Hackers têm utilizado malwares para escravizar computadores, mas os pesquisadores de segurança Rob Ragan e Oscar Salazar tinham um pensamento diferente: Por que roubar recursos de computação de vítimas inocentes quando há tanto poder de processamento livre lá fora.
Na conferência Black Hat em Las Vegas no próximo mês Ragan e Salazar pretende revelar como eles construíram uma botnet utilizando apenas ensaios livres e contas em serviços freemium-os de hospedagem de aplicativos on-line codificadores tipo usar para desenvolvimento e testes para evitar ter de comprar o seu próprio servidores e armazenamento. A dupla hacker usou um processo automatizado para gerar endereços de e-mail exclusivo e se inscrever para as contas gratuitas em massa, a montagem de uma botnet baseada em nuvem de cerca de mil computadores.
Essa horda de zumbis online foi capaz de lançar ataques cibernéticos coordenados, quebrando senhas, ou mineração de centenas de dólares por dia no valor de cryptocurrency. E por que a montagem de botnet de contas na nuvem em vez de computadores seqüestrados, Ragan e Salazar acreditam que sua criação pode mesmo ter sido legal.
"Nós essencialmente construímos um supercomputador de graça", diz Ragan, que junto com Salazar trabalha como pesquisador para a consultoria de segurança Bispo Fox. "Nós definitivamente vamos ver mais atividade maliciosa saindo desses serviços."
Empresas como Google, Heroku, Cloud Foundry, CloudBees, e muito mais oferecem aos desenvolvedores a capacidade para hospedar seus aplicativos em servidores, em data centers distantes, muitas vezes revender recursos de computação de propriedade de empresas como Amazon e Rackspace. Ragan e Salazar testou o processo de criação da conta por mais de 150 desses serviços. Apenas um terço deles não exigia nenhuma credencial além de um endereço de e-mail-obter, informações adicionais, como um cartão de crédito, número de telefone ou preencher um captcha. Escolhendo entre os fáceis de dois terços, eles visaram cerca de 15 serviços que lhes permitem se inscrever para uma conta gratuita ou um teste gratuito. Os pesquisadores não citaram os serviços vulneráveis, para evitar ajudar hackers seguir os seus passos. "Muitas dessas empresas são startups que tentam obter o maior número de usuários o mais rápido possível", diz Salazar. "Eles não estão realmente pensando sobre a defesa contra esses tipos de ataques."
Ragan e Salazar criou seu processo automatizado de inscrição e confirmação do rapid-fire com o serviço de e-mail Mandrill e seu próprio programa em execução no Google App Engine. Um serviço chamado FreeDNS.afraid.org deixando criar endereços de e-mail ilimitadas em diferentes domínios; para criar endereços de aparência realista usaram variações de endereços reais que eles encontraram jogados on-line depois de violações de dados passados. Então, eles usaram Python Fabric, uma ferramenta que permite aos desenvolvedores gerenciar vários scripts em Python, para controlar as centenas de computadores em que eles haviam tomado posse.
Uma de suas primeiras experiências com o sua nova botnet baseada em nuvem foi minando o Litecoin cryptocurrency. (Que segundo mais usado cryptocoin é mais adequado para as CPUs dos computadores nuvem que Bitcoin, que é mais facilmente extraído com chips GPU). Eles descobriram que eles poderiam produzir cerca de 25 centavos de dólar por conta por dia com base nas taxas de câmbio do Litecoin no tempo. Colocando toda a sua botnet atrás esse esforço teria gerado $ 1750 por semana. "E tudo isso em conta de energia elétrica de outra pessoa", diz Ragan.
Ragan e Salazar tinham receio de causar dano real por monopolizando a eletricidade ou a transformação dos serviços, no entanto, assim que desligou sua operação de mineração em uma questão de horas. Para o teste, no entanto, deixaram um pequeno número de programas que funcionam de mineração durante duas semanas. Nenhum nunca foram detectadas ou desligado.
