Một nhóm các nhà phát triển Bitcoin Core đã đưa ra chính sách tiết lộ bảo mật toàn diện để giải quyết những thiếu sót trước đây trong việc công khai các lỗi quan trọng về bảo mật.
Chính sách mới này nhằm mục đích thiết lập một quy trình chuẩn hóa để báo cáo và tiết lộ các lỗ hổng, qua đó cải thiện tính minh bạch và bảo mật trong hệ sinh thái Bitcoin.
Một số lỗ hổng bảo mật chưa từng được tiết lộ trước đây cũng được đưa vào thông báo.
Tiết lộ bảo mật là gì ?
Tiết lộ bảo mật là một quá trình mà các nhà nghiên cứu bảo mật hoặc tin tặc đạo đức báo cáo các lỗ hổng mà họ phát hiện trong phần mềm hoặc hệ thống cho tổ chức bị ảnh hưởng. Mục tiêu là cho phép tổ chức giải quyết các lỗ hổng này trước khi chúng có thể bị các tác nhân độc hại khai thác. Quá trình này thường bao gồm việc phát hiện ra lỗ hổng, báo cáo một cách bảo mật, xác minh sự tồn tại của lỗ hổng, phát triển bản sửa lỗi và cuối cùng là công khai lỗ hổng cùng với các chi tiết và lời khuyên về biện pháp giảm thiểu.
Người dùng có nên lo lắng không?
Các tiết lộ bảo mật Bitcoin Core mới nhất giải quyết nhiều lỗ hổng khác nhau với mức độ nghiêm trọng khác nhau. Các vấn đề chính bao gồm nhiều lỗ hổng từ chối dịch vụ (DoS) có thể gây gián đoạn dịch vụ, lỗi thực thi mã từ xa (RCE) trong thư viện miniUPnPc, lỗi xử lý giao dịch có thể dẫn đến kiểm duyệt hoặc quản lý giao dịch mồ côi không đúng cách và các lỗ hổng mạng như lỗi bộ đệm và tràn dấu thời gian dẫn đến chia tách mạng.
Người ta không tin rằng bất kỳ lỗ hổng nào trong số đó hiện đang gây ra rủi ro nghiêm trọng cho mạng Bitcoin. Bất kể thế nào, người dùng được khuyến khích mạnh mẽ đảm bảo phần mềm của họ được cập nhật.
Để biết thông tin chi tiết, hãy xem cam kết trên GitHub: Bitcoin Core Security Disclosures .
Cải thiện quy trình công bố
Chính sách mới của Bitcoin Core phân loại lỗ hổng thành bốn mức độ nghiêm trọng: Thấp, Trung bình, Cao và Nghiêm trọng.
Mức độ nghiêm trọng thấp: Lỗi khó khai thác hoặc có tác động tối thiểu. Những lỗi này sẽ được tiết lộ hai tuần sau khi bản sửa lỗi được phát hành.
Mức độ nghiêm trọng trung bình và cao: Lỗi có tác động đáng kể hoặc dễ khai thác ở mức trung bình. Những lỗi này sẽ được tiết lộ một năm sau khi bản phát hành bị ảnh hưởng cuối cùng kết thúc vòng đời (EOL).
Mức độ nghiêm trọng: Các lỗi đe dọa đến tính toàn vẹn của toàn bộ mạng, chẳng hạn như lỗ hổng lạm phát hoặc trộm tiền điện tử, sẽ được xử lý bằng các quy trình tùy ý do tính chất nghiêm trọng của chúng.
Chính sách này nhằm mục đích cung cấp quy trình theo dõi nhất quán và chuẩn hóa công bố thông tin, khuyến khích báo cáo có trách nhiệm và cho phép cộng đồng giải quyết vấn đề kịp thời.
Lịch sử tiết lộ CVE trong Bitcoin
Bitcoin đã trải qua một số vấn đề bảo mật đáng chú ý, được gọi là CVE (Các lỗ hổng và phơi nhiễm phổ biến), trong nhiều năm qua. Những sự cố này làm nổi bật tầm quan trọng của các biện pháp bảo mật cảnh giác và cập nhật kịp thời. Sau đây là một số ví dụ chính:
CVE-2012-2459: Lỗi nghiêm trọng này có thể gây ra sự cố mạng bằng cách cho phép kẻ tấn công tạo các khối không hợp lệ trông có vẻ hợp lệ, có khả năng chia tách mạng Bitcoin tạm thời. Lỗi này đã được sửa trong Bitcoin Core phiên bản 0.6.1 và thúc đẩy các cải tiến hơn nữa trong các giao thức bảo mật của Bitcoin.
CVE-2018-17144: Một lỗi nghiêm trọng có thể cho phép kẻ tấn công tạo thêm Bitcoin, vi phạm nguyên tắc cung cấp cố định. Sự cố này đã được phát hiện và khắc phục vào tháng 9 năm 2018. Người dùng cần cập nhật phần mềm của mình để tránh bị khai thác tiềm ẩn
Ngoài ra, cộng đồng Bitcoin đã thảo luận về nhiều lỗ hổng khác và các bản sửa lỗi tiềm năng vẫn chưa được triển khai.
CVE-2013-2292: Bằng cách tạo ra các khối mất rất nhiều thời gian để xác minh, kẻ tấn công có thể làm chậm đáng kể mạng.
CVE-2017-12842: Lỗ hổng này có thể đánh lừa các ví Bitcoin nhẹ nghĩ rằng họ đã nhận được thanh toán khi thực tế không phải vậy. Điều này gây rủi ro cho khách hàng SPV (Xác minh thanh toán đơn giản).
Cuộc thảo luận xung quanh các lỗ hổng này nhấn mạnh nhu cầu liên tục về các bản cập nhật được cộng đồng hỗ trợ và phối hợp cho giao thức Bitcoin. Nghiên cứu đang diễn ra xung quanh ý tưởng về một soft fork dọn dẹp đồng thuận nhằm giải quyết các lỗ hổng tiềm ẩn theo cách thống nhất và hiệu quả, đảm bảo tính mạnh mẽ và bảo mật liên tục của mạng Bitcoin.
Duy trì bảo mật phần mềm là một quá trình năng động đòi hỏi sự cảnh giác và cập nhật liên tục. Điều này giao thoa với cuộc tranh luận rộng hơn về quá trình hóa xương của Bitcoin—nơi giao thức cốt lõi vẫn không thay đổi để duy trì tính ổn định và sự tin cậy. Trong khi một số người ủng hộ những thay đổi tối thiểu để tránh rủi ro, những người khác lại cho rằng cần phải cập nhật thường xuyên để tăng cường bảo mật và chức năng.
Chính sách công bố mới này của Bitcoin Core là một bước tiến tới việc cân bằng những quan điểm này bằng cách đảm bảo rằng mọi cập nhật cần thiết đều được truyền đạt tốt và quản lý một cách có trách nhiệm.
0 Comments