Nueva política de seguridad en Bitcoin Core para reducir el uso de software desactualizado
Una nueva política de divulgación clasifica las vulnerabilidades del software Bitcoin para mejorar la seguridad y transparencia de la red.
Conclusiones Clave
- Aproximadamente el 6% de los nodos Bitcoin operan con software desactualizado, exponiéndolos a riesgos de seguridad.
- La nueva política de divulgación de Bitcoin Core busca mejorar la seguridad de la red a través de la transparencia.
Compartir este artículo
A lo largo de su historial de commits, los desarrolladores de Bitcoin Core solo han revelado 10 vulnerabilidades que podrían afectar versiones anteriores del software cliente de Bitcoin. De acuerdo con un informe de Bitcoin Optech, estas vulnerabilidades, aunque ya solucionadas en versiones más recientes, podrían haber permitido diversos ataques en nodos que ejecutan versiones desactualizadas de Bitcoin Core.
Este informe surge mientras los desarrolladores introdujeron una nueva política de divulgación de seguridad para mejorar la transparencia y comunicación entre el equipo y los usuarios públicos de Bitcoin.
«El proyecto históricamente ha hecho un mal trabajo al divulgar públicamente errores críticos de seguridad, ya sean reportados externamente o encontrados por contribuyentes. Esto ha llevado a una situación donde muchos usuarios perciben a Bitcoin Core como si nunca tuviera errores. Esta percepción es peligrosa y, desafortunadamente, no exacta,» afirmó el anuncio, escrito por Antoine Poinsot para la Lista de Correo de Desarrollo de Bitcoin.
Según un análisis escrito por Liam Wright de CryptoSlate, aproximadamente 787 nodos, o el 5.94% de los 14,001 nodos activos de Bitcoin, están ejecutando versiones anteriores a la 0.21.0, haciéndolos susceptibles a ciertas vulnerabilidades. La vulnerabilidad más extendida afecta a versiones anteriores a la 0.21.0, potencialmente habilitando la censura de transacciones no confirmadas y causando divisiones de red debido a ajustes excesivos de tiempo.
Otras vulnerabilidades significativas incluyen una lista no limitada de prohibiciones de CPU/memoria DoS (CVE-2020-14198) afectando a 185 nodos con versiones antes de la 0.20.1, y tres vulnerabilidades separadas impactando a 182 nodos cada una en versiones antes de la 0.20.0. Estas incluyen DoS de memoria por inv-mensajes grandes, DoS de desperdicio de CPU por solicitudes malformadas, y colapsos relacionados con la memoria al analizar URIs BIP72.
Las vulnerabilidades más antiguas reveladas datan de 2015, afectando a muy pocos nodos que ejecutan dicho software desactualizado. Estas incluyen un bug de ejecución de código remoto en miniupnpc (CVE-2015-6031) y un DoS de colapso de nodo por mensajes grandes (CVE-2015-3641), impactando a 22 y 5 nodos respectivamente.
El nuevo sistema de divulgación clasifica las vulnerabilidades en cuatro niveles de severidad y especifica líneas de tiempo para la divulgación basadas en la severidad. Esta iniciativa pretende establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable de vulnerabilidades.
Mientras que el porcentaje de nodos vulnerables no es un problema críticamente inmediato, representa una porción no trivial de la red que podría ser explotada. Esta divulgación, en particular, resalta la necesidad de una mejor comunicación y incentivos dentro de la comunidad Bitcoin para fomentar actualizaciones de software más frecuentes y mejorar la seguridad general de la red. Notablemente, los errores críticos requerirán un procedimiento ad hoc.
Esta adopción gradual comenzará con la divulgación de vulnerabilidades solucionadas en versiones de Bitcoin Core 0.21.0 y anteriores, seguido por aquellas solucionadas en versiones subsiguientes en los próximos meses. La política pretende establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable.
Compartir este artículo
