Koparki Antimer z backdoorem umożliwiającym ich wyłącznie
Często słyszymy o różnych furtkach zostawionych przez programistów systemów operacyjnych czy też programów, które umożliwiają producentowi lub służbom przejęcie kontroli nad urządzeniem. Tym razem podobną „funkcją” popisał się producent koparek Antminer – Bitmain.
Często słyszymy o różnych furtkach zostawionych przez programistów systemów operacyjnych czy też programów, które umożliwiają producentowi lub służbom przejęcie kontroli nad urządzeniem. Tym razem podobną „funkcją” popisał się producent koparek Antminer – Bitmain.
O ile „pingowanie” na serwery producenta można by jeszcze wybaczyć, o tyle możliwość zdalnego i dowolnego wyłączenia koparki - już nie.
Każda koparka Bitmaina losowo co 1-11 minut wysyła dane statystyczne do producenta, podając również adres MAC karty sieciowej oraz adres IP. Bitmain może w ten sposób zbierać informacje kto, gdzie i jaką mocą dysponuje. Okazuje się jednak, że w odpowiedzi na dane statystyczne serwer Bitmain może odpowiedzieć komendą „false” co powoduje wstrzymanie działania urządzenia – przestaje ono kopać.
Koparki Bitmaina dostarczają około 70% mocy obliczeniowej sieci Bitcoin, jest to więc poważne zagrożenie.
Funkcja ta została wprowadzona do oprogramowania Bitmain w lipcu 2016 roku, jeżeli więc oprogramowanie twojej koparki jest datowane później, ta najprawdopodobniej jest narażona.
Nawet jeżeli Bitmain nie zatrzyma twojej koparki, to wywołania nie są w żaden sposób zabezpieczane i wszystkie koparki są podatna na wszelkie rodzaje ataków MITM, podmianę DNS czy przejęcie domeny – atakujący może globalnie wyłączyć wszystkie podatne Antminery.
Jak można ustrzec się przed ewentualnym zdalnym wyłączeniem? Idealnie byłoby wyciąć złośliwy kod i na nowo skompilować sterowniki, ale jest to dość trudne do realizacji dla przeciętnego użytkownika. Na szczęście jest prostszy sposób: zablokować koparce dostęp do serwera zbierającego dane. Wystarczy zalogować się przez ssh i umieścić wpis w pliku /etc/hosts:
127.0.0.1 auth.minerlink.com
W ten sposób uniemożliwimy jej połączenie się do serwera.
Twórcy strony http://www.antbleed.com/ opisującej ten problem udostępniają możliwość sprawdzenia, czy nasza koparka jest podatna. W pliku /etc/hosts koparki należy mieścić wpis:
139.59.36.141 auth.minerlink.com
Spowoduje połączenie się koparki z ich serwerem i wywołanie funkcji zdalnego wyłączenia. Jeżeli więc po wprowadzeniu tej zmiany Twoja koparka po max 11 minutach przestanie kopać – jest podatna na zagrożenie.
Co ciekawe problem został zauważony już 7 miesięcy temu, jednak dopiero teraz został nagłośniony.
[Edycja]
Bitman pod naciskiem społeczności wypuścił nową wersję firmware bez backdoora.
Newsletter Bitcoin.pl
Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Polityka Prywatności