Bitcoin Core Umumkan Kebijakan Pengungkapan Keamanan Baru
Sekelompok pengembang Bitcoin Core telah memperkenalkan kebijakan pengungkapan keamanan yang komprehensif untuk mengatasi kekurangan masa lalu dalam mempublikasikan bug yang penting bagi keamanan.
Kebijakan baru ini bertujuan untuk menetapkan proses standar dalam pelaporan dan pengungkapan kerentanan, sehingga meningkatkan transparansi dan keamanan dalam ekosistem Bitcoin.
Beberapa kerentanan yang sebelumnya tidak diungkapkan juga disertakan dalam pengumuman tersebut.
Apa itu Pengungkapan Keamanan?
Pengungkapan keamanan adalah proses di mana peneliti keamanan atau peretas etis melaporkan kerentanan yang mereka temukan dalam perangkat lunak atau sistem kepada organisasi yang terkena dampak. Tujuannya adalah agar organisasi dapat mengatasi kerentanan ini sebelum dapat dieksploitasi oleh pelaku jahat. Proses ini biasanya melibatkan penemuan kerentanan, melaporkannya secara rahasia, memverifikasi keberadaannya, mengembangkan perbaikan, dan terakhir, mengungkapkan kerentanan secara publik beserta rincian dan saran mitigasinya.
Apakah Pengguna Harus Khawatir?
Pengungkapan keamanan Bitcoin Core terbaru mengatasi berbagai kerentanan dengan tingkat keparahan yang berbeda-beda. Permasalahan utama mencakup beberapa kerentanan penolakan layanan (DoS) yang dapat menyebabkan gangguan layanan, kelemahan eksekusi kode jarak jauh (RCE) di perpustakaan miniUPnPc[1], kesalahan penanganan transaksi yang dapat menyebabkan penyensoran atau manajemen transaksi yatim piatu yang tidak tepat, dan kerentanan jaringan seperti sebagai buffer blowup dan timestamp overflow yang menyebabkan perpecahan jaringan.
Tidak diyakini bahwa kerentanan apa pun saat ini menimbulkan risiko kritis bagi jaringan Bitcoin. Apapun itu, pengguna sangat dianjurkan untuk memastikan perangkat lunak mereka mutakhir.
Untuk informasi selengkapnya, lihat Commits di GitHub: Pengungkapan Keamanan Inti Bitcoin.
Meningkatkan Proses Pengungkapan
Kebijakan baru Bitcoin Core mengkategorikan kerentanan ke dalam empat tingkat keparahan: Rendah, Sedang, Tinggi, dan Kritis.
- Tingkat keparahan rendah: Bug yang sulit dieksploitasi atau memiliki dampak minimal. Ini akan diungkapkan dua minggu setelah perbaikan dirilis.
- Tingkat keparahan Sedang dan Tinggi: Bug dengan dampak signifikan atau kemudahan eksploitasi sedang. Ini akan diungkapkan setahun setelah rilis terakhir yang terkena dampak memasuki masa akhir masa pakainya (EOL).
- Tingkat keparahan kritis: Bug yang mengancam integritas seluruh jaringan, seperti kerentanan terhadap inflasi atau pencurian koin, akan ditangani dengan prosedur ad-hoc[2] karena sifatnya yang parah.
Kebijakan ini bertujuan untuk menyediakan pelacakan yang konsisten dan proses pengungkapan yang terstandarisasi, mendorong pelaporan yang bertanggung jawab dan memungkinkan komunitas untuk mengatasi masalah dengan segera.
Sejarah Pengungkapan CVE dalam Bitcoin
Bitcoin telah mengalami beberapa masalah keamanan penting, yang dikenal sebagai CVE (Common Vulnerabilities and Exposures), selama bertahun-tahun. Insiden-insiden ini menyoroti pentingnya praktik keamanan yang waspada dan pembaruan yang tepat waktu. Berikut adalah beberapa contoh penting:
CVE-2012-2459: Bug kritis ini dapat menyebabkan masalah jaringan karena memungkinkan penyerang membuat blok tidak valid yang terlihat valid, sehingga berpotensi memecah jaringan Bitcoin untuk sementara. Hal ini telah diperbaiki di Bitcoin Core versi 0.6.1 dan memotivasi peningkatan lebih lanjut dalam protokol keamanan Bitcoin.
CVE-2018-17144: Bug kritis yang memungkinkan penyerang membuat Bitcoin tambahan, sehingga melanggar prinsip pasokan tetap. Masalah ini ditemukan dan diperbaiki pada bulan September 2018. Pengguna perlu memperbarui perangkat lunak mereka untuk menghindari potensi eksploitasi.
Selain itu, komunitas Bitcoin telah membahas berbagai kerentanan lain dan potensi perbaikan yang belum diterapkan.
CVE-2013-2292: Dengan membuat blok yang memerlukan waktu sangat lama untuk diverifikasi, penyerang dapat memperlambat jaringan secara signifikan.
CVE-2017-12842: Kerentanan ini dapat mengelabui dompet Bitcoin ringan agar mengira mereka menerima pembayaran padahal sebenarnya belum. Hal ini berisiko bagi klien SPV (Simplified Payment Verification).
Percakapan seputar kerentanan ini menggarisbawahi perlunya pembaruan protokol Bitcoin yang terkoordinasi dan didukung komunitas. Penelitian yang sedang berlangsung seputar gagasan soft fork pembersihan konsensus berupaya mengatasi kerentanan laten dengan cara yang terpadu dan efisien, memastikan keberlangsungan ketahanan dan keamanan jaringan Bitcoin.
Menjaga keamanan perangkat lunak adalah proses dinamis yang memerlukan kewaspadaan dan pembaruan berkelanjutan. Hal ini bersinggungan dengan perdebatan yang lebih luas mengenai osifikasi Bitcoin—di mana protokol inti tetap tidak berubah untuk menjaga stabilitas dan kepercayaan. Meskipun beberapa orang menganjurkan perubahan minimal untuk menghindari risiko, yang lain berpendapat bahwa pembaruan sesekali diperlukan untuk meningkatkan keamanan dan fungsionalitas.
Kebijakan pengungkapan baru oleh Bitcoin Core ini merupakan langkah untuk menyeimbangkan perspektif ini dengan memastikan bahwa setiap pembaruan yang diperlukan dikomunikasikan dengan baik dan dikelola secara bertanggung jawab.
Catatan Kaki
[1] miniUPnPc adalah perpustakaan klien yang memungkinkan aplikasi berinteraksi dengan perangkat UPnP, khususnya Internet Gateway Devices (IGDs).
[2] Ad hoc adalah menerangkan suatu panitia/organisasi yang dibentuk untuk jangka waktu tertentu dalam rangka menjalankan atau melaksanakan program khusus.
Sumber artikel: bitcoinmagazine.com
Diterjemahkan oleh: Abengkris
Gabung dalam percakapan