Video: Inside The Cryptocurrency Revolution (Oktober 2024)
På Black Hat 2014-konferencen i Las Vegas demonstrerede Rob Ragan og Oscar Salazar, penetrationstestere fra Bishop Fox, en teknik til skybaseret bitcoin-minedrift, der koster dem nøjagtigt… intet. I dette øjeblik er en bitcoin værd $ 576, 57. Med en heftig valutakurs som den, kan minedrift af bitcoin uden behov for at afsætte massive databehandlingsressourcer være ganske indbringende.
Det er ikke præcist en legitim aktivitet, men så er jobbet med en penetrationstester at hacke systemer for at lave dem. Ragan bemærkede, at eksperimentet "krænkede helvede ud af nogle servicevilkår." For at få adgang til den nødvendige behandlingskræft måtte de generere et stort antal unikke e-mail-adresser og tilmelde sig en masse gratis prøvekonti. Når det er gjort, formåede de at opbygge et fuldt funktionelt bitcoin-mining botnet. Ifølge Ragan "Dette botnet bliver ikke markeret som malware, blokeret af webfiltre eller bliver overtaget. Dette er ting af mareridt!"
At grave detaljerne
"Vi er gennemtrængningstestere, " sagde Ragan. "Vi har arbejdet med dette projekt i det sidste år. Vi viste, at vi bestemt kan bygge et botnet fra frit tilgængelige skytjenester. Vi stillede spørgsmålet, er utilstrækkelig anti-automatisering en overset risiko? Bør det betragtes som en top ti sårbarhed?"
"Disse skybaserede tjenester gør mange forskellige ting, " sagde Salazar, "men formålet er at lade udviklere få noget i gang med det samme." "Det udskærer alle benarbejder og giver dig mulighed for at opbygge en applikation så hurtigt som muligt, " tilføjede Ragan. "Platform som en service er en vare, der er meget efterspurgt. Men hvis det letter en udviklers liv, ville det ikke også gøre tingene lettere for en ondsindet angriber? Det er præcis, hvad vi udforskede."
Ubegrænset e-mail-adresser
Vi har alle haft oplevelsen af at tilmelde dig et websted eller en tjeneste og fik at vide, at registreringen ville blive afsluttet, når vi klikkede på et e-mail-link. Vores tålmodige forskere havde brug for en måde at automatisere denne proces fuldstændigt på.
Sessionen forklarede detaljeret, hvordan de formåede at oprette ubegrænset e-mail-konti med realistiske brugernavne og en lang række forskellige domæner. Det næste trin var at indstille automatisk svar til disse konti, så de kunne svare på enhver "Klik på dette link for at bekræfte" e-mail. Det virkede! På dette tidspunkt havde de et system til at oprette ubegrænsede unikke e-mails uden menneskelig interaktion. Og de lagrede alle detaljerne ved hjælp af en gratis prøveversion af skybaseret MongoDB. Ja, deltagere kan få alle koder, der blev brugt i dette eksperiment.
Sjove aktiviteter!
"På dette tidspunkt kan vi gøre ting som DDoS, kryptovaluta mining, datalagring og mere, " sagde Ragan. "Som penetrationstestere var det at have et distribueret botnet under vores kontrol." Det var absolut værdifuldt at have et tamt botnet til at starte DDoS-test med hvid hat.
De eksperimenterede med netop hvad der er muligt, når du har e-mail-adresser til et ubegrænset antal "venner". Mange online lagringssystemer giver dig yderligere gigabyte til vellykkede henvisninger til venner. Nogle sætter pris på det samlede beløb, du kan få på denne måde, andre gør det ikke. "Vi fik en terabyte gratis på en tjeneste, " sagde Ragan, "hvilket er mere end du endda kan betale for."
På sit højeste genererede det eksperimentelle LiteCoin-minedrift-botnet ca. 25 cent pr. Dag pr. Konto. Med 1.000 aktive konti er det $ 250 pr. Dag. "Vi ønskede ikke at være ondsindede, bare for at vise, hvordan det gøres, " sagde Ragan, "så vi stoppede. Men vi har hørt om folk tjener en masse penge på kort tid. Vi efterlod et par konti kørende i flere uger, bare for at se, om de blev opdaget. De var ikke"
Anti-Automation
I løbet af eksperimentet revideret et antal tjenester deres verificeringssystemer for at besejre automatisk oprettelse af konti. En erklærede endda grunden var en spredning af botnet.
Pointen med denne øvelse var naturligvis ikke at generere dårligt opnåede gevinster. Nu hvor det er klart, hvad der kan gøres ved hjælp af prøvekonti, er det sandsynligt, at udbyderne tilføjer flere forsvar for at forhindre misbrug af deres systemer. "Der er masser af måder at identificere mennesker uden at irritere brugere, " sagde Ragan. Han nævnte eksempler, herunder logiske gåder, validering med kreditkort og endda live operatører. Det ser ud til, at enhver sky-service uden betydelig anti-automatisering sandsynligvis vil finde sig i at rumme flere botnets end virkelige brugere.
