NOVO ERRO DA CARTEIRA DE BITCOIN? JavaScript NPM explicado em novembro de 2018

NOVO ERRO DA CARTEIRA DE BITCOIN?  JavaScript NPM explicado em novembro de 2018

(Tradução Automática Ivan on Tech) Você e nós estamos ao vivo sim bem vindos a mais um episódio do bom dia cripto e hoje vamos falar sobre JavaScript sobre carteiras bitpay e porque elas ficaram vulneráveis ​​porque alguém conseguiu injetar código malicioso na carteira bitpay e para entender que eu preciso para explicar a você como o JavaScript.

O desenvolvimento funciona Eu preciso explicar a você como os gerenciadores de pacotes funcionam em JavaScript como os desenvolvedores usam os gerenciadores de pacotes o que são gerenciadores de pacotes e também você aprenderá sobre o lado negro do código aberto porque isso é realmente uma falha no processo de código aberto e no desenvolvimento de código aberto que você tem essas coisas acontecendo e você vai entender.

Por que e você vai entender como isso pode acontecer e eu vejo o papo rolando uma fada da perna David Fabrice tinha uma voz de Janna Jaguar sobre criptografia incrível para mim ver aqui sejam bem-vindos a todos esmaguem o like e sim pessoal é cedo como se eu tivesse problemas para acordar hoje, mas agora estou de pé, estou um pouco atrasado, mas você sabe que é melhor tarde do que nunca, então vamos lá.

Direto para a ação, então, antes de falarmos sobre o software e essa loucura que está acontecendo atualmente com o bitpay, vamos dar uma olhada nos preços tão pouco, na verdade, subiu 6%, movimento bastante positivo, embora se você olhar historicamente, estivemos em baixa, você sabe 14 % 20% durante as últimas semanas, então não tenho certeza de quão bom isso é, mas pelo menos é verde, você sabe.

Verde é fardo vermelho que com certeza é ondulado 5% um teorema 7% grandes vencedores se tornam sílica privada apenas 28% moeda vermelha ok grandes perdedores vão vão vão beacon SV sim então vimos uma bomba ontem no Bitcoin SV agora a bomba está se transformando em um despejar como de costume, então vemos menos 21 por cento de fato em cinco por cento, sim, nada realmente interessante aqui, mas.

Portanto, o que precisamos entender é que o bitpay tem alguns problemas enormes com sua carteira porque um desenvolvedor mal-intencionado conseguiu injetar um código que rouba chaves privadas e eu realmente aprendi sobre isso com o desbloqueio de James, então vi este tweet sobre o MPM repositório do servidor foi comprometido se você o estiver usando em um arquivo.

Projeto junto com copay – então o malware roubará todas as chaves privadas que encontrar, então precisamos entender como funciona o que é M pm o que é fluxo de evento e como isso pode acontecer como isso é possível já que você tem bitpay desenvolvendo sua carteira e de repente há vulnerabilidade bem antes de tudo.

Precisamos falar sobre desenvolvimento de código aberto como funciona se eu quiser desenvolver uma carteira digamos que sou bitpay e quero desenvolver minha carteira muito provavelmente não vou construir tudo do zero muito provavelmente vou usar bibliotecas que vou usar frameworks Vou usar ferramentas que outras pessoas desenvolveram anteriormente, então é assim.

O código aberto funciona porque há tantas pessoas desenvolvendo coisas diferentes que não há real, você sabe, um ponto em redesenvolver tudo porque posso reutilizar muitas ferramentas que outras pessoas fizeram antes e no desenvolvimento de software o que você costuma ter é isso os desenvolvedores precisam da mesma funcionalidade, mas em diferentes aplicativos e quando.

Os desenvolvedores codificam um pedaço de funcionalidade um pedaço de código algum tipo de função que faz uma coisa específica eles podem empacotá-lo e podem permitir que outros desenvolvedores o usem então é um conceito central entender isso no desenvolvimento de código aberto e realmente em qualquer desenvolvimento que você tem esses pequenos pacotes de código que contém específicos.

Funcionalidade que contém utilitários específicos de ferramentas específicas que outros desenvolvedores podem usar e, portanto, quando você está desenvolvendo, está lidando muito com o node.js, porque se você deseja desenvolver algo em JavaScript, a maior biblioteca e a maior plataforma atualmente em JavaScript não é js ‘ então, quando as pessoas estão desenvolvendo walas pessoas.

