Author: Le news di Hardware Upgrade
Nei giorni scorsi il sito web ufficiale della criptovaluta Monero è stato compromesso: hacker ad ora non meglio identificati hanno infatti modificato i pacchetti del wallet CLI (command line interface) sostituendo quello originale con una versione edulcorata e in grado di inviare fondi a terzi ad insaputa dell’utente.
Il problema è stato scoperto da un utente il quale ha notato che l’hash crittografico del pacchetto scaricato non corrispondeva a quello indicato sul sito: approfondendo ha poi scoperto che la mancata corrispondenza non era frutto di un errore ma di un’azione perpetrata a scopo criminale.
Il problema è stato riconosciuto e confermato dai responsabili del sito GetMonero.org, i quali hanno pubblicato un post sul blog ufficiale nella giornata di martedì 19 novembre. I pacchetti compromessi sono rimasti disponibili per il download per una finestra di tempo relativamente limitata, dalle 2:30 AM UTC alle 4:30 PM UTC del 18 novembre.
“E fortemente consigliato a chiunque abbia scaricato il wallet CLI da sito di controllare gli hash dei loro pacchetti. Se non corrispondono a quelli ufficiali, eliminare i file e scaricarli nuovamente. Non avviare i file compromessi per alcuna ragione” si legge sul blog.
I responsabili di GetMonero.org non hanno però divulgato ulteriori dettagli relativi al problema e fino ad ora non è dato sapere quale sia la vulnerabilità che abbia potato alla compromissione dei file. Il problema è sotto indagine, ma ancor oggi non sono stati comunicati aggiornamenti. Sono state messe a disposizione due risorse per aiutare gli utenti a controllare l’autenticità dei file: una per Windows e una, dedicata ad utenti più avazati, per Linux, Mac e Windows.
La vicenda dimostra l’importanza di verificare sempre gli hash crittografici dei file scaricati. Si tratta di un modo per esssere certi di usare un’applicazione autentica e non compromessa: gli sviluppatori mettono a disposizione l’hash crittografico del codice sorgente dei loro programmi. Un hash ha due caratteristiche peculiari: dato lo stesso input l’hash risultante sarà sempre uguale, e una piccolissima modifica all’input restituirà un hash completamente differente. Per questo motivo l’utente può, una volta scaricato il programma, calcolarne l’hash e se questo dovesse non corrispondere avrebbe la prova che il codice è stato compromesso. Ecco un’ottima pagina di Wikipedia per chi volesse approfondire.
