比特币开发人员:愿意披露S15固件的漏洞信息,但比特大陆须停止违反GNU协议

开发商James Hilliard最著名的是他的比特币改进方案91号(激活SegWit并阻止SegWit2x的BIP)和CGMiner程序,他在比特大陆的Antminer S15固件中发现了一个漏洞。

开发商James Hilliard最著名的是他的比特币改进方案91号(激活SegWit并阻止SegWit2x的BIP)和CGMiner程序,他在比特大陆的Antminer S15固件中发现了一个漏洞。

该漏洞随后被一位匿名安全研究人员利用。Hilliard已经公开展示了该漏洞的实际应用:

这个漏洞允许攻击者做任何事情,包括修改被攻击矿工的支付地址。之前有一个名为“Antbleed”的漏洞,允许任何Antminer远程关闭,给严重依赖比特大陆硬件的比特币网络带来了生存风险。

比特币开发人员:愿意披露S15固件的漏洞信息,但比特大陆须停止违反GNU协议

Hilliard和匿名00whiterabbit已经公开了漏洞的细节并帮助修补,但是有一个问题: Bitmain必须停止违反GNU通用公共许可协议的行为。GPL规定GPL代码的衍生产品应该是“免费的”。“免费即自由——用户应该能够访问代码,以便使用、修改和创建自己的衍生产品。

根据麻省理工学院的许可,比特币核心软件包本身是开源的。

希利亚德的要求绝不是随意的。CGMiner的代码是Antminer S15固件的一部分。

如果比特大陆不能发布其固件的源代码,Hilliard和00whiterabbit将作出反应,把这个漏洞释放。

然而,对比特币矿商发起攻击并非易事。攻击者必须能够访问网络才能在Antminer上打开shell。

Antbleed漏洞相当严重。但这种新的攻击,在上面的视频中被称为“antsploit”,可能会给比特大陆用户带来更大的破坏。几乎任何可以想象到的事情都是可能的,从切换你正在挖的矿池到改变你的支付地址。这漏洞位于比特大陆硬件底层,这意味着目前你对此无能为力。

安全漏洞是支持开源软件的主要论据之一。没有任何代码不会受益于那些可能会攻击它的人的公开审查。特别是当用户有动机调查结果时,比如在漏洞赏金程序中,公司获得的收益远远大于“损失”。

Hilliard推测,比特大陆可能关闭了源代码防止用户超频使用硬件增加支持成本。他还说:

比特大陆似乎并不关心是否遵循版权法。不幸的是,在比特币网络上使用闭源固件并不是一件好事,因为像Antbleed这样的东西可以隐藏在里面。这是集中化的风险。

对GNU GPL的一个持续的抱怨是缺乏围绕它的实际执行。企业屡次违反规定,却很少或根本没有受到惩罚,自由软件基金会执行许可的很少。

生成图片
7

发表评论

比特币开发人员:愿意披露S15固件的漏洞信息,但比特大陆须停止违反GNU协议

星期六 2019-02-23 8:45:34

开发商James Hilliard最著名的是他的比特币改进方案91号(激活SegWit并阻止SegWit2x的BIP)和CGMiner程序,他在比特大陆的Antminer S15固件中发现了一个漏洞。

该漏洞随后被一位匿名安全研究人员利用。Hilliard已经公开展示了该漏洞的实际应用:

这个漏洞允许攻击者做任何事情,包括修改被攻击矿工的支付地址。之前有一个名为“Antbleed”的漏洞,允许任何Antminer远程关闭,给严重依赖比特大陆硬件的比特币网络带来了生存风险。

比特币开发人员:愿意披露S15固件的漏洞信息,但比特大陆须停止违反GNU协议

Hilliard和匿名00whiterabbit已经公开了漏洞的细节并帮助修补,但是有一个问题: Bitmain必须停止违反GNU通用公共许可协议的行为。GPL规定GPL代码的衍生产品应该是“免费的”。“免费即自由——用户应该能够访问代码,以便使用、修改和创建自己的衍生产品。

根据麻省理工学院的许可,比特币核心软件包本身是开源的。

希利亚德的要求绝不是随意的。CGMiner的代码是Antminer S15固件的一部分。

如果比特大陆不能发布其固件的源代码,Hilliard和00whiterabbit将作出反应,把这个漏洞释放。

然而,对比特币矿商发起攻击并非易事。攻击者必须能够访问网络才能在Antminer上打开shell。

Antbleed漏洞相当严重。但这种新的攻击,在上面的视频中被称为“antsploit”,可能会给比特大陆用户带来更大的破坏。几乎任何可以想象到的事情都是可能的,从切换你正在挖的矿池到改变你的支付地址。这漏洞位于比特大陆硬件底层,这意味着目前你对此无能为力。

安全漏洞是支持开源软件的主要论据之一。没有任何代码不会受益于那些可能会攻击它的人的公开审查。特别是当用户有动机调查结果时,比如在漏洞赏金程序中,公司获得的收益远远大于“损失”。

Hilliard推测,比特大陆可能关闭了源代码防止用户超频使用硬件增加支持成本。他还说:

比特大陆似乎并不关心是否遵循版权法。不幸的是,在比特币网络上使用闭源固件并不是一件好事,因为像Antbleed这样的东西可以隐藏在里面。这是集中化的风险。

对GNU GPL的一个持续的抱怨是缺乏围绕它的实际执行。企业屡次违反规定,却很少或根本没有受到惩罚,自由软件基金会执行许可的很少。