Um grupo de desenvolvedores do Bitcoin Core introduziu uma política abrangente de divulgação de segurança para abordar deficiências anteriores na divulgação de bugs críticos de segurança.
Esta nova política visa estabelecer um processo padronizado para relatar e divulgar vulnerabilidades, melhorando assim a transparência e a segurança dentro do ecossistema Bitcoin.
Várias vulnerabilidades não divulgadas anteriormente também estão incluídas no anúncio.
O que é uma divulgação de segurança?
Uma divulgação de segurança é um processo pelo qual pesquisadores de segurança ou hackers éticos relatam vulnerabilidades que descobrem em softwares ou sistemas para a organização afetada. O objetivo é permitir que a organização trate dessas vulnerabilidades antes que elas possam ser exploradas por agentes maliciosos. Esse processo normalmente envolve descobrir a vulnerabilidade, relatá-la confidencialmente, verificar sua existência, desenvolver uma correção e, finalmente, divulgar publicamente a vulnerabilidade junto com detalhes e conselhos de mitigação.
Os usuários devem se preocupar?
As últimas divulgações de segurança do Bitcoin Core abordam várias vulnerabilidades com gravidade variável. Os principais problemas incluem múltiplas vulnerabilidades de negação de serviço (DoS) que podem causar interrupções de serviço, uma falha de execução remota de código (RCE) na biblioteca miniUPnPc, bugs de manipulação de transações que podem levar à censura ou gerenciamento impróprio de transações órfãs e vulnerabilidades de rede, como estouro de buffer e estouro de timestamp, levando a divisões de rede.
Não se acredita que nenhuma dessas vulnerabilidades represente atualmente um risco crítico para a rede Bitcoin. Independentemente disso, os usuários são fortemente encorajados a garantir que seus softwares estejam atualizados.
Para obter informações detalhadas, consulte os commits no GitHub: Divulgações de segurança do Bitcoin Core.
Melhorar o processo de divulgação
A nova política do Bitcoin Core categoriza vulnerabilidades em quatro níveis de gravidade: Baixo, Médio, Alto e Crítico.
- Baixa gravidade: Bugs que são difíceis de explorar ou têm impacto mínimo. Eles serão divulgados duas semanas após o lançamento de uma correção.
- Gravidade média e alta: bugs com impacto significativo ou facilidade moderada de exploração. Eles serão divulgados um ano após a última versão afetada chegar ao fim de vida (EOL).
- Gravidade crítica: bugs que ameaçam a integridade de toda a rede, como vulnerabilidades de inflação ou roubo de moedas, serão tratados com procedimentos ad hoc devido à sua natureza grave.
Esta política visa fornecer rastreamento consistente e processos de divulgação padronizados, incentivando relatórios responsáveis e permitindo que a comunidade resolva problemas prontamente.
Histórico de divulgações de CVE em Bitcoin
O Bitcoin passou por vários problemas de segurança notáveis, conhecidos como CVEs (Common Vulnerabilities and Exposures), ao longo dos anos. Esses incidentes destacam a importância de práticas de segurança vigilantes e atualizações oportunas. Aqui estão alguns exemplos importantes:
CVE-2012-2459: Este bug crítico pode causar problemas de rede ao permitir que invasores criem blocos inválidos que parecem válidos, potencialmente dividindo a rede Bitcoin temporariamente. Ele foi corrigido na versão 0.6.1 do Bitcoin Core e motivou melhorias adicionais nos protocolos de segurança do Bitcoin.
CVE-2018-17144: Um bug crítico que poderia ter permitido que invasores criassem Bitcoins extras, violando o princípio de fornecimento fixo. Esse problema foi descoberto e corrigido em setembro de 2018. Os usuários precisavam atualizar seus softwares para evitar uma potencial exploração.
Além disso, a comunidade Bitcoin discutiu várias outras vulnerabilidades e possíveis correções que ainda não foram implementadas.
CVE-2013-2292: Ao criar blocos que levam muito tempo para serem verificados, um invasor pode deixar a rede significativamente mais lenta.
CVE-2017-12842: Esta vulnerabilidade pode enganar carteiras Bitcoin leves, fazendo-as pensar que receberam um pagamento quando não receberam. Isso é arriscado para clientes SPV (Simplified Payment Verification).
A conversa em torno dessas vulnerabilidades ressalta a necessidade contínua de atualizações coordenadas e apoiadas pela comunidade para o protocolo do Bitcoin. A pesquisa em andamento em torno da ideia de um soft fork de limpeza de consenso busca abordar vulnerabilidades latentes de forma unificada e eficiente, garantindo a robustez e a segurança contínuas da rede Bitcoin.
Manter a segurança do software é um processo dinâmico que requer vigilância e atualizações contínuas. Isso se cruza com o debate mais amplo sobre a ossificação do Bitcoin — onde o protocolo principal permanece inalterado para manter a estabilidade e a confiança. Enquanto alguns defendem mudanças mínimas para evitar riscos, outros argumentam que atualizações ocasionais são necessárias para aumentar a segurança e a funcionalidade.
Esta nova política de divulgação do Bitcoin Core é um passo em direção ao equilíbrio dessas perspectivas, garantindo que quaisquer atualizações necessárias sejam bem comunicadas e gerenciadas de forma responsável.
