إنشاء الروبوتات بيتكوين التعدين دون أي تكلفة

في مؤتمر Black Hat 2014 في لاس فيجاس ، أظهر روب راجان وأوسكار سالازار ، اختبار الاختراق من Bishop Fox ، تقنية لاستخراج البيتكوين القائم على السحابة والذي كلفهما بالضبط… لا شيء. في هذه اللحظة ، تبلغ قيمة بيتكوين واحد 576.57 دولار. مع سعر صرف كبير مثل هذا ، فإن تعدين البيتكوين دون الحاجة إلى تخصيص موارد حوسبة ضخمة يمكن أن يكون مربحًا للغاية.

إنه ليس نشاطًا مشروعًا على وجه التحديد ، ولكن مهمة اختبار الاختراق هي اختراق الأنظمة من أجل تصحيحها. أشار راجان إلى أن التجربة "انتهكت الجحيم بسبب بعض شروط الخدمة". للوصول إلى قوة المعالجة اللازمة ، كان عليهم إنشاء عدد هائل من عناوين البريد الإلكتروني الفريدة والاشتراك في الكثير من الحسابات التجريبية المجانية. بعد القيام بذلك ، تمكنوا من بناء الروبوتات تعمل بكامل طاقتها التعدين بيتكوين. وفقًا لـ Ragan ، "لا يتم وضع علامة على برنامج الروبوت هذا على أنه برنامج ضار ، أو تم حظره بواسطة عوامل تصفية الويب ، أو تم الاستيلاء عليه. إنها عناصر الكوابيس!"

حفر التفاصيل

"نحن اختبار الاختراق" ، وقال راجان. "لقد عملنا على هذا المشروع خلال العام الماضي. لقد أظهرنا أنه يمكننا بالتأكيد إنشاء الروبوتات من الخدمات السحابية المتاحة مجانًا. لقد طرحنا السؤال ، هل عدم كفاية مكافحة الأتمتة يمثل خطرًا تم تجاهله؟ هل يجب اعتباره من أفضل عشرة عالي التأثر؟"

وقال سالازار: "هذه الخدمات المستندة إلى مجموعة النظراء تقوم بالعديد من الأشياء المختلفة ، لكن الغرض من ذلك هو السماح للمطورين بالحصول على شيء وتشغيله على الفور". وأضاف راجان: "إنه يقطع كل أشكال العمل ويسمح لك بإنشاء تطبيق في أسرع وقت ممكن". "المنصة كخدمة هي سلعة ذات طلب مرتفع. لكن إذا كانت تجعل حياة مطور أسهل ، ألا تجعل الأمر أسهل بالنسبة لمهاجم ضار؟ هذا ما اكتشفناه بالضبط".

عناوين البريد الإلكتروني غير محدودة

لقد مررنا جميعًا بالتسجيل في موقع ويب أو خدمة وسيتم إبلاغنا بالتسجيل عند النقر فوق رابط البريد الإلكتروني. احتاج باحثو البحث لدينا إلى وسيلة لأتمتة هذه العملية بالكامل.

أوضحت الجلسة بالتفصيل كيف تمكنت من إنشاء حسابات بريد إلكتروني غير محدودة بأسماء مستخدمين واقعية ومجموعة واسعة من المجالات المختلفة. كانت الخطوة التالية هي إعداد استجابة تلقائية لتلك الحسابات ، بحيث يمكنها الرد على أي بريد إلكتروني "انقر فوق هذا الرابط للتأكيد". انها عملت! في هذه المرحلة ، كان لديهم نظام لإنشاء رسائل بريد إلكتروني فريدة غير محدودة مع عدم وجود تفاعل بشري. وقاموا بتخزين جميع التفاصيل باستخدام نسخة تجريبية مجانية من MongoDB المستندة إلى مجموعة النظراء. نعم ، سيتمكن الحاضرون من الحصول على جميع الكود الذي تم استخدامه في هذه التجربة.

الأنشطة الترفيهية!

وقال راجان: "في هذه المرحلة ، يمكننا أن نفعل أشياء مثل DDoS ، واستخراج العملة المشفرة ، وتخزين البيانات ، وأكثر من ذلك". "كاختبار للاختراق ، كان الهدف من وجود الروبوتات الموزعة تحت سيطرتنا". إن امتلاك الروبوتات المرغوبة لإطلاق اختبارات DDoS ذات القبعة البيضاء ضد العملاء الراغبين كان بالتأكيد قيمة.

لقد جربوا ما هو ممكن عندما يكون لديك عناوين بريد إلكتروني لعدد غير محدود من "الأصدقاء". تمنحك العديد من أنظمة التخزين عبر الإنترنت غيغابايت إضافية لإحالة الأصدقاء بنجاح. بعض الحد الأقصى للمبلغ الإجمالي الذي يمكن أن تكسب بهذه الطريقة ، والبعض الآخر لا. وقال راجان: "لقد حصلنا على تيرابايت مجانًا في خدمة واحدة ، وهذا أكثر مما يمكنك حتى دفع ثمنه".

في ذروته ، كان الروبوتات التجريبية LiteCoin تجني حوالي 25 سنتًا في اليوم لكل حساب. مع 1000 حساب نشط ، أي ما يعادل 250 دولارًا في اليوم. وقال راجان: "لم نكن نريد أن نكون خبيرين ، فقط لإظهار كيف يتم ذلك" ، لذا توقفنا ، لكننا سمعنا عن أشخاص يكسبون الكثير من المال في وقت قصير. لعدة أسابيع ، فقط لمعرفة ما إذا كان سيتم اكتشافها أم لا."

مكافحة أتمتة

خلال التجربة ، قام عدد من الخدمات بمراجعة أنظمة التحقق الخاصة بهم للتغلب على الإنشاء التلقائي للحسابات. واحد حتى ذكر أن السبب كان انتشار الروبوتات.

بالطبع ، لم يكن الهدف من هذا التمرين تحقيق مكاسب غير مشروعة. الآن وقد أصبح من الواضح ما الذي يمكن القيام به باستخدام الحسابات التجريبية ، فمن المحتمل أن يضيف الموفرون المزيد من الدفاعات لمنع إساءة استخدام أنظمتهم. وقال راجان: "هناك الكثير من الطرق للتعرف على البشر دون إزعاج المستخدمين". وذكر أمثلة بما في ذلك الألغاز المنطقية ، والتحقق من الصحة بواسطة بطاقة الائتمان ، وحتى المشغلين المباشرين. يبدو من الواضح أن أي خدمة سحابية بدون مكافحة كبيرة للأتمتة من المرجح أن تجد نفسها تحتوى على شبكات روبوت أكثر من المستخدمين الحقيقيين.