ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (সেপ্টেম্বর 2024)
লাস ভেগাসের ব্ল্যাক হ্যাট ২০১৪ সম্মেলনে, রব রাগান এবং অস্কার সালাজার, বিশপ ফক্সের অনুপ্রবেশ পরীক্ষকগণ, ক্লাউড-ভিত্তিক বিটকয়েন খনির জন্য এমন একটি কৌশল প্রদর্শন করেছিলেন যা তাদের জন্য ঠিক কিছু খরচ করেছিল। এই মুহুর্তে, একটি বিটকয়েনের মূল্য 6 576.57। এর মতো বিশাল বিনিময় হারের সাথে বিটকয়েন খনির জন্য বিশাল কম্পিউটারের সংস্থান উত্সর্গ করার প্রয়োজন নেই, এটি বেশ লাভজনক হতে পারে।
এটি অবিকল কোনও বৈধ কার্যকলাপ নয়, তবে তারপরে একটি অনুপ্রবেশ পরীক্ষকের কাজ হ'ল সিস্টেমগুলিকে প্যাচ করার জন্য হ্যাক করা। রাগান উল্লেখ করেছিলেন যে এই পরীক্ষাটি "পরিষেবার কিছু শর্তের মধ্যে নরককে লঙ্ঘন করেছে।" প্রয়োজনীয় প্রক্রিয়াকরণ শক্তিতে অ্যাক্সেস পাওয়ার জন্য তাদের প্রচুর পরিমাণে অনন্য ইমেল ঠিকানা তৈরি করতে হয়েছিল এবং প্রচুর ট্রায়াল অ্যাকাউন্টের জন্য সাইন আপ করতে হয়েছিল। এটি করার পরে, তারা একটি সম্পূর্ণরূপে কার্যকরী বিটকয়েন-খনির বোটনেট তৈরি করতে পরিচালিত। রাগানের মতে, "এই বোটনেট ম্যালওয়্যার হিসাবে পতাকাঙ্কিত হয় না, ওয়েব ফিল্টার দ্বারা ব্লক করে বা ধরে নিতে পারে না This এটি দুঃস্বপ্নের জিনিস""
বিশদ খনন করা হচ্ছে
"আমরা অনুপ্রবেশ পরীক্ষক, " রাগান বলেছিলেন। "আমরা গত বছরের জন্য এই প্রকল্পে কাজ করে যাচ্ছি। আমরা দেখিয়েছি যে আমরা অবশ্যই নিখরচায় উপলব্ধ ক্লাউড পরিষেবাগুলি থেকে বোটনেট তৈরি করতে পারি। আমরা প্রশ্নটি জিজ্ঞাসা করি, অপর্যাপ্ত অ্যান্টি-অটোমেশন কি একটি উপেক্ষা ঝুঁকিপূর্ণ? এটি কি শীর্ষ দশ হিসাবে বিবেচনা করা উচিত? দুর্বলতার?"
"এই ক্লাউড ভিত্তিক পরিষেবাগুলি বিভিন্ন রকম কাজ করে, " সালাজার বলেছিলেন, "তবে উদ্দেশ্যটি হ'ল বিকাশকারীদের কিছুটা দ্রুত উঠতে দেওয়া এবং তাড়াতাড়ি চলতে দেওয়া" " "এটি সমস্ত লেগ ওয়ার্ক কেটে দেয় এবং আপনাকে যত তাড়াতাড়ি সম্ভব একটি অ্যাপ্লিকেশন তৈরি করতে দেয়, " রাগান যোগ করেন। "একটি পরিষেবা হিসাবে প্ল্যাটফর্মটি এমন পণ্য যা উচ্চ চাহিদাযুক্ত। তবে যদি এটি কোনও বিকাশকারীর জীবনকে সহজ করে তোলে তবে এটি কি কোনও দূষিত আক্রমণকারীকে সহজতর করতে পারে না? আমরা ঠিক এটিই অনুসন্ধান করেছি exp"
সীমাহীন ইমেল ঠিকানা
আমাদের সবারই একটি ওয়েবসাইট বা পরিষেবাতে নিবন্ধকরণ করার অভিজ্ঞতা ছিল এবং যখন আমরা কোনও ইমেল লিঙ্কটিতে ক্লিক করি তখন নিবন্ধকরণটি চূড়ান্ত হবে বলে জানানো হয়। আমাদের ঘৃণ্য গবেষকরা এই প্রক্রিয়াটিকে সম্পূর্ণ স্বয়ংক্রিয়ভাবে চালিত করার জন্য একটি উপায় প্রয়োজন।
অধিবেশনটি বিশদভাবে ব্যাখ্যা করেছিল যে কীভাবে তারা বাস্তববাদী ব্যবহারকারী নাম এবং বিভিন্ন ডোমেনের বিস্তৃত বিভিন্ন সীমাহীন ইমেল অ্যাকাউন্ট তৈরি করতে সক্ষম হয়েছিল। পরবর্তী পদক্ষেপটি ছিল সেই অ্যাকাউন্টগুলির জন্য স্বয়ংক্রিয় প্রতিক্রিয়া সেট আপ করা, যাতে তারা কোনও ইমেলটিকে "নিশ্চিত করতে এই লিঙ্কটিতে ক্লিক করুন" প্রতিক্রিয়া জানাতে পারে। এটা কাজ করেছে! এই মুহুর্তে, তাদের কাছে মানুষের কোনও মিথস্ক্রিয়া ছাড়াই সীমাহীন অনন্য ইমেল তৈরির ব্যবস্থা ছিল। এবং তারা ক্লাউড-ভিত্তিক মঙ্গোডিবি-র একটি বিনামূল্যে ট্রায়াল ব্যবহার করে সমস্ত বিবরণ সঞ্চিত করে। হ্যাঁ, অংশগ্রহণকারীরা এই পরীক্ষায় ব্যবহৃত সমস্ত কোড পেতে সক্ষম হবেন।
মজা কার্যক্রম!
