Vídeo: Ganhei mais de R$ 1500 em Bitcoins sem investir nada 😉 (Novembro 2024)
Na conferência Black Hat 2014 em Las Vegas, Rob Ragan e Oscar Salazar, testadores de penetração do Bishop Fox, demonstraram uma técnica para mineração de bitcoin baseada em nuvem que lhes custou exatamente… nada. Neste momento, um bitcoin vale US $ 576, 57. Com uma alta taxa de câmbio como essa, a mineração de bitcoin sem a necessidade de dedicar recursos massivos de computação pode ser bastante lucrativa.
Não é exatamente uma atividade legítima, mas o trabalho de um testador de penetração é invadir sistemas para corrigi-los. Ragan observou que o experimento "violou muito alguns termos de serviço". Para obter acesso ao poder de processamento necessário, eles tiveram que gerar um grande número de endereços de e-mail exclusivos e se inscrever em toneladas de contas de avaliação gratuita. Depois disso, eles conseguiram construir uma botnet de mineração de bitcoin totalmente funcional. De acordo com Ragan, "Essa botnet não é sinalizada como malware, bloqueada por filtros da Web ou assumida. Isso é coisa de pesadelo!"
Cavando os detalhes
"Somos testadores de penetração", disse Ragan. "Trabalhamos neste projeto durante o ano passado. Mostramos que definitivamente podemos construir uma botnet a partir de serviços em nuvem disponíveis gratuitamente. Fizemos a pergunta: a anti-automação insuficiente é um risco negligenciado? Deve ser considerado um dos dez primeiros vulnerabilidade?"
"Esses serviços baseados em nuvem fazem muitas coisas diferentes", disse Salazar, "mas o objetivo é permitir que os desenvolvedores instalem algo imediatamente". "Ele elimina todo o trabalho braçal e permite que você crie um aplicativo o mais rápido possível", acrescentou Ragan. "A plataforma como serviço é uma mercadoria que está em alta demanda. Mas, se está facilitando a vida de um desenvolvedor, também não facilitaria as coisas para um invasor mal-intencionado? Foi exatamente isso que exploramos".
Endereços de email ilimitados
Todos nós já tivemos a experiência de registrar-se em um site ou serviço e saber que o registro seria finalizado quando clicássemos em um link de e-mail. Nossos pesquisadores precisavam de uma maneira de automatizar completamente esse processo.
A sessão explicou em detalhes exatamente como eles conseguiram criar contas de email ilimitadas com nomes de usuário realistas e uma ampla variedade de domínios diferentes. A próxima etapa foi configurar a resposta automática para essas contas, para que elas pudessem responder a qualquer email "Clique neste link para confirmar". Funcionou! Nesse ponto, eles tinham um sistema para criar e-mails exclusivos ilimitados, sem interação humana. E eles armazenaram todos os detalhes usando uma avaliação gratuita do MongoDB baseado em nuvem. Sim, os participantes poderão obter todo o código usado nesta experiência.
Atividades divertidas!
"Nesse momento, podemos fazer coisas como DDoS, mineração de moedas criptografadas, armazenamento de dados e muito mais", disse Ragan. "Como testadores de penetração, ter um botnet distribuído sob nosso controle era o objetivo". Ter uma botnet mansa para lançar testes DDoS de chapéu branco contra clientes dispostos foi definitivamente valioso.
Eles experimentaram exatamente o que é possível quando você tem endereços de e-mail para um número ilimitado de "amigos". Muitos sistemas de armazenamento on-line oferecem gigabytes adicionais para indicar amigos com sucesso. Alguns limitam o valor total que você pode ganhar dessa maneira, outros não. "Temos um terabyte de graça em um serviço", disse Ragan, "que é mais do que você pode pagar".
No auge, a botnet experimental de mineração LiteCoin estava gerando cerca de 25 centavos de dólar por dia por conta. Com 1.000 contas ativas, isso significa US $ 250 por dia. "Não queríamos ser maliciosos, apenas para mostrar como é feito", disse Ragan, "então paramos. Mas ouvimos falar de pessoas que ganham muito dinheiro em pouco tempo. Deixamos algumas contas em execução. por várias semanas, apenas para ver se eles seriam detectados. Eles não foram"
Anti-automação
Durante o curso do experimento, vários serviços revisaram seus sistemas de verificação para impedir a criação automática de contas. Alguém até afirmou que o motivo era uma proliferação de redes de bots.
Obviamente, o objetivo deste exercício não era gerar ganhos ilícitos. Agora que ficou claro o que pode ser feito usando contas de teste, é provável que os provedores adicionem mais defesas para impedir o abuso de seus sistemas. "Existem muitas maneiras de identificar seres humanos sem usuários irritantes", disse Ragan. Ele mencionou exemplos, incluindo quebra-cabeças lógicos, validação com cartão de crédito e até operadores ativos. Parece claro que qualquer serviço em nuvem sem significativa anti-automação provavelmente se encontrará abrigando mais botnets do que usuários reais.