Thief online fură contul Amazon la Litecoins în nor | RO.democraziakmzero.org

Thief online fură contul Amazon la Litecoins în nor

Thief online fură contul Amazon la Litecoins în nor

De ce instalarea malware-ului CPU deranjezi-miniere pe mii de mașini, atunci când se poate rupe pur și simplu în considerare Amazon cloud computing cuiva și de a crea un centru de date bine gestionate în schimb?

În această săptămână, un dezvoltator de software a descoperit cineva a făcut doar că, și a făcut cu un teanc de litecoins pe banii lui.

Programator din Melbourne-Luke Chadwick a primit un șoc urât, după ce a primit un e-mail de la Amazon. Firma ia spus că Amazon cheia sa (o acreditare de securitate utilizate pentru conectarea la serviciile Web Amazon) a fost găsit pe unul dintre arhive lui GitHub.

Arhive github

Github este un sistem de control al versiunii online utilizat pentru dezvoltarea de software de colaborare. Acesta funcționează cu ajutorul unui depozit central care deține codul sursă pentru un proiect software.

Codul sursă ajunge la site-ul atunci când autorul „impinge“ directorul care îl conține la Github, replicarea întregul lucru prin crearea unui depozit acolo.

În cazul în care autorul alege să facă publică depozit, alți dezvoltatori de software pot „furculiță“ aceasta, producând o copie a repertoriului pentru uz propriu, care este apoi „clonat“, sau copiat în jos pentru computerele lor locale.

„Chadwick autentificat și a găsit un proiect de lege pentru $ 3,420. Utilizatorul neautorizată a creat douăzeci Amazon mașini virtuale.“

Odată ce au făcut propriile lor contribuții la proiect, fie prin modificarea sau adăugarea nou cod sursă, ele pot sincroniza codul lor cu magazia bifurcat, și apoi cere autorului original pentru „pull“ contribuțiile lor înapoi în magazia originală.

Din păcate, unii dezvoltatori de software stoca involuntar „chei“ digitale folosite pentru a accesa servicii online în aceste directoare.

Atâta timp cât magazia Github este privat, nimeni altcineva nu le poate vedea. Dar, de îndată ce face public, directorul devine căutat, iar altele pot forma magaziei, accesarea cheilor.

Acest lucru sa întâmplat pe Github beforewith un tip de certificat digital numit SSH (Secure Shell), care poate acorda acces atacatorilor la propriul calculator, un dezvoltator de software. Și, de asemenea, sa întâmplat cu Chadwick. El a spus:

„Problema a fost aceeași (înglobate în arhive github), dar acest lucru este diferit de cheile SSH, care ar putea fi folosit numai pentru conectarea la o instanță existentă.“

„Aceste chei au fost pentru API-ul Amazon si ar putea fi folosite pentru a crea mașini noi.“ Asta e ceea ce a făcut atacator.

1,427 ore instanță

După obținerea cuvânt cheii, găsit în depozitul său, Chadwick autentificat și a găsit un proiect de lege pentru $ 3,420. Utilizatorul neautorizată a creat Amazon 20 de mașini virtuale. Toate în toate, au folosit 1,427 "ore de exemplu, ceea ce înseamnă că au fost, probabil, la ea timp de doar trei zile.

Chadwick a vrut să salveze instanțele mașinii virtuale în scopuri medico-legale, dar nu a putut permite să-i lase rulează în timp ce joacă pentru sprijin Amazon, așa că i-au ucis.

Cu toate acestea, chiar înainte de el a făcut, el a atașat volumul de stocare de la unul la propria instanță mașină virtuală. El a descoperit că utilizatorul neautorizat a fost miniere litecoins cu ciclurile CPU furate.

În ceea ce privește performanța de calcul, atacatorul a făcut utilizarea eficientă a contului de furat, creând o mașină virtuală în clasa „calcula-optimizate“. Instanța cc2.8xlarge că au ales are un procesor pe 64 de biți, cu 32 de procesoare virtuale, și 88 'Unități EC2 Compute.

