Появилась криптовалюта выдаваемая за участие в DDoS–атаках

Появилась криптовалюта выдаваемая за участие в DDoS–атаках


Новая криптовалюта с говорящим названием DDoSCoin была разработана недавно двумя учёными – Эриком Вустроу (Eric Wustrow) из Колорадского университета в Боулдере и Бенджамином Вандерслутом (Benjamin VanderSloot) из Университета Мичигана. Данная валюта награждает пользователей, участвующих в распределённых атаках DDoS.

Стоит отметить, что новая криптовалюта работает только с сайтами, поддерживающими протокол TLS – криптографический протокол, обеспечивающий безопасную передачу данных между узлами сети Интернет.

Монета DDoSCoin

Свою работу учёные описали в докладе под названием «DDoSCoin: Криптовалюта, использующая принцип доказательства выполнения работы с вредоносной целью» («DDoSCoin: Cryptocurrency with a Malicious Proof-of-Work»). В документе говорится, что при помощи новой валюты майнеры смогут доказывать своё участие в DDoS–атаках.

Доказательство выполнения работы (Proof-of-work) – принцип защиты систем от злоупотребления услугами (например, DDoS-атак и спама), основанный на необходимости выполнения запрашивающей стороной сложной задачи, результат которой легко и быстро проверяется другой стороной.

Согласно докладу, «DDoSCoin позволяет майнерам доказать свое участие в осуществлении DDoS-атаки на определенный сервер-мишень».

Идея заключается в следующем: после установки TLS-соединения с сервером создается подпись, позволяющая злоумышленнику доказать, что он действительно подключался к данному серверу с целью осуществления атаки DDoS.

Доказательству необходим консенсус

В сфере криптовалюты Proof-of-DDoS может заменить Proof-of-work в случае достижения консенсуса о цели атаки. Новая криптовалюта обеспечивает такой консенсус при помощи двух механизмов:

1) PAY_TO_DDOS и 2) обновление доказательства участия (proof-of-stake) до списка важных мишеней. Так, любой желающий установить цель для DDoS-атаки должен использовать транзакцию PAY_TO_DDOS и указать интересующий его домен, который майнеры смогут использовать для добычи криптовалюты.


Меры по ограничению возможного вреда

В процессе демонстрации кода Proof-of-concept и оценки Proof-of-DDoS, авторы атаковали только собственные сайты. Кроме того, они опубликовали не рабочую версию альткойна, использующую Proof-of-DDoS, а лишь её концептуальное описание.

Жертвы могут защищаться

В докладе также отмечается, что существует несколько способов защиты от майнеров DDoSCoin. Поскольку DDoSCoin не совместимы с версиями TLS ранее 1.2 (в том числе SSL), атакуемые сайты могут попросту отключить TLS 1.2, оставив только поддержку версий TLS 1.0 и TLS 1.1. Несмотря на то, что более ранние версии клиентов TLS 1.0 всё же могут быть уязвимы для определённых атак, большинство современных клиентов способны их смягчить. На структуру TLS 1.3 можно также повлиять, сделав её несовместимой с DDoSCoin.

Помимо этого, сайты могут защититься от DDoSCoin, участвуя в майнинге самостоятельно. Если у сайта-мишени будет локальный доступ к своему закрытому ключу, у него появится преимущество перед удалёнными клиентами. Такой сайт сможет добыть достаточное количество монет DDoSCoins, чтобы получить блок proof-of-stake, который удаляет себя из списка мишеней или повышает сложность майнинга блока, так что у удалённого майнера останется очень мало шансов на успех.

Наконец, сайты могут предпринять юридические действия против операций майнинга. Публикация блока proof-of-DDoS в блокчейне DDoSCoin может говорить о намерении майнера атаковать сервис с целью получения финансовой прибыли. Если сайт-мишень сможет записать их действия, то благодаря опубликованному блоку proof-of-DDoS можно будет узнать IP-адрес атакующей стороны.

Авторы идеи выражают надежду, что их модель побудит других разработчиков к инновации задач доказательства ресурсов (Proof-of-resource).

Источник

Криптовалюты давно критикуют за огромное энергопотребление и невероятные требования к вычислительным ресурсам. В прошлом году биткойн-сеть в 6 тысяч раз превзошла по энергопотреблению 500 самых мощных суперкомпьютеров. Многие пытались придумать, как использовать эту энергию с пользой, но двое исследователей-хулиганов недавно предложили нечто обратное: криптовалюту, которую можно добывать, лишь участвуя в атаках на другие компьютеры.

В работе, представленной на симпозиуме USENIX по компьютерной безопасности, Эрик Вастроу (Eric Wustrow) и Бенджамин Вандерслут (Benjamin VanderSloot) описали так называемую “DDoSCoin” — гипотетическую криптовалюту с “подтверждением вредоносной работы” (malicious proof-of-work). Под работой в данном случае понимается участие в распределенной атаке “отказ в обслуживании” (DDoS), которая позволяет временно заблокировать доступ к веб-сайту, затопив его миллионами одновременных запросов.

