Video: 1136€ Passives Einkommen im Monat! BITCOIN MINING in Deutschland Profitabel?💰Rechnung und Erklärung (Dezember 2024)
Auf der Black Hat 2014-Konferenz in Las Vegas zeigten Rob Ragan und Oscar Salazar, Penetrationstester von Bishop Fox, eine Technik für cloudbasiertes Bitcoin-Mining, die sie genau… nichts gekostet hat. Derzeit ist eine Bitcoin 576, 57 USD wert. Bei solch einem starken Wechselkurs könnte Bitcoin-Mining ohne die Notwendigkeit, massive Rechenressourcen einzusetzen, ziemlich lukrativ sein.
Es ist nicht gerade eine legitime Aktivität, aber die Aufgabe eines Penetrationstesters ist es, Systeme zu hacken, um sie zu patchen. Ragan bemerkte, dass das Experiment "gegen einige Nutzungsbedingungen verstoßen hat". Um Zugriff auf die erforderliche Rechenleistung zu erhalten, mussten sie eine Vielzahl eindeutiger E-Mail-Adressen generieren und sich für Tonnen von kostenlosen Testkonten anmelden. Danach gelang es ihnen, ein voll funktionsfähiges Bitcoin-Mining-Botnetz aufzubauen. Laut Ragan "wird dieses Botnetz nicht als Malware gekennzeichnet, von Webfiltern blockiert oder übernommen. Das ist das Zeug für Albträume!"
Die Details ausgraben
"Wir sind Penetrationstester", sagte Ragan. "Wir haben im letzten Jahr an diesem Projekt gearbeitet. Wir haben gezeigt, dass wir definitiv ein Botnetz aus frei verfügbaren Cloud-Diensten aufbauen können. Wir haben die Frage gestellt, ob unzureichende Antiautomatisierung ein übersehenes Risiko darstellt. Sollte es als eine der Top Ten angesehen werden." Verletzlichkeit?"
"Diese Cloud-basierten Dienste machen viele verschiedene Dinge", sagte Salazar, "aber der Zweck ist, dass Entwickler sofort etwas zum Laufen bringen." "Dadurch wird der gesamte Arbeitsaufwand verringert und Sie können eine Anwendung so schnell wie möglich erstellen", fügte Ragan hinzu. "Platform as a Service ist eine Ware, die stark nachgefragt wird. Aber wenn es einem Entwickler das Leben erleichtert, würde es dann nicht auch einem böswilligen Angreifer das Leben erleichtern? Genau das haben wir untersucht."
Unbegrenzte E-Mail-Adressen
Wir hatten alle die Erfahrung, uns für eine Website oder einen Dienst zu registrieren, und es wurde uns mitgeteilt, dass die Registrierung abgeschlossen wird, wenn wir auf einen E-Mail-Link klicken. Unsere engagierten Forscher brauchten eine Möglichkeit, diesen Prozess vollständig zu automatisieren.
In der Sitzung wurde genau erklärt, wie es ihnen gelungen ist, unbegrenzte E-Mail-Konten mit realistischen Benutzernamen und einer Vielzahl unterschiedlicher Domänen zu erstellen. Der nächste Schritt bestand darin, eine automatische Antwort für diese Konten einzurichten, damit sie auf jede E-Mail mit dem Titel "Klicken Sie auf diesen Link, um die Bestätigung zu bestätigen" antworten können. Es funktionierte! Zu diesem Zeitpunkt hatten sie ein System, um unbegrenzt eindeutige E-Mails ohne menschliche Interaktion zu erstellen. Und sie haben alle Details mithilfe einer kostenlosen Testversion von MongoDB in der Cloud gespeichert. Ja, die Teilnehmer können den gesamten Code abrufen, der in diesem Experiment verwendet wurde.
Fun-Aktivitäten!
"An diesem Punkt können wir Dinge wie DDoS, Crypto-Currency-Mining, Datenspeicherung und mehr tun", sagte Ragan. "Als Penetrationstester war es das Ziel, ein verteiltes Botnetz unter unserer Kontrolle zu haben." Es war definitiv wertvoll, ein zahmes Botnetz zu haben, um White-Hat-DDoS-Tests gegen willige Kunden zu starten.
Sie experimentierten mit dem, was möglich ist, wenn Sie E-Mail-Adressen für eine unbegrenzte Anzahl von "Freunden" haben. Viele Online-Speichersysteme bieten Ihnen zusätzliche Gigabyte für die erfolgreiche Empfehlung von Freunden. Einige begrenzen den Gesamtbetrag, den Sie auf diese Weise erzielen können, andere nicht. "Wir haben ein Terabyte umsonst für einen Dienst", sagte Ragan. "Das ist mehr, als Sie bezahlen können."
In der Spitze des experimentellen LiteCoin-Mining-Botnets wurden pro Konto etwa 25 Cent pro Tag generiert. Bei 1.000 aktiven Konten sind das 250 US-Dollar pro Tag. "Wir wollten nicht böswillig sein, nur um zu zeigen, wie es gemacht wird", sagte Ragan, "also haben wir aufgehört. Aber wir haben gehört, dass Leute in kurzer Zeit viel Geld verdienen. Wir haben ein paar Konten hinterlassen." für einige Wochen, nur um zu sehen, ob sie entdeckt würden. Sie waren nicht"
Anti-Automation
Im Verlauf des Experiments haben einige Dienste ihre Überprüfungssysteme überarbeitet, um die automatische Erstellung von Konten zu umgehen. Man gab sogar an, der Grund sei eine Verbreitung von Botnetzen.
Natürlich ging es bei dieser Übung nicht darum, unrechtmäßige Gewinne zu erzielen. Jetzt, da klar ist, was mit Testkonten getan werden kann, werden die Anbieter wahrscheinlich mehr Schutzmaßnahmen ergreifen, um den Missbrauch ihrer Systeme zu verhindern. "Es gibt viele Möglichkeiten, Menschen zu identifizieren, ohne die Benutzer zu nerven", sagte Ragan. Er erwähnte Beispiele wie Logikrätsel, Validierung per Kreditkarte und sogar Live-Operatoren. Es scheint klar zu sein, dass Cloud-Dienste ohne signifikante Antiautomatisierung wahrscheinlich mehr Botnets enthalten als echte Benutzer.
