Tiešsaistes zaglis steidz Amazon kontu Mine Litecoins mākonī | LV.democraziakmzero.org

Tiešsaistes zaglis steidz Amazon kontu Mine Litecoins mākonī

Tiešsaistes zaglis steidz Amazon kontu Mine Litecoins mākonī

Kāpēc raizēties uzstādot CPU-raktuvju ļaunprātīgu programmatūru tūkstošiem datoru, kad jūs varat vienkārši ielauzties kāda Amazon mākonis skaitļošanas kontu un izveidot labi pārvaldīta datu centra vietā?

Šonedēļ, programmatūras izstrādātājs atklāja kāds bija darījuši tikai to, ka, un sniedza off ar kaudzi litecoins uz viņa dimetānnaftalīns.

Melburnas balstītas programmētājs Lūkas Chadwick ieguvuši šķebinošs šoks, saņemot e-pastu no Amazon. Firma teica, ka viņa Amazon Key (drošības akreditācijas izmantots, lai pieteiktos uz Amazon Web Services), tika konstatēts, par vienu no saviem GitHub repozitoriju.

GitHub krātuves

GitHub ir tiešsaistes versiju kontroles sistēmu, ko izmanto sadarbības programmatūras izstrādes. Tas darbojas, izmantojot centrālo repozitoriju saimniecības pirmkodu programmatūras projektu.

Pirmkods sasniedz vietu, kad autors "nospiež" direktoriju, kas satur to GitHub replicē visa lieta, izveidojot krātuve tur.

Kad autors izvēlas veikt šīs glabātuves publiski, citi programmatūras izstrādātāji var "dakša" tas, kas ražo kopiju krātuve to pašu lietošanai, kas pēc tam tiek "klonēto" vai kopēts uz leju, lai to vietējiem datoriem.

"Chadwick pieteicies un atrada rēķinu par 3420 $. Neautorizētā lietotāja radīja divdesmit Amazon virtuālās mašīnas. "

Pēc tam, kad viņi ir devuši savu ieguldījumu projektā, vai nu mainot vai pievienojot jaunu pirmkodu, viņi var sinhronizēt savu kodu ar žuburains krātuve, un pēc tam lūgt sākotnējo autoru uz "pull" viņu iemaksas atpakaļ sākotnējā krātuvē.

Diemžēl daži programmatūras izstrādātāji neapzināti uzglabāt digitālās "atslēgas", ko izmanto, lai piekļūtu tiešsaistes pakalpojumiem šajos katalogos.

Kamēr GitHub krātuve ir privāts, neviens cits nevar redzēt. Bet, tiklīdz viņi to publiskot, direktoriju kļūst meklēšanu, un citi var veidot krātuve, piekļūstot atslēgas.

Tas notika GitHub beforewith veidu digitālo sertifikātu, ko sauc par SSH (Secure Shell), kas var piešķirt uzbrucēji piekļuvi programmatūras izstrādātāja datora. Un tā arī notika Chadwick. Viņš teica:

"Problēma bija tāda pati (iegulti GitHub repozitoriju), bet tas ir atšķirīgs ar SSH atslēgas, ko varētu izmantot tikai, lai izveidotu savienojumu ar esošo, piemēram."

"Šie taustiņi bija par Amazon API un var tikt izmantoti, lai radītu jaunas mašīnas." Tas ir tas, ko uzbrucējs izdarīja.

1,427 instance stundas

Pēc tam, kad kļūst vārdu atslēga ir atrodama viņa glabātavā Chadwick pieteicies un atrada rēķinu par 3420 $. Neautorizētā lietotāja radīja 20 Amazon virtuālās mašīnas. Kopumā tie bija izmantoti 1,427 "instanču stundas", kas nozīmē, ka tie, iespējams, pie tā, lai tieši zem trim dienām.

Chadwick vēlējās saglabāt virtuālo mašīnu gadījumi tiesu medicīnas vajadzībām, bet nevar atļauties atstāt tos darboties, spēlējot Amazon atbalstu, tāpēc viņš tos nogalināja.

Tomēr tieši pirms viņš darīja, viņš pievienots uzglabāšanas tilpumu no viena līdz savas virtuālās mašīnas, piemēram. Viņš atzina, ka neatļauta lietotājs bija ieguves litecoins ar zagtu CPU cikliem.

Runājot par skaitļošanas veiktspēju, uzbrucējs bija veikusi efektīvu izmantošanu nozagto konta, izveidojot virtuālo mašīnu ar "aprēķināt optimizēta" klasē. Cc2.8xlarge instance ka tie izvēlas ir 64-bit procesors ar 32 virtuālo CPU, un 88 'EC2 Compute Units ".

