Волна атак на серверные системы с целью запуска на них кода для майнинга криптовалюты дошла (https://blog.redlock.io/cryptojacking-tesla) до компании Tesla. Подобное вредоносное ПО обнаружено на серверах Tesla в облаке Amazon Web Services (AWS), на которых была развёрнута инфраструктура изолированных контейнеров на базе платформы Kubernetes.Сообщается, что атакующие получили доступ из-за наличия на одном из хостов открытого доступа к управляющей консоли Kubernetes, не защищённой паролем. Далее злоумышленники смогли извлечь на данной системе параметры доступа к принадлежащему Tesla окружению AWS и хранилищу Amazon S3, в котором в том числе размещались конфиденциальные данные, полученные в результате сбора телеметрии с автомобилей. По заявлению компании Tesla проблема была устранена в течение нескольких часов после обнаружения и затронула только инженерные варианты автомобилей для внутреннего использования, данные клиентов не пострадали.
Для скрытия присутствия процесса майнинга атакующие использовали собственный пул для майнинга, доступ к которому был организован через сеть доставки контенкта Cloudflare с применением для взаимодействия с пулом нестандартного номера сетевого порта. Чтобы не привлекать внимание к активности в системе для процесса майнинга был принудительно урезан уровень потребления ресурсов CPU. Примечательно, что в октябре прошлого года в результате утечки параметров аутентификации в AWS также были скомпрометированы некоторые окружения Amazon и Microsoft, на которых также был запущен код для майнинга.URL: https://arstechnica.com/information-technology/2018/02/tesla.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48113
> По заявлению компании Tesla проблема была устранена в течение нескольких часов после обнаруженияА сколько прошло с момента внедерения (взломом это назвать пальцы не поворачиваются) до обнаружения — они скромно умолчали.
> данные клиентов не пострадалиИ тут тоже первая мысль: "а что ещё мог их маркетинг позволить сказать".
да ладно, кому нужны эти дурацкие данные, монетки давай!скоро и правда, как анон внизу пишет, "банк хакнули, данные клиентов тупо стерли, на весь датацентр запустили майнинг"
А чо, машинки у банков мощные, каналы толстые, itшники обычно - г-но.забавно, кстати, что их спалили, хотя они очень старались, а не врубили на всю катушку, как обычно принято.
> А чо, машинки у банков мощные,Кто те сказал такую ересь? :)
Банк В******к - 4 x 2 x PPro 200
Банк П******к - 4 x 4 x UltraSPARC T1
...
Условно мощные (стабильные и быстрые) - биржевые комбайны.
> Кто те сказал такую ересь?глаза.
Ну то есть я могу поверить что есть еще микробанчок с "ppro200", и может не один (стесняюсь спросить - у них внутрибанковская, айтишная инфраструктура - тоже на нем?), но видел я куда как более интересные.> Условно мощные (стабильные и быстрые) - биржевые комбайны.
там сложнее, там хорошие админы, а инфраструктуры, заточенные ровно под одну операцию - простые, и контролируемые. А у банков - разные, и внутри может быть все что угодно, включая забытую два года назад недонастроенную подрядчиком стойку под невзлетевший отдел. (причем этот был далеко не из первой десятки)
Влезть, конечно, непросто - но и тут имелись явные "успехи".
> тоже на нем?Да всяки разны. Но для майнинга ваще не фонтан.
Банки, у которых есть цислодробильная аналитика и предсказания, по пальцам пересчитать.
Pentium Pro? Серьёзно? Проц из 90-х?
и что такого? этот проц еще лет 50 без проблем проработает.
другое дело переферия.
>да ладно, кому нужны эти дурацкие данные, монетки давай!эти данные можно слить через блокчейн и продать на падземном переходе. за монетки.
Маск, иди машины собирай, хватит отмазки лепить.
По качеству сборки их машины тоже не ахти. Там даже в 3-ей версии были какие-то совсем детские баги. Куда мужик не сунется везде недорабатывает.
