Пользователь
0,2
рейтинг
3 марта 2012 в 04:40

Разработка → Взломаны cервера на Linode, украдено около 50K BTC ($250K)

Первый день весны ознаменовался крупной кражей биткоинов. Злоумышленники избрали своими жертвами владельцев биткоинов, хранивших свои кошельки в облачном хостинге Linode.com.

Первым заметил следы атаки владелец одного из известных майнинг-пулов mining.bitcoin.cz Marek Palatinus, известный в bitcoin-кругах под ником slush. Как он пишет в своем блоге, рано утром он получил SMS о том, что баланс кошелька, используемого его пулом для выплаты намайненных монет, опустился ниже установленного порога. Начав разбираться, в чем дело, он увидел, что 3094 монеты были переведены на некий кошелек (здесь можно увидеть эту транзакцию.) Быстрая проверка работающих сервисов пула не выявила никаких следов взлома. Однако затем он обнаружил, что два из его серверов на Linode были перезагружены и на них изменен рутовый пароль. (На одной из этих виртуалок и хранился bitcoin кошелек.) Сделано это было из админки (Linode Manager), Slush тут же обратился в поддержку Linode, которая поначалу никак не могла объяснить произошедшее, кроме как компрометацией пароля от админки. Но slush был уверен в сложности и уникальности своего пароля, к тому же записи о смене пароля и перезагрузке в логе выполненных задач были, а следов входа в админку во время взлома не было.

После эскалации проблемы и более тщательного расследования специалисты Linode подтвердили факт взлома и сообщили, что злоумышленник воспользовался веб-интерфейсом для персонала поддержки (что позволяет выдвинуть версию инсайда). Скомпрометированные учетки были заблокированы, все пострадавшие уведомлены. Все жертвы были так или иначе связаны с Bitcoin, то есть атака была целенаправленной и спланированной. Всего жертв оказалось восемь, самой крупной оказалась биржа Bitcoinica, потерявшая 43 554 BTC или приблизительно 200 тысяч долларов по текущему курсу.

Linode опубликовал короткое сообщение об инциденте (более развернутое официальное заявление ожидается). В нем заверяется, что другие пользователи сервиса, кроме этих восьми, никак не пострадали; ни пароли пользователей к Linode Manager, ни информация о кредитных картах не были скомпрометированы.

Bitcoinica заверила, что все потери принимает на себя и ее пользователей это никак не коснется. На взломанном сервере не было никаких важных паролей или данных пользователей. В случае с пулом mining.bitcoin.cz есть вероятность утечки базы пользователей. И, хотя пароли хранились в виде хешей (SHA1 с солью), пользователям рекомендуется их сменить.

Мораль истории


1. У всякой монеты две стороны, в том числе и у анонимной Bitcoin. С одной стороны, никто не сможет проследить и доказать, что это именно ты продал вчера 10 кг героина на SilkRoad (и отослал половину навара в поддержку Wikileaks). С другой стороны, ты сидишь и видишь, как утекают твои биткоины. Транзакция Bitcoin событие не мгновенное, она подтверждается по мере распространения информации по сети (что само по себе достойно философского осмысления). И даже знаешь, куда именно утекают, на какой кошелек. Но сделать ничего не можешь. И тут даже ФСБ с Интерполом не поможет.

2. Не клади все яйца в одну корзину. Slush молодец, он так и делал, его основные фонды находились в «оффлайне», то есть на зашифрованном кошельке, а на рабочем была только сумма, минимально необходимая для поддержания работы пула. Потерять 12К евро конечно очень обидно, это многие месяцы работы всех пользователей пула. Но это лучше, чем потерять все.

3. Если ворочаешь сотнями тысяч долларов, пусть и виртуальных, думай о безопасности всерьез. Возможно дешевый VPS в публичном облаке не самая лучшая инфраструктура для этого.

