Bitcoin Forum
November 09, 2024, 08:11:06 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Безопасность таблетки для 1080  (Read 262 times)
farsky (OP)
Hero Member
*****
Offline Offline

Activity: 2142
Merit: 757


NO WAR ! Glory to Ukraine !


View Profile
July 05, 2018, 09:25:56 PM
 #1

Привет всем.
Покопался в оригинальной теме автора таблетки OhGodAnETHlargementPill, нашел вот такое сообщение, в котором идет речь о том, что программа держит связь с 3-мя неизвестными фиксированными айпи.
(которые, впрочем, легко пробиваются через хуиз).
https://bitcointalk.org/index.php?topic=3370685.msg37007509#msg37007509

Пользователь OhGodAGirl, назвавшись женой разработчика, саркастично отвечает ниже по оригинальной ветке, фактически уклоняясь от прямых ответов.
Ее слова
Quote
Круто, у нас есть серверы.
вызывают недоумение. Нахрена локально работающей утилите серверы ?
И дальше идет попытка убедить всех, что обращение к фиксированным адресам - это "так работает Виндоуз".

Другой пользователь предлагает блокировать айпи средствами винды. Думаю, простым пользователям проще и надежнее блокировать исходящий трафик в настройках роутера.

я ни разу не системщик/сетевик/программер, поэтому прошу сообщество помочь разобраться, нормально ли эта ситуация.
Ради десятка мегахеш совсем не хочется получить себе в комп свободно работающий шпион или прогу, которая будет ддосить кого-то.

Интересно, что траст разраба покрашен в красный
https://bitcointalk.org/index.php?action=trust;u=265048
(ну, правда Лаудой, которая.. Я не влезаю и не понимаю БТТ-шные конфликты, но как понимаю она одна из их участников, проповедующая некую определенную линию пользовательский правил, граничащих с тоталитаризмом. Но не уверен, что верно понял).

Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
farsky (OP)
Hero Member
*****
Offline Offline

Activity: 2142
Merit: 757


NO WAR ! Glory to Ukraine !


View Profile
July 05, 2018, 09:28:21 PM
 #2

вдруг потрут посты там, сохраняю сюда
Devs, can you please explain the following behavior after the binary is launched?

Quote
Callback: 2.21.242.213:80
watadminsvc.exe
svchost.exe

Callback: 2.21.242.237:80
watadminsvc.exe
svchost.exe

Callback: 46.226.136.5:53

Quote
POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/
HTTP/1.1
Cache-Control: no-cache
Connection: Close
Pragma: no-cache
Content-Type: application/soap+xml
User-Agent: WSDAPI
Content-Length: 733
Host: 192.168.56.153:5357

Quote
POST /fwlink/?LinkId=151645
HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: WAT
ClientContent-Length: 2500
Host: go.microsoft.com

S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION&gt;\lGUIDNAME&gt;{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME&gt;\lOWNER&gt;HAPUBWS\l/OWNER&gt;\lOWNERID&gt;ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID&gt;\lOWNERMACHINENAME&gt;HAPUBWS-PC\l/OWNERMACHINENAME&gt;\lLASTCHANGED&gt;131567727744841250\l/LASTCHANGED&gt;\lHOMEGROUPSIZE&gt;1\l/HOMEGROUPSIZE&gt;\lADDRESS&gt;[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS&gt;\lDIGITALHASH&gt;-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH&gt;\l/HOMEGROUP_RECORD&gt;</pub:Resource></wsdp:Hosted></wsdp:Relationship></wsx:MetadataSection></wsx:Metadata></soap:Body></soap:Envelope>

Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc


I've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?

Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary.



Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following:

Windows (as Administrator):
Code:
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237

Linux (as root):
Code:
iptables -A OUTPUT -d 2.21.242.213 -j DROP
iptables -A OUTPUT -d 2.21.242.237 -j DROP

As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate.
I've read through the thread (though I admit not every bit of it) and I'm very surprised to see nobody has been concerned about whether this executable does any funky things like ever connect to the Internet at any point, read any files off disk, etc? Has anyone monitored it (long enough) for any of those things?

Looks nice, but all of a sudden someone anonymous just deciding to help everyone by providing a closed source executable should normally raise just a healthy dose of suspicion.
Multiple users have confirmed the process is accessing two IPs (2.21.242.213/2.21.242.237) over encrypted connection. Not sure why this is necessary.