> По качеству сборки их машины тоже не ахти. Там даже в 3-ей
> версии были какие-то совсем детские баги. Куда мужик не сунется везде
> недорабатывает.Мейк моуни фаст: заработай 80% денег за 20% времени и.... Следующий проект! //Исправления 80/20 писать здесь-->>
> Мейк моуни фаст: заработай 80% денег за 20% времени и.... Следующий проект!
> //Исправления 80/20 писать здесь-->>Ну ты то как настоящий джедай заработаешь 20% за 80% времени, не иначе.
>какие-тоНапример?
Он еще не придумал.
>>Например?Тесла С, откровенных косяков не видел, чтобы что нибудь отваливалось. Но вот то что что то где то скрипит, слегка гремит, да и вообще не стоит таких денег - присутствует. Был и в роли пассажира и в роли водителя. Ускорение конечно прикольное и рулится, но за такие деньги можно взять либо машину быстрее и прикольнее, либо комфортнее. Да, тесла вроде как стоит дорого, но дальнейшая стоимость владения много меньше. Да и общий ресурс скорее всего побольше будет. Но тачка не дешевая и люди, покупающие теслу, вряд ли покупают на околопоследние деньги. Это очередная модная/фанатская тачка, где приходится немного переплачивать.
в последнем k8s просто так без пароля не запустишь нужно кучу визардов перекликать в вебгуе
Визарды - это ужас. Вменяемые файлы конфигурации - наше все.Ну, и файрвол с белым списком плюс прокси типа https://github.com/ip1981/sproxy2
смех смехом, но проверьте свои компы и сервера на майнеры... они вирусодетектами и руткитоклинерами не палятся... ничего же "плохого" они не делают...
Намеки на "Купите антивирусы для GNU/Linux"?
для начала хотя бы top поглядеть...
В чем профит крипты? Ну ок, децентрализованность.
Несколько лет массового использования и кошелек возрастает до таких объемов, что поддерживать крипту могут только дата-центры (читай, банки).
Пока это просто пирамида на неплохой технологии блокчейна. Сейчас пузырики полопаются, люди наиграются и успокоятся.
Чем эта технология неплоха? Что реально на ней работает? Единственное "позитивное" качество блокчейна - экспоненциальное распухание.
Где-то слышал идею о чрезвычайной полезности ведения документооборота с помощью блокчейна: очень уж секурно получается + сохраняется история
Идею-то многие слышали. Реализацию бы поглядеть.
Например, голосование можно сделать на технологии блокчейна, без анонимности. Чтобы каждый мог проверить и убедиться кто за что или за кого голосовал. Вот это была бы тема )
> Например, голосование можно сделать на технологии блокчейна, без анонимности. Чтобы каждый
> мог проверить и убедиться кто за что или за кого голосовал.
> Вот это была бы тема )Для этого нахрен не сдался блокчейн. Для этого нужно массовое распространение ЭЦП и согласие населения на открытые и неанонимные выборы. Что, увы, в текущих реалиях невозможно.
> и согласие населения на открытые и неанонимные выборы.А публичные расстрелы неправильно проголосовавших планируются? Или им всего лишь темной ночкой беспилотный дрон в окошко постучится?
> А публичные расстрелы неправильно проголосовавших планируются?конечно нет, за кого вы нас держите?
Эта средневековая практика народу не нужна. Голосование - публичное, а все остальное - частное.
Просто утром опа - а соседняя квартира уже освобождена для тех, кто голосовал правильно.А ее прежние жители едут майнить э...традиционные ценности, во. Кайлом и лопатой, никаких asic'ов.
Стремный способ, ненадежный. Крутанется колесо фортуны в другую сторону - и напихают товарищмайорам кайлом и лопатой. Или просто отправят на пенсию ниже прожиточного минимума, так даже забавнее.
> блокчейна - экспоненциальное распухание.Оно вообще-то линейное, и можно pruning делать, если вся история не требуется. Биткоин растет быстрее лишь потому что его использование активируется.
