ビデオ: ♀ウィスãƒ'ー声ã�§æŒã‚�ã�›ã�¦é ‚ã��ã�¾ã�—ã�Ÿã€�VOCALOID3è'¼å§«ãƒ©ãƒ"スä¸ã�®äººå¿œå‹Ÿã€' www bajaryoutube com (十一月 2024)
ラスベガスで開催されたBlack Hat 2014カンファレンスで、Bishop FoxのペネトレーションテスターであるRob RaganとOscar Salazarは、クラウドベースのビットコインマイニングの技術を実証しました。 現時点では、1ビットコインの価値は576.57ドルです。 そのような多額の為替レートでは、大規模なコンピューティングリソースを投入する必要のないビットコインマイニングは非常に有利です。
それは正確に正当な活動ではありませんが、侵入テストの仕事はシステムにハッキングしてパッチを当てることです。 Raganは、実験が「いくつかの利用規約から地獄に違反した」と述べた。 必要な処理能力にアクセスするには、膨大な数の一意のメールアドレスを生成し、多数の無料試用アカウントにサインアップする必要がありました。 そうすることで、彼らは完全に機能するビットコインマイニングボットネットを構築することができました。 Raganによると、「このボットネットはマルウェアとしてフラグ付けされたり、Webフィルターによってブロックされたり、乗っ取られたりすることはありません。これは悪夢のようなものです!」
詳細を掘る
「私たちはペネトレーションテスターです」とラガンは言いました。 「私たちはこのプロジェクトに昨年取り組んでいます。無料のクラウドサービスからボットネットを構築できることを明らかにしました。反自動化の不足は見落とされるリスクですか?それはトップ10と見なされるべきですか?脆弱性?」
「これらのクラウドベースのサービスはさまざまなことを行いますが、目的は開発者が何かをすぐに実行できるようにすることです」 「すべての作業を省き、できるだけ早くアプリケーションを構築できるようにします」とRagan氏は付け加えました。 「Platform as a Serviceは需要の高い商品です。しかし、それが開発者の生活を楽にしてくれるなら、悪意のある攻撃者にとっても物事が楽になりませんか?それがまさに私たちが探求したことです。」
無制限のメールアドレス
私たちは皆、ウェブサイトまたはサービスに登録し、メールリンクをクリックしたときに登録が完了すると言われる経験がありました。 わがままな研究者は、このプロセスを完全に自動化する方法を必要としていました。
このセッションでは、現実的なユーザー名と多種多様なドメインを使用して無制限の電子メールアカウントを作成する方法を詳細に説明しました。 次のステップでは、これらのアカウントに自動応答を設定し、「このリンクをクリックして確認」メールに応答できるようにしました。 動いた! この時点で、彼らは人間の介入なしで無制限のユニークなメールを作成するシステムを持っていました。 そして、クラウドベースのMongoDBの無料トライアルを使用して、すべての詳細を保存しました。 はい、参加者はこの実験で使用されたすべてのコードを取得できます。
楽しい活動!
「この時点で、DDoS、暗号通貨マイニング、データストレージなどを実行できます」とRagan氏は述べています。 「ペネトレーションテスターとして、分散ボットネットを私たちの管理下に置くことが目標でした。」 意欲的なクライアントに対してホワイトハットのDDoSテストを開始するための飼いならされたボットネットを持つことは、間違いなく価値があります。
彼らは、無制限の数の「友達」のメールアドレスを持っているときに何ができるかを試しました。 多くのオンラインストレージシステムでは、友人を紹介するためにギガバイトを追加できます。 この方法で獲得できる合計金額を制限するものも、そうでないものもあります。 「1つのサービスでテラバイトを無料で手に入れました」とRagan氏は言います。
ピーク時には、実験的なLiteCoinマイニングボットネットはアカウントごとに1日あたり約25セントを生成していました。 アクティブなアカウントが1, 000個ある場合、1日あたり250ドルです。 「悪意のあることはしたくありませんでしたが、それがどのように行われたかを示すためだけでした」とRagan氏は語りました。「停止しました。しかし、短期間で大金を稼ぐ人はいると聞きました。数週間、それらが検出されるかどうかを確認するために。
自動化防止
実験の過程で、多くのサービスがアカウントの自動作成を無効にするために検証システムを修正しました。 その理由はボットネットの急増であるとさえ述べた。
もちろん、この演習の目的は、不正な利益を生み出すことではありませんでした。 トライアルアカウントを使用して何ができるかが明確になったので、プロバイダーがシステムの悪用を防ぐためにさらに防御を追加する可能性があります。 「ユーザーを迷惑にせずに人間を識別する方法はたくさんあります」とRagan氏は言います。 彼は、ロジックパズル、クレジットカードによる検証、さらにはライブオペレーターなどの例を挙げました。 重要な自動化対策のないクラウドサービスは、実際のユーザーよりも多くのボットネットを保有している可能性が高いことは明らかです。