Відео: Pomp Podcast #436: Dan Tapiero on Gold and Bitcoin (Вересень 2024)
На конференції Black Hat 2014 у Лас-Вегасі Роб Раган та Оскар Салазар, тестувальники проникнення від Bishop Fox, продемонстрували техніку хмарного видобутку біткойна, яка коштувала їх точно … нічого. На даний момент один біткойн коштує 576, 57 доларів. При такому здоровенному обмінному курсі, видобуток біткойна без необхідності виділяти величезні обчислювальні ресурси може бути досить прибутковим.
Це не зовсім законна діяльність, але тоді, завдання тестеру на проникнення - зламати системи, щоб виправити їх. Раган зазначив, що експеримент "порушив пекло з певних умов обслуговування". Щоб отримати доступ до необхідної потужності для обробки, їм довелося генерувати величезну кількість унікальних адрес електронної пошти та підписатися на тони безкоштовних пробних акаунтів. Зробивши це, їм вдалося побудувати повністю функціональний ботнет з видобутку біткойна. За словами Рагана, "Цей ботнет не позначається шкідливим програмним забезпеченням, блокується веб-фільтрами або не приймається. Це кошмар кошмарів!"
Копати деталі
"Ми тестери на проникнення", - сказав Раган. "Ми працювали над цим проектом останній рік. Ми показали, що ми, безумовно, можемо створити ботнет із вільно доступних хмарних сервісів. Ми задали питання, чи недостатня антиавтоматизація завищений ризик? Чи слід вважати його першою десяткою вразливість? "
"Ці хмарні сервіси роблять багато різних речей, - сказав Салазар, - але мета полягає в тому, щоб розробники могли негайно почати щось працювати і працювати". "Це вирізає всі ніжки і дозволяє вам максимально швидко створити додаток", - додав Раган. "Платформа як послуга - це товар, який користується великим попитом. Але якщо це полегшує життя розробника, чи не полегшить це зловмисник також? Це саме те, що ми дослідили".
Безлімітні адреси електронної пошти
Всі ми мали досвід реєстрації на веб-сайті чи службі, і нам сказали, що реєстрація буде завершена, коли ми натиснули посилання електронної пошти. Нашим дбайливим дослідникам потрібен спосіб повністю автоматизувати цей процес.
Сеанс детально пояснив, як їм вдалося створити необмежену кількість облікових записів електронної пошти з реалістичними іменами користувачів та великою кількістю різних доменів. Наступним кроком було встановити автоматичну відповідь для цих облікових записів, щоб вони могли відповісти на будь-який електронний лист "Клацніть на це посилання для підтвердження". Це спрацювало! У цей момент у них була створена система для створення необмежених унікальних електронних листів без взаємодії з людьми. І вони зберігали всі деталі, використовуючи безкоштовну пробну версію хмарного MongoDB. Так, відвідувачі зможуть отримати весь код, який був використаний у цьому експерименті.
Розваги!
"На даний момент ми можемо робити такі речі, як DDoS, видобуток криптовалют, зберігання даних тощо", - сказав Раган. "Як тестери з проникнення, метою було поставити розподілений ботнет під нашим контролем". Бути приручним ботнетом для запуску тестів DDoS з білою шапкою на бажаючих клієнтів, безумовно, було цінним.
Вони експериментували з тим, що можливо, коли у вас є адреси електронної пошти для необмеженої кількості "друзів". Багато систем онлайн-сховища дають додаткові гігабайти для успішного звернення до друзів. Деякі обмежують загальну суму, яку ви можете отримати таким чином, інші - ні. "Ми отримали терабайт безкоштовно за одну послугу, - сказав Раган, - це більше, ніж ви навіть можете заплатити".
На піку експериментальний ботнет з видобутку LiteCoin генерував близько 25 центів на день. З 1000 активних акаунтів це 250 доларів на день. "Ми не хотіли бути зловмисними, щоб лише показати, як це робиться", - сказав Раган, - тому ми зупинилися. Але ми чули, як люди заробляють багато грошей за короткий час. Ми залишили кілька облікових записів, що працюють протягом декількох тижнів, щоб побачити, чи їх виявлять. Вони не були "
Антиавтоматизація
У ході експерименту ряд сервісів переглянув свої системи перевірки, щоб уникнути автоматичного створення облікових записів. Один навіть констатував причину - поширення ботнетів.
Звичайно, суть цієї вправи полягала не в тому, щоб приносити невдачі. Тепер, коли зрозуміло, що можна зробити за допомогою пробних акаунтів, швидше за все, провайдери додадуть більше засобів захисту, щоб уникнути зловживань своїми системами. "Є маса способів ідентифікувати людей без дратівливих користувачів", - сказав Раган. Він згадав приклади, включаючи логічні головоломки, перевірку за допомогою кредитної картки та навіть операторів у реальному часі. Здається, що будь-яка хмарна сервісна система без значної антиавтоматизації, ймовірно, може знайти більше ботнетів, ніж реальних користувачів.