А неплоха она демонстрацией того как можно обойтись распределенной системой без центральных ауторити, которые имеют свойство наглеть и борзеть сверх всякой меры. Уж наверное банками все пользуются все-же не для того чтобы ощутить прелести унизительных биометрических досмотров и прочий произвол в управлением аккаунтами. Так что господа много на себя взяли и поплатятся за это.
Когда тебя обворуют, все твои накопления за всю жизнь. тогда и посмотрим
> Когда тебя обворуют, все твои накопления за всю жизнь. тогда и посмотримМеня сбер дважды обворовал на скачках инфляции и возвращать награбленное не собирается. Еще и пенсионные накопления "временно заморозили", чтобы было понятнее кто есть кто. Да и какие накопления при инфляции и процентах ниже инфляции? Это сказка для тех кто не способен калькулятор в руки взять :) Так что такие хранильцы и их услуги - для таких как ты.
> В чем профит крипты?Нет профита никакого. Иди спи.
> Несколько лет массового использования и кошелек возрастает до таких объемов, что поддерживать
> крипту могут только дата-центры (читай, банки).Почитай про pruning. И вообще выборочное хранение блоков. А так full node может содержать любой желающий. Диски нынче емкие, надолго хватит.
> В чем профит крипты? Ну ок, децентрализованность.В отсутствии тоталитаристов с своими потугами всех кидать, указывать как тратить деньги и компостировать мозги всякими биометрическими гадостями. Скоро при приходе в банк анальеый досмотр проходить надо будет, чтобы доказать товарищмайорам что не верблюд. А крипта что, ей можно просто пользоваться. От этого у товарищмайоров знатно подгорает, да только что они с этим сделают.
Вендорлочное поделие отметилось в потешной новости.
Сколько пиара Tesla.. А как дела с ябломобилем?
Радиусы поворота патентуют
Скоро будут взламывать сервера платёжных систем и банков и использовать их для майнинга.
Если банк хороший, годный, и свой софт крутит на мейнфрейме — не взломают. А у любителей дешёвого интела и бесплатного линукса, небось, уже давно майнят. :)
Расскажешь о вкусе ананасов тем кто и в правду их ел? :-)
PS: В наших краях, у ковбоев, ходит очень точная шуточка про тех, кто любит большие пистолеты :-))))
> Скоро будут взламывать сервера платёжных систем и банков и использовать их для
> майнинга.Скоро новости опенета будут состоять из "Сегодня крацкеры использовали для копайнинга <....вставить новое и модное...>". #чутьболеечемполностью
> открытого доступа к управляющей консоли Kubernetes, не защищённой паролемПочти на премию Дарвина. Ещё пара усилий…
Вангую, что через некоторое время появится новость "На сотнях тысяч бортовых компьютерах ХХХ обнаружены майнеры! По всей видимости, кошелек на который поступают монеты принадлежит Tesla. Акции Tesla стремительно растут!"
А лет через 20 все машины на дорогах будут майнить, хватило бы заряда аккумулятора.
Лет через 20 про криптовалютный пузырь уже мало кто помнить будет.
> Лет через 20 про криптовалютный пузырь уже мало кто помнить будет.ну, будут майнить чо ни будь другое...
>> Лет через 20 про криптовалютный пузырь уже мало кто помнить будет.
> ну, будут майнить чо ни будь другое...Землю головой пассажира, потому что железные болваны так и не научатся определять препятствия и опасности так, как это способен делать живой мозг.
> Землю головой пассажира, потому что железные болваны так и не научатся определять
> препятствия и опасности так, как это способен делать живой мозг.это тот самый живой мозг, который идёт на войну, прыгает в вингсьюте со скалы и укрощает чорную мамбу дома после ужина?
Все гораздо проще. Просто автомобили будут ездить 60 кмч по городу на автомате. А ручное управление совсем запретят. А некоторым вообще нельзя будет ручным пользоваться.
