preocuparse los usuarios?
El último núcleo de Bitcoin divulgaciones de seguridad abordar diversas vulnerabilidades con distinta gravedad. Los problemas clave incluyen múltiples vulnerabilidades de denegación de servicio (DoS) que podrían causar interrupciones en el servicio, una falla de ejecución remota de código (RCE) en la biblioteca miniUPnPc, errores en el manejo de transacciones que podrían conducir a censura o gestión inadecuada de transacciones huérfanas y vulnerabilidades de red como como la explosión del búfer y el desbordamiento de la marca de tiempo que provocan divisiones de la red.
No se cree que ninguna de esas vulnerabilidades presente actualmente un riesgo crítico para la red Bitcoin. De todos modos, se recomienda encarecidamente a los usuarios que se aseguren de que su software esté actualizado.
Para obtener información detallada, consulte las confirmaciones en GitHub: Divulgaciones de seguridad básicas de Bitcoin.
Mejorar el proceso de divulgación
La nueva política de Bitcoin Core clasifica las vulnerabilidades en cuatro niveles de gravedad: baja, media, alta y crítica.
- Gravedad baja: errores que son difíciles de explotar o que tienen un impacto mínimo. Estos se darán a conocer dos semanas después de que se publique una solución.
- Gravedad media y alta: errores con impacto significativo o facilidad moderada de explotación. Estos se divulgarán un año después de que la última versión afectada llegue al final de su vida útil (EOL).
- Gravedad crítica: los errores que amenazan la integridad de toda la red, como la inflación o las vulnerabilidades de robo de monedas, se manejarán con procedimientos ad hoc debido a su naturaleza grave.
Esta política tiene como objetivo proporcionar un seguimiento consistente y procesos de divulgación estandarizados, fomentando la presentación de informes responsables y permitiendo a la comunidad abordar los problemas con prontitud.
Historia de las divulgaciones de CVE en Bitcoin
Bitcoin ha experimentado varios problemas de seguridad notables, conocidos como CVE (vulnerabilidades y exposiciones comunes), a lo largo de los años. Estos incidentes resaltan la importancia de prácticas de seguridad vigilantes y actualizaciones oportunas. A continuación se muestran algunos ejemplos clave:
CVE-2012-2459: Este error crítico podría causar problemas en la red al permitir a los atacantes crear bloques no válidos que parecían válidos, lo que podría dividir la red Bitcoin temporalmente. Se solucionó en la versión 0.6.1 de Bitcoin Core y motivó nuevas mejoras en los protocolos de seguridad de Bitcoin.
CVE-2018-17144: Un error crítico que podría haber permitido a los atacantes crear Bitcoins adicionales, violando el principio de suministro fijo. Este problema se descubrió y solucionó en septiembre de 2018. Los usuarios debían actualizar su software para evitar una posible explotación.
Además, la comunidad Bitcoin ha discutido otras vulnerabilidades y posibles soluciones que aún no se han implementado.
CVE-2013-2292: Al crear bloques que tardan mucho en verificarse, un atacante podría ralentizar significativamente la red.
CVE-2017-12842: Esta vulnerabilidad puede engañar a las billeteras Bitcoin livianas haciéndoles creer que recibieron un pago cuando no es así. Esto es riesgoso para los clientes de SPV (Verificación de Pago Simplificada).
La conversación sobre estas vulnerabilidades subraya la necesidad continua de actualizaciones coordinadas y respaldadas por la comunidad del protocolo de Bitcoin. La investigación en curso en torno a la idea de una bifurcación suave de limpieza por consenso busca abordar las vulnerabilidades latentes de una manera unificada y eficiente, garantizando la solidez y seguridad continuas de la red Bitcoin.
Mantener la seguridad del software es un proceso dinámico que requiere vigilancia y actualizaciones continuas. Esto se cruza con el debate más amplio sobre la osificación de Bitcoin, donde el protocolo central permanece sin cambios para mantener la estabilidad y la confianza. Mientras que algunos abogan por cambios mínimos para evitar riesgos, otros argumentan que son necesarias actualizaciones ocasionales para mejorar la seguridad y la funcionalidad.
Esta nueva política de divulgación de Bitcoin Core es un paso hacia el equilibrio de estas perspectivas al garantizar que cualquier actualización necesaria esté bien comunicada y gestionada de manera responsable.