Além da mineração Litecoin, os pesquisadores dizem que poderia ter usado seus cloudbots para mais maliciosas extremidades semelhantes distribuídos, quebra de senha-, a fraude do clique, ou ataques de negação . Porque os serviços em nuvem oferecem muito mais largura de banda de rede do que o computador doméstico médio possui, eles dizem que sua botnet poderia ter canalizado cerca de 20.000 PCs-estima de tráfego de ataque em um determinado alvo. Ragan e Salazar não eram capazes de realmente medir o tamanho de seu ataque, no entanto, porque nenhum de seus alvos de teste foram capazes de ficar on-line o tempo suficiente para uma leitura precisa. "Ainda estamos à procura de voluntários", Ragan brinca.
Mais preocupante ainda, Ragan e Salazar disse que e especialmente difícil para filtrar um ataque lançado a partir de serviços de nuvem respeitáveis. "Imagine um ataque de negação de serviço distribuído, onde os endereços IP de entrada são todos do Google e Amazon", diz Ragan. "Isso se torna um desafio. Você não pode barrar toda uma faixa de IP "
Usando uma botnet baseada em nuvem para esse tipo de ataque, é claro, seria ilegal. Mas a criação da botnet, em primeiro lugar pode não ser, os dois pesquisadores argumentam. Eles admitem que violou bastante termos de acordos de serviço de algumas empresas, mas ainda é uma questão de debate legal se tal ação constitui um crime. Quebrar essas regras de impressão tem contribuído para alguns processos sob a Fraude e Lei Abuso de Computador , como é o caso do falecido Aaron Swartz. Mas pelo menos, um tribunal decidiu que quebrar os termos de serviço por si só não constituem fraude informática. E a maioria das violações dos termos de serviço impune-uma coisa boa dada a forma como alguns usuários de Internet realmente lê-los.
Ragan e Salazar argumentam que, independentemente de proteções legais, as empresas precisam implementar suas próprias técnicas anti-automação para evitar o tipo de inscrições baseada na bot que eles demonstraram. Na época de seu Black Hat, eles planejam lançar tanto o software que eles usaram para criar e controlar seus cloudbots, bem como software de defesa dizem que pode proteger contra os seus regimes.
Outros hackers, afinal, não foram tão educados como Ragan e Salazar em seus experimentos de computação em nuvem. No momento em que os dois pesquisadores passou sondando as lacunas nos serviços de computação em nuvem, dizem que já vimos empresas como AppFog e Engine Yard desligar a sua opção livre, como resultado de mais hackers maliciosos exploram seus serviços.
"Queríamos conscientizar é não prejudicar, Ajudar a proteger contra esse tipo de ataque", disse Ragan. "Será que vamos ver um aumento neste tipo de botnet? A resposta é, sem dúvida, sim. "
Essa horda de zumbis online foi capaz de lançar ataques cibernéticos coordenados, quebrando senhas, ou mineração de centenas de dólares por dia no valor de cryptocurrency. E por que a montagem de botnet de contas na nuvem em vez de computadores seqüestrados, Ragan e Salazar acreditam que sua criação pode mesmo ter sido legal.
"Nós essencialmente construímos um supercomputador de graça", diz Ragan, que junto com Salazar trabalha como pesquisador para a consultoria de segurança Bispo Fox. "Nós definitivamente vamos ver mais atividade maliciosa saindo desses serviços."
Empresas como Google, Heroku, Cloud Foundry, CloudBees, e muito mais oferecem aos desenvolvedores a capacidade para hospedar seus aplicativos em servidores, em data centers distantes, muitas vezes revender recursos de computação de propriedade de empresas como Amazon e Rackspace. Ragan e Salazar testou o processo de criação da conta por mais de 150 desses serviços. Apenas um terço deles não exigia nenhuma credencial além de um endereço de e-mail-obter, informações adicionais, como um cartão de crédito, número de telefone ou preencher um captcha. Escolhendo entre os fáceis de dois terços, eles visaram cerca de 15 serviços que lhes permitem se inscrever para uma conta gratuita ou um teste gratuito. Os pesquisadores não citaram os serviços vulneráveis, para evitar ajudar hackers seguir os seus passos. "Muitas dessas empresas são startups que tentam obter o maior número de usuários o mais rápido possível", diz Salazar. "Eles não estão realmente pensando sobre a defesa contra esses tipos de ataques."
