Честного судью ищите по заштопанной мантии.

Вини_Пух с Пятачком очень часто заходили в гости к Кролику... ...

Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО
Sun, 24 Mar 2019 08:53:14 +0300

Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера
Fri, 22 Mar 2019 08:19:56 +0300

Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect
Tue, 19 Mar 2019 23:21:37 +0300

Cloudflare представил инструменты для выявления перехвата HTTPS
Tue, 19 Mar 2019 10:20:22 +0300

Завершено преобразование SUSE в независимую компанию
Sat, 16 Mar 2019 10:45:14 +0300

GitHub меняет политику конфиденциальности и условия соблюдения санкций
Fri, 15 Mar 2019 08:47:25 +0300

Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
Thu, 14 Mar 2019 21:49:39 +0300

Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода
Thu, 14 Mar 2019 10:05:38 +0300

Debian 10 "Buster" перешёл на стадию полной заморозки перед релизом
Wed, 13 Mar 2019 08:20:14 +0300

Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
Tue, 12 Mar 2019 20:11:34 +0300

Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC
Tue, 12 Mar 2019 11:36:21 +0300

Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Tue, 12 Mar 2019 10:31:02 +0300

Microsoft портировал DTrace для Windows
Tue, 12 Mar 2019 10:03:09 +0300

Компания F5 Networks поглотила NGINX за 670 млн долларов
Tue, 12 Mar 2019 06:46:18 +0300

Google представил инициативу по стимулированию написания документации для СПО
Mon, 11 Mar 2019 22:22:06 +0300

Новости OPENNET
Новости

Исследователи из бостонского и питсбургского университетов опубликовали несколько новых методов атаки "Eclipse" на P2P-сеть Ethereum, второй по размеру капитализации криптовалюты. Методы атаки позволяют организовать подключение жертвы к подконтрольным атакующему P2P-узлам и получить контроль за представлением блокчейна для жертвы. Возможность совершения атаки вызвана недоработками в процессе определения соседних узлов в P2P-сети Ethereum, базирующемся на протоколе Kademlia.

Атака может быть проведена с использованием всего двух оконечных хостов с отдельными IP-адресами, без необходимости получения контроля за привилегированными элементами сети между жертвой и остальной сетью Ethereum. В ходе атаки можно получить контроль над всеми входящими и исходящими соединениями жертвы. Изолировав жертву от остальной P2P-сети атакующий может отфильтровать представление блокчейна для жертвы или вовлечь систему жертвы в проведение более изощрённой атаки на алгоритм вычисления консенсуса при выполнении майнинга. Для сравнения, выявленная в 2015 году похожая атака на P2P-сеть Bitcoin требовала получения контроля за сотнями или тысячами хостов с отдельными IP-адресами.

С практической стороны получение контроля за блокчейном, с которым взаимодействует жертва, позволяет злоумышленникам инициировать двойные траты, присваивать себе достижения в майнинге, обманывать жертву при просмотре некорректных деталей транзакций или обманным путём получать товар у продавцов на основании транзакций, которые реально не были завершены. Искажения представления блокчейна также можно применять для нарушения работы умных контрактов, например, задерживая появления параметров, применяемых во внутренних вычислениях контракта, можно добиться формирования неверного вывода умными контрактами.

Исследователями разработано три метода атаки:

  • Простейший метод, для которого требуется всего два узла с разными IP-адресами, основан на генерации данными узлами большого числа криптографических ключей, которые протокол Ethereum использует для назначения P2P-узлов (пир назначается по ключу, а не по хосту). Атакующий добивается переподключения жертвы к P2P-сети, дождавшись перезагрузки компьютера жертвы или через эксплуатацию DoS-уязвимостей, приводящих к краху системы, после чего сразу инициирует со своих узлов большое число входящих соединений до того, как узел жертвы попытается установить исходящее соединение.
  • Второй метод реализуется через создание большого числа узлов, подконтрольных атакующему, которые отправляют на узел жертвы специальные пакеты, засоряющие базу доступных узлов. После перезагрузки в базе с определённой вероятностью остаются только сведения об узлах атакующего к которым и подключается жертва;
  • Третий метод требует, чтобы часы на узле жертвы были установлены на 20 или более секунд вперёд, по сравнению с другими узлами P2P-сети. Так как протокол Ethereum для защиты от повторной отправки старых аутентифицированных сообщений не принимает сообщения отстающие от текущего времени более чем на 20 секунд, атакующий на своих узлах также переводит часы на 20 секунд вперёд и жертва начинает отбрасывать сообщения с легитимных узлов и принимает их только с узлов атакующего.

До публикации деталей в открытом доступе исследователи предварительно информировали организацию Ethereum Foundation и предложили ряд методов для противодействия атаке, которые были включены в состав Ethereum-клиента geth 1.8, выпущенного 14 февраля.

Для защиты реализованы меры для блокирования первого и второго методов атаки путем обязательного создания исходящих соединений всегда к другим пирам и ограничения числа соединений в рамках одной подсети (/24). Данные меры полностью не устраняют возможность атаки, но существенно её усложняет - для проведения атаки теперь требуется получение контроля за тысячами узлов в разных подсетях, а не двух с любыми разными IP. Защита от третьего метода атаки не реализована, но данный метод требует получения контроля за трафиком (MiTM) или получения доступа к компьютеру жертвы.

Отмечается, что до включения рекомендованных изменений, P2P-сеть Ethereum была существенно менее безопасной, чем P2P-сеть Bitcoin, несмотря на сложившееся обратное мнение (ранее считалось, что для атаки на Ethereum потребуется значительно больше ресурсов, так как в Ethereum применяется надежный механизм криптографической аутентификации сообщений и по умолчанию устанавливается 13 исходящих соединений с пирами, вместо 8 для Bitcoin).

63.7705 72.5900 0.5756 9.5099

НОВОСТИ: Доступен Wayland 1.17 Thu, 21 Mar 2019 08:59:18 +0300

Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.17. Ветка 1.17 обратно совместима на уровне API и ABI с выпусками 1.x, но дополнительно содержит порцию улучшений. Кроме устранения проблем и недоработок в Wayland 1.17 переработан код для вывода сведений о внутренних ошибках сервера, обновлён протокол wl_seat и обеспечено приоритетное использование wl_surface.damage_buffer.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome