Онлайн-вор украл счет Amazon для шахт Litecoins в облаке | RU.democraziakmzero.org

Онлайн-вор украл счет Amazon для шахт Litecoins в облаке

Онлайн-вор украл счет Amazon для шахт Litecoins в облаке

Зачем установке CPU-горнодобывающего вредоносное ПО на тысячи машин, когда вы можете просто ворваться в чью-то Amazon облачных вычислений счет и создать хорошо управляемый вместо центра обработки данных?

На этой неделе, разработчик программного обеспечения обнаружил, что кто-то сделал только что, и удрал с кучей litecoins на его десять центов.

Мельбурне программист Чедуик получил неприятный шок после того, как получил письмо от Amazon. Фирма сказал ему, что Amazon Key (учетные данные безопасности, используемый для входа на веб-служб Amazon) был найден на одном из своих хранилищ GitHub.

GitHub хранилища

Github представляет собой интернет-система контроля версий используется для совместной разработки программного обеспечения. Он работает с помощью центрального хранилища, удерживающий исходный код программного проекта.

Исходный код достигнет мест, когда автор «выталкивает» каталог, содержащий его Github, тиражирование всей вещи, создав хранилище там.

Когда автор решает сделать это хранилище общественности, другие разработчики программного обеспечения может «вилка» он, производя копию хранилища для их собственного использования, который затем «клонированный», или скопированной вплоть до их локальных компьютеров.

«Чедвик вошел в систему и нашел счет за $ 3420. Неавторизованный пользователь создал двадцать Amazon виртуальных машин «.

После того, как они внесли свой вклад в проект, либо путем изменения или добавления нового исходного кода, они могут синхронизировать свой код с раздвоенным хранилищем, а затем спросите автор к «тянуть» их вклады обратно в исходное хранилище.

К сожалению, некоторые разработчики программного обеспечения невольно хранить цифровые «ключи», используемыми для доступа к сетевым сервисам в этих каталогах.

Пока репозиторий Github является частным, никто не может видеть их. Но как только они делают это публично, каталог становится доступным для поиска, и другие могут сформировать хранилище, доступ к ключам.

Это произошло на Github beforewith типа цифрового сертификата называется SSH (Secure Shell), который может предоставить злоумышленникам доступ к собственному компьютеру разработчика программного обеспечения. И это также случилось с Чедвик. Он сказал:

«Проблема была та же (встроенный в GitHub хранилищах), но это отличается от SSH ключей, которые могут быть использованы только для подключения к существующему экземпляру.»

«Эти ключи были для API Амазонки и могут быть использованы для создания новых машин.» Это то, что злоумышленник сделал.

1427 экземпляров часов

После того, как слово ключ был найден в его хранилище, Чедвик вошел в систему и нашел счет за $ 3420. Неавторизованный пользователь создал 20 Amazon виртуальных машин. В общем, они использовали до 1427 «часов экземпляра», что означает, что они, вероятно, у него чуть меньше трех дней.

Чедвик хотел, чтобы сохранить экземпляры виртуальных машин для судебно-медицинских целей, но не могу позволить себе оставить их работу во время игры для поддержки Amazon, поэтому он убил их.

Однако, как раз, прежде чем он сделал, он придает объем хранения от одного до его собственного экземпляра виртуальной машины. Он обнаружил, что неавторизованный пользователь уже добывал litecoins с украденными циклами процессора.

С точки зрения вычислительной производительности, злоумышленник сделал эффективное использование украденного счета, создание виртуальной машины в «вычислить оптимизированной» класса. Экземпляр cc2.8xlarge, что они выбрали имеет 64-битный процессор с 32 виртуальными процессорами, и 88 «EC2 Compute единиц» а.

CPU-дружеский Scrypt

Litecoin использует доказательство работы механизма, называемый Scrypt, который разработан, чтобы быть удобным для процессора и устойчив к чипам и СБИСУ. Это делает экземпляр EC2 высокоэффективных идеально подходит для работы, потому что грубая сила процессора, что это хорошо.

Другие, которые создали законные экземпляры горных Scrypt на EC2 (хотя и добычу YaCoin не litecoin - и в другом типе Scrypt) утверждают, что видел 750 Khashes / secin производительности каждого экземпляра. 20 машин атакующих будут поэтому добывали около 15 Mhashes / сек при работе вместе.

Анализируя объем, который он установил на своей собственной виртуальной машине, Чедвик обнаружил, что злоумышленник использовал litecoin майнинг бассейн-x.eufor монету. При 1.156GH / сек, этот пул составляет около 1,1% от всей скорости litecoin хэша, предполагая, что в то время добычи полезных ископаемых, злоумышленник мог бы приходился около 1% от общей скорости хэша-пула.

Из бассейна

Распорядитель пула, рассылки из отпуска в Таиланде, предпочел не называть свое имя, но идет за ручку "g2x3k. Он извинился за то, не поднимая на почту Чадвика. Он считает, что кража цикла CPU происходит много в горнорудной litecoin пространстве.

«Обычно я закрывать счета по требованию», сказал он, добавив, что он запретил IP-адрес по запросу раньше. «Даже если я закрываю их, они могут по-прежнему установки [а] бассейн или сольная шахта с этими ресурсами.

«У меня есть список IP-адресов Amazon уже запрещена, так как он был использован в начале litecoin к моему больше, чем я думал, была изрядная доля», продолжил он.

Будем надеяться, что ради атакующего, что они продали в начале (или ради справедливости, что они не делали). Чедвик узнал о случаях и закрыть их на понедельник 16 декабря, который был в тот же день, что цена litecoin начала врезаться.

Если облако вор не продавал свои монеты, как они пошли, то они могли бы потеряли здоровую прибыль.

Чедвик не считает, что это было бы очень легко отследить злоумышленника. «Хотя я уверен, что Amazon имеет некоторые записи (как пул), я бы ожидать, что человек использует Tor,» сказал он.

В то же время, Amazon активизировал и возвращается Чедвик свои деньги.

SecurityLitecoinTheft

Похожие новости


Post Litecoin

Власти Дании: биткойн здесь не регулируется

Post Litecoin

Цена Litecoin набирает почти 400% за 3 дня до 48 долларов

Post Litecoin

Mt. Gox улучшает скорость сайта, сотрудничая с облачной платформой Akamai

Post Litecoin

Цена Litecoin отступает от всех времен, но составляет 100 долларов в рейхе?

Post Litecoin

Litecoin перемещается в пределах 5% от порога активации SegWit

Post Litecoin

Основатель Litecoin Чарльз Ли о происхождении криптовалюты

Post Litecoin

Mining Roundup: Milestone Litecoin, судебный процесс Lab Rats и Boost от BitFury

Post Litecoin

Активация SegWit завершена, Litecoin отображает курс на будущее

Post Litecoin

Польский биткойн Exchange Bidextreme.pl взломан, Биткойн кошельки опустели

Post Litecoin

Молдавские банковские книги? Bitfury и Ripple Demo New Twist в технологии биткойн

Post Litecoin

Litening: будет ли Litecoin Быть первой Большой Blockchain With Lightning?

Post Litecoin

8-часовая встреча майнеров заканчивается соглашением о масштабировании Litecoin