El desarrollador conocido en la comunidad Bitcoin como b10c publicó una investigación el 27 de mayo que amplía las herramientas disponibles para que los usuarios verifiquen la autenticidad del software instalado en sus nodos.
Como documento b10c en su blob personal, compiló el software principal Bitcoin Core v31.0 utilizando Nix, una aparejo de creación de software independiente de los procesos oficiales. Se obtuvieron resultados idénticos byte por byte con los binarios de divulgación creados por el tesina Bitcoin Core. con yeso
Hasta este resultado, la única forma de fijar que el software oficial no había sido modificado era reproducir el proceso de compilación usando Guix, la misma aparejo utilizada por el equipo de Bitcoin Core. Según la descripción de b10c.lo que significa que la confianza del favorecido depende de una única dependencia de herramientas. Los ataques de software silenciosos ahora son técnicamente mucho más difíciles de producirse desapercibidos, ya que dos sistemas de compilación completamente independientes alcanzan exactamente los mismos resultados.
Los ataques silenciosos se pueden realizar de diversas formas, en este caso un ataque distribuido. Ayer de que el software llegue al favorecido final, es interceptado y modificado sin que el favorecido final lo detecte. En este caso, el atacante compromete el repositorio de código, las dependencias de software de terceros o el propio compilador (la aparejo que transforma el código). Si el compilador oficial de Bitcoin Core se ve comprometido, se generan archivos binarios maliciosos de forma nativa. Oportuno a que el origen en sí estaba comprometido, el equipo oficial termina firmándolo digitalmente sin asimilar que estaba infectado.
Este tipo de violaciones de seguridad pueden provocar la pérdida total de fondos para cualquiera que opere un nodo o billetera utilizando software comprometido. El trabajo de b10c ataca directamente el ligazón más importante: el vector de peligro del propio cliente Bitcoin.
b10c es un desarrollador independiente que contribuye periódicamente a la investigación técnica en el ecosistema Bitcoin. Sus esfuerzos son seguidos de cerca por la comunidad, ya que se centran en el rigor de su metodología y la seguridad de sus protocolos. Según el propio promotor, el tesina tardó tres primaveras en completarse.
Guix y Nix: dos cocinas que cocinan los mismos alimentos
Para entender este resultado, vale la pena explicar cuáles son estas herramientas. Cuando los desarrolladores crean un software como Bitcoin Core, crean código fuente (instrucciones) y lo “compilan” en un archivo ejecutable que los usuarios descargan e instalan. Ese proceso de conversión lo realiza la aparejo de compilación. En otras palabras, convierte instrucciones del habla humano al habla de máquina.
Guix es la aparejo utilizada oficialmente por el equipo de Bitcoin Core para crear binarios de divulgación. Nix es otra aparejo desarrollada de forma independiente, con construcción y funcionamiento únicos. Que los dos produzcan exactamente los mismos resultados con el mismo código equivale a que dos chefs en cocinas distintas sigan la misma récipe con distintos ingredientes y sirvan el mismo plato hasta el postrero gramo.
Lo que importa es si algún manipuló el software en algún momento del proceso, ya sea en el código, las herramientas de compilación o el servidor de distribución. Los dos resultados no coinciden. La propia coincidencia es prueba de que nadie intervino..
Demostración que nunca existió
El mecanismo que permite este progreso se ardor construcción reproducible: Si dos personas compilan el mismo código fuente utilizando diferentes herramientas y obtienen exactamente los mismos resultados, es prácticamente inverosímil que una de ellas introduzca un cambio astuto y que la otra lo detecte. b10c afirma lo sucesivo sobre este resultado: Nix será la primera aparejo externa al tesina que pueda compulsar binarios de forma independiente. Personal del núcleo de Bitcoin.
Sin requisa, b10c señala que este logro es personal; Aún no forma parte del típico oficial prohijado por Bitcoin Core. Este tesina no cuenta con un proceso establecido para incorporar múltiples herramientas de nervio. Esto significa que la nervio mutua entre Guix y Nix actualmente depende de esfuerzos voluntarios como el suyo.
Los desarrolladores concluyen que el sucesivo paso natural es construir un maniquí en el que la confianza en el software de Bitcoin se pulvínulo en múltiples verificaciones independientes que se confirmen entre sí, en circunscripción de una única dependencia de herramientas. Este principio ya es típico en otras áreas de la seguridad informática, afirmó.