Neither do I. The security concerns raised in this thread of using a seemingly random, closed-source binary which calls back to Akamai servers over an encrypted channel are legitimate. Until an explanation is provided by the developers for the usage of these two IPs, you can temporarily block your system(s) from reaching them by using the following:

Windows (as Administrator):
Code:
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.213
netsh advfirewall firewall add rule name="ETHlargement Callback" interface=any dir=out action=block remoteip=2.21.242.237

Linux (as root):
Code:
iptables -A OUTPUT -d 2.21.242.213 -j DROP
iptables -A OUTPUT -d 2.21.242.237 -j DROP

As far as I can tell, it has zero impact on the efficacy of the application nor the final hash rate.

This will be useless if in code dev is using fdqn as target address, but anyway what kind of concerns might be with traffic? Yes, probably it is good to know what dev sending back to their servers, but I personally don’t care, as I have nothing saved on rigs, execpt OS and miners.

Cool, we have servers. Who knew? If you find their location, let me know, my spare one just slipped under the couch cushions.

If you want to know what those are accessing, go ask Microsoft. We didn't create watadminsvc.exe or svchost.exe. Or use the Linux version.


Devs, can you please explain the following behavior after the binary is launched?

Quote
Callback: 2.21.242.213:80
watadminsvc.exe
svchost.exe

Callback: 2.21.242.237:80
watadminsvc.exe
svchost.exe

Callback: 46.226.136.5:53

Quote
POST /6b06490d-f9fd-424c-8b6d-83edc4369e89/
HTTP/1.1
Cache-Control: no-cache
Connection: Close
Pragma: no-cache
Content-Type: application/soap+xml
User-Agent: WSDAPI
Content-Length: 733
Host: 192.168.56.153:5357

Quote
POST /fwlink/?LinkId=151645
HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: WAT
ClientContent-Length: 2500
Host: go.microsoft.com

S\agt;\alt;GROUPPEERNAME\agt;258e2e9f3bd43a297f050566f5788283bd087a85.HomeGroupPeerGroupClassifier\alt;/GROUPPEERNAME\agt;\alt;GROUPFRIENDLYNAME\agt;HomeGroup\sPeer\sGroup\alt;/GROUPFRIENDLYNAME\agt;\alt;/PEERINVITATION\agt;\r\n\l/INVITATION&gt;\lGUIDNAME&gt;{2D866516-217B-4A95-B31D-A9174BBCBE17}\l/GUIDNAME&gt;\lOWNER&gt;HAPUBWS\l/OWNER&gt;\lOWNERID&gt;ffff80eb2050085c6f3dee2f51f0e12ca9592d9b.HomeGroupClassifier\l/OWNERID&gt;\lOWNERMACHINENAME&gt;HAPUBWS-PC\l/OWNERMACHINENAME&gt;\lLASTCHANGED&gt;131567727744841250\l/LASTCHANGED&gt;\lHOMEGROUPSIZE&gt;1\l/HOMEGROUPSIZE&gt;\lADDRESS&gt;[fe80::7007:58d0:7dee:d3e2%11]:3587\l/ADDRESS&gt;\lDIGITALHASH&gt;-----BEGIN\sCERTIFICATE-----\r\n8FkcvuaS5BO6pbSEzPjpH7hORXNBnZZo4tsk3BH8Qt/tNvqIaIXH13t6xb3bcucC\r\nmYXGg9f0t74N7HyeY3ARTfbtSvURq4HJ5RNpyIFJK0SrEfpllxNPOf40tV4hcrQe\r\nEBBn0RIsOiFKIBZb1YscyetmIDy9fbfQeemD02Hl2jRuPr6SmbHiajDkwAh38pSA\r\nk1XQjdcHQTHM438w0wNDNnuwI/JXEYirq0ZwblOnNPrfuc2JLFa7FJCIpc5jrHNN\r\n2dHa3EXhFpS/euOMwWSg+Jot+bXoGlaiSBwbMQrm8JD+UvcVpim2XG42rLztZLOF\r\nhsEzS1cGRUAJ7vqG8Q9lLA==\r\n-----END\sCERTIFICATE-----\r\n\l/DIGITALHASH&gt;\l/HOMEGROUP_RECORD&gt;</pub:Resource></wsdp:Hosted></wsdp:Relationship></wsx:MetadataSection></wsx:Metadata></soap:Body></soap:Envelope>

Sandbox analysis: https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc

You're literally looking at something that is 100% normal and functioning in Windows. You're basically asking us to explain how Windows functions on binary launch. GG.

