Un investigador descubrió el código de una puerta trasera en un equipo de mineo de bitcoins

Un investigador de seguridad anónimo ha publicado detalles sobre una vulnerabilidad conocida como Antbleed. El autor asegura que se trata de una puerta trasera remota que afecta a equipo de mineo de bitcoins fabricado por Bitmain, según se ha publicado en Bleeping Computer. Este fabricante es, según el medio, el mayor vendedor de máquinas de mineo de criptomonedas.

El código de esta puerta trasera se añadió al firmware de los productos de Bitmain el 11 de julio de 2016. El bug se reportó en el GitHub de la empresa en septiembre de 2016, pero se ignoró hasta ayer, fecha en la que se lanzó la web que detallaba sus características.

¿Cómo funciona Antbleed?

Según el medio, el análisis del código fuente de la puerta trasera detectó que las máquinas de Bitmain se conectaban a intervalos de entre uno y 11 minutos con un servicio alojado en el dominio auth.minerlink.com, registrado a nombre de la compañía.

Durante esta operación, el equipo envía su número de serie y direcciones MAC e IP. Si el servicio devuelve "false" como respuesta, entonces la máquina dejará de minar bitcoins. En palabras del investigador:

En el peor de los casos, esta puerta trasera permite que Bitmain apague una gran sección de la tasa de hasheo global (estimada en el 70% para todo el equipo de mineo). También se puede usar para señalar como objetivos máquinas o clientes específicos. Las reglas estándar de un firewall no protegen al usuario contra esto porque Antminer realiza conexiones salientes.

Antminer es una de las máquinas más populares en el mercado para minar bitcoins. Según el medio, Antbleed afecta a los equipos Antminer S9, L3, T9 y R4, aunque no han podido probar los productos para dar una confirmación oficial al respecto.

Un vistazo a…
Cómo comprar Bitcoins de forma segura y sin riesgo

Cómo protegerse contra Antbleed

En la web donde se publicó la vulnerabilidad advierten que no hay forma de revertir el código sin recompilar de nuevo todo el firmware de los Antminer. ¿Por qué? Por una práctica conocida como "hard coding", que incrusta directamente los datos en el código en lugar de obtenerlos desde variables u otros archivos.

Lo que sí han dado son unas pautas para saber si un equipo está infectado usando el archivo _hosts_ para redirigir peticiones que irían a auth.minerlink.com a un servidor de pruebas. Si el equipo está afectado, entonces los usuarios de estas máquinas pueden protegerse contra el apagón modificando el archivo _hosts_ y apuntando el dominio de Bitmain al localhost:

127.0.0.1 auth.minerlink.com

Según el medio, Antbleed pudo haber sido añadido como una forma de sistema DRM, de forma que Bitmain pudiese "apagar" el equipo de clientes deshonestos. Las reacciones de la comunidad no se han hecho esperar, y en Reddit se ha criticado con dureza a Bitmain.

Bitmain dice haber solucionado el problema

Bitmain ha publicado un artículo en el que defiende la necesidad de tener esta característica:

Nos vemos obligados a clarificar la intención de tener esta característica. Planeamos añadirla al código para dar más poder a los clientes para que controlasen sus miners que en ocasiones pueden estar alojados fuera de sus hogares. La decisión se tomó después de que se sucediese más de un incidente en el que se robaron equipos de granjas de mineo o fueran secuestrados por el operador de dicha granja.

Al parecer, según la empresa el código se implementó para permitir a sus clientes "apagarlas" remotamente si se ven comprometidas, y también para poder ofrecer datos a los cuerpos de seguridad pertinentes en caso de que fueran robadas.

En cualquier caso, señalan que no se trata de una característica terminada. Debido a "problemas técnicos" no pudieron terminar con el desarrollo, además de disculparse por lo que según ellos es una serie de "considerables malentendidos":

Este bug ahora ha sido señalado en el contexto del debate de la hoja de ruta de Bitcoin y ha causado considerables malentendidos dentro de la comunidad de Bitcoin. Pedimos disculpas por ello.

Además, han lanzado un parche que aseguran que soluciona este problema, y que se puede descargar desde este enlace. También han publicado el código fuente del nuevo firmware para los modelos S9, T9 y R4, así como para los modelos L3 y L3+ para quienes deseen examinarlo. Por otra parte, también ofrecen la solución de apuntar el dominio hacia el localhost para que los usuarios se protejan.

Vía | Bleeping Computer, Antbleed, Bitmain
En Genbeta | Cómo saber si tu PC está infectado con un bitcoin miner y cómo eliminarlo

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta