Video: ⚠️ MY BIGGEST BITCOIN WARNING EVER!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ⚠️ (Tháng Chín 2024)
Tại hội nghị Black Hat 2014 ở Las Vegas, Rob Ragan và Oscar Salazar, những người thử nghiệm thâm nhập từ Giám mục Fox, đã trình diễn một kỹ thuật khai thác bitcoin dựa trên đám mây khiến họ không mất gì. Tại thời điểm này, một bitcoin trị giá $ 576, 57. Với tỷ giá hối đoái khổng lồ như thế, việc khai thác bitcoin mà không cần phải dành tài nguyên máy tính khổng lồ có thể khá sinh lợi.
Đây không hẳn là một hoạt động hợp pháp, nhưng sau đó, công việc của một người kiểm tra thâm nhập là hack các hệ thống để vá chúng. Ragan lưu ý rằng thí nghiệm đã "vi phạm địa ngục trong một số điều khoản dịch vụ." Để có quyền truy cập vào khả năng xử lý cần thiết, họ đã phải tạo ra một số lượng lớn địa chỉ email duy nhất và đăng ký hàng tấn tài khoản dùng thử miễn phí. Làm như vậy, họ quản lý để xây dựng một botnet khai thác bitcoin đầy đủ chức năng. Theo Ragan, "Botnet này không bị gắn cờ là phần mềm độc hại, bị chặn bởi các bộ lọc web hoặc bị chiếm quyền. Đây là công cụ của những cơn ác mộng!"
Đào chi tiết
"Chúng tôi là những người thử nghiệm thâm nhập, " Ragan nói. "Chúng tôi đã làm việc trong dự án này trong năm ngoái. Chúng tôi đã chứng minh rằng chúng tôi chắc chắn có thể xây dựng một mạng botnet từ các dịch vụ đám mây có sẵn miễn phí. Chúng tôi đã đặt câu hỏi, liệu có đủ khả năng chống tự động hóa không? dễ bị tổn thương? "
"Các dịch vụ dựa trên đám mây này thực hiện nhiều việc khác nhau", Salazar nói, "nhưng mục đích là để cho các nhà phát triển có được thứ gì đó và chạy ngay lập tức." "Nó cắt bỏ tất cả các công việc cần thiết và cho phép bạn xây dựng một ứng dụng càng nhanh càng tốt", Ragan nói thêm. "Nền tảng là một dịch vụ là một mặt hàng có nhu cầu cao. Nhưng nếu nó làm cho cuộc sống của một nhà phát triển dễ dàng hơn, thì nó cũng sẽ làm mọi thứ dễ dàng hơn cho một kẻ tấn công độc hại phải không? Đó chính xác là những gì chúng tôi đã khám phá."
Địa chỉ email không giới hạn
Tất cả chúng ta đều có kinh nghiệm đăng ký một trang web hoặc dịch vụ và được thông báo rằng việc đăng ký sẽ được hoàn tất khi chúng ta nhấp vào liên kết email. Các nhà nghiên cứu bột nhão của chúng tôi cần một cách để tự động hóa hoàn toàn quá trình này.
Phiên này đã giải thích chi tiết chính xác cách họ quản lý để tạo tài khoản email không giới hạn với tên người dùng thực tế và nhiều loại tên miền khác nhau. Bước tiếp theo là thiết lập phản hồi tự động cho các tài khoản đó, để họ có thể trả lời bất kỳ email "Nhấp vào liên kết này để xác nhận". Nó đã làm việc! Tại thời điểm này, họ đã có một hệ thống để tạo các email độc đáo không giới hạn mà không có sự tương tác của con người. Và họ đã lưu trữ tất cả các chi tiết bằng cách sử dụng bản dùng thử miễn phí của MongoDB dựa trên đám mây. Có, người tham dự sẽ có thể nhận được tất cả mã được sử dụng trong thử nghiệm này.
Hoạt động vui chơi!
"Tại thời điểm này, chúng tôi có thể làm những việc như DDoS, khai thác tiền điện tử, lưu trữ dữ liệu và hơn thế nữa", Ragan nói. "Là những người thử nghiệm thâm nhập, có một botnet phân tán dưới sự kiểm soát của chúng tôi là mục tiêu." Có một botnet thuần hóa để khởi chạy các thử nghiệm DDoS mũ trắng chống lại các khách hàng sẵn sàng chắc chắn có giá trị.
Họ đã thử nghiệm những gì có thể khi bạn có địa chỉ email cho số lượng "bạn bè" không giới hạn. Nhiều hệ thống lưu trữ trực tuyến cung cấp cho bạn thêm gigabyte để giới thiệu bạn bè thành công. Một số giới hạn tổng số tiền bạn có thể đạt được theo cách này, số khác thì không. "Chúng tôi đã nhận được một terabyte miễn phí trên một dịch vụ", Ragan nói, "số tiền này thậm chí còn nhiều hơn bạn có thể trả cho."
Vào thời kỳ đỉnh cao, botnet khai thác LiteCoin thử nghiệm đã tạo ra khoảng 25 xu mỗi ngày cho mỗi tài khoản. Với 1.000 tài khoản đang hoạt động, đó là $ 250 mỗi ngày. "Chúng tôi không muốn trở nên độc hại, chỉ để cho thấy nó đã được thực hiện như thế nào", Ragan nói, "vì vậy chúng tôi đã dừng lại. Nhưng chúng tôi đã nghe nói về việc mọi người kiếm được nhiều tiền trong một thời gian ngắn. Chúng tôi đã để một vài tài khoản chạy. trong vài tuần, chỉ để xem liệu họ có bị phát hiện không. Họ không "
Chống tự động hóa
Trong quá trình thử nghiệm, một số dịch vụ đã sửa đổi hệ thống xác minh của họ để đánh bại việc tạo tài khoản tự động. Một người thậm chí còn tuyên bố lý do là sự phát triển của botnet.
Tất nhiên, quan điểm của bài tập này là không tạo ra lợi nhuận bất chính. Bây giờ, rõ ràng những gì có thể được thực hiện bằng tài khoản dùng thử, có khả năng các nhà cung cấp sẽ thêm nhiều biện pháp phòng vệ để ngăn chặn việc lạm dụng hệ thống của họ. "Có rất nhiều cách để xác định con người mà không gây khó chịu cho người dùng", Ragan nói. Ông đã đề cập đến các ví dụ bao gồm các câu đố logic, xác nhận bằng thẻ tín dụng và thậm chí các nhà khai thác trực tiếp. Dường như rõ ràng rằng bất kỳ dịch vụ đám mây nào không có khả năng chống tự động hóa đáng kể đều có khả năng tìm thấy chính nó chứa nhiều botnet hơn người dùng thực.
