Οι hackers συνηθίζουν να χρησιμοποιούν malware για να υποδουλώσουν στρατούς ανυποψίαστων υπολογιστών θυμάτων (slaves) και να τους διαχειριστούν μέσω κάποιου botnet. Τουλάχιστον αυτό γνωρίζαμε μέχρι σήμερα. Οι ερευνητές ασφαλείας Rob Ragan και Oscar Salazar είχαν μια διαφορετική σκέψη: Γιατί να κλέψουν υπολογιστικούς πόρους από αθώα θύματα, όταν υπάρχει τόσο πολύ ελεύθερη επεξεργαστική ισχύ εκεί έξω;
Στο συνέδριο Black Hat στο Λας Βέγκας τον επόμενο μήνα ο Ragan και Salazar σχεδιάζουν να αποκαλύψουν πώς δημιούργησαν ένα botnet, χρησιμοποιώντας μόνο τις ελεύθερους για δοκιμές λογαριασμούς σε online υπηρεσίες. Οι λογαριασμοί αυτοί συνήθως χρησιμοποιούνται για να δοκιμές εφαρμογών από προγραμματιστές. Έτσι οι προγραμματιστές έχουν ένα δωρεάν μέρος για την ανάπτυξη και τις δοκιμές τους χωρίς να χρειάζεται να αγοράσουν δικούς τους servers και χώρους αποθήκευσης.
Οι hackers χρησιμοποίησαν μια αυτοματοποιημένη διαδικασία για να δημιουργήσουν μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου και να εγγραφούν για να αποκτήσουν αυτούς τους δωρεάν λογαριασμούς μαζικά, δημιουργώντας ένα cloud-based botnet που αποτελείτο από περίπου χίλιους υπολογιστές.
Με αυτό τον τρόπο θα μπορούσε μια ορδή από ζόμπι (slaves) να ξεκινήσουν συντονισμένες κυβερνοεπιθέσεις, σπάσιμο κωδικών πρόσβασης, ή εξόρυξη εκατοντάδων δολαρίων την μέρα. Και με τη συναρμολόγηση ενός botnet μέσω λογαριασμών cloud αντί για hacking σε υπολογιστές, ο Ragan και ο Salazar πιστεύουν ότι η δημιουργία τους μπορεί να μην είναι καν παράνομη.
“Ουσιαστικά δημιουργήσαμε έναν υπερυπολογιστή δωρεάν”, αναφέρει ο Ragan, ο οποίος μαζί με τον Salazar εργάζονται σαν ερευνητές για την παροχή συμβουλών ασφαλείας στο Bishop Fox. “Είμαστε σίγουροι ότι πρόκειται να δείτε περισσότερες κακόβουλες δραστηριότητες που προέρχονται από αυτές τις υπηρεσίες.”
Εταιρείες όπως η Google, η Heroku, η Cloud Foundry, η CloudBees, και πολλές άλλες προσφέρουν στους προγραμματιστές τη δυνατότητα να φιλοξενήσουν τις εφαρμογές τους σε διακομιστές τους, σε μακρινά κέντρα δεδομένων, και συχνά επιτρέπεται η μεταπώληση υπολογιστικών πόρων που ανήκουν σε εταιρείες όπως η Amazon και Rackspace. Ο Ragan και ο Salazar δοκίμασαν τη διαδικασία δημιουργίας λογαριασμού σε περισσότερες από 150 από αυτές τις υπηρεσίες. Μόνο το ένα τρίτο από αυτές απαιτούσε σαν πιστοποιήσεις (πέρα από μια διεύθυνση ηλεκτρονικού ταχυδρομείου), πρόσθετες πληροφορίες, όπως μια πιστωτική κάρτα, ένα αριθμό τηλεφώνου. Τα δύο τρίτα από αυτές, έδιναν το ελεύθερο για δωρεάν εγγραφές και έδιναν ένα λογαριασμό για δοκιμή. Οι ερευνητές δεν κατονόμασαν τις ευάλωτες υπηρεσίες, για ευνόητους λόγους. “Πολλές από αυτές τις εταιρείες είναι στα ξεκινήματα και προσπαθούν να αποκτήσουν όσο περισσότερους χρήστες μπορούν το συντομότερο δυνατόν”, αναφέρει ο Salazar.
