Las amenazas de seguridad en el mundo informático no tienen fin. Ahora la empresa de ciberseguridad Bad Packets LLC, ha detectado una ola de ataques a los mineros de Ethereum. Esta campaña masiva ha estado ocurriendo durante al menos una semana, desde el 3 de diciembre, según declaraciones Troy Mursch, cofundador de la compañía. Los atacantes están buscando dispositivos con el puerto 8545 expuesto en interfaces en línea. Esta practica le ha costado a los mineros descuidados más de 20 millones de dólares desde junio de este año, cuando sucedió lo mismo.
El puerto 8545 es estándar para la interfaz JSON-RPC de muchas carteras y equipos de minería Ethereum. Algunas aplicaciones de software de Ethereum pueden configurarse para exponer una llamada a procedimiento remoto (RPC), cuyo propósito es proporcionar acceso a la API programática (interfaz de programación de aplicaciones) que un servicio o aplicación de terceros aprobado puede consultar, para interactuar o recuperar datos del servicio original basado en Ethereum. La interfaz RPC también puede otorgar acceso a datos muy sensibles, como claves privadas y detalles personales.
En teoría, la interfaz solo debe estar expuesta localmente, pero algunas aplicaciones de billetera y equipos de minería lo habilitan en todas las interfaces, lo que da pie a su explotación. Además, esta interfaz JSON-RPC, cuando está habilitada, tampoco viene con una contraseña en las configuraciones predeterminadas y se basa en que los usuarios configuren una. Si esto queda expuesto en Internet, los atacantes pueden mover libremente los fondos de la dirección de la víctima a los suyos.
Normalmente los proveedores de plataformas de minería y fabricantes de aplicaciones de billetera han tomado precauciones para limitar la exposición al puerto 8545, o han eliminado por completo la interfaz JSON-RPC. El equipo de Ethereum al tanto de esta deilidad, envió un aviso de seguridad a todos los usuarios de Ethereum en el año 2015, sobre los peligros de usar equipos de minería y el software de Ethereum que expone esta interfaz API a través de Internet. En el comunicado recomiendan que los usuarios tomen precauciones agregando una contraseña en la interfaz, utilizar un firewall o limitar el acceso a la interfaz por medio de ACL o reglas MAC. Pero no muchos han prestado atención a dichas advertencia y han terminado pagando muy caro por ello.
En ZDNet se hacen eco de la noticia con la siguiente declaración:
Una búsqueda rápida en Shodan, nos muestra que casi 4.700 dispositivos, la mayoría de los cuales son equipos de minería Geth y carteras de paridad, actualmente exponen sus 8545 puerto en línea.
Y aunque el precio del Ethereum ha bajado hasta los, eso no evita que los atacantes busquen manera de lucrarse fácilmente por medio de estos ataques.
Para protegerse de estos ataques no es necesario hacer ciencia espacial, basta con leer un poco las wiki de los servicios que estemos usando, limitar el acceso a los mismos desde internet o simplemente deshabilitar estos servicios si no los usamos. Aplicar la regla de que “menos es más” nos ayudara minimizar las superficies de ataques y las posibilidades de éxito de los mismo. De esta forma una lista básica de operaciones por hacer para evitar estos ataques seria la siguiente:
- Contar con un muro de fuego que bloquee todas las conexiones entrantes, salvo aquellas que específicamente habilitemos.
- Si habilitamos el acceso a la interfaz JSON-RPC, es bueno hacerlo por otro puerto distinto al predeterminado, de esta forma hacemos más complejo el ataque.
- En caso de habilitar la interfaz JSON-RPC, asegurarla por medio de autentificación como claves, listas de control de acceso (ACL), sistemas MAC u otro sistema de autentificación de su preferencia.
Una muestra más de que pese a que la tecnología blockchain es muy segura, el software diseñado para usarla aun puede tener problemas de seguridad, especialmente si quienes lo usan, no toman las mínimas precauciones para mantener seguros sus sistemas.
Discussion about this post