Проблемы поставщиков CI

Издание The Record сообщает, что уже несколько месяцев майнеры злоупотребляют бесплатными аккаунтами платформ для облачных вычислений и используют их ресурсы для добычи криптовалют. Так, злоумышленники регистрируют новые учетные записи на выбранных платформах (бесплатный уровень) и запускают приложения для майнинга в инфраструктуре провайдера.

После того, как пробный или бесплатный период заканчивается, майнеры регистрируют новую учетную запись и повторяют все с начала.

Впервые о подобных злоупотреблениях стало известно в прошлом месяце, когда выяснилось, что майнеры создают огромную нагрузку на инфраструктуру GitHub и злоупотребляют CI/CD функцией GitHub Actions. С тех пор аналогичным атакам стали подвергаться GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut, Okteto и так далее.

Большинство таких атак затрагивают компании, предоставляющие услуги непрерывной интеграции (Continuous Integration, CI). Хакеры поняли, что могут злоупотреблять этим, добавляя собственный код и заставляя виртуальную CI-машину добывать криптовалюту, пока все это не будет отключено облачным провайдером. Так, после GitHub аналогичное проблемы наблюдались у Microsoft AzureLayerCITravisCISourcehut, CloudBees CodeShip и CircleCI.

«Наша команда оказалась буквально завалена такими проблемами, — рассказал журналистам инженер CodeShip. — И дело не только в бесплатных аккаунтах. Иногда они [майнеры] немного платят за наши учетные записи, ведь это намного дешевле, чем аренда на AWS, и добывают криптовалюту на максимальной мощности».

«Злоумышленники намеренно отправляют огромное количество заданий с десятков часто регистрируемых учетных записей и намеренно обходят нашу систему обнаружения злоупотреблений, чтобы использовать как можно больше наших ресурсов для майнинга криптовалют. Это истощает наши ресурсы и приводит к длинным очередям на build для обычных пользователей, —  сообщают в блоге сотрудники Sourcehut.

GitLab тоже описывает в своем блоге похожую ситуацию, а рассказывает о способах борьбы с майнингом, которые применит сейчас и в будущем.

«Чтобы воспрепятствовать злоупотреблениям и уменьшить их, начиная с 17 мая 2021 года GitLab будет требовать от новых бесплатных пользователей предоставить действительный номер кредитной или дебетовой карты», — сообщили в компании.

При этом GitLab не будет взимать плату с пользователей, но будет использовать данные карт для проверки личности посредством разовой транзакции в один доллар.

Из-за своих размеров GitLab может позволить себе не отключать бесплатный CI для своих пользователей. Но, к сожалению, другие более мелкие поставщики не могут позволить себе подобного. Так, Sourcehut и TravisCI уже заявили, что планируют прекратить предлагать бесплатные уровни CI из-за постоянных злоупотреблений.

Microsoft, которая столкнулась с аналогичным проблемами прошлом году (из-за Azure Pipelines), тоже решила их весьма просто. Так как большая часть проблем возникала из-за бесплатных грантов, которые раздавали разработчикам опенсорса, начиная с февраля текущего года компания отменила для опенсорсных проектов возможность получения бесплатных грантов и посоветовала использовать GitHub Actions.

Не только CI

По данным издания, подобные атаки не ограничиваются только лишь поставщиками CI. Если любой веб-сервис, предоставляет бесплатный доступ к высокопроизводительной вычислительной инфраструктуре, то майнеры, скорее всего, уже попытались им злоупотребить.

О похожих инцидентах сообщали сервис по созданию сайтов Render, кластерный хостинг Kubernetes Okteto, а крупный немецкий провайдер облачного хостинга и выделенных серверов Hetzner недавно и вовсе запретил майнинг криптовалют на своих серверах, так как пользователи использовали большие устройства хранения для майнинга криптовалюты Chia.

The Record пишет, что на многих криптовалютных форумах сейчас можно найти руководства, в которых подробно описывается, как злоупотребить бесплатным пробным периодом Oracle Cloud или дешевыми уровнями Alibaba Cloud, чтобы развернуть временный сервер для майнинга ради получения небольшой разовой прибыли.