This just in: OhGodACompany is responsible for all Windows updates.

EDIT:

Wow, look, there are actually  three addresses! Microsoft's tool is also causing a DNS request to be made to access go.microsoft.com! Wow! Totally hacked! Wow!

Wow! It's also contacting 192.168.56.153 which would create martian packets on the internet that would not get routed. Wow, totally  can't be something internal to the analysis service, we are contacting the Russian mafia with silly tricks! Wow! Much hack! So scary!

Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
klepikolse
Member
**
Offline Offline

Activity: 378
Merit: 11


View Profile
July 06, 2018, 09:46:10 AM
 #3

Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение.
Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.

THE GOVERNMENT NETWORK                                                                                                    
The 1st Decentralized Borderless Nation   ||   Be a Pioneer, Participate in Our Crowdsale!
Whitepaper          Lite Paper          Telegram          Facebook          Twitter          Medium          Github
farsky (OP)
Hero Member
*****
Offline Offline

Activity: 2142
Merit: 757


NO WAR ! Glory to Ukraine !


View Profile
July 06, 2018, 10:03:47 AM
Last edit: July 06, 2018, 10:16:37 AM by farsky
 #4

Так к северам обращается само приложение или какие-то стандартные библиотеки? Мне кажется, ответ разработчика сводится ровно к этому, что это средства виндоус обращаются, а не само приложение.
Если что, пиллсы у меня исключительно на ферме, на ней больше ничего нет.
как я понял, анализ здесь https://www.hybrid-analysis.com/sample/1261052e34b3205dc04f5dd9e4b76d2649dbcda738dc8e2665b07f56d659e716/5ae113157ca3e11cac3236dc?lang=ru
обращение происходит посредством watadminsvc.exe и svchost.exe, и это дает повод "жене разраба" сказать, что так работает винда, оно само типа захотело что-то отослаться на айпи 2.21.242.213, 2.21.242.237 и 46.226.136.5.
Ну так наверняка действия инициированы самой программой, винда не стучится самопроизвольно куда попало, плюс OhGodAGirl пишет что это их сервера.

есть интервью с разработчиком, не знаю реально это или фейк.
https://www.youtube.com/watch?v=ZLTRYp_kCYg

Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
yura04071989
Full Member
***
Offline Offline

Activity: 1036
Merit: 102


View Profile
July 08, 2018, 08:51:20 PM
 #5

Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...
miolksevut
Member
**
Offline Offline

Activity: 182
Merit: 10


View Profile
July 08, 2018, 09:08:09 PM
 #6

Честно говоря на данном этапе безразлично куда она обращается, так как мегахэши выросли и количество шар тоже выросло, мою работу они не воруют, а на ферме кроме адреса биржи ничего нет , чтобы украсть. Как шпионское ПО комп не распознаёт програмку...

Возможно, отсылают статистику. Чтобы каким-то образом майнить в свою пользу? Крайне маловероятно, могли бы себе куда больше забирать (напоминаю, что программа дает прирост в 30-50% по эфиру)
yura04071989
Full Member
***
Offline Offline

Activity: 1036
Merit: 102


View Profile
July 08, 2018, 10:27:15 PM
 #7

Я думаю в будущем они как-то монетезируют свою программу, возможно встроят процент или введут фиксированную плату за пользование программой, фактически они сделали большую пользу для сообщества майнеров и сделали это за бесплатно, программа в свободном доступе.
farsky (OP)
Hero Member
*****
Offline Offline

Activity: 2142
Merit: 757


NO WAR ! Glory to Ukraine !


View Profile
July 09, 2018, 07:25:12 PM
 #8

Самое безобидное предположение, которое я могу сделать: разрабы сотрудничают с НВидией, у которой упали продажи, и собираемая статистика служит доказательством успешности вовлечения в майн владельцев 1080/1080ти. Уверен, нетупые любители игруль ставят даже 1 карту копать что-нибудь.

Rus fascists: Goran_, mp3.Maniac, Xommy, ivan1975, lovesmayfamilis, Excimer, leonello, Snork1979, be.open, K210, Azrieli.
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!