4. Биткоины таки набирают ликвидность, раз их воруют.
@ComodoHacker
карма
16,0
рейтинг 0,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (49)

  • +1
    Ограбление по-wwweb`овски.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Если ваша теория верна, то здесь грамотное заметание следов, ведь Linode подтвердил, что пароль сменился через их внутреннюю систему.
    • +4
      И еще с других семи кошельков…
  • +2
    Slush сказал, что вернет всем деньги из своего кармана.
  • +2
    Мне одному кажется, что «пропажа» Биткоиники это всего лишь пиар? Если в случае со Slush такая ситуация действительно могла быть, то в случае с Биткоиникой — это либо выдумка, либо невероятная глупость. Потому как хранить такое количество Биткоинов на виртуальном сервере — это еще постараться придумать такое надо.
    • +1
      Хранят не биткоины, а ключи к кошелькам. А где их хранить если не на виртульном сервере если там работает служба?
      • +7
        Суть не в корректности формулировок. Суть в том, что чужой виртуальный сервер — это наихудший вариант, который только можно было придумать. Я считаю, что имея на руках эквивалент нескольким сотням (и даже десяткам) тысяч долларов клиентских средств — это уже хороший повод потратить $100-200 в месяц на аренду физического сервера, либо озадачиться запуском такого сервера на своих собственных мощностях. Благо к нему не требуется 100% аптайма и широкого канала.
        • +3
          … кстати, мы вполне официально позволяем клиентам опечатывать свои (colo) сервера (все разъёмы и т.д.) — вполне разумная мера для сервера, хранящего деньги.
        • 0
          Не совсем понятно чем отличается виртуальный сервер у хостера, от реального сервера у того же хостера. Опечатывание как написано ниже спасет также как и логи на админке, то есть когда биткоины уже пропадут. Мне не очень понятно как технически сменили пароль на сервере, хостер ведь не имеет доступа к операционной системе на виртуальном сервере? (наш хостер вроде не может войти)

          Реальный сервер конечно дает немного больше уверенности, можно организовать работу таким образом чтобы незашифрованные ключи хранились только в памяти, а снапшот оперативки не реальном сервере сделать сложнее. Если получения ключей это только доступа к диску, то не слишком важно реальный или виртуальный сервер.
          • 0
            Мне тоже непонятно как технически сменили пароль на виртуальном сервере, но то что у ряда хостеров такая возможность присутствует — это факт. Я не спец по виртуальным технологиям, но насколько я понимаю — получить доступ к содержимому виртуальной машины проще, чем к физическому серверу.
            • 0
              Если знать что такая возможность то можно наверное что-нибудь придумать. На Windows если вот так жестко заменить пароль, то будет потерян доступ к ключам шифрования, то есть данные которые были доступны старому пользователю не будут доступны новому. Не уверен правда делается ли это в линуксе.
          • +2
            У каждого аккаунта на Линоде есть админка, позволяющая эмулировать физически подключенный терминал. Видимо, взломщики получили к ней доступ через хостера и сделали single-user boot, поменяли рутовый пароль — и вуаля.
            В случае физической опечатанной машины взломщикам понадобился бы физический доступ, что сложнее в реализации и на порядки легче отслеживается (надо ли говорить, что у каждого уважающего себя хостера доступ к железу строго контролируется?).
          • +1
            Пароль (как и вся ОС) — это байты на диске. Имея доступ к диску можно его сменить. В случае виртуальной машины это ещё проще (в теории) — внутренние для виртуальной машины ресурсы — это обычные ресурсы для реальной. Виртуальная машина только «думает» что они у неё в монопольном доступе.
    • –2
      А я бы предположил, что даже если изначально это и не пиар, что Slush правильно отреагировал, предав инцидент огласке.
      Я считаю, что надо еще шире распространить новость, включая оффлайновые издания — тогда куча народу пойдет посмотреть, что же это за биткойны такие, что стоит заморачиваться и воровать их. Увеличение количества пользователей — дело благое, ИМХО.
      • +1
        Как только биткойн наберет популярность, так сразу попадет по прессинг государств. Сейчас его не трогают т.к. он никому не сдался.
        • 0
          Хавалу уже сколько лет пытаются прессовать, особенно после терактов 2001 г., и ничего сделать не могут. А обороты там сотни миллиардов долларов в год.
      • 0
        Про Slush'а я ничего не говорю, я могу ему только посочувствовать в данной ситуации и восхититься его решением компенсировать все потери за свой собственный счет. Это о многом говорит.
        Про пиар я говорил относительно Bitcoinica. Хороший инфоповод заявить о том, чего на самом деле могло и не быть.
  • +3
    >>> У всякой монеты две стороны, в том числе и у анонимной Bitcoin. С одной стороны, никто не сможет проследить и доказать
    А много украденого вернули с Webmoney, Yandex, Liberty, кредитных карт…?
    Про должной сноровке и расторопности в 99% никакая служба поддержки вышеперечисленных систем не поможет.