CPU draudzīgas scrypt

Litecoin izmanto pierādījums darba mehānismu sauc scrypt, kas ir paredzēti, lai būtu CPU draudzīgs un izturīgs pret GPU un ASICs. Tas padara augstas veiktspējas EC2 instance ideāls darbam, jo ​​neapstrādāta CPU jauda ir tas, kas tas ir labi.

Citi, kuri ir izveidojušas likumīgas scrypt ieguves gadījumus uz EC2 (gan ieguves YaCoin nav litecoin - un kādā cita veida scrypt) apgalvo, ka ir redzējuši 750 Khashes / Izvēlēties valodu veiktspēju uz vienu instancē. Uzbrucēja 20 mašīnas būtu bijušas kalnrūpniecība aptuveni 15 Mhashes / sek, kad darbojas kopā.

Analizējot skaļumu, ka viņš uzstādīts uz savu virtuālo mašīnu, Chadwick konstatēja, ka uzbrucējs bija izmantojusi litecoin ieguves baseins baseins-x.eufor monētas. Pie 1.156GH / sek, šis baseins ir aptuveni 1,1% no visa litecoin hash likmi, kas liecina, ka, lai gan ieguves, uzbrucējs varētu veidoja aptuveni 1% no baseina kopējā hash likmi.

No baseina

Pie baseina administrators, pasta no brīvdienas Taizemē, nevēlas dot savu vārdu, bet iet ar rokturi "g2x3k". Viņš atvainojās, nevar paņemt līdzi Chadwick e-pasta adrese. Viņš domā CPU ciklu zādzību notiek daudz šajā litecoin kalnrūpniecības telpā.

"Parasti es slēgt kontus pēc pieprasījuma," viņš teica, piebilstot, ka viņš ir aizliegta IP adrešu pieprasījuma pirms tam. "Pat tad, ja es tos varētu izslēgt no tās joprojām var iestatīt [a] baseinu vai solo raktuves ar šiem resursiem.

"Man ir saraksts ar Amazon IP jau aizliegta, jo tā tika izmantota sākumā litecoin līdz raktuves vairāk nekā es domāju, bija taisnīga daļa," viņš turpināja.

Cerēsim uzbrucēja dēļ, ka viņi pārdod agri (vai dēļ tiesu, ka viņi nav). Chadwick uzzināja par gadījumiem, un izslēgt tos pirmdien 16. Decembrī, kas bija tajā pašā dienā, ka litecoin cena sākās crashing.

Ja mākonis zaglis nebija pārdot savas monētas, jo viņi gāja, tad tie varētu būt zaudējuši veselīgu peļņu.

Chadwick neuzskata, ka tas būtu ļoti viegli izsekot uzbrucēju. "Lai gan es esmu pārliecināts, ka Amazon ir dažas ieraksti (tāpat kā baseins), es varētu sagaidīt persona, kas, izmantojot Tor," viņš teica.

Pa to laiku, Amazon ir pastiprinājusi un atmaksāts Chadwick savu naudu.

SecurityLitecoinTheft

Saistītās ziņas


Post Litecoin

Dānijas iestādes: Bitcoin šeit nav reglamentēts

Post Litecoin

Kleiner Perkins fonds Debuts Edgecoin, Blockchain starta dibinātājiem

Post Litecoin

Litecoin dibinātājs Charles Lee par krājuma valūtas izcelsmi

Post Litecoin

Litecoins SegWit aktivizēšana: kāpēc tas ir svarīgi un kas tālāk

Post Litecoin

Bitcoin nav vienīgais kriptogrāfijas papildināšanas zibens tehnoloģiju tagad

Post Litecoin

Litecoins Emerging Scaling Debates paskaidrots

Post Litecoin

Vai viens čivināt Padarīt Litecoin cenu par 20%?

Post Litecoin

CRXzone sākas kā Singapūras pirmais Bitcoin un Litecoin Exchange

Post Litecoin

CoinMKT altvalūtas maiņas publiskā beta, lai sāktu nākamo nedēļu

Post Litecoin

Bezmaksas Multi-Signature API varētu palīdzēt palielināt Bitcoin App Security

Post Litecoin

Auroracoin Airdrop: vai Islande izmantos nacionālo digitālo valūtu?

Post Litecoin

Vai Litecoin ir jauna Bitcoin alternatīva ieguldītājiem?