Video: How Does Bitcoin Work? (Oktober 2024)
På Black Hat 2014-konferansen i Las Vegas demonstrerte Rob Ragan og Oscar Salazar, penetrasjonstestere fra Bishop Fox, en teknikk for skybasert bitcoin-gruvedrift som kostet dem nøyaktig… ingenting. For øyeblikket er en bitcoin verdt 576, 57 dollar. Med en heftig valutakurs som den, kan bitcoin mining uten behov for å bruke enorme databehandlingsressurser være ganske lukrativ.
Det er ikke akkurat en legitim aktivitet, men da er jobben med en penetrasjonstester å hacke systemer for å lappe dem. Ragan bemerket at eksperimentet "krenket helvete ut av noen tjenestevilkår." For å få tilgang til nødvendig prosessorkraft, måtte de generere et enormt antall unike e-postadresser og registrere seg for mange gratis prøvekontoer. Etter å ha gjort det, klarte de å bygge et fullt funksjonelt bitcoin-mining botnet. I følge Ragan, "Dette botnettet blir ikke flagget som skadelig programvare, blokkeres av nettfilter eller blir overtatt. Dette er ting av mareritt!"
Grave detaljene
"Vi er penetrasjonstestere, " sa Ragan. "Vi har jobbet med dette prosjektet det siste året. Vi viste at vi definitivt kan bygge et botnet fra fritt tilgjengelige skytjenester. Vi stilte spørsmålet, er utilstrekkelig anti-automatisering en oversett risiko? Bør det betraktes som en topp ti problemet?"
"Disse skybaserte tjenestene gjør mange forskjellige ting, " sa Salazar, "men formålet er å la utviklere få noe i gang umiddelbart." "Det kutter ut all leggingen og lar deg bygge en applikasjon så raskt som mulig, " la Ragan til. "Plattform som en tjeneste er en vare som etterspørres høyt. Men hvis det gjør livet til en utvikler enklere, ville det ikke også gjøre ting enklere for en ondsinnet angriper? Det er akkurat det vi utforsket."
Ubegrensede e-postadresser
Vi har alle hatt opplevelsen av å registrere deg for et nettsted eller en tjeneste og ble fortalt at registreringen ville bli avsluttet når vi klikket på en e-postkobling. Våre dyktige forskere trengte en måte å automatisere denne prosessen helt på.
Økten forklarte i detalj nøyaktig hvordan de klarte å lage ubegrensede e-postkontoer med realistiske brukernavn og en lang rekke forskjellige domener. Neste trinn var å sette opp automatisk svar for disse kontoene, slik at de kunne svare på alle "Klikk på denne koblingen for å bekrefte" e-post. Det funket! På dette tidspunktet hadde de et system for å lage ubegrensede unike e-postmeldinger uten menneskelig interaksjon. Og de lagret alle detaljene ved hjelp av en gratis prøveversjon av skybaserte MongoDB. Ja, deltakerne vil kunne få all koden som ble brukt i dette eksperimentet.
Morsomme aktiviteter!
"På dette tidspunktet kan vi gjøre ting som DDoS, kryptovalutadrift, datalagring og mer, " sa Ragan. "Som penetrasjonstestere var det å ha et distribuert botnet under vår kontroll." Det var absolutt verdifullt å ha et tamt botnett for å starte DDoS-tester med hvit hatt.
De eksperimenterte med akkurat hva som er mulig når du har e-postadresser for et ubegrenset antall "venner." Mange lagringssystemer på nettet gir deg ekstra gigabyte for å kunne henvise venner. Noen lufter det totale beløpet du kan få på denne måten, andre gjør det ikke. "Vi fikk en terabyte gratis på en tjeneste, " sa Ragan, "som er mer enn du selv kan betale for."
På sitt topp genererte det eksperimentelle LiteCoin-gruve-botnetet omtrent 25 øre per dag per konto. Med 1000 aktive kontoer er det $ 250 per dag. "Vi ønsket ikke å være ondsinnet, bare for å vise hvordan det gjøres, " sa Ragan, "så vi stoppet opp. Men vi har hørt om folk tjener mye penger på kort tid. Vi la et par kontoer gå i flere uker, bare for å se om de ble oppdaget. De var ikke"
Anti-Automasjon
I løpet av eksperimentet reviderte en rekke tjenester verifiseringssystemene sine for å beseire automatisk oppretting av kontoer. En uttalte til og med at årsaken var en spredning av botnett.
Poenget med denne øvelsen var selvfølgelig ikke å gi dårlige gevinster. Nå som det er klart hva som kan gjøres ved å bruke prøvekontoer, er det sannsynlig at leverandørene vil legge til flere forsvar for å forhindre misbruk av systemene sine. "Det er mange måter å identifisere mennesker uten å irritere brukere, " sa Ragan. Han nevnte eksempler inkludert logikkoppgaver, validering med kredittkort og til og med liveoperatører. Det ser ut til at skytjeneste uten betydelig anti-automatisering sannsynligvis vil finne seg i å ha flere botnett enn virkelige brukere.