Estão desenvolvendo sites, quero dizer, realmente qualquer coisa que você faça hoje em JavaScript provavelmente terá algo a ver com node.js e no node.js você tem esse gerenciador de pacotes chamado NPM, então NPM é essa plataforma de repositório, todos esses pacotes vivem, então, se você quiser para instalar e este é o site do NPM e seu código.

E significa gerenciador de pacotes node, então você, membro, lembre-se de que nodejs é esta plataforma em JavaScript e o gerenciador de pacotes node é onde você encontra e onde pode descobrir diferentes tipos de pacotes que você pode usar em seu projeto que outras pessoas escreveram, então este é como você pode basicamente construir seu projeto mais rápido porque é assim.

Muitas coisas que já foram construídas e aqui você pode procurar por coisas diferentes, então James vai surgir basicamente que o repositório de fluxo de eventos NPM, então o fluxo de eventos é uma ferramenta específica que os desenvolvedores podem usar e se eu for para o NPM, quero dizer que posso encontrar o fluxo de eventos aqui e você pode ver que foi baixado dois milhões de vezes esta semana.

Então, as pessoas estão usando muito e em diferentes projetos, não apenas em projetos criptográficos em todo o antigo, você tem aplicativos usando esse fluxo de evento de pacote que um cara escreveu e esse é realmente o lado negro do código aberto que iremos discutir mais tarde e então o que aconteceu é que o desenvolvedor desta biblioteca deste.

Ferramenta chamada mainstream que é usada em muitos aplicativos e que o bitpay usado em seu t-iarratas bem, eles injetaram um código malicioso que rouba suas chaves privadas, é especificamente adaptado para roubar chaves privadas do bitpay lidar com uma carteira e algo que James em baixo preço aqui é que, se você usar este evento de biblioteca.

Transmita junto com copay – que eu acho que é outra biblioteca sim, aqui você pode encontrá-lo se usar essas duas bibliotecas copiadas juntas – e fluxo de eventos no mesmo projeto e você realmente tem usuários usando esse projeto, por exemplo, se você tiver uma carteira Bitcoin como como copay bem este repost aqui fluxo de evento.

Ainda haverá chaves privadas do copay – e isso é o mais importante que você precisa entender que o NPM é essa plataforma de pacotes onde você pode encontrar diferentes pacotes que você pode usar em seu projeto e um deles foi alterado e alterado maliciosamente para roubar chaves privadas de copay – que é esse outro open-source.

Biblioteca que o beat pay fez e isso é bastante preocupante e realmente mostra o lado negro do código aberto como mencionei, porque você percebe que quero dizer que tudo isso é de graça quando você está usando o NPM toda a biblioteca dele você tem direito aqui, por exemplo, fluxo de eventos ou outro, você sabe que existem milhões de ferramentas e pacotes diferentes que você pode obter.

Em seu projeto do NPM e eles são maravilhosos principalmente você obtém código livre principalmente nós obtemos funcionalidade gratuita principalmente você pode desenvolver rapidamente seu projeto para que todos estejam usando NPM não há um único projeto nodejs que não esteja usando NPM que seria você sabe disso seria muito incomum para um projeto OGS em JavaScript não usar o NPM.

Todo mundo está usando e é algo que precisamos entender que muitas pessoas não pensam é que quando alguém está usando um pacote do NPM, eles estão basicamente confiando no desenvolvedor desse pacote e sim, é verdade que se você for para fluxo de evento de exemplo no NPM, você pode verificar o github para acessar aqui e verificar o github disso.

Repository e você pode realmente ler o código que está instalando e aqui, a partir do repositório rip do fluxo de eventos no NPM, você pode ir para o github e aqui você pode realmente ler o código, mas o problema aqui é que o código que é carregado no MPN pode ser diferente do código carregado no github, portanto, o NPM não verifica necessariamente o código que possui.

É o mesmo código que o github tem e então o que aconteceu é que essa pessoa dominic tor que foi o desenvolvedor original do fluxo de eventos e ele é o cara legal aqui ele não fez nada malicioso, mas basicamente disse ei, eu não quero para desenvolver o fluxo de eventos mais porque o fluxo de eventos era um projeto de código aberto, eu fiz isso de graça.

Isso é o que Dominic disse, ei, eu fiz tudo de graça, ninguém me pagou e agora não tenho mais tempo para desenvolver isso, não tenho mais tempo para trabalhar com o fluxo de ventilação, então vou doá-lo para alguém. mais e então um cara aleatório aparentemente enviou um e-mail para Dominic tar e disse que ei, eu quero desenvolver.

