Сайт Bitcoin.org предупреждает о мощной атаке

[Tomcat_MkII]

 

Сайт Bitcoin.org, который считается "официальным" сайтом Биткоина, предупредил о начавшейся хакерской атаке. Она оказалась настолько мощной, что команда поддержки ресурса не может гарантировать безопасность сайта и всех находящихся на нем файлов. По уровню и характеру атаки, разработчики считают, что она, вероятно, спонсирована каким-то государством.

 

"Как веб-сайт, Bitcoin.org не имеет достаточных технических ресурсов, чтобы гарантировать себе защиту от атаки такого калибра."

 

В первую очередь, опасность касается дистрибутивов клиента Bitcoin Core, выложенных на Bitcoin.org. А так как большая часть пользователей скачивает клиент именно с официального сайта, проблема грозит стать глобальной.

 

Разработчики опасаются, что основной вектор атаки направлен на бинарные (исполняемые) файлы готовящейся к выходу версии Bitcoin Core 0.13.0. Команда сайта предупреждает, что к скачанным файлам нужно относиться с осторожностью, иначе есть опасность потерять все свои биткоины. Также в файлы может быть внедрен вредоносный код, который впоследствии может быть использован для создания ботнета и атаки на сеть Биткоина.

 

Файлы оригинального дистрибутива подписываются ключом главного разработчика, с хэшем 01EA5486DE18A882D4C2684590C8019E36C2E964. Перед запуском файлов Bitcoin Core необходимо проверить их подпись.

 

Раработчики просят сообщество, особенно самую его многочисленную часть - из Китая - проявлять максимальную осторожность. Цели атакующих и источник атаки на данный момент все еще неизвестны.

 

 

Источник

Изменено 18 авг 2016, 21:09 пользователем Tomcat_MkII

[BigBobo]

"Как веб-сайт, Bitcoin.org не имеет достаточных технических ресурсов, чтобы гарантировать себе защиту от атаки такого калибра."

 

хоть бы не позорились такое писать

[ISawa]

Спасибо что предупредили. От жеж, придётся теперь и код сравнивать - не добавилось ли там чего кроме патчей.
Я вот всё жду когда https://blockchain.info ломанут. Эти вряд ли будут предупреждать. А кошельков они держат немеряно.

[scopus]

 

 

придётся теперь и код сравнивать

подскажи хоть где смотреть,таким,как я простым юзерам..

[Lexis77]

@scopus, http://winkomp.ru/kak-uznat-xesh-fajla-kak-sravnit-i-zachem

[ostanovka777]

подскажи хоть где смотреть,таким,как я простым юзерам..

Лучше всего собирать самостоятельно из исходников

 

(github) https://github.com/bitcoin/bitcoin/tree/master

 

в директории doc есть описание под сборку и установку на все платформы

[scopus]

@Lexis77, спасибо в принципе понятно, только не понятно,как это применить именно к кошельку...ведь если его скачаешь, то моментально обновишь кошель и тогда могут твои денежки сказать прощай.. и потом хоть проверяй,хоть непроверяй.. должен же быть какой-то другой путь проверки именно в наших условиях...

Изменено 18 авг 2016, 18:29 пользователем scopus

[Lexis77]

@scopus, качаешь дистрибутив и сравниваешь хеш с указанным на сайте. Если отличается, то не запускаешь установку/обновление. Значит он изменен.

[polym0rph]

 

 

хоть бы не позорились такое писать

А что не так?

В оригинале:

As a website, Bitcoin.org does not have the necessary technical resources to guarantee that we can defend ourselves from attackers of this calibre.

[Wampi]

что относиться к скачанным файлам нужно относиться с осторожностью

Масло, масленное - подправьте плиззз.

Таки по сабжу. Да-же Майкрософт ломают, а уж там ресурсов то в разы побольше, а по необходимости и отправляют поспать на пару часиков.

[ISawa]

подскажи хоть где смотреть,таким,как я простым юзерам..

Простым юзерам правильно подсказал @Lexis77, надо сравнивать контрольную сумму файла.

 

@Lexis77, спасибо в принципе понятно, только не понятно,как это применить именно к кошельку...ведь если его скачаешь, то моментально обновишь кошель и тогда могут твои денежки сказать прощай.. и потом хоть проверяй,хоть непроверяй.. должен же быть какой-то другой путь проверки именно в наших условиях...

Можно и не обновлять моментально а сначала скачать, посмотреть контрольную сумму и потом обновить. В любом браузере можно указать чтобы исполняемый файл не запускался, если Вы исполняемый скачиваете. В каждом браузере по разному - где-то птичка снимается "выполнить", где-то вопрос после скачивания задаёт "выполнить или перейти к файлу". Контрольную сумму легко в "Total Commander" подсчитать, там есть менюшка "Файл"->"Посчитать CRC сумму...".

Я собираю из исходников поэтому могу сравнить предыдущую версию с нынешней и проверить патчи, т.е. не надо лопатить все исходные тексты.

[BigBobo]

А что не так?

В оригинале:

я не про саму новость а про команду сайта Bitcoin.org, защиту видите ли они не могут себе организовать

[gaalx]

@ISawa, опередил про тотал коммандер. можно нажать правую кнопку на файлике и выбрать чем зашифровано - алгоритмов много. я так понимаю тут sha256.

[Дмитрий Большаков]

ключ - хэши - дистрибутив

а сам то ключ как проверить?

если нет гарантии на дистрибутив то и ключ может быть подменён?

[Hix]

ключ - хэши - дистрибутив

а сам то ключ как проверить?

если нет гарантии на дистрибутив то и ключ может быть подменён?

На сайте предлагают подпись проверить, а не хэш, Хэш также можно подменить как и сам фаил.