Scrypt-CPU prietenos

Litecoin folosește o dovadă a mecanismului de lucru numit scrypt, care este proiectat pentru a fi CPU prietenos și rezistente la GPU și ASICs. Acest lucru face ca un EC2 exemplu de înaltă performanță perfectă pentru locuri de muncă, deoarece puterea procesorului brut este ceea ce este bun.

Alții, care au înființat cazuri miniere scrypt legitime EC2 (deși miniere YaCoin nu litecoin - și într-un alt tip de scrypt) susțin că au văzut 750 Khashes / performanță per instanță Alegeți o Limbă. 20 de mașini de atacator ar fi, prin urmare, a fost miniere de la aproximativ 15 Mhashes / sec atunci când rulează împreună.

Analizând volumul pe care el montat pe propria mașină virtuală, Chadwick a constatat că atacatorul a folosit litecoin piscina miniere piscina-x.eufor monede. La 1.156GH / sec, acest bazin reprezintă aproximativ 1,1% din întreaga rată litecoin hash, sugerând că în timp ce minerit, atacatorul ar fi reprezentat aproximativ 1% din rata de hash totală a piscinei.

Din piscina

Administratorul piscinei, discuții de la o vacanță în Thailanda, a preferat să nu dea numele lui, dar merge de mâner „g2x3k“. El a cerut scuze pentru că nu iau pe e-mail Chadwick. El crede furt ciclu CPU se întâmplă foarte mult în spațiul minier litecoin.

„De obicei închid conturi la cerere“, a spus el, adăugând că el a interzis adrese IP la cerere înainte. „Chiar dacă le-am închis afară ei pot încă de configurare [a] piscina sau a mea solo cu aceste resurse.

„Am o listă de Amazon deja IP-uri interzise, ​​deoarece a fost folosit la începutul litecoin a mea mai mult, atunci am crezut că a fost o parte echitabilă“, a continuat el.

Să sperăm că de dragul atacatorului că au vândut mai devreme (sau de dragul dreptății, că ei nu au). Chadwick a aflat despre cazurile și le închide luni 16 decembrie, care a fost în aceeași zi în care prețul litecoin a început crashing.

În cazul în care nor hoțul nu a fost de vânzare monedele lor, așa cum au mers, atunci ei ar fi pierdut un profit sănătos.

Chadwick nu crede că ar fi foarte ușor de a urmări în jos atacator. „În timp ce eu sunt sigur că Amazon are unele înregistrări (la fel ca piscina), mi-ar aștepta ca persoana să fie folosind Tor“, a spus el.

Între timp, Amazon a intensificat și a rambursat Chadwick banii lui.

SecurityLitecoinTheft

Știri asociate


Post Litecoin

Ledger-uri de bancă de fulgere? Bitfury și Ripple Demo Noul Twist pe Bitcoin Tech

Post Litecoin

Litecoin Retreats prețul de la All-Time Highs, dar este de 100 $ în Reach?

Post Litecoin

Fitch: Regula ar putea Rob Bitcoin din apelul său low-cost

Post Litecoin

Litening: Litecoin va fi primul Big Blockchain With Lightning?

Post Litecoin

Auroracoin Airdrop: va accepta Islanda o monedă națională digitală?

Post Litecoin

Fondul Kleiner Perkins debutează Edgecoin, un blocaj pentru fondatorii înființării

Post Litecoin

Pe fondul blocajului Hype, există încă un loc pentru Litecoin?

Post Litecoin

Bitcoin trebuie să fie mai accesibil pentru persoanele cu deficiențe de vedere

Post Litecoin

Acțiune atomică: anul 2018 va fi Anul Schimbului de Cross-Blockchain?

Post Litecoin

Fundul apropiat? Prețurile Litecoin se consolidează după septembrie greu

Post Litecoin

BTC China va renunța la taxele de tranzacționare Bitcoin la 0%

Post Litecoin

SegWit Activation Complete, Litecoin Grafice un curs pentru viitor