Анонимный исследователь поднял настоящую бурю в майнинговом сообществе, распространив через Twitter информацию о бэкдоре Antbleed, обнаруженном в оборудовании компании Bitmain, которая является крупнейшим в мире поставщиком аппаратуры для майнинга криптовалюты.

Оказалось, что бэкдор появился в коде прошивки еще в июле 2016 года, и исследователи пытались сообщить Bitmain о проблеме в сентябре 2016 года, через GitHub репозиторий компании, однако эту заявку игнорировали до тех пор, пока неизвестный доброжелатель не привлек к проблеме внимание общественности и СМИ.

На официальном сайте Antbleed объясняется, что устройства Bitmain обращаются по адресу auth.minerlink.com, один раз в 1-11 минут, и данный домен принадлежит компании Bitmain. Во время каждого сеанса связи оборудование передает по указанному адресу свой серийный номер, MAC-адрес и IP-адрес. Также в прошивке после июля 2016 года присутствует интересный кусок кода:

Bitmain может использовать полученные данные для проверки по спискам продаж и отчетам о поставках, идентифицировав девайс и сопоставив его с конкретным пользователем. В свою очередь, приведенный выше кусок кода фактически означает, что если в ответ на свой запрос устройство получит ответ «false», то майнер прекратит свою работу и будет отключен.

Анонимный исследователь отмечает, что спасти устройство не смогут даже inbound-правила для файрвола, так как Antbleed работает через outbound-соединения. Сообщалось, что бэкдор был обнаружен в устройствах серии S9 и ранних версиях S9s. Также Antbleed скорее всего присутствует в моделях L3, T9 и R4, хотя это лишь предположение неизвестного исследователя.

Чтобы обнаружить работу Antbleed и проверить свой девайс, исследователь предложил изменить файл /etc/hosts, добавив строку 139.59.36.141 auth.minerlink.com. Это заставит девайс соединиться с тестовым сервером исследователя, на котором работает этот код, отличный от кода на серверах Bitmain, — если устройство уязвимо, майнинг остановится на 11 минут.

Защититься от Antbleed исследователь предлагает проверенным и простым способом: еще раз изменить /etc/hosts, переадресовав auth.minerlink.com на localhost (127.0.0.1 auth.minerlink.com).

Стоит ли говорить о том, что после публикации данной информации, негодовали все майнеры мира. По сути, бэкдор позволяет компании Bitmain отслеживать и отключать свои устройства и является аналогом довольно жесткой DRM-защиты. Хуже того, любой злоумышленник, который осуществит атаку man-in-the-middle или DNS, тоже сможет активировать бэкдор, так как никакой аутентификации механизм Antbleed не предусматривает.

В итоге компания Bitmain была вынуждена оправдываться и срочно представить официальные объяснения. Вчера, 27 апреля 2017 года, представители Bitmain опубликовали развернутый пост в блоге, в котором объяснили, что Antbleed – это не бэкдор и компания не пытается контролировать устройства пользователей. По словам компании, данная функция была добавлена в код, чтобы владельцы устройств сами могли контролировать аппаратуру удаленно, и имели возможность отключить майнер, если тот был украден или взломан. Похожей функцией сейчас оснащаются практически все современные смартфоны. Также Antbleed позволяет предоставлять правоохранительным органам больше данных, если это вдруг потребуется.

При этом разработчики признают, что Antbleed так и не довели до ума: разработка функции была начата с релизом Antminer S7 и должна была завершиться к выходу Antminer S9. Однако в силу неких «технических проблем» этот план не был реализован, и даже тестовый сервер был отключен еще в декабре 2016 года. Тот факт, что «бэкдор» по-прежнему наличествует в прошивке устройств – это баг и чей-то недосмотр. Компания сообщает, что проблема касается следующих моделей:

  • Antminer S9
  • Antminer R4
  • Antminer T9
  • Antminer L3
  • Antminer L3+

Специалисты Bitmain извинились перед пользователями и опубликовали на своем сайте новые прошивки для всех перечисленных девайсов, в которых «бэкдора» уже нет.



4 комментария

  1. readxakep

    29.04.2017 at 09:47

    Бэкдор? такое впечатление, что статьи для журнала теперь пишут журналисты с «Космо».

  2. RedFlag

    29.04.2017 at 13:46

    Если судить только по статье на бэкдор это не совсем похоже, скорее сбор статистики с пользовательскими данными

  3. Il

    30.04.2017 at 00:30

    В десятке этих бекдоров ну просто завались! XD

Оставить мнение