Video: Libreng Bitcoin Mining Para sa mga Coins.ph User na Walang Laman (Nobyembre 2024)
Sa kumperensya ng Black Hat 2014 sa Las Vegas, sina Rob Ragan at Oscar Salazar, ang mga pagsubok sa pagtagos mula sa Bishop Fox, ay nagpakita ng isang pamamaraan para sa cloud-based na pagmimina ng bitcoin na nagkakahalaga ng tama sa kanila … wala. Sa sandaling ito, ang isang bitcoin ay nagkakahalaga ng $ 576.57. Sa isang mabigat na rate ng palitan tulad nito, ang pagmimina ng bitcoin nang walang pangangailangan na maglaan ng napakalaking mapagkukunan ng computing ay maaaring maging kapaki-pakinabang.
Ito ay hindi tiyak na isang lehitimong aktibidad, ngunit kung gayon, ang trabaho ng isang tagasubok ng pagtagos ay ang pag-hack ng mga sistema upang ma-patch ang mga ito. Nabanggit ni Ragan na ang eksperimento ay "lumalabag sa impiyerno sa ilang mga termino ng serbisyo." Upang makakuha ng pag-access sa kinakailangang kapangyarihan sa pagproseso, kinailangan nilang makabuo ng isang malaking bilang ng mga natatanging email address at mag-sign up para sa tonelada ng mga libreng account sa pagsubok. Nang magawa ito, pinamamahalaan nilang bumuo ng isang ganap na functional na bitcoin-mining botnet. Ayon kay Ragan, "Ang botnet na ito ay hindi nakakakuha ng bandila bilang malware, na-block ng mga web filter, o nakuha sa pagkuha. Ito ang mga bagay ng bangungot!"
Paghuhukay sa Mga Detalye
"Kami ay mga tester ng pagtagos, " sabi ni Ragan. "Kami ay nagtatrabaho sa proyektong ito para sa nakaraang taon. Ipinakita namin na siguradong makagawa kami ng isang botnet mula sa malayang magagamit na mga serbisyo sa ulap. Tinanong namin ang tanong, hindi ba sapat na anti-automation ang hindi napapansin na panganib? Dapat ba itong ituring na nangungunang sampung kahinaan? "
"Ang mga serbisyong batay sa ulap na ito ay gumagawa ng maraming iba't ibang mga bagay, " sabi ni Salazar, "ngunit ang layunin ay hayaan ang mga developer na magkaroon ng isang bagay at tumakbo kaagad." "Tinatanggal nito ang lahat ng legwork at hinahayaan kang bumuo ng isang application nang mabilis hangga't maaari, " idinagdag ni Ragan. "Ang platform bilang isang serbisyo ay isang kalakal na mataas ang hinihingi. Ngunit kung pinapadali nito ang buhay ng isang developer, hindi ba ito gagawing mas madali ang mga bagay para sa isang nakakahamak na mang-atake? Iyon mismo ang aming ginalugad."
Walang limitasyong mga Address ng Email
Namin ang lahat ng karanasan ng pagrehistro para sa isang website o serbisyo at sinabihan ang pagpaparehistro ay wakasan kapag nag-click kami sa isang email link. Ang aming mga mapaghangad na mananaliksik ay nangangailangan ng isang paraan upang ganap na mai-automate ang prosesong ito.
Ipinaliwanag nang detalyado ang session nang eksakto kung paano nila pinamamahalaang lumikha ng walang limitasyong mga email account na may makatotohanang mga username at isang iba't ibang iba't ibang mga domain. Ang susunod na hakbang ay upang mag-set up ng awtomatikong tugon para sa mga account na iyon, upang makatugon sila sa anumang "I-click ang link na ito upang kumpirmahin" email. Gumana ito! Sa puntong ito, mayroon silang isang sistema upang lumikha ng walang limitasyong natatanging mga email na walang pakikipag-ugnayan ng tao. At naimbak nila ang lahat ng mga detalye gamit ang isang libreng pagsubok ng cloud-based MongoDB. Oo, makakakuha ng mga dadalo ang lahat ng code na ginamit sa eksperimento na ito.
Masasayang aktibidad!
"Sa puntong ito maaari nating gawin ang mga bagay tulad ng DDoS, pagmimina ng crypto-currency, pag-iimbak ng data, at higit pa, " sabi ni Ragan. "Bilang mga pagsubok sa pagtagos, ang pagkakaroon ng isang ipinamamahaging botnet sa ilalim ng aming kontrol ay ang layunin." Ang pagkakaroon ng isang tame botnet upang ilunsad ang mga pagsubok ng puting-sumbrero na mga DDoS laban sa kusang mga kliyente ay talagang mahalaga.
Nag-eksperimento sila sa kung ano ang posible kapag mayroon kang mga email address para sa isang walang limitasyong bilang ng "mga kaibigan." Maraming mga online na sistema ng imbakan ang nagbibigay sa iyo ng mga karagdagang gigabytes para sa matagumpay na pagtukoy sa mga kaibigan. Ang ilang mga cap ang kabuuang halaga na maaari mong makuha sa ganitong paraan, ang iba ay hindi. "Nakakuha kami ng terabyte nang libre sa isang serbisyo, " sabi ni Ragan, "na higit pa sa babayaran mo."
Sa rurok nito, ang eksperimento na LiteCoin-mining botnet ay bumubuo ng halos 25 sentimo bawat araw bawat account. Sa 1, 000 aktibong account, $ 250 bawat araw. "Hindi namin nais na maging malisyoso, upang ipakita kung paano ito nagawa, " sabi ni Ragan, "kaya tumigil kami. Ngunit narinig namin ang mga tao na kumita ng maraming pera sa isang maikling panahon. Nag-iwan kami ng ilang mga account na tumatakbo. sa loob ng maraming linggo, upang makita lamang kung matutuklasan nila. Hindi sila "
Anti-Automation
Sa panahon ng pag-eksperimento, binago ng maraming serbisyo ang kanilang mga system sa pagpapatunay upang talunin ang awtomatikong paglikha ng mga account. Ang isa kahit na nakasaad ng dahilan ay isang paglaganap ng mga botnets.
Siyempre, ang punto ng ehersisyo na ito ay hindi upang makabuo ng mga nakakuha ng hindi magandang nakuha. Ngayon malinaw na kung ano ang maaaring gawin gamit ang mga account sa pagsubok, malamang na ang mga nagbibigay ay magdaragdag ng higit pang mga panlaban upang maiwasan ang pang-aabuso sa kanilang mga system. "Maraming mga paraan upang makilala ang mga tao nang walang nakakainis na mga gumagamit, " sabi ni Ragan. Nabanggit niya ang mga halimbawa kasama ang mga logic puzzle, pagpapatunay sa pamamagitan ng credit card, at kahit na mga live operator. Tila malinaw na ang anumang cloud servce na walang makabuluhang anti-automation ay malamang na makahanap ng mismong harboring ng mga botnet kaysa sa mga tunay na gumagamit.