"এই মুহুর্তে আমরা ডিডোএস, ক্রিপ্টো-মুদ্রা খনন, ডেটা স্টোরেজ এবং আরও অনেক কিছু করতে পারি, " রাগান বলেছিলেন। "অনুপ্রবেশ পরীক্ষক হিসাবে, আমাদের নিয়ন্ত্রণে বন্টন বিতরণ করাই ছিল লক্ষ্য।" ইচ্ছুক ক্লায়েন্টদের বিরুদ্ধে হোয়াইট-টুপি ডিডোএস পরীক্ষা চালানোর জন্য ট্যাম বোটনেট থাকা অবশ্যই মূল্যবান।
যখন আপনার সীমাহীন সংখ্যক "বন্ধু" এর ইমেল ঠিকানা রয়েছে তখন তারা কী সম্ভব তা নিয়ে পরীক্ষা-নিরীক্ষা করেছিলেন। অনেক অনলাইন স্টোরেজ সিস্টেম সফলভাবে বন্ধুদের উল্লেখ করার জন্য আপনাকে অতিরিক্ত গিগাবাইট দেয়। কিছু আপনি মোট উপায়ে এভাবে অর্জন করতে পারেন, অন্যরা তা করে না। "আমরা একটি সার্ভিসে বিনামূল্যে একটি টেরাবাইট পেয়েছি, " রাগান বলেছিলেন, "এটির চেয়ে বেশি যা আপনি দিতে পারেন তার চেয়েও বেশি।"
এর শীর্ষে, পরীক্ষামূলক লাইটকয়েন-মাইনিং বোটনেট প্রতি অ্যাকাউন্টে প্রতিদিন প্রায় 25 সেন্ট তৈরি করে। এক হাজার সক্রিয় অ্যাকাউন্টের সাথে এটি প্রতিদিন 250 ডলার। "আমরা দূষিত হতে চাইনি, এটি কীভাবে হয়েছিল তা দেখানোর জন্য, " রাগান বলেছিলেন, "তাই আমরা থামলাম। তবে আমরা অল্প সময়ের মধ্যে লোকেরা প্রচুর অর্থোপার্জনের কথা শুনেছি a কয়েক সপ্তাহ ধরে, কেবল তাদের সনাক্ত করা হয়েছে কিনা তা দেখার জন্য। তারা ছিল না"
এন্টি-অটোমেশন
পরীক্ষা চলাকালীন, অ্যাকাউন্টগুলি স্বয়ংক্রিয়ভাবে তৈরি করতে পারাতে বেশ কয়েকটি পরিষেবা তাদের যাচাইকরণ সিস্টেমগুলি সংশোধিত করে। একজন এমনকি কারণটি বোটনেটগুলির বিস্তার বলেছিলেন।
অবশ্যই, এই অনুশীলনের মূল উদ্দেশ্যটি খারাপ লাভ অর্জন করা নয়। পরীক্ষার অ্যাকাউন্টগুলি ব্যবহার করে কী করা যায় তা এখন এটি স্পষ্ট হয়ে গেছে, সম্ভবত সরবরাহকারীরা তাদের সিস্টেমে অপব্যবহার রোধ করতে আরও প্রতিরক্ষা যোগ করবেন। রাগান বলেন, "বিরক্তিকর ব্যবহারকারীদের ছাড়া মানুষকে চিহ্নিত করার প্রচুর উপায় রয়েছে। তিনি লজিক ধাঁধা, ক্রেডিট কার্ড দ্বারা বৈধতা, এমনকি লাইভ অপারেটর সহ উদাহরণ উল্লেখ করেছিলেন। এটি স্পষ্ট বলে মনে হচ্ছে যে উল্লেখযোগ্য অ্যান্টি-অটোমেশন ব্যতীত কোনও ক্লাউড সার্ভিস প্রকৃত ব্যবহারকারীর চেয়ে নিজেকে আরও বেশি বোটনেটস আশ্রয় করতে পারে।
