Video: Si può creare una strategia AUTOMATICA sui BITCOIN? (Novembre 2024)
Alla conferenza di Black Hat 2014 a Las Vegas, Rob Ragan e Oscar Salazar, tester di penetrazione di Bishop Fox, hanno dimostrato una tecnica per il mining di bitcoin basata su cloud che è costata esattamente… nulla. In questo momento, un bitcoin vale $ 576, 57. Con un forte tasso di cambio del genere, il mining di bitcoin senza la necessità di dedicare ingenti risorse informatiche potrebbe essere abbastanza redditizio.
Non è esattamente un'attività legittima, ma poi il compito di un tester di penetrazione è hackerare i sistemi per correggerli. Ragan notò che l'esperimento "violava l'inferno per alcuni termini di servizio". Per ottenere l'accesso alla potenza di elaborazione necessaria, hanno dovuto generare un numero enorme di indirizzi e-mail unici e registrarsi per tonnellate di account di prova gratuiti. Dopo averlo fatto, sono riusciti a costruire una botnet di mining bitcoin completamente funzionale. Secondo Ragan, "Questa botnet non viene segnalata come malware, bloccata da filtri Web o acquisita. Questa è roba da incubi!"
Scavare i dettagli
"Siamo tester di penetrazione", ha detto Ragan. "Abbiamo lavorato a questo progetto nell'ultimo anno. Abbiamo dimostrato che possiamo sicuramente creare una botnet da servizi cloud disponibili gratuitamente. Abbiamo posto la domanda: se l'antiautomazione insufficiente è un rischio trascurato? Dovrebbe essere considerato tra i primi dieci vulnerabilità?"
"Questi servizi basati su cloud fanno molte cose diverse", ha detto Salazar, "ma lo scopo è quello di consentire agli sviluppatori di mettere immediatamente in funzione qualcosa". "Elimina tutte le legwork e ti consente di creare un'applicazione il più rapidamente possibile", ha aggiunto Ragan. "La piattaforma come servizio è un prodotto molto richiesto. Ma se semplifichi la vita di uno sviluppatore, non faciliterebbe anche le cose per un malintenzionato malintenzionato? È esattamente quello che abbiamo esplorato."
Indirizzi email illimitati
Abbiamo tutti avuto l'esperienza della registrazione per un sito Web o un servizio e ci è stato detto che la registrazione sarebbe stata finalizzata quando avessimo cliccato su un collegamento e-mail. I nostri ingegnosi ricercatori avevano bisogno di un modo per automatizzare completamente questo processo.
La sessione ha spiegato in dettaglio esattamente come sono riusciti a creare account di posta elettronica illimitati con nomi utente realistici e un'ampia varietà di domini diversi. Il passo successivo è stato impostare la risposta automatica per quegli account, in modo che potessero rispondere a qualsiasi email "Fai clic su questo link per confermare". Ha funzionato! A questo punto, avevano un sistema per creare e-mail uniche illimitate senza interazione umana. E hanno archiviato tutti i dettagli usando una versione di prova gratuita di MongoDB basata su cloud. Sì, i partecipanti saranno in grado di ottenere tutto il codice utilizzato in questo esperimento.
Attività divertenti!
"A questo punto possiamo fare cose come DDoS, mining di criptovaluta, archiviazione di dati e altro", ha detto Ragan. "Come tester di penetrazione, l'obiettivo era avere una botnet distribuita sotto il nostro controllo". Avere una botnet addomesticata per lanciare test DDoS a cappello bianco contro clienti volenterosi è stato sicuramente prezioso.
Hanno sperimentato esattamente ciò che è possibile quando si hanno indirizzi e-mail per un numero illimitato di "amici". Molti sistemi di archiviazione online offrono gigabyte aggiuntivi per indirizzare gli amici con successo. Alcuni limitano l'importo totale che puoi guadagnare in questo modo, altri no. "Abbiamo un terabyte gratuito su un servizio", ha detto Ragan, "che è più di quanto tu possa persino pagare."
Al suo apice, la botnet sperimentale di mining di LiteCoin generava circa 25 centesimi al giorno per account. Con 1.000 account attivi, questo è $ 250 al giorno. "Non volevamo essere maliziosi, solo per mostrare come è fatto", ha detto Ragan, "quindi ci siamo fermati. Ma abbiamo sentito parlare di persone che fanno molti soldi in poco tempo. Abbiamo lasciato un paio di conti in esecuzione per diverse settimane, solo per vedere se sarebbero stati rilevati. Non erano"
Anti-Automation
Nel corso dell'esperimento, numerosi servizi hanno rivisto i propri sistemi di verifica per annullare la creazione automatica di account. Uno ha persino affermato che il motivo era una proliferazione di botnet.
Naturalmente, il punto di questo esercizio non era quello di generare guadagni illeciti. Ora che è chiaro cosa si può fare usando gli account di prova, è probabile che i fornitori aggiungano più difese per prevenire l'abuso dei loro sistemi. "Esistono molti modi per identificare gli umani senza fastidiosi utenti", ha detto Ragan. Ha citato esempi tra cui puzzle logici, convalida con carta di credito e persino operatori dal vivo. Sembra chiaro che qualsiasi servizio cloud senza una significativa automazione potrebbe trovarsi a ospitare più botnet rispetto agli utenti reali.