Aggiornamenti recenti Novembre 24th, 2020 5:32 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Telsa Model X a rischio furto. Basta hackerare la chiave elettronica
- I pirati adesso vanno a caccia dei file ENV
- Falla in Facebook Messenger consentiva di spiare a distanza un utente
- Le previsioni sulla cyber security per il 2021
- Le password più usate continuano a essere un disastro
Bug INVDoS di Bitcoin tenuto segreto per due anni
La falla di sicurezza è stata considerata troppo pericolosa per renderne pubblici i dettagli. È emersa adesso perché individuata da un altro ricercatore.
Troppo “sensibile” per essere divulgata nei dettagli anche una volta che l’aggiornamento era disponibile. Stiamo parlando di INVDoS, un bug relativo alla gestione della blockchain Bitcoin che è stato scoperto nel 2018 da Braydon Fuller, un ricercatore specializzato nel settore.
La vulnerabilità, classificata come CVE-2018-17145, ha seguito una sorta di “corsia preferenziale”. Nonostante sia stato sviluppato e distribuito un aggiornamento, infatti, nessun dettaglio tecnico è stato reso pubblico come succede abitualmente. Il rischio che qualcuno la sfruttasse, infatti, è stato considerato troppo elevato.
INVDoS è una classica vulnerabilità Denial of Service, in grado cioè di bloccare il funzionamento del software in questione. Parlando di Bitcoin, però, l’ipotesi di un malfunzionamento o di una semplice “sospensione” di funzionamento ha potenziali conseguenze che qualcuno definirebbe devastanti. Di qui una scelta che, tutto sommato, ha delle fondamenta piuttosto solide.
Prima di tutto perché un blocco delle operazioni in un sistema blockchain rappresenta, di per sé, un problema notevole. In secondo luogo perché un evento del genere potrebbe inserirsi in una strategia più ampia, per esempio nell’ipotesi in cui un attacco basato sulla vulnerabilità venga messo a segno in un momento particolarmente “sensibile”, come quello del lancio di una nuova cripto-valuta.
Il codice utilizzato da Bitcoin Core, infatti, è stato “riciclato” da altre cripto-valute e individuare tutte le implementazioni della porzione affetta dal bug era tutt’altro che facile.
Cos’è cambiato adesso? Semplice: la stessa falla è stata individuata da un altro ricercatore (Javed Khan) che ha invece deciso di utilizzare il classico “protocollo” per la comunicazione dei dettagli riguardanti la vulnerabilità.
Fuller, di conseguenza, ha deciso di pubblicare un report completo (consultabile a questo indirizzo) in cui affronta il tema fornendo tutti i dettagli che fino a oggi aveva tenuto nascosti.
Insomma: nel settore delle cripto-valute è un momento molto particolare, in cui molti esperti di sicurezza si domandano se i 24 mesi trascorsi siano stati sufficienti per mettere tutti al riparo da potenziali attacchi. La conferma potrà arrivarci solo nelle prossime settimane e il rischio è che di INVDoS si senta parlare ancora.
Condividi l'articolo
Attacchi a tappeto contro i siti di e-commerce Magento
I pirati di TeamTNT all’assalto dei container su cloud
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e... -
Il Perimetro di sicurezza cibernetica: la lunga strada per... Cosa significa la sua istituzione, come è stato... -
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende... -
WatchGuard acquisisce Panda Security: cosa significa? Dopo aver manifestato l’intenzione di acquisire Panda...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Telsa Model X a rischio furto. Basta hackerare la chiave... La vulnerabilità consente di sovrascrivere il firmware... -
I pirati adesso vanno a caccia dei file ENV Gli esperti hanno individuato botnet dedicate che eseguono... -
Falla in Facebook Messenger consentiva di spiare a distanza... Il bug nella versione Android consentiva di chiamare un... -
Le previsioni sulla cyber security per il 2021 Ecco quali saranno le dinamiche nella sicurezza informatica... -
Le password più usate continuano a essere un disastro La ricerca di NordPass è impietosa: nel 2020 la maggior...
Telsa Model X a rischio furto. Basta hackerare la chiave elettronica
La vulnerabilità consente di sovrascrivere il firmware della chiave. Bastano... Continua →
Vocabolario della sicurezza