Как индустрия будет противостоять подобным злоупотреблениям, пока неясно. Тогда как одни отказываются от предоставления бесплатных аккаунтов, другие ратуют за развертывание автоматизированных систем, которые будут обнаруживать злоупотребления в режиме реального времени и быстро на них реагировать.

7 комментариев

  1. Аватар

    0d8bc7

    21.05.2021 в 22:57

    Какую бы фигню индустрия не делала для «решения» этой проблемы, главное, что она не будет бороться с фундаментом этой проблемы — капитализмом. Фухх, напугали, а то я от страха чуть лобстером не подавился!

    • Аватар

      B4lTaZAR-QiTh1.0

      23.05.2021 в 12:56

    • Аватар

      B4lTaZAR-QiTh1.0

      23.05.2021 в 13:04

      А как ты представляешь эту борьбу с капитализмом? У них вон, насущная проблема — утекают ресурсы в трубу..
      Проблема «качественной формации» общества это задание будущих поколений, когда будет переизбыток кадров на всех уровнях, а экономические циклы станут неуправляемыми. 🤷

      • Аватар

        0d8bc7

        24.05.2021 в 09:48

        Если честно, не знаю( Но для начала нужно хотя бы осознать проблему (это знаю). А им всем, похоже, норм. И безопасникам, и не любящей майнинг на игровых видеокартах Nvidia, и государствам, и т.д. И внимание общества на эту проблему не обращается. А как же она тогда будет решена? Если нет спроса, то тех, кто разработает способ, как её решить, в лучшем случае, просто не поймут.
        Ну а если на неё будет обращено достаточно внимания, то процесс будет запущен. Ведь у обычных людей терпение тоже не железное.
        Если будет спрос, что-нибудь да придумают. К счастью, в отличие от меня, одного и не очень разбирающегося в этом вопросе человека, большое количество разбирающихся в этом вопросе людей уже имеет возможность для этого.
        > У них вон, насущная проблема — утекают ресурсы в трубу..
        Вот поэтому и написал, что с фундаментом проблемы они бороться не будут)
        > Проблема «качественной формации» общества это задание будущих поколений, когда будет переизбыток кадров на всех уровнях, а экономические циклы станут неуправляемыми. 🤷
        Мда уж. Ну, подождём ещё дофига, не привыкать) Что тут ещё сказать)

        • Аватар

          B4lTaZAR-QiTh1.0

          24.05.2021 в 20:37

          К сожалению, у людей, а особенно из СНГ, терпения просто завались! ..маленькая тележка и на соседа рядом хватит. 😅 И я к тому написал, что если человек чем-то занялся, то вряд ли станет менять как либо кардинально свою жизнь и повадки только потому, что за очередным пивом в кабаке он дошел до тех выводов, что мы тут привели. Он на это не обратит внимания, а скорее всего и не придет к этому, ибо не задумывается. У него все с точки зрения биологии хорошо, даже если вот такие «майнеры» появились на его работе, то эту проблему скроют за 2 недели и всё вернется в былое русло. Даже экономисты, хоть и обязаны каждый день думать о стабильности экономики или её росте, в глобальную картину мира не лезут. Всё это покрывается внутренним чувством уюта и стабильности(ну и какой-никакой зарплатой))). А оно как раз требует напрячься и отказаться от привычного порядка вещей и начать придумывать новый. Да, технологии это позволяют на самом деле, но и правильно было подмечено: это в первую очередь должно волновать каждого(ну, или почти). 🤷 Так, мысли в слух.. либо тот прогноз, что я дал сбудется сам через век-полтора, либо лет через 20-30 если появится ИИ. И я очень ставлю на второй вариант. 😉

  2. Аватар

    B4lTaZAR-QiTh1.0

    23.05.2021 в 13:00

    Вот го*%#&*@! 🤬 Реальные кадры, что просто ср&т обществу при этом ничего не зарабатывая.
    «гении» нашего времени просто.. 😒

Оставить мнение