Ο Ragan και ο Salazar, χρησιμοποίησαν την υπηρεσία Mandrill και ένα δικό τους script που τρέχει στο Google App Engine, για να πραγματοποιούν αυτοματοποιημένες εγγραφές και επιβεβαιώσεις λογαριασμών. Για υπηρεσία ηλεκτρονικού ταχυδρομείου χρησιμοποίησαν μια υπηρεσία που ονομάζεται FreeDNS.afraid.org. Η συγκεκριμένη υπηρεσία τους άφησε να δημιουργήσουν απεριόριστες διευθύνσεις ηλεκτρονικού ταχυδρομείου κάτω από διαφορετικά domains. Στη συνέχεια χρησιμοποίησαν το Python Fabric, ένα εργαλείο που επιτρέπει στους προγραμματιστές να διαχειρίζονται πολλαπλά scripts Python, για τον έλεγχο εκατοντάδων ηλεκτρονικών υπολογιστών τους οποίους έχουν στην κατοχή τους.
Ένα από τα πρώτα πειράματα τους με το νέο τους cloud-based botnet ήταν εξόρυξη του ψηφιακού νομίσματος Litecoin. Βρήκαν ότι θα μπορούσαν να παράγουν περίπου 25 σεντ ανά λογαριασμό τη μέρα με βάση τις συναλλαγματικές ισοτιμίες του Litecoin. Ολόκληρο το botnet τους μπρούσε να δημιουργήσει 1.750 δολάρια την εβδομάδα. “Και όλα αυτά με τον λογαριασμό ρεύματος κάποιου άλλου”, αναφέρει ο Ragan.
Ο Ragan και ο Salazar δεν ήθελαν να πλουτίσουν με την ηλεκτρική ενέργεια και την επεξεργαστική ισχύ κάποιων άλλων, ωστόσο, για δοκιμή, άφησαν ένα μικρό αριθμό προγραμμάτων εξόρυξης να τρέχει για δύο εβδομάδες. Κανένα δεν εντοπίστηκε ποτέ και φυσικά κανένα δεν έκλεισαν.
Εκτός από την εξόρυξη Litecoin, οι ερευνητές αναφέρουν ότι θα μπορούσαν να έχουν χρησιμοποιήσει τα cloudbots για πιο κακόβουλους σκοπούς – όπως password-cracking, click fraud, ή επιθέσεις denial of service. Επειδή οι υπηρεσίες cloud computing προσφέρουν πολύ περισσότερο εύρος ζώνης από το μέσο όρο που διαθέτει ένα υπολογιστής στο σπίτι, αναφέρουν ότι το botnet τους θα μπορούσε να έχει δύναμη 20.000 υπολογιστών για επιθέσεις σε οποιοδήποτε συγκεκριμένο στόχο.
Το πιο ανησυχητικό ακόμα, όπως αναφέρουν οι Ragan και Salazar είναι το ότι θα υπάρχει μια ιδιαίτερη δυσκολία στο να φιλτραριστεί μια επίθεση που ξεκίνησε από αξιόπιστες υπηρεσίες cloud. “Φανταστείτε ένα μια επίθεση distributed denial-of-service, όπου οι εισερχόμενες διευθύνσεις IP να είναι από αξιόπιστες υπηρεσίες όπως την Google και την Amazon,” λέει ο Ragan.
Νομοταγείς πολίτες
Χρησιμοποιώντας ένα cloud botnet για αυτό το είδος της επίθεσης, φυσικά, θα ήταν παράνομο. Όμως η δημιουργία του botnet μπορεί να μην είναι, υποστηρίζουν οι δύο ερευνητές. Παραδέχονται ότι έχουν παραβιάσει αρκετούς όρους των εταιρειών των συμβάσεις παροχής υπηρεσιών, αλλά υποστηρίζουν ότι είναι ένα θέμα νομικής συζήτησης κατά πόσον μια τέτοια ενέργεια αποτελεί έγκλημα. Στο παρελθόν γνωρίζουμε ότι παραβιάζοντας αυτούς τους κανόνες μπορεί να οδηγήσει σε διώξεις, όπως στην περίπτωση του αείμνηστου Aaron Swartz. Αλλά τουλάχιστον ένα δικαστήριο έχει αποφανθεί ότι η παραβίαση των όρων χρήσης μιας υπηρεσίας από μόνο του δεν συνιστά απάτη με υπολογιστή. Και η πλειοψηφία των κατηγορουμένων για παραβίαση των Όρων Υπηρεσιών παραμένουν ατιμώρητοι.
Ο Ragan και ο Salazar υποστηρίζουν ότι ανεξάρτητα από τη νομική προστασία, οι εταιρείες θα πρέπει να εφαρμόσουν άμεσα τις δικές τους τεχνικές αντι-αυτοματισμού για να αποτρέψουν αυτού του είδους (bot-based) τις εγγραφές. Κατά την ομιλία τους στο συνέδριο Black Hat, πρόκειται να κυκλοφορήσουν τόσο το λογισμικό που χρησιμοποίησαν για τη δημιουργία και τον έλεγχο του cloudbot, όπως και το αμυντικό λογισμικό που λένε ότι μπορεί να προστατέψει τις εταιρείες.
