Внезапно:
Фонд Биткойн помогает сообществу! Мы хотим поддержать наших пользователей, которые помогали нам на протяжении многих лет. Отправьте биткойны на этот адрес, и мы отправим взамен двойную сумму!
Очевидная афера. Главный сайт Биткойн был скомпрометирован.
Я немедленно удаляю каждый отдельный экземпляр «bitcoin.org» в своем коде, в частности, скрипты, которые проверяют наличие новых обновлений Bitcoin Core и АВТОМАТИЧЕСКИ ЗАГРУЖАЮТ/УСТАНАВЛИВАЮТ их после проверки подписей, которые он также получает из того же домена. .
Извините, но это как холодный душ. Я никогда не думал, что этот из всех сайтов будет скомпрометирован. Теперь я не могу доверять ничему и никому. Если они могут размещать такое очевидное мошенническое сообщение, они могут размещать модифицированные EXE-файлы и файлы с криптографическими подписями... Эх.
Как это возможно? Что случилось, чтобы допустить это?
Как это возможно? Что случилось, чтобы допустить это?
Точно так же любой сайт можно взломать. Bitcoin.org не размещается каким-то особым образом, который делает его неуязвимым для взлома, это веб-сайт, как и любой другой веб-сайт. Таким образом, его можно взломать всеми способами, включая, но не ограничиваясь: компрометация веб-сервера, компрометация DNS-сервера/учетной записи, компрометация учетной записи регистратора и т. д.
Вероятно, либо сервер, на котором размещен веб-сайт, был скомпрометирован в той или иной форме (слабый пароль, скомпрометированный SSH-ключ и т. д.), либо была скомпрометирована учетная запись cloudflare, обеспечивающая защиту от DDoS (слабый пароль, социальная инженерия поддержки и т. д.), и настройки изменены, чтобы указать на сервер злоумышленника.
в частности скрипты, которые проверяют наличие новых обновлений Bitcoin Core и АВТОМАТИЧЕСКУЮ ЗАГРУЗКУ/УСТАНОВКУ
В любом случае, Bitcoin Core больше не загружается на bitcoin.org, по крайней мере, со стороны ответственного за выпуск. Официальный сайт Bitcoin Core — https://bitcoincore.org , и вы должны получать свои бинарные файлы оттуда. Насколько мне известно, владелец сайта bitcoin.org по-прежнему дублирует бинарные файлы на сайте bitcoin.org, но он больше не является официальным местом для бинарных файлов Bitcoin Core.
их после проверки подписей, которые он также получает из того же домена...
Пока подписи проверяются и были созданы с помощью ключей, которым вы доверяете (предположительно, вы получили эти ключи откуда-то еще и провели их некоторую проверку), тогда загруженные двоичные файлы должны быть в порядке. В конце концов, это и есть смысл подписи. Злоумышленник, захвативший веб-сайт, не сможет создать действительную подпись с ключом (ключами) разблокировки, если только он не скомпрометировал их.
Для версии 22.0+ вы также можете проверить соответствие хэшей двоичного файла тому, что создали разработчики guix, проверив хэши и подписи в https://github.com/bitcoin-core/guix.sigs (с новым процессом guix подписи над хешами на самом деле тоже исходит от разработчиков guix). Для версии 0.21 и ранее вы можете сделать ту же проверку с подписями gitian: https://github.com/bitcoin-core/gitian.sigs .
Нет веб-сайтов, представляющих биткойн, поскольку биткойн децентрализован.
bitcoin.org принадлежит физическому лицу и представляет собой сайт, предоставляющий информацию о биткойнах, как и многие другие сайты, и нет особой связи между безопасностью доменного имени bitcoin.org и безопасностью программных клиентов биткойн.
Я немедленно удаляю каждый отдельный экземпляр «bitcoin.org» в своем коде, в частности, скрипты, которые проверяют наличие новых обновлений Bitcoin Core и АВТОМАТИЧЕСКИ ЗАГРУЖАЮТ/УСТАНАВЛИВАЮТ их после проверки подписей, которые он также получает из того же домена. .
Ни одна версия Bitcoin Core никогда не имела никакого контакта с bitcoin.org, никакой проверки версий, никаких ручных или автоматических обновлений. Если вы сами создали эти инструменты и решили добавить их в качестве надежного источника для чего-либо в частности, это ваша угроза безопасности, и никто другой.
Если они могут размещать такое очевидное мошенническое сообщение, они могут размещать модифицированные EXE-файлы и файлы с криптографическими подписями... Эх.
Нет, смысл криптографических подписей в том, чтобы предотвратить эту ситуацию. Кто-то, заменяющий двоичные файлы, не может создать действительные подписи для ключей, которые использовались ранее.
Иногда это так же просто, как позвонить регистратору или хосту и притвориться владельцем домена, почти так же, как злоумышленники подменяют SIM-карты. Надеемся, что большинство хостов и регистраторов лучше справляются с защитой от этого типа атак социальной инженерии в наши дни, поскольку они стали более распространенными.
Питер Кордес
акостадинов
Нат
Нат
Боанн
Толстяк
Эндрю Т.