Um fluxo de ventilação para você, então me dê todo o acesso e Dominic Tarr apenas deu a ele todo o acesso e você sabe que pode parecer estranho, pode parecer loucura, mas é uma espécie de prática em código aberto que, se alguém quiser oferecer suporte a um código aberto projeto e trabalhou com projeto de código aberto, eles podem apenas saber escrever para o desenvolvedor e se o.

O desenvolvedor não quer continuar desenvolvendo, eles podem dar acesso a eles, então foi isso que aconteceu. pegou e aquele cara era malicioso porque aquele novo.

O desenvolvedor introduziu todas essas vulnerabilidades e isso só foi descoberto recentemente isso só foi descoberto você sabe há uma semana que essa loucura estava acontecendo e o lado negativo do código aberto é que todo mundo está esperando coisas grátis, quero dizer, todo mundo desenvolvendo você sabe Jes usando NPM é esperando coisas grátis porque você é assim.

Acostumado com isso, tudo no NPM é de graça e tudo aqui é apenas você sabe, você pesquisa qualquer pacote que deseja e obtém outro pacote importante que muitas pessoas usam ou, por exemplo, é por exemplo Oh – espero poder encontrá-lo aqui sim Quero dizer, este também é um projeto enorme, você vê, tem 17 milhões de downloads semanais, imagine se algo acontecer.

Para baixo – e há algum tipo de coisa maluca acontecendo lá porque baixo – é usado, quero dizer, literalmente, por cada projeto e quero dizer que o padrão deve ser se você for bitpay se for qualquer outro aplicativo que tenha infraestrutura de missão crítica e quando Digo missão crítica, quero dizer que, se você bagunçar, as pessoas perderão muito.

Dinheiro, se você bagunçar, seus clientes podem perder todas as economias de uma vida inteira, isso é o que significa ter uma infraestrutura de missão crítica. Quero dizer, se você estiver construindo esses aplicativos, não deve apenas pegar pacotes aleatórios do NPM porque não sabe quem os está desenvolvendo você não sabe o que pode kote estará neles e se você é apenas.

Pegando um pacote do NPM você não checa o código você não checa a versão você não tem certeza se a versão é realmente boa porque muitas pessoas fazem o que muitas pessoas fazem é pegar um pacote do NPM e depois configuram para o versão mais recente, o que significa que cada vez que eles constroem seu aplicativo, a versão mais recente dele.

O pacote será buscado e então as pessoas pensam por que eu simplesmente não escolho a versão mais recente bem, o problema é que novas coisas malucas podem ser introduzidas em uma versão posterior que você pode não querer em seu aplicativo e, portanto, a comunidade JavaScript hoje basicamente confia cegamente NPM e, em seguida, confia cegamente nos pacotes localizados no NPM e no motivo pelo qual estou.

Dizer isso é porque eu mesmo trabalhei muito com JavaScript e sei como é o processo. apenas usará todas as ferramentas disponíveis e esta não é uma educação que está sendo feita atualmente.

As pessoas não estão se educando sobre os perigos de apenas pegar repositórios aleatórios de código aberto que podem ser atualizados especificamente para roubar suas chaves privadas ou fazer outra coisa e acho que esta é a mensagem principal que quero comunicar hoje para todos vocês, desenvolvedores, observando se têm missão crítica.

Infraestrutura não confie em NPM pague alguém quero dizer pague alguém para desenvolver e manter o repositório vai custar muito dinheiro como eu sei eu sei que custa muito pagar alguém para manter um repositório de código aberto mas pelo amor de Deus funciona só faz uma cópia dele para que você tenha pelo menos certeza de que ninguém o altere ou.

Basta escolher uma versão específica e manter essa versão ou pagar a alguém para mantê-la porque se você apenas copiá-la pode não ser bom o suficiente pode não ser bom o suficiente porque o software se desenvolve você vê o software envelhecendo você vê o software não se comunicando com outro software mais recente se for deixado.

Sozinho e alguém esquece que o software precisa ser mantido, o software é um organismo vivo, então você não pode simplesmente deixá-lo, então você deve realmente pagar alguém para mantê-lo, mas Fergus diz para não confiar apenas em um desenvolvedor aleatório no NPM, então este é o primeiro tópico do dia sobre o que está acontecendo no bate-papo que tenho.