    Кражи происходят исключительно по халатности самих владельцев сервисов, которые не уделяют должного внимания безопасности.
    Как-то летом помнится на какой-то польской бирже при попытке добавить памяти админ по ошибке грохнул инстанс с кошельком на 17К биткоинов, потом обвинял службу поддержки, которая не могла ему помочь восстановить. А про то, что бакапы надо делать перед такими операциями, он видно не слышал. Зато теперь все считают что амазон это ненадежная шарашкина контора, а про кривизну рук админа ни кто не вспоминает.

    В случае с Linode.com, правда походу виновата сама Linode, хотя я не понимаю, зачем было брать впс и хранить на нем столько биткоинов. Неужели так дорого взять вдс.

    Кстати интересно, компенсирует ли Linode потери, или просто скажет да, облажались, бывает.
    • +1
      Какие именно потери вы считаете, что должна компенсировать Linode?
      Напомню, что Linode это просто хостер.
      • +1
        Насколько я понимаю на данный момент взлом был не конкретно сервисов, а самого хостера.
        Правда был сам в такой ситуации. Взлом хостера стоил проекта, в качестве компенсации был предложен вдс на год бесплатно. Хотя реальные потери были в разы выше.
    • +1
      Максимум что компенсирует — это стоимость услуги хостинга. На форуме народ уже нашел цитату из ToS — там явно указано, что в объеме стоимости услуг и не больше.
      • +2
        Это как положить деньги в пакет, и когда его порежут, а деньги вынут, требовать от производителя пакетов компенсировать украденное.
    • 0
      VDS=VPS, это одно и то же — виртуалка на сервере хостера.
      • 0
        Только хотел спросить, а чем они отличаются, для меня синонимы, vds разве что покруче звучит :)
  • 0
    А ведь стало известно о краже еще вчера, а имитация падения курса через слив монет началась только сейчас

    Если серьезного слива не будет… то это фактически докажет причастность bitcoinica к манипуляциям курса, в т.ч. в моменты 'значимых событий bitcoin' (хотя то, что они манипулируют курсом, срывая стопы у своих клиентов и не давая им защититься от этого — это факт)

    p.s. защитить средства bitcoin на сервисах гораздо сложнее чем средства на счетах процессинговых системах… Вроде идеалогически multisig транзакции позволят защитить средства, подтверждая свои транзакции с разных серверов.
    • 0
      >> p.s. защитить средства bitcoin на сервисах гораздо сложнее чем средства на счетах процессинговых системах…
      Чем сложнее? Если у вас сервис обменника, к примеру, и злоумышленник получил доступ. Он через те же api, которые используются сервисом, сможет обнулить все доступные кошельки.

      В случае с BTC спас бы банальный лок по сумме. Например в том же пуле не бывает крупных выплат, и уж темболее в размере всего кошелька.

      Посему для предотвращения подобного сделать так: bitcoind сервер на отдельной вдс-ке, доступ к нему только через свое api, в api заглушка, что если кто-то пытается перевести > 1000 BTC автоматом смена паролей и уведомление по смс. Если кто-то пытается вывести > 100 BTC, к примеру, тогда просто подтверждение через смс или банальное уведомление.

      Получив доступ к основному серверу злоумышленник не получит доступа к файлу кошельков. А при попытке вывести средства мы получим уведомление.

      Конечно что вывести мелкими суммами возможно, но во первых до этого ни кто не догадается, во вторых можно считать трату за определенный интервал, если она больше допустимой, опять-таки лок и уведомление.

      Понятно, что задним умом все знатоки, но все же не нужно говорить что биткоин не защищен и бла бла бла. В 99,9% случаев это банальная халатность обслуживающего персонала.
      • +2
        Вот только если взломают не основной сервер, а этот бэкэнд — будет таки не понятно, от чего защищались, т.к. все вынесут в обход всяких хитроумных защит АПИ.
        • 0
          Если на сервере крутиться исключительно bitcoind, то вероятность его взлома стремится практически к 0.
          С сервера убрать все службы кроме ssh и самого bitcond, авторизация по ключам привязки по ип или кнокам, выделенный сервер, как вы его ломать собрались?
          Конечно вариант протроянить админов остается самым вероятным, тут уже ни какие привязки не спасут, хотя при минимальной личной осторожности сложность взлома повышается на порядок и стремится практически к нолю.

