Видео: Pomp Podcast #436: Dan Tapiero on Gold and Bitcoin (Ноябрь 2024)
На конференции Black Hat 2014 в Лас-Вегасе Роб Раган и Оскар Салазар, тестеры проникновения от епископа Фокса, продемонстрировали технологию облачного майнинга биткойнов, которая стоила им ровно… ничего. На данный момент один биткойн стоит $ 576, 57. С таким огромным обменным курсом майнинг биткойнов без необходимости выделять огромные вычислительные ресурсы может быть весьма прибыльным.
Это не совсем законная деятельность, но задача тестера на проникновение состоит в том, чтобы взламывать системы с целью их исправления. Раган отметил, что эксперимент «нарушил чертовски некоторые условия службы». Чтобы получить доступ к необходимой вычислительной мощности, им пришлось создать огромное количество уникальных адресов электронной почты и подписаться на тонны бесплатных пробных аккаунтов. Сделав это, им удалось построить полнофункциональный ботнет-майнинг биткойнов. По словам Рагана, «этот ботнет не помечается как вредоносное ПО, не блокируется веб-фильтрами и не захватывается. Это ночные кошмары!»
Копаем детали
«Мы тестеры на проникновение», - сказал Раган. «Мы работали над этим проектом в течение прошлого года. Мы показали, что мы определенно можем построить ботнет из свободно доступных облачных сервисов. Мы задали вопрос, является ли недостаточная антиавтоматика пропущенным риском? Стоит ли считать его первой десяткой? уязвимость?»
«Эти облачные сервисы делают много разных вещей, - сказал Салазар, - но цель состоит в том, чтобы позволить разработчикам сразу начать работу». «Это избавляет от лишней работы и позволяет вам создавать приложения как можно быстрее», - добавил Раган. «Платформа как услуга - это продукт, который пользуется большим спросом. Но если он облегчает жизнь разработчика, разве это не облегчит жизнь злоумышленнику? Это именно то, что мы исследовали».
Неограниченные адреса электронной почты
У всех нас был опыт регистрации на веб-сайте или услуге, и нам сказали, что регистрация будет завершена, когда мы нажмем на ссылку электронной почты. Нашим опытным исследователям нужен был способ полностью автоматизировать этот процесс.
Сессия подробно объяснила, как именно им удалось создать неограниченные учетные записи электронной почты с реалистичными именами пользователей и различными доменами. Следующим шагом было настроить автоматический ответ для этих учетных записей, чтобы они могли отвечать на любое сообщение «Нажмите эту ссылку для подтверждения». Это сработало! На данный момент у них была система для создания неограниченного количества уникальных электронных писем без участия человека. И они сохранили все детали, используя бесплатную пробную версию облачной MongoDB. Да, участники смогут получить весь код, который использовался в этом эксперименте.
Развлечения!
«На данный момент мы можем делать такие вещи, как DDoS, майнинг криптовалют, хранение данных и многое другое», - сказал Раган. «В качестве тестеров на проникновение целью было иметь распределенный ботнет под нашим контролем». Наличие ручного ботнета для запуска тестов DDoS в «белой шляпе» на желающих клиентах было определенно ценным.
Они экспериментировали только с тем, что возможно, когда у вас есть адреса электронной почты для неограниченного количества «друзей». Многие системы онлайн-хранения дают вам дополнительные гигабайты для успешных приглашений друзей. Некоторые ограничивают общую сумму, которую вы можете получить таким образом, другие - нет. «Мы получили терабайт бесплатно на одну услугу, - сказал Раган, - это больше, чем вы даже можете заплатить».
На своем пике экспериментальный ботнет-майнинг LiteCoin генерировал около 25 центов в день на счет. При 1000 активных аккаунтах это 250 долларов в день. «Мы не хотели быть злыми, просто чтобы показать, как это делается», - сказал Раган, - «поэтому мы остановились. Но мы слышали о том, что люди зарабатывают много денег за короткое время. в течение нескольких недель, просто чтобы увидеть, будут ли они обнаружены. Они не были"
Anti-Automation
В ходе эксперимента ряд служб пересмотрели свои системы проверки для предотвращения автоматического создания учетных записей. Один даже заявил, что причиной было распространение бот-сетей.
Конечно, смысл этого упражнения не в том, чтобы получить нечестные выгоды. Теперь, когда ясно, что можно сделать с помощью пробных учетных записей, скорее всего, поставщики добавят больше средств защиты, чтобы предотвратить злоупотребление своими системами. «Есть много способов идентифицировать людей без раздражающих пользователей», - сказал Раган. Он привел примеры, включающие логические головоломки, проверку с помощью кредитной карты и даже операторов в реальном времени. Кажется очевидным, что любой облачный сервис без значительной антиавтоматики может оказаться более укрытым, чем реальные пользователи.