Aggiornamenti recenti Settembre 23rd, 2020 1:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi ransomware: una società di assicurazioni li ha ridotti del 65%
- Un bug consente di superare il sistema di autenticazione Microsoft
- Iran: malware per Android che aggira l’autenticazione a due fattori
- In Germania la prima morte provocata da un attacco informatico?
- Attacco BLESA ai dispositivi Bluetooth: miliardi di dispositivi a rischio
Bug INVDoS di Bitcoin tenuto segreto per due anni
La falla di sicurezza è stata considerata troppo pericolosa per renderne pubblici i dettagli. È emersa adesso perché individuata da un altro ricercatore.
Troppo “sensibile” per essere divulgata nei dettagli anche una volta che l’aggiornamento era disponibile. Stiamo parlando di INVDoS, un bug relativo alla gestione della blockchain Bitcoin che è stato scoperto nel 2018 da Braydon Fuller, un ricercatore specializzato nel settore.
La vulnerabilità, classificata come CVE-2018-17145, ha seguito una sorta di “corsia preferenziale”. Nonostante sia stato sviluppato e distribuito un aggiornamento, infatti, nessun dettaglio tecnico è stato reso pubblico come succede abitualmente. Il rischio che qualcuno la sfruttasse, infatti, è stato considerato troppo elevato.
INVDoS è una classica vulnerabilità Denial of Service, in grado cioè di bloccare il funzionamento del software in questione. Parlando di Bitcoin, però, l’ipotesi di un malfunzionamento o di una semplice “sospensione” di funzionamento ha potenziali conseguenze che qualcuno definirebbe devastanti. Di qui una scelta che, tutto sommato, ha delle fondamenta piuttosto solide.
Prima di tutto perché un blocco delle operazioni in un sistema blockchain rappresenta, di per sé, un problema notevole. In secondo luogo perché un evento del genere potrebbe inserirsi in una strategia più ampia, per esempio nell’ipotesi in cui un attacco basato sulla vulnerabilità venga messo a segno in un momento particolarmente “sensibile”, come quello del lancio di una nuova cripto-valuta.
Il codice utilizzato da Bitcoin Core, infatti, è stato “riciclato” da altre cripto-valute e individuare tutte le implementazioni della porzione affetta dal bug era tutt’altro che facile.
Cos’è cambiato adesso? Semplice: la stessa falla è stata individuata da un altro ricercatore (Javed Khan) che ha invece deciso di utilizzare il classico “protocollo” per la comunicazione dei dettagli riguardanti la vulnerabilità.
Fuller, di conseguenza, ha deciso di pubblicare un report completo (consultabile a questo indirizzo) in cui affronta il tema fornendo tutti i dettagli che fino a oggi aveva tenuto nascosti.
Insomma: nel settore delle cripto-valute è un momento molto particolare, in cui molti esperti di sicurezza si domandano se i 24 mesi trascorsi siano stati sufficienti per mettere tutti al riparo da potenziali attacchi. La conferma potrà arrivarci solo nelle prossime settimane e il rischio è che di INVDoS si senta parlare ancora.
Condividi l'articolo
Attacchi a tappeto contro i siti di e-commerce Magento
I pirati di TeamTNT all’assalto dei container su cloud
Articoli correlati
Altro in questa categoria
Approfondimenti
-
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende... -
WatchGuard acquisisce Panda Security: cosa significa? Dopo aver manifestato l’intenzione di acquisire Panda... -
La cybersecurity raccontata con i “fumetti” Registro.it (www.registro.it) è l’anagrafe dei... -
Quando i rischi più gravi provengono dall’interno Le minacce non arrivano solo dall’esterno. Spesso gli... -
CyberArk: prima di tutto proteggere gli account Nell’ecosistema IT gli utenti non sono tutti uguali. Ecco...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacchi ransomware: una società di assicurazioni li ha... Un miracolo? No. È bastato imporre ai suoi assicurati... -
Un bug consente di superare il sistema di autenticazione... Le falle di sicurezza consentirebbero di prendere il... -
Iran: malware per Android che aggira l’autenticazione a... Il gruppo Rampant Kitten usa una tecnica che gli -
In Germania la prima morte provocata da un attacco... La vittima doveva essere ricoverata con urgenza, ma un... -
Attacco BLESA ai dispositivi Bluetooth: miliardi di... La falla interessa la procedura di riconnessione e...
Attacchi ransomware: una società di assicurazioni li ha ridotti del 65%
Un miracolo? No. È bastato imporre ai suoi assicurati l’uso... Continua →
Vocabolario della sicurezza
