Vídeo: Form Sonifier Turntable (Setembre 2024)
A la conferència de Black Hat 2014 a Las Vegas, Rob Ragan i Oscar Salazar, provadors de penetració de Bishop Fox, van demostrar una tècnica per a la mineria bitcoin basada en núvol que els va costar exactament… res. En aquest moment, un bitcoin val 576, 57 dòlars. Amb una taxa de canvi elevada com aquesta, la mineria de bitcoin sense la necessitat de dedicar recursos informàtics massius podria ser rendible.
No és precisament una activitat legítima, però, l’objectiu d’un tester de penetració és fer pirates de sistemes per tal de pegar-los. Ragan va assenyalar que l'experiment va "violar l'infern per alguns termes de servei". Per accedir al poder de processament necessari, van haver de generar un gran nombre d'adreces de correu electrònic úniques i registrar-se en tones de comptes de prova gratuïts. Un cop fets, van aconseguir crear una botnet de mineria de bitcoin totalment funcional. Segons Ragan, "Aquesta botnet no es marca com a programari maliciós, bloquejada pels filtres web ni es fa càrrec. Es tracta de malsons!"
Cavant els detalls
"Som provadors de penetració", va dir Ragan. "Hem estat treballant en aquest projecte durant l'últim any. Vam demostrar que definitivament podem crear una botnet a partir de serveis de núvols disponibles de forma lliure. Ens vam plantejar la pregunta, és un risc ignorat per a la contraautomatització insuficient? S'hauria de considerar un dels deu primers. vulnerabilitat?"
"Aquests serveis basats en núvols fan moltes coses diferents", va dir Salazar, "però el propòsit és deixar que els desenvolupadors es posin en funcionament immediatament". "Retalla tota la feina i us permet crear una aplicació el més ràpidament possible", va afegir Ragan. "La plataforma com a servei és una mercaderia amb una gran demanda. Però si facilita la vida d'un desenvolupador, no facilitaria les coses per a un atacant maliciós? És exactament el que vam explorar".
Adreces de correu electrònic il·limitades
Tots hem tingut l’experiència de registrar-nos en un lloc web o servei i se’ns va dir que el registre finalitzaria quan fèiem clic en un enllaç de correu electrònic. Els nostres investigadors no necessiten la manera d'automatitzar completament aquest procés.
La sessió va explicar detalladament com van aconseguir crear comptes de correu electrònic il·limitats amb noms d’usuari realistes i una àmplia varietat de dominis diferents. El següent pas va ser configurar una resposta automàtica per a aquests comptes, de manera que poguessin respondre a qualsevol correu electrònic "Feu clic en aquest enllaç per confirmar". Ha funcionat! Arribats a aquest punt, tenien un sistema per crear correus electrònics únics il·limitats sense interacció humana. I van emmagatzemar tots els detalls mitjançant una prova gratuïta de MongoDB basada en núvol. Sí, els assistents podran obtenir tot el codi que s'ha utilitzat en aquest experiment.
Activitats divertides!
"En aquest moment podem fer coses com DDoS, mineria de cripto-moneda, emmagatzematge de dades, etc.", va dir Ragan. "Com a testers de penetració, tenir un botnet distribuït sota el nostre control era l'objectiu". Tenir una botnet domesticada per llançar proves DDoS de barret blanc contra clients disposats va ser definitivament valuós.
Van experimentar el que és possible quan teniu adreces de correu electrònic per a un nombre il·limitat de "amics". Molts sistemes d’emmagatzematge en línia us ofereixen gigabytes addicionals per als amics de referència amb èxit. Alguns indiquen l’import total que podeu obtenir d’aquesta manera, d’altres no. "Tenim un terabyte gratuït en un servei", va dir Ragan, "que és més del que fins i tot pot pagar".
Al seu punt àlgid, l'experimental botnet de mineria LiteCoin estava generant uns 25 cèntims al dia per compte. Amb 1.000 comptes actius, això significa 250 dòlars diaris. "No volíem ser malintencionats, només mostrar com es fa", va dir Ragan, així que ens vam aturar. Però hem sentit a parlar de persones que guanyen molts diners en poc temps. Deixem un parell de comptes funcionant. durant diverses setmanes, només per veure si els detectarien. No ho eren"
Anti-Automatització
Durant el transcurs de l'experiment, diversos serveis van revisar els seus sistemes de verificació per derrotar la creació automàtica de comptes. Fins i tot es va afirmar que el motiu era una proliferació de botnets.
Per descomptat, el propòsit d'aquest exercici no era generar guanys no assolits. Ara que està clar què es pot fer mitjançant comptes de prova, és probable que els proveïdors afegissin més defenses per evitar abusos dels seus sistemes. "Hi ha moltes maneres d'identificar els humans sense usuaris molestos", va dir Ragan. Va mencionar exemples que inclouen trencaclosques de lògica, validació amb targeta de crèdit i fins i tot operadors en directe. Sembla clar que és probable que qualsevol servitud de núvol sense anti-automatització important tingui més botnets que usuaris reals.
