Exploit gevonden in de Antminer S15-firmware van Bitmain

James Hilliard ontdekte een lek in de beveiliging van de Antminer S15-firmware van Bitmain. Hilliard is een bekende binnen bitcoin kringen, hij schreef namelijk mee aan Bitcoin Improvement Proposal # 91 (BIP, verantwoordelijk voor SegWit). Hilliard deelde de kwetsbaarheid op Twitter:

Aanpassen van ontvangstadres

De exploit laat een aanvaller in principe alles doen, inclusief het aanpassen van het ontvangstadres van een miner. Door een eerdere kwetsbaarheid genaamd “Antbleed,” konden Antminers op afstand worden afgesloten. Het moge duidelijk zijn, dit soort lekken zorgen voor een heel groot risico voor het hele bitcoin netwerk, aangezien het netwerk op dit moment sterk afhankelijk is van hardware van Bitmain.

Hilliard en 00whiterabbit, de anonieme security expert, hebben aangeboden om te helpen bij het patchen van de kwetsbaarheid. Bitmain is er nog niet over uit, want als ze hier in mee gaan dan moeten ze hun General Public License schenden. Hierin staat namelijk dat de code vrij moet zijn. Vrij als in vrijheid: gebruikers moeten hun eigen code kunnen gebruiken, wijzigen en maken.

De exploit delen

Het verzoek van Hilliard is in geen enkel opzicht willekeurig. De code voor CGMiner maakt deel uit van de Antminer S15-firmware. Als Bitmain de broncode voor de firmware niet vrijgeeft, zullen Hilliard en 00whiterabbit de exploit met de wereld delen.

Toegegeven, het is niet makkelijk om het lek in de code te exploiteren, de aanvaller moet namelijk toegang hebben tot het netwerk.

Pleidooi voor open source

Antbleed was sowieso al een serieus lek, maar deze nieuwe mogelijkheid kan nog veel meer schade aanrichten voor miners met Bitmain apparatuur. Er is veel mogelijk, denk aan het aanpassen van de aangesloten miningpool, en het wijzigen van het ontvangstadres.

De kwetsbaarheid bevindt zich op het basisniveau van de hardware van Bitmain, wat betekent dat je er momenteel niet veel aan kunt doen.

Een van de belangrijkste argumenten voor open source software zijn kwetsbaarheden in de beveiliging. Er is geen code die niet profiteert van de kracht van de massa, het is beter dat iedereen naar de code kan kijken deze kan verbeterd, in plaats van dat deze mensen de code zouden aanvallen. Zeker als er een financiële stimulans is, zoals een bug bounty programma.

Hilliard: “Bitmain lijkt zich geen zorgen te maken over het volgen van de auteursrechtwetgeving. Helaas is gesloten bronfirmware geen goede zaak voor het Bitcoin-netwerk, omdat zaken als Antbleed erin kunnen worden verborgen. Centralisatie is een risico.”

Delen:

Bitcoin gaat de wereld veranderen, daar geloof ik heilig in. Het wordt tijd voor een eerlijkere, decentrale wereld. Ik voel me dankbaar dat ik daar aan kan bijdragen door te schrijven en te informeren. Verder fungeer ik als hoofdredacteur voor het team.

Bezoek mijn Linkedin

Geen reacties

Laat een reactie achter