Gdy rośnie poziom dojrzałości technicznej zabezpieczeń serwisów handlujących bitcoinami, złodzieje szukają innych skutecznych metod przejęcia kontroli nad serwerami. Czasem wystarczy do tego zwykła rozmowa z pracownikiem serwerowni.
Minęły już czasy, gdy zwykły błąd typu SQLi mógł w konsekwencji dać dostęp do portfeli pełnych bitcoinów. Kod źródłowy serwisów jest przeglądany przez audytorów, konfiguracja portfeli uniemożliwia wycofanie wszystkich środków naraz a właściciele ustawiają powiadomienia na wypadek niespodziewanych operacji. Czasem jednak nawet przemyślane zabezpieczenia nie wystarczają, gdy zawodzi człowiek.
To ja, właściciel serwera
Jak donosi serwis Ottawa Citizen kanadyjski serwis Canadian Bitcoins padł ofiarą prymitywnego włamania, w którym stracił ok. 150 BTC. Canadian Bitcoins, działający jako rodzaj kantoru, w którym każdy może sprzedać lub kupić BTC, jeden ze swoich serwerów hostował w firmie Granite Networks. Pierwszego października zeszłego roku na czacie Granite Networks pojawił się użytkownik, który oznajmił, że jest właścicielem Canadian Bitcoins i ma problem ze swoim serwerem i poprosił o pomoc.
Administrator Granite Networks okazał się nadzwyczaj uczynny. Najpierw na prośbę „właściciela” zrestartował serwer do trybu pojedynczego uprzywilejowanego użytkownika, a następnie podłączył do niego laptopa i udostępnił zdalnie połączenie rozmówcy. W trakcie dwugodzinnego czatu pracownik serwerowni ani razu nie poprosił swojego rozmówcy o potwierdzenie jego tożsamości – w zupełności wystarczyło mu, że przedstawił się on jako James Grants, właściciel serwisu. Włamywacz wykorzystał przysługę i wyczyścił portfel serwisu z ok. 150 BTC. Czy zadziałała tu legendarna uczynność i życzliwość Kanadyjczyków? Czy pracownik serwerowni był w zmowie z włamywaczem? Śledztwo w tej sprawie trwa.
Mamy świetne procedury bezpieczeństwa
Serwerownia, poproszona o komentarz, oznajmiła, że jej procedury bezpieczeństwa spełniają najwyższe standardy. Faktycznie, gdy prawdziwy właściciel serwisu, nie mogąc dostać się do serwera, postanowił zobaczyć go na własne oczy, najpierw musiał umówić się z dwugodzinnym wyprzedzeniem, następnie musiał użyć odpowiedniej karty, by dostać się do budynku, dać sobie zeskanować siatkówkę, przejść dwoje kolejnych drzwi i w końcu podać kod dostępu do szafy, w której trzymał serwer. Niestety włamywacz nie został zmuszony do przejścia podobnej procedury.
Szczęście w nieszczęściu, serwis nie przechowywał na serwerze wszystkich swoich środków, a jedynie ich część, zapewniającą płynność. Większość posiadanych BTC trzymana jest w zimnym portfelu, w bankowej skrytce. To pozwoliło uniknąć dużo poważniejszych strat. Serwis obiecał, że klienci nie odczują żadnej straty, ponieważ skradzione środki pokryje z własnych funduszy.
A można było tego uniknąć…
Co ciekawe, bardzo podobny atak miał miejsce kilka miesięcy temu na kasyno, umożliwiające grę za bitcoiny. Dzięki lepszym zabezpieczeniom kasyno to obroniło się jednak przed włamywaczem. W tamtym ataku włamywaczowi udało się zdalnie zamówić podłączenie urządzenia KVM, umożliwiającego zdalną, fizyczną kontrolę nad serwerem. Po uzyskaniu tego dostępu włamywacz zrestartował serwer, by uzyskać dostęp w trybie uprzywilejowanego użytkownika, jednak nie przewidział, że partycja z portfelem jest zaszyfrowana, a klucz nie jest przechowywany na serwerze. Administrator, który wykrył atak, nie odszyfrował partycji, dopóki nie upewnił się, że włamywacz nie ma już dostępu do maszyny. Jeśli zatem przechowujecie bitcoiny na swoich serwerach, to pamiętajcie, że szyfrowanie to najlepszy przyjaciel.
Komentarze
Najlepiej tradycyjnie trzymać serwer we własnej piwnicy :-)
Tradycyjnie, na maminej Neostradzie.