Outro tópico também muito importante, na verdade, os Stáit Aontaithe Mheiriceá, não deixando o JIRA legal, não sei o que é isso, cobriremos IC ou qualquer perspectiva de investimento, desculpe, sou novo hoje, então hoje estamos falando sobre a vulnerabilidade da carteira Bitcoin no bitpay, eles podem contratar Ivan exatamente hiper crítico Oh entrada de Richard Hart foi brilhante dele.

A paixão foi excelente e ótimo ver vocês dois iniciando em diferentes P sim, então você conhece Richard, ele tem opiniões fortes, ele sabe como debater, mas o que é bom é que você pode realmente ter um debate, então tivemos uma discussão interessante ontem e para mim é tudo sobre explorar meus convidados, tantas pessoas ficaram tipo ei Ivan, você deveria saber colocar.

Uma luta, mas caras como eu quero aprender, essa é a minha ideia ao convidar pessoas para o canal é que eu aprendo e se eu ouvir algo maluco com o qual não concordo bem, então faço mais perguntas, coloco argumentos de país então foi isso que aconteceu ontem e a introdução durou cerca de duas horas e você definitivamente deveria conferir no.

Canalize um Richard Hart de qualquer maneira, pessoal, a última coisa que quero discutir não tem nada a ver com criptografia, mas na verdade tem a ver com o YouTube e é bastante assustador e bastante perigoso para todos os youtubers europeus e isso é algo que discutimos brevemente alguns meses atrás, como alguns meses atrás, mas eu realmente quero discutir isso um pouco mais bem, basicamente.

O que você tem é este artigo 13 acontecendo no parlamento da UE e o artigo 13 quer trazer mais leis de direitos autorais e eles querem mudar algumas leis de direitos autorais vamos ver se isso está congelado vamos ver vamos ver vamos ver se congelado congelado congelado ok estamos de volta ao vivo estamos de volta ao vivo acho que voltamos ao vivo mas de qualquer maneira o que eu.

Queria discutir aqui que acho que comecei, mas algo aconteceu muito óbvio, mas acho que voltamos de qualquer maneira e o que você tem é que você tem este artigo 13 acontecendo na San Eoraip e o artigo 13 basicamente significa que se eles querem melhorar você sabe melhorar as leis de direitos autorais na Europa, mas na prática isso significa que você sabe que não será.

Capaz de enviar vídeos do YouTube da Europa, por mais louco que pareça, mas acho que é uma mensagem do CEO do YouTube, sim, Susan Wojcicki, CEO do YouTube. isso muito a sério porque a mudança que o Parlamento da UE quer fazer no artigo 13 é basicamente o YouTube.

Twitter Facebook todos eles serão responsáveis ​​pelo fato de que os usuários não carregam nada que seja protegido por direitos autorais e as leis corporativas também estão se tornando mais rígidas, por exemplo, você não pode usar logotipos, não pode usar fotos, não há uso comercial. coisa que não há mais uso justo na Europa e basicamente o que.

O CEO do YouTube escreve nesta postagem do blog que você pode encontrar na descrição deve ter certeza de que, ei, você sabe o que para nós é muito trabalho e muita incerteza porque, obviamente, o YouTube não pode garantir que todo e qualquer conteúdo que é carregado não contém nenhum copyright e o atual.

O processo é chamado de porto seguro, então o processo atual do YouTube é chamado de porto seguro, o que significa que se alguém enviar um conteúdo malicioso, você sabe que algum tipo de conteúdo protegido por direitos autorais o YouTube o removerá e isso significa que o YouTube não tem responsabilidade se eles tomarem baixou o conteúdo, mas agora a UE quer mudar as regras e criar o youtube.

Responsáveis, se eles permitirem que algo seja enviado para o YouTube que seja protegido por direitos autorais e que não seja tecnicamente possível, não há como o YouTube realmente fazer isso e ser capaz de examinar todo o conteúdo que está sendo enviado e, portanto, apenas destruindo este princípio de porto seguro.

O YouTube é o único responsável por remover o conteúdo e agora que o YouTube tem que examinar todo o conteúdo do produto que está sendo enviado, eles basicamente tornam impossível operar você, então não tenho certeza exatamente como vai funcionar de acordo com o CEO do YouTube, quero dizer, mais uma vez, não é como se eu fosse esse cara de chapéu fino.

