La naturaleza de código abierto de Bitcoin presenta un problema único: los usuarios finales podrían estar descargando el software incorrecto que no refleja el código fuente real. Ese es el problema que ha impulsado al desarrollador Carl Dong a trabajar para mejorar el sistema de compilación de bitcoin en un esfuerzo por disuadir ataques de phishing maliciosos.

"Desea saber que el software que está ejecutando en realidad corresponde al código", dijo Dong , Desarrollador de Bitcoin en Chaincode Lab, en una conversación con The Block. "Porque si no lo hace, eso frustra el propósito completo del código abierto, de Bitcoin".

"Hemos visto ataques de phishing en todas partes. Es solo un problema desenfrenado", agregó.

Para mitigar este problema , la red introdujo Gitian Building en 2016 para estandarizar el entorno de compilación y habilitar compilaciones reproducibles. En otras palabras, cada vez que Bitcoin lanza una nueva actualización, todos los desarrolladores y mantenedores pueden ejecutar el proceso de Gitian Building y terminar con archivos idénticos en sus computadoras. Luego pueden comparar la salida entre sí y asegurarse de que ninguna de sus computadoras sea pirateada.

"Esto es mucho mejor en comparación con la construcción de una sola persona porque esa persona puede simplemente insertar algo malicioso sin que nadie lo sepa", explicó Dong.

Sin embargo, las construcciones reproducibles no eliminan por completo la posibilidad de ataques maliciosos, dijo Dong , ya que los desarrolladores usan un conjunto de herramientas que descargan ciegamente desde un servidor.

Según Dong, el entorno estandarizado actual del sistema de compilación de Bitcoin depende en gran medida y algo ciegamente de Ubuntu, un sistema operativo Linux de escritorio. Como resultado, a pesar de que las compilaciones son reproducibles, todavía existen riesgos de terceros.

"La forma en que construimos este entorno es mediante la descarga de binarios opacos y no auditables de Ubuntu", dijo Dong. "Si alguien ataca la infraestructura de Ubantu o trabaja en Ubantu, posiblemente podría inyectar vulnerabilidades en estos archivos binarios que estamos descargando y luego envenenar todo el núcleo de Bitcoin".

"Puede ser reproducible, pero puede ser reproduciblemente malicioso, "agregó.

El proyecto de Dong tiene como objetivo abordar esta vulnerabilidad haciendo que las compilaciones no solo sean reproducibles sino también cargables, lo que significa que los desarrolladores pueden construir un compilador usando herramientas más pequeñas en lugar de descargarlo a ciegas de un tercero .

Si bien la semilla binaria de confianza actual es demasiado grande para ser auditable, el cambio propuesto por Dong reduciría su tamaño de más de 200 megabytes a alrededor de 500 bytes. Con la reducción drástica del tamaño, los desarrolladores pueden diseccionar fácilmente la semilla binaria y reproducir la compilación. Habría un "árbol de dependencias" para cada pieza de software, dijo, y siempre sabría cómo reconstruir una pieza de software a partir de todo lo demás.

"Podemos rastrear todo esto a un muy, muy pequeña semilla binaria que podemos usar para arrancar algo más poderoso y llegar a un punto en el que tengamos los compiladores C y C ++ adecuados. Entonces podemos trabajar con calma desde allí ", dijo. "No tenemos que confiar en los archivos binarios. Podemos mirar el código fuente de todo en el árbol de dependencias para asegurarnos de que nadie haya inyectado vulnerabilidades".

"Creo que hay una gran diferencia entre ejecutar Bitcoin y ejecutando otras piezas de software ", dijo Dong.

El software regular tiene un aspecto de seguridad de la información de privacidad, dijo, pero Bitcoin maneja el dinero digital y se enfrenta a una clase de ataques completamente diferente. Esto hace que sea especialmente importante para el sistema de compilación de Bitcoin mantener un alto nivel de seguridad.

Dong planea desarrollar una solicitud de extracción para Linux, Windows y macOS. Con la parte de Linux ya fusionada, actualmente está trabajando en las partes de Windows y macOS del proyecto. Él espera completar todo el proyecto el próximo año.

[DISPLAY_ULTIMATE_PLUS]

Referencia: https://www.theblockcrypto.com/post/59599/this-developer-is-working-to-improve-bitcoins-build-system-in-a-bid-to-stop-rampant-phishing-attacks?utm_source=rss&utm_medium=rss