          Но когда на одной виртуалке у какого-то левого хостера крутится все вместе с кошельками, форумами, самописными пулами, писанными фрилансерами и т.д., чему тут удивляться.
          • +1
            У нас была ситуация, когда взломали впс, положили туда ключ для ssh и сменили рутовый пароль. На сервере ничего не крутилось, кроме nginx и почтовика. Вернули рутовую учетную запись, но буквально на следующий день ситуация повторилась.
            Разбираться не стали, просто съехали тут же с этого хостера.
          • +1
            Вы наверное невнимательно читали, а может я непонятно написал. Сейчас именно такая ситуация: на сервере крутился исключительно bitcoind и лежал файл кошелька, авторизация, бла-бла-бла…

            Ломать собрались сбросом рутового пароля, поскольку все остальное было сделано по уму. И сломали.
            • –2
              Все так, за исключением того, что сервер лежал на виртуальном сервере, к которому имели доступ сотрудники компании.
              Разница по части безопасности между впс и вдс огромная. Если на вдс можно сменить пароль от рута, и без физического доступа к серверу (или квм-а) даже заинтересованные сотрудники не смогут получить доступ.
              Правда тут тоже есть нюансы, можно отправить машину в rescue режим и вытащить все что нужно или залить ssh ключик. Поэтому такие варианты тоже нужно учитывать. Как вариант хранить все в защищенном шифрованном контейнере, чтобы после перезагрузки не было возможности получить доступ к системе с загрузочного диска.
              Таким образом мы полностью исключаем диверсию со стороны инсайдерского техперсонала на VDS. В случае же с впс, остается только надеяться на порядочность хостера.
              Хотя, теоретически, вариант с криптованным контейнером и на впс должен спасти от многих неприятностей.
              • +2
                Там выше уже ответили, что вдс ничем от впс не отличается. Наверное имелся в виду дедик.
                • 0
                  Я имел ввиду Dedicated Server и VPS, просто описка.
      • 0
        Чтобы защищаться с помощью api — нужно делать как минимум две независимые дублирующие системы учета баланса/транзакций внутри сервиса. Тогда сбой в одной из них, должен блокировать все операции по вводу/выводу до завершения ручного разбора ситуации. Но, разумеется, такая система не защитит от банального взлома сервера, на котором крутится bitcoind.
    • 0
      Не могу ничего утверждать насчет манипуляций, кроме того, что у них есть все инструменты для этого. Как и у любой форексовской кухни.
      Но я обратил внимание на интересный момент — последний сутки или двое (до вчерашнего вечера), на Биткоинике были минимальные объемы торговли (~8000BTC), при этом на МтГоксе объемы были в районе 30-40 тыс. BTC.
      Как только на Биткоинике объемы восстановились до ~40 тыс BTC, на МтГоксе произошел скачок объемов в два раза.
      Из этого я могу пока сделать два вывода — либо у всех одновременно появился дикий интерес к торговле биткоинами, либо Биткоиника генерирует от трети до половины объемов торгов на МтГоксе.
  • 0
    Ну кто же заработанное копит, сразу надо переводить на свой кошелек, который хранить в защищенном месте.
    • +2
      Ничего, сейчас Linode быстренько намайнит и компенсирует. Мощности есть.
  • –1
    Компрометация bitcoin (точнее, инфраструктур около) будет продолжаться и дальше. К сожалению.
    • +2
      Если в форточку залез медвежатник у утащил много рублей, то это компрометирует центробанк или рубли?
      • 0
        это компрометирует метод хранения денег в шкатулке под подушкой, коим и является биткоин. и пиарит метод хранения денег в сберкассе.
        • +2
          Ну как и арест счета компроментирует хранение в сберкассе.
      • +1
        Наличные рубли. Как и в случае с биткоинами, их достоинства перерастают в недостатки в случае НСД.
      • –1
        Если Банк оф Верхние Пипки несколько раз гробанули — то компрометирует ли это банк?
        • 0
          Из банка «Банк оф Верхние Пипки», который неоднократно грабили, каждый раз выносили все золото. Компрометирует ли это золото?
          • 0
            Не на том акцент. Bitcoin без инфраструктуры (которая собственно и компрометируется) — сферические биты в вакууме.

            • 0
              Любая инфраструктура компрометируется, любая валюта без инфраструктуры есть не более, чем сферические единицы в вакууме. То же самое можно сказать и о счетах в банках, и о бумажных деньгах, последние просто бесхозная бумага без инфраструктуры. И золото без инфраструктуры — просто бесхозные атомы в кристаллических решетках.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    У нас целый кластер на линоде поднят.
    До текущего момента в безопасности сервиса даже не сомневался…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.