Falando sobre isso, não é como se Alex Jones e eu estivéssemos inventando isso, isso foi escrito pelo CEO do YouTube e eles basicamente dizem que ei, você sabe, pode ser o fato de que os youtubers europeus não conseguirão fazer o upload, pode ser o fato de que um muitos vídeos serão removidos e muitos vídeos enviados fora da UE não serão visíveis.

A UE e isso é bastante preocupante e você sabe que talvez eu me mude para os EUA ou algo assim, mas alguma ação precisa ser tomada e ele/ela basicamente diz o CEO do YouTube mais uma vez como eu – estou dizendo a você que isso é o CEO do YouTube, ela basicamente diz que você sabe que precisa falar sobre isso, então é por isso que estou falando sobre isso que você como um.

O Youtuber precisa discutir isso e você realmente precisa apresentar isso, então é por isso que estou dizendo a você que esse cara é que, se você mora na Europa e é um dos Estados-Membros, você mora em um dos Estados-Membros Quero dizer, certifique-se de informar seu pessoal sobre isso, certifique-se de informar o público sobre isso, porque ninguém sabe e.

Ninguém entende isso no público em geral porque não há debate sobre isso não há debate não há informação e mesmo os deputados que votaram nisso nem sabem o que votaram porque tem um youtuber que estava no a votação ele estava presente quando a votação aconteceu e depois ele entrevistou.

As pessoas que votaram a favor e não tinham ideia do que votaram, não tinham conhecimento, quero dizer, vou tentar encontrar para você aqui Parlamento da UE, o artigo 13 do Parlamento votar, não sei se consigo encontrar isso rapidamente em o stream, mas se você apenas pesquisar rapidamente como o conde denckla, é como se houvesse um youtuber chamado algo sim.

Sim, sim, a condenação foi cancelada, mas não encontrei o vídeo, mas há um artigo no independente sobre o conde Dan Cola, ele foi o cara que foi ao Parlamento e entrevistou os membros do parlamento que votaram a favor e ele eles mesmos tiveram não faço ideia do que eles acabaram de votar, então isso é meio que aprovado, foi aprovado no.

Estágios iniciais do parlamento e do Conselho Europeu, como eu não tenho muita certeza sobre os detalhes exatos da burocracia na União Europeia, então você não sabe disso, lembre-se disso, como se eu não fosse um profissional em toda a burocracia e isso também é uma questão da UE ninguém sabe como é como funciona o que está acontecendo quem é o presidente de vocês.

Como ninguém sabe na UE, é por isso que o Eevee é tão estranho, mas mesmo assim foi aprovado, mas o Parlamento ainda não votou nele, mas votou para que fosse legislado, eles votaram para que fosse aprovado, mas não votaram. é como a lei e isso pode acontecer e antes do final do ano, então você sabe, informe seu pessoal, informe seus membros.

Do parlamento e apenas pergunte a eles o que diabos está acontecendo, o que diabos vocês estão fazendo, porque, honestamente, essas pessoas, mais uma vez, afirmam Ivan, por que você é tão negativo em relação aos mais velhos, acho que respeito os mais velhos, mas quando os mais velhos fazem essas regras como se você tivesse mais de 50 caras e as mulheres fazendo essas regras sobre a Idirlíon.

Não têm ideia do que está acontecendo, é claro que eles precisam aprender a navegar para aprender o que está acontecendo e eles não podem simplesmente pegar esse poder europeu e aplicá-lo à Internet como se realmente fosse mais uma discussão política, mas o que diabos você está fazendo em a Internet como eles deveriam estar fazendo o que você está vendo, como você conhece o exército.

Talvez economia, mas não lide com a internet porque eles realmente não têm ideia do que está acontecendo, eles nunca usaram o motor e a hora de acordar de qualquer maneira, acho que é o fim do discurso espero que você aprenda algo espero que tenha aprendido sobre bitpay espero que você tenha aprendido sobre NPM espero que você tenha aprendido sobre todas as coisas diferentes que discutimos.

E espero que você aprenda sobre o Arsenal 13 que está chegando e você sabe que eu vou me mudar para os EUA se isso realmente se isso realmente bagunçar meu YouTube, estou me mudando para nós, é isso pessoal, muito obrigado por assistir, até mais. todos amanhã tenham um ótimo dia e adeus pessoal adeus adeus vejo se eu breve dizendo isso é por isso que precisamos dessensibilizar.

Internet exatamente exatamente exatamente ok adeus pessoal tchau tchau

Mheas an bpost

Poist ghaolmhara

Fág nóta tráchta

earráid: