Hechos clave:
-
Desarrolladores que detectaron la vulnerabilidad en firmware del Antminer S15, dicen que persiste.
-
SeƱalaron que la actualizaciĆ³n del firmware lanzada por Bitmain soluciona una falla diferente.
Las nuevas versiones del firmware para Antminer S15 y Antminer T15 de Bitmain no solucionan una vulnerabilidad detectada recientemente que permite modificar las direcciones de pago de recompensas. AsĆ lo afirmĆ³ James Hilliard, uno de los dos investigadores independientes que encontraron y divulgaron la existencia de la falla de seguridad.
Hillard publicĆ³ en la red social Twitter que Bitmain no ha podido arreglar la vulnerabilidad que, junto al desarrollador anĆ³nimo White Rabbit, encontrĆ³ en el firmware del minero S15 el pasado 11 de febrero. SegĆŗn seƱalĆ³, pese a la actualizaciĆ³n lanzada este 28 de febrero por Bitmain, la falla persiste.
Bitmain anunciĆ³ en su blog oficial que desarrollĆ³ las nuevas versiones del firmware en atenciĆ³n al alerta recibido por parte de la comunidad de cĆ³digo abierto. SegĆŗn seƱala el comunicado, fueron informados por dicha comunidad āde una posible vulnerabilidad relacionada con nuestro firmwareā. En respuesta, lanzaron las actualizaciones āpara corregir esta vulnerabilidadā. No obstante, aparentemente no se refieren a la falla explotada por los investigadores James Hilliard y White Rabbit, sino a otro punto sensible en la seguridad.
Hilliard, conocido por su Propuesta de Mejora de Bitcoin BIP91 (bifurcaciĆ³n suave que permitiĆ³ la implementaciĆ³n de SegWit), no ha compartido los detalles de la vulnerabilidad del Antminer S15. El desarrollador condicionĆ³ la divulgaciĆ³n de estos datos a que Bitmain cumpla con los tĆ©rminos de una licencia GPL. Este tipo de licencia de derecho de autor permite compartir, usar, estudiar y modificar libremente un software. No obstante, a pesar de que Bitmain usa CGminer (un software de cĆ³digo abierto bajo licencia GPL, esencial para minar criptoactivos con equipos ASIC, como parte del firmware) sus cĆ³digos no son pĆŗblicos.
En su hilo de Twitter, el desarrollador seƱalĆ³ que ādado que [Bitmain] no han cumplido con la licencia GPL para el firmware, aĆŗn no he divulgado los detalles de vulnerabilidadā. Sostuvo ademĆ”s que la seguridad del firmware de Bitmain tiene varios puntos dĆ©biles.
Since they haven’t complied with the GPL license for the firmware I haven’t yet disclosed the vulnerability details to them.
ā James Hilliard (@james_hilliard) 28 de febrero de 2019
Aunque no se conocen los detalles de la falla, se sabe que White Rabbit fue capaz de acceder de forma remota, desde unos 1.000 kilĆ³metros de distancia, a un Antminer S15. El investigador desarrollĆ³ un exploit que le permite al atacante mĆŗltiples acciones, inclusive modificar la direcciĆ³n de pago de un minero explotado.
Usuarios de la red social Reddit que se han unido al debate del tema, seƱalan que Hilliard debe mantener o aumentar la presiĆ³n para que Bitmain cumpla con la GPL. Otros, en cambio, defienden el derecho de Bitmain de no publicar su trabajo.
El redditor butisherĀ comentĆ³ que āBitmain pensĆ³ que podĆan salir adelante al corregir un error y no seguir la ley ignorando la GPL. No pueden, y debemos continuar difundiendo que otros deberĆan evitar el uso de sus ASICā. Mientras que el usuario furbar-bdhr afirmĆ³: āesto es tĆ©cnicamente extorsiĆ³n. Pedir cualquier cosa, no solo dinero en efectivo mientras se amenaza, te llevarĆ” a la cĆ”rcelā.
Imagen destacada porĀ ElnurĀ / stock.adobe.com