Для тех, кто не в курсе: Биткойн и другие криптовалюты “добывают”, выполняя очень сложные математические расчеты. Успешное решение задачи является так называемым “подтверждением работы”, при этом генерируются новые монеты, “законное” происхождение которых гарантирует криптография.

Вместо того чтобы выполнять бесполезные расчеты, в DDoSCoin предлагается использовать подписанные ответы, которые сервер возвращает при подключении к нему пользователя (авторы называют эту схему “Proof-of-DDoS”). Такая система может награждать пользователей, доказавших, что они зафлудили сайт-мишень достаточным количеством запросов.

Когда я спросил исследователей, почему они хотят спустить с цепи такого монстра, я сначала получил по почте следующий ответ: “?\_(?)_/?”.



DDoSCoin также позволяет участникам выбирать сайты для атак — разумеется, посредством консенсуса. Однако, поскольку концепция proof-of-DDoS основана на проверке зашифрованных TLS-подключений к сайту-жертве, атаковать можно только те сайты, которые поддерживают эти защищенные соединения. В настоящее время около 56% топовых веб-сайтов из рейтинга Alexa поддерживают TLS, однако ожидается, что по мере распространения TLS их доля вырастет.

DDoSCoin заставляет вспомнить об операции Payback — DDoS-атаке на веб-сайт Paypal, проведенной хактивистами Anonymous в 2010 году. Атака была предпринята в знак протеста против отказа компании обрабатывать пожертвования Wikileaks. Несмотря на то, что блокада была временной, многим участникам цифрового протеста грозила перспектива оказаться в тюрьме, прежде чем они заключили сделку о признании вины в 2013 году.

Хотя динамика DDoS-атак с 2010 года во многом изменилась, Вастроу считает, что что-то наподобие DDoSCoin может приободрить хактивистов и создать мотивацию для приобщения других пользователей к атакам.

“Однако пока что проще и эффективнее просто заплатить ‘заслуженному’ владельцу ботнета, чтобы он сделал это за вас, — сказал он. — С другой стороны, что-то вроде DDoSCoin может снизить барьер для участия в DoS-атаках и в итоге снизить расходы для пользователей-хактивистов”.

То же самое можно сказать о кибератаках, финансируемых государствами, криминальных хакерах и пранкстерах, которые, несомненно, охотно воспользовались бы чем-то вроде DDoSCoin, чтобы мотивировать травлю, вымогательство и не только.

Что исследователи думают по поводу следствий создания системы, поощряющей вредоносные действия в киберпространстве? Они настаивают, что, даже если кто-то на самом деле реализует их теоретические выкладки, моральную и этическую ответственность создателей следует рассматривать отдельно от ответственности пользователей.

“Я не юрист, так что не буду говорить о юридической ответственности, — сказал Вастроу. — В нашей работе мы только попытались показать, что это возможно, но не призываем создавать что-то подобное прямо сегодня”.

Джошуа Копстейн (Joshua Kopstein)

Источник. https://bitnovosti.com/2016/09/13/th...-ddos-attacks/

В докладе, представленном во время прошедшего симпозиума USENIX о безопасности в сфере IT, Эриком Вастроу и Бенджамином Вандерслутом были описаны так называемые “DDoSCoin”.




Любая криптовалюта давно критикуются за большие энергопотребления и невероятное требование к вычислительным ресурсам. В предыдущих годах биткойн-сеть практически в 6 тысяч раз по энергопотреблению превзошла пятьсот самых мощных суперкомпьютеров. Разработчики пытаются придумать, как применить эту энергию для получения пользы, но у двоих исследователей появилась обратная идея: о добыче криптовалюты только при участии в атаках на другие устройства.

То есть, это может быть гипотетическая криптовалюта с “подтверждением вредоносных действий” (malicious proof-of-work). Под действиями подразумевается принятие участия в распределенных атаках “отказ в обслуживании” (DDoS), которые позволят на некоторое время блокировать возможность доступа к веб-сайтам, затапливая его миллионными одновременными запросами.

То есть исходя из этого, вместо того чтобы производилось множественное число бесполезных расчетов, DDoSCoin будет принимать и обрабатывать множество подписанных ответов, которые возвращаются сервером при попытке пользователем подключиться к нему (как отмечают авторы эта схема называется “Proof-of-DDoS”). Такие системы смогут награждать пользователей, доказавших, что они зафлудили сайт-мишень достаточным количеством запросов.

Когда один из журналистов поинтересовался у разработчиков, почему они желают выпустить монстра наружу, то он получил ответ: “?\_(?)_/?”.




специально для mmgp.ru

но это же кажется незаконным, разве не возникнут масса юридических вопросов связанных с этим.