- IOHK, das Entwicklungsunternehmen von Cardano, hat die Ergebnisse des Sicherheitsaudits für den Byron Reboot Code durch Root9b enthüllt und erklärt, wie die festgestellte Probleme behoben wurden.
- Insgesamt hat Root9b 13 Schwachstellen aufgedeckt, wobei IOHK entweder mildernde Klarstellungen veröffentlichte oder die Behebung bereits vorgenommen hat.
In einem mit Crypto News Flash geteilten Bericht hat Input Output Hongkong (IOHK), das Unternehmen, das sich für die Entwicklung von Cardano verantwortlich zeichnet, 13 Schwachstellen des Byron Reboot Codes enthüllt. Diese wurden während der Phase 1 und 2 des Sicherheitsaudits für den Byron Reboot Code durch Root9b aufgedeckt und erfolgreich behoben.
Um die Transparenz und Sicherheit der gesamten Branche zu erhöhen, hat sich IOHK außerdem dazu entschieden, seine Mitigationsstrategie zu veröffentlichen, um eine stärkere Sektorübergreifende Zusammenarbeit bei der Identifizierung und Minderung gemeinsamer Schwachstellen zu fördern. Charles Hoskinson, CEO von IOHK, betonte in Bezug auf die Veröffentlichung der Audit-Ergebnisse, dass es von „entscheidender Bedeutung“ ist den Grundsätzen der Blockchain-Industrie für ein offenes und dezentralisiertes System gerecht zu werden, weshalb die Ergebnisse veröffentlicht wurden (frei übersetzt):
Unternehmen dürfen der Geheimhaltung und der schnellen Markteinführung nicht den Vorrang vor der Sicherheit geben, denn von der Software, die wir produzieren, werden riesige Geldsummen und sogar Menschenleben abhängen.
Die Industrie muss ihre Software-Entwicklung für die Prüfung durch Dritte öffnen und ihr Wissen über Schwachstellen zum Nutzen der gesamten Branche und des Vertrauens der Benutzer weitergeben. In diesem Sinne haben wir uns dafür entschieden, eine Prüfung des Byron-Reboot von Cardano durch Dritte in Auftrag zu geben und die von uns gefundenen Schwachstellen und die von uns angewandten Korrekturen öffentlich bekannt zu machen.
Root9b findet 13 Schwachstellen im Code des Byron Reboots
In der Crypto News Flash vorliegenden Stellungnahme zum Sicherheitsaudit des Byron Reboot Codes durch Root9b nimmt IOHK zu jeder festgestellten Schwachstelle Stellung und beschreibt, wie der Fehler behoben wurde bzw. veröffentlichte eine mildernde Klarstellung. Root9b hat bereits alle Änderungen als gelöst anerkannt.
- Unsichere Genesis-Schlüsselgenerierung: Root9b hat festgestellt, dass die Generierung des Genesis-Schlüssel eine Schwachstelle aufwies. IOHK hat klargestellt, dass der fragliche Code nur für Test- sowie Qualitätssicherungszwecke und nicht für das Mainnet gedacht war, als auch eine Änderung des Codes für eine sichere Schlüsselgenerierung vorgenommen.
- Code-Praxis im Zusammenhang mit dem ReadFile: Eine Schwachstelle im Zusammenhang mit dem ReadFile wurde von Root9b erkannt und ebenfalls durch Änderungen behoben.
- Code-Praxis und potenzielle Ressourcennutzung im Zusammenhang mit Async Read
- Potenzielle Ressourcennutzung/Denial of Service (DoS)
- Potenzielle Protokollunvollständigkeit – statischer Node-Satz: IOHK hat klargestellt, dass dieser Code nur zu Testzwecken diente.
- Primitive Verwendung von Mock Crypto: IOHK hat bestätigt, dass die Scheinimplementierungen nicht für den Einsatz in der Produktion bestimmt sind und dass echte Implementierungen bevorstehen.
- Schwachstellen im Zusammenhang mit der CSP in der Electron App Daedalus: Root9b hat vermeintlich schwache Sicherheitsmaßnahmen im Zusammenhang mit der Content Security Policy (CSP) identifiziert. Laut IOHK ist dies eine gültige Anforderung, bis Chrome WASM ohne sie funktionieren kann. Da es sich hierbei nicht um eine Schwachstelle handelt, akzeptiert R9B die Klarstellung.
- Blake Hash-Funktion wurde nur einmal beim Anwenden eines Ausgabenkennworts ausgeführt:
IOHK bestätigt, dass die Verbindung vom Daedalus-Frontend zum Cardano Wallet-Backend für die Passwortsicherheit bei der Übertragung auf TLS angewiesen ist und plant, das Blake Hashing auslaufen zu lassen. - Adressen-Zufallssteuerung (Randomisierung): IOHK stellte klar, dass die Adressen-Randomisierung zur Vermeidung von Port-Konflikten dient, weshalb Root 9b die Klarstellung ebenfalls akzeptiert.
- Potenzielle zukünftige Problem im Zusammenhang mit dem Zahlungs-URI (Uniform Resource Identifier): IOHK plant, diesen potenziellen Problembereich für Code, zu beachten.
- Theoretische Denial-of-Service (DoS) Verwundbarkeit: Das von Root9b erkannte Problem wird mit der Umsetzung des privaten Slot Leaders von Ouroborous Praos (Shelley) vollständig beseitigt.
- Aktualisierungsprozess: Behebung durch ein Update im April 2020.
- IOHK Überwachung der Belastung des Web-Frontends: IOHK hat die Oberfläche entfernt und das Code-Fragment entfernt.
Folge uns auf Facebook und Twitter und verpasse keine brandheißen Neuigkeiten mehr! Gefällt dir unsere Kursübersicht?