> Все гораздо проще. Просто автомобили будут ездить 60 кмч по городу на
> автомате. А ручное управление совсем запретят. А некоторым вообще нельзя будет
> ручным пользоваться.Еще и всю инфраструктуру под автоматику перестроят. По типу того как железные дороги сейчас автоматизируют, когда полотно перекидывается с поездом данными с какой скоростью ему ехать можно.
Интересно, если поломают сервера ГАЗ, тоже новость напишут?
> Интересно, если поломают сервера ГАЗ, тоже новость напишут?А у них есть сервера в амазоне?
>> Интересно, если поломают сервера ГАЗ, тоже новость напишут?
> А у них есть сервера в амазоне?...в аМАЗоне?
Да хоть в Новой Зеландии. Сайт есть, значит есть и сервер.
У ГАЗа, в отличие от Теслы, станки, а не сервера. А на платке ЧПУ много не намайнишь.
> У ГАЗа, в отличие от Теслы, станки, а не сервера. А на
> платке ЧПУ много не намайнишь.Скорее, там зубила и кувалды, а не станки.
> Скорее, там зубила и кувалды, а не станки.Да уж, станки только на мясокомбинате (ср.: https://aftershock.news/node/619465).
Как у вас там в далёкой галактике?
> Как у вас там в далёкой галактике?Лучше скажите, в вашей галактике ТАЗ научился делать автомобили вместо ТАЗов? И не клянчить вечно из бюджетов.
Какая часть данной новости относится непосредственно к OpenNET и opensource???
Kubernetes ведь опенсорц..
В будущем в европротоколе будут писать, что заразили майнером, поэтому машина тормозила, а не ехала на перекрестке =))
А вообще, похоже, что крякинг становится более цивилизованным. Если раньше тебя пытались оставить без штанов и унизить, то сейчас культурно майнят монетки, причём используют только 10% (предположим) мощности.
И чё атакующие успели наваять? Теперь, чем быстрее ехать на автомобиле Тесла, тем быстрее будет идти майнинг? :-)
скоро на ИБП майнить начнут.
Одно радует - теперь на незащищённых хостах майнят криптовалюту, что относительно безобидно, а раньше рассылали спам или делали чего похуже...
> Одно радует - теперь на незащищённых хостах майнят криптовалюту, что относительно безобидно,
> а раньше рассылали спам или делали чего похуже...Например, влезали в мОзги так, что теперь "это" вас радует?
Вот допустим есть у меня пару сонет серверов которые простаивают, на которых теоретически я могу майнить. Где почитать что за крипту и как мне настроить майнеры?
а зачем? придут вежливые люди, официально настроят, поднимут фонд зп, уплатят налоги.. или это убыточно/вне закона?
> а зачем? придут вежливые люди, официально настроят, поднимут фонд зп, уплатят налоги..
> или это убыточно/вне закона?Пока-что вежливые люди вежливо замораживают пенсионные накопления. А могли бы и невежливо - "кошелек или жизнь?!" например.
> как мне настроить майнеры?Вывеси ssh с лажовым паролем, тебе все и настроят. А так тебя что, в гугле забанили? Спрашивать местных ретроградов про что-то современное - затея заведомо тухлая.
> Спрашивать местных ретроградов про что-то современное - затея заведомо тухлая.Бодро агитирующие и покупающие акции и билеты МММ тоже смотрели на всех остальных, как на глупеньких ретроградов…
> Бодро агитирующие и покупающие акции и билеты МММ тоже смотрели на всех
> остальных, как на глупеньких ретроградов…Тебя никто не агитирует ничего покупать, тебе показалось. Мне никакого профита с того будешь ты использовать коины или нет. В случае МММ у агитирующих был шкурный интерес - процент с заманеных лохов, обычная пирамида. А в коинах всего этого нет, они что-то типа вкладышей от жвачки, только цифровых. Кто наиграл себе много вкладышей - считается "богатым" и может даже обменять их на другие ништяки, если толпа народа хочет редкие вкладыши которые есть у этого индивида.