Online Thief kradnie konto Amazon do kopalni Litecoins w chmurze | PL.democraziakmzero.org

Online Thief kradnie konto Amazon do kopalni Litecoins w chmurze

Online Thief kradnie konto Amazon do kopalni Litecoins w chmurze

Po co męczyć się zainstalowanie złośliwego oprogramowania CPU-górniczą o tysiącach maszyn, kiedy można po prostu włamać się do czyjegoś konta w chmurze Amazon i stworzyć dobrze zarządzanej datacenter zamiast?

W tym tygodniu, programista odkrył ktoś zrobił tylko to, i uciekł z stos litecoins na jego bilon.

Programista Melbourne oparte Luke Chadwick ma paskudny szok po otrzymaniu e-maila od Amazon. Firma powiedział mu, że jego Amazon Key (poświadczenia bezpieczeństwa używane do logowania się do usług internetowych Amazon) zostały znalezione na jednej z jego repozytorium GitHub.

Repozytoria gitHub

Github jest systemem kontroli wersji online używane dla wspólnego rozwoju oprogramowania. Działa przy użyciu centralnego repozytorium trzyma kod źródłowy projektu oprogramowania.

Kod źródłowy dociera do miejsca, gdy autor „wypycha” katalog zawierający go do Github, replikacji całą rzecz tworząc tam repozytorium.

Gdy autor zdecyduje się dokonać tego repozytorium publicznej, inni programiści mogą „widelec” to, tworząc kopię repozytorium dla własnego użytku, który jest następnie „sklonowanych” lub skopiowane do swoich lokalnych komputerach.

„Chadwick zalogowany i znaleźli rachunek za $ 3.420. Nieuprawnione użytkownik stworzył dwadzieścia maszyn wirtualnych Amazon.”

Raz zrobili swoje składki do projektu, albo przez zmianę lub dodanie nowego kodu źródłowego, mogą synchronizować swój kod z rozwidloną repozytorium, a następnie zwrócić się do pierwotnego autora do „pull” ich wkład z powrotem do oryginalnego repozytorium.

Niestety, niektórzy programiści nieświadomie przechowywać klucze używane „” Digital dostęp do usług online w tych katalogach.

Dopóki repozytorium Github jest prywatny, nikt inny nie może ich zobaczyć. Ale jak tylko ich upublicznienie, katalog staje się przeszukiwać, a inni mogą tworzyć repozytorium, dostępu do kluczy.

To działo się na Github beforewith typu certyfikatu cyfrowego o nazwie SSH (Secure Shell), która może udzielić atakującym dostęp do programistą własnego komputera. I to też się stało Chadwick. Powiedział:

„Problem był taki sam (wbudowany w repozytorium GitHub), ale różni się od klawiszy ssh, które mogą być stosowane wyłącznie do połączenia z istniejącym przykład”.

„Te klucze były w Amazon API i mogą być wykorzystane do tworzenia nowych maszyn.” To właśnie napastnik zrobił.

1427 instancji godziny

Po dostaniu się słowo klucz znaleziono w jego repozytorium Chadwick zalogowany i znaleźli rachunek za $ 3420. Nieuprawnione użytkownik stworzył 20 maszyn wirtualnych Amazon. W sumie oni zużyła 1,427 „godzin Instancji”, co oznacza, że ​​były one prawdopodobnie na nią niecałe trzy dni.

Chadwick chciał zapisać instancji maszyn wirtualnych dla celów sądowych, ale nie mógł sobie pozwolić na ich zostawić uruchomiony podczas odtwarzania na wsparcie Amazon, więc on ich zabił.

Jednak tuż przed robił, dołączony głośność przechowywania od jednego do własnej instancji maszyn wirtualnych. Stwierdził on, że nieautoryzowany użytkownik został wydobycie litecoins ze skradzionych cykli procesora.

Pod względem wydajności obliczeniowej, atakujący uczynił efektywne wykorzystanie skradzionego konta, tworząc maszynę wirtualną w klasie „obliczyć zoptymalizowanej”. Instancja cc2.8xlarge że wybrali jest procesor 64-bitowy z 32 wirtualnych procesorów i 88 'jednostek EC2 Compute.