Ragan e Salazar criou seu processo automatizado de inscrição e confirmação do rapid-fire com o serviço de e-mail Mandrill e seu próprio programa em execução no Google App Engine. Um serviço chamado FreeDNS.afraid.org deixando criar endereços de e-mail ilimitadas em diferentes domínios; para criar endereços de aparência realista usaram variações de endereços reais que eles encontraram jogados on-line depois de violações de dados passados. Então, eles usaram Python Fabric, uma ferramenta que permite aos desenvolvedores gerenciar vários scripts em Python, para controlar as centenas de computadores em que eles haviam tomado posse.
Uma de suas primeiras experiências com o sua nova botnet baseada em nuvem foi minando o Litecoin cryptocurrency. (Que segundo mais usado cryptocoin é mais adequado para as CPUs dos computadores nuvem que Bitcoin, que é mais facilmente extraído com chips GPU). Eles descobriram que eles poderiam produzir cerca de 25 centavos de dólar por conta por dia com base nas taxas de câmbio do Litecoin no tempo. Colocando toda a sua botnet atrás esse esforço teria gerado $ 1750 por semana. "E tudo isso em conta de energia elétrica de outra pessoa", diz Ragan.
Ragan e Salazar tinham receio de causar dano real por monopolizando a eletricidade ou a transformação dos serviços, no entanto, assim que desligou sua operação de mineração em uma questão de horas. Para o teste, no entanto, deixaram um pequeno número de programas que funcionam de mineração durante duas semanas. Nenhum nunca foram detectadas ou desligado.
Além da mineração Litecoin, os pesquisadores dizem que poderia ter usado seus cloudbots para mais maliciosas extremidades semelhantes distribuídos, quebra de senha-, a fraude do clique, ou ataques de negação . Porque os serviços em nuvem oferecem muito mais largura de banda de rede do que o computador doméstico médio possui, eles dizem que sua botnet poderia ter canalizado cerca de 20.000 PCs-estima de tráfego de ataque em um determinado alvo. Ragan e Salazar não eram capazes de realmente medir o tamanho de seu ataque, no entanto, porque nenhum de seus alvos de teste foram capazes de ficar on-line o tempo suficiente para uma leitura precisa. "Ainda estamos à procura de voluntários", Ragan brinca.
Mais preocupante ainda, Ragan e Salazar disse que e especialmente difícil para filtrar um ataque lançado a partir de serviços de nuvem respeitáveis. "Imagine um ataque de negação de serviço distribuído, onde os endereços IP de entrada são todos do Google e Amazon", diz Ragan. "Isso se torna um desafio. Você não pode barrar toda uma faixa de IP "
Usando uma botnet baseada em nuvem para esse tipo de ataque, é claro, seria ilegal. Mas a criação da botnet, em primeiro lugar pode não ser, os dois pesquisadores argumentam. Eles admitem que violou bastante termos de acordos de serviço de algumas empresas, mas ainda é uma questão de debate legal se tal ação constitui um crime. Quebrar essas regras de impressão tem contribuído para alguns processos sob a Fraude e Lei Abuso de Computador , como é o caso do falecido Aaron Swartz. Mas pelo menos, um tribunal decidiu que quebrar os termos de serviço por si só não constituem fraude informática. E a maioria das violações dos termos de serviço impune-uma coisa boa dada a forma como alguns usuários de Internet realmente lê-los.
Ragan e Salazar argumentam que, independentemente de proteções legais, as empresas precisam implementar suas próprias técnicas anti-automação para evitar o tipo de inscrições baseada na bot que eles demonstraram. Na época de seu Black Hat, eles planejam lançar tanto o software que eles usaram para criar e controlar seus cloudbots, bem como software de defesa dizem que pode proteger contra os seus regimes.
Outros hackers, afinal, não foram tão educados como Ragan e Salazar em seus experimentos de computação em nuvem. No momento em que os dois pesquisadores passou sondando as lacunas nos serviços de computação em nuvem, dizem que já vimos empresas como AppFog e Engine Yard desligar a sua opção livre, como resultado de mais hackers maliciosos exploram seus serviços.
"Queríamos conscientizar é não prejudicar, Ajudar a proteger contra esse tipo de ataque", disse Ragan. "Será que vamos ver um aumento neste tipo de botnet? A resposta é, sem dúvida, sim. "