CPU-przyjazny scrypt

Litecoin używa dowód mechanizmu roboczego zwanego scrypt, która jest przeznaczona do CPU w obsłudze i odporny na GPU i ASIC. To sprawia, że ​​wysokiej klasy instancji EC2 idealny do pracy, ponieważ surowa moc procesora jest co to jest dobry.

Inni, którzy utworzone uzasadnionych przypadków górniczych scrypt na EC2 (choć wydobycie YaCoin nie litecoin - oraz w innego rodzaju scrypt) twierdzą, że widzieli 750 Khashes / Wybierz język wydajność na przykład. Atakującego 20 maszyny zatem zostały wydobycie na poziomie około 15 Mhashes / s podczas pracy razem.

Analizując głośność że zamontowany na własnej maszynie wirtualnej, Chadwick stwierdził, że napastnik użył basenie x.eufor litecoin basen wydobycie monety. Na 1.156GH / s, to pula stanowi około 1,1% całej stawki litecoin hash, co sugeruje, że podczas wydobycia, atakujący mógłby stanowiły około 1% ogólnej szybkości mieszania w basenie z.

Out basenie

Administrator basenie, w korespondencji z wakacji w Tajlandii, wolał nie dać swoje nazwisko, ale idzie za rączkę „g2x3k”. On przeprosił za nie podnosząc na email Chadwick jest. On myśli kradzież cykl procesora dzieje się wiele w przestrzeni górniczej litecoin.

„Zazwyczaj zamknięcie rachunków na żądanie”, powiedział, dodając, że zakazała adresów IP na życzenie wcześniej. „Nawet jeśli zamknę je potrafią jeszcze setup [a] basen lub kopalnia solowy z tych zasobów.

„Mam listę adresów IP Amazon już zakazane, ponieważ został użyty na początku litecoin do kopalni więcej wtedy pomyślałem była uzasadniona akcji,” kontynuował.

Miejmy nadzieję, że przez wzgląd na atakującego, że sprzedawane wcześnie (lub przez wzgląd na sprawiedliwość, że tego nie zrobili). Chadwick dowiedział się o przypadkach i zamknął je w poniedziałek 16 grudnia, który był tego samego dnia, że ​​cena litecoin zaczął upaść.

Jeśli chmura złodziej nie sprzedawał swoich monet, jak poszli, to mogą one straciły zdrowego zysku.

Chadwick nie wierzy, że byłoby to bardzo łatwe do wyśledzenia atakującego. „Choć jestem pewien, że Amazon ma kilka rekordów (podobnie jak na basen), spodziewam osoba należy używać Tora,” powiedział.

W międzyczasie, Amazon zwiększyła się i zwrócony Chadwick swoje pieniądze.

SecurityLitecoinTheft

Powiązane wiadomości


Post Litecoin

Aktywacja SegWit Complete, Litecoin pokazuje kurs na przyszłość

Post Litecoin

Znani inwestorzy ujawniają, jak bardzo są uparci na bitcoinach

Post Litecoin

Kryptowaluta Auroracoin przyznawana każdej osobie na Islandii

Post Litecoin

The Litening: will Litecoin Bądź pierwszym Big Blockchain With Lightning?

Post Litecoin

Atomowe działanie: czy 2018 będzie rokiem wymiany między Blockchainami?

Post Litecoin

Życie po Coinbase: Czy Charlie Lee może zachować odrodzenie Litecoina?

Post Litecoin

Aktywacja SegWit firmy Litecoin: dlaczego ma znaczenie i co dalej

Post Litecoin

Górniczy obława: Kamień milowy Litecoina, pozew Lab Rat i BitFurys Boost

Post Litecoin

Wśród Hype Blockchain, czy nadal istnieje miejsce dla Litecoin?

Post Litecoin

Mt. Gox poprawia szybkość witryny dzięki współpracy z platformą chmurową Akamai

Post Litecoin

Bitcoin to nie jedyny Crypto dodający błyskawiczną technologię teraz

Post Litecoin

Debiut Kleiner Perkins Debiut Edgecoin, Blockchain dla startupów Założycieli