Ataques de simultaneidade ácida em aplicativos apoiados por banco de dados – site bitcoin bizety

Os ataques ACIDRain são um novo tipo de ataque cibernético em aplicativos apoiados por banco de dados, no qual um criminoso cibernético explora sistematicamente as vulnerabilidades relacionadas à concorrência que levam à violação de uma restrição de integridade do aplicativo. Isso pode ser, por exemplo, vouchers que devem ser gastos apenas uma vez ou o preço de check-out que precisa incluir todos os itens em um carrinho de compras. Um invasor direciona deliberadamente solicitações simultâneas com o objetivo de acionar e explorar a vulnerabilidade por meio de APIs acessíveis por meio de programação.

As transações de banco de dados destinam-se a proteger os dados de aplicativos contra violações de integridade e corrupção, apesar do acesso simultâneo ao estado compartilhado. Em teoria, os programadores devem agrupar corretamente suas operações de aplicativos em transações, preservando a integridade do aplicativo.


Na realidade, as transações do banco de dados geralmente ocorrem sob um isolamento fraco, o que pode expor os programas a uma série de simultaneidade anomalias. Além disso, erros humanos durante a programação podem levar ao fracasso em empregar corretamente transações em primeiro lugar. Além disso, baixos volumes de transações disfarçam muitos possíveis erros relacionados à simultaneidade sob operações normais, permitindo que determinados hackers os explorem programaticamente para o que os pesquisadores de Stanford Todd Warszawski e Peter Bailis descrevem como “diversão e lucro”.

bitcoin oficial

Em seu artigo de coautoria, Chuva ácida: Ataques Relacionados à Concorrência em Aplicativos da Web Apoiados por Banco de Dados, Warszawski e Bailis descrevem a ameaça representada pelos ataques do ACIDRain na natureza por meio do estudo de 12 dos mais populares aplicativos de eCommerce auto-hospedados. Ao fazer isso, eles identificam 22 ataques críticos ao ACIDRain, que permitiram que invasores corrompessem inventários de lojas, superassem os cartões-presentes e roubassem estoques. Como Warszawski e Bailis enfatizam, “Esses ataques não são teóricos: ataques ACIDRain já ocorreram em um punhado de aplicações na natureza, incluindo um ataque que faliu em uma popular troca de Bitcoin”.

Os pesquisadores deixam claro que “supõem que um atacante só pode acessar o aplicativo da web via solicitações simultâneas contra APIs publicamente acessíveis (por exemplo, HTTP, REST). Ou seja, para executar um ataque ACIDRain, o invasor não requer acesso ao servidor de aplicativos, servidor de banco de dados, ambiente de execução ou registros. Nossas técnicas de análise propostas usam o conhecimento total do esquema de banco de dados e logs SQL, mas, uma vez identificado, um invasor pode explorar as vulnerabilidades que consideramos aqui usando apenas APIs programáticas.2 Esse modelo de ameaça se aplica à maioria dos sites da Internet atualmente ”. Como as anomalias são detectadas?

Em seu artigo, Warszawski e Bailis descrevem a detecção inicial dessas anomalias como “desafiadora”, porque muitas anomalias potenciais nunca são acionadas como resultado da concorrência limitada, o que inevitavelmente “torna a observação simples ineficaz”. De fato, eles não estão sozinhos em experimentar esses desafios. Uma maneira inteligente de contornar isso foi o desenvolvimento de uma técnica para detectar anomalias baseadas em níveis e escopos em potencial em aplicativos da Web, através da análise da atividade regular do banco de dados, conforme capturado nos registros.

A análise de simultaneidade típica começa com uma história concreta e um raciocínio sobre por que as anomalias que ocorrem no interior o fizeram; a nova abordagem da dupla Stanford começa com um traço concreto e generaliza a partir daí para detectar possíveis intercalações simultâneas das operações nos traços. Como isso leva a um conjunto infinito de traços potenciais, Warszawski e Bailis introduziram a idéia de uma história abstrata representando no espaço finito cada expansão de um determinado traço.

conta de bitcoin aberto

• o invariante de carrinho, que diz que o valor total cobrado por um pedido deve sempre refletir o valor total de mercadorias no pedido. Os autores escrevem: “Embora esta invariante possa parecer óbvia, descobrimos que em várias das aplicações foi possível adicionar um item ao carrinho concorrente com o checkout, resultando no usuário pagando pelo total original de itens no carrinho, mas colocando um pedido válido incluindo o novo item também. Isso permite que os usuários obtenham itens gratuitamente. Por exemplo, um usuário pode comprar uma caneta e adicionar um laptop ao carrinho durante o pagamento, pagando pela caneta, mas fazendo um pedido para a caneta e o laptop … Assim, as violações dessa invariável basicamente permitem que os clientes roubem itens da loja ”.

Depois de rastrear as invariantes entre as tabelas e colunas de interesse, o protótipo 2AD forneceu uma média de 37 testemunhas por aplicativo. Nos 12 aplicativos, os pesquisadores identificaram 22 tipos críticos de ataque ACIDRain: 9 vulnerabilidades de inventário, 8 vulnerabilidades de comprovantes e 5 vulnerabilidades de carrinho. Cinco eram anomalias baseadas em níveis, enquanto as restantes dezessete eram baseadas em escopo. Segundo os pesquisadores, “a prevalência de vulnerabilidades baseadas em escopo, mesmo na presença de transações, indica que tanto os programadores quanto os ORMs, ou ambos, acham difícil usar as transações adequadamente para encapsular operações críticas”. Alguns aplicativos não usavam transações, enquanto outros usavam apenas “com moderação”.

O maior motivo para se preocupar Ataques ACIDRain é que 50% sites de e-commerce (mais de 2 milhões de sites) estão em risco. Mais de 60% dos mais populares sites de comércio eletrônico da 1M são respaldados por plataformas de e-commerce auto-hospedadas. As empresas que usam esses aplicativos incluem a Lowe’s, a The Container Store, a Coca-Cola, a Ford, a Keurig, a Cruz Vermelha Britânica, a PepBoys e a The Piano Guys. Como os pesquisadores observam, a maioria dos outros sites de e-commerce estão hospedados. Sites como o Squarespace e o Shopify fornecem o e-commerce-as-a-service. Embora não exponham diretamente o acesso ao banco de dados, eles usam APIs de aplicativo de superfície na Internet pública. Assim, os pesquisadores raciocinam, “é possível que essas ofertas de e-commerce hospedadas estejam sujeitas às mesmas vulnerabilidades que muitos de seus pares auto-hospedados exibem em nosso estudo. Pode-se tentar um ataque a essas ofertas hospedadas executando solicitações simultâneas para uma loja hospedada em uma plataforma como Squarespace ou Shopify usando APIs de publicfacing. No entanto, não tentamos fazer isso e apenas relatamos aqui os aplicativos auto-hospedados ”.

valor bitcoin 2017

Como mencionado acima, o câmbio de bitcoin Flexcoin foi fechado em março de 2014 como resultado da exploração de ataques ACIDRain. Todas as moedas na carteira foram tiradas. De acordo com a Flexcoin, “Ao enviar milhares de solicitações simultâneas, o atacante conseguiu mover as moedas de uma conta de usuário para outra até que a conta de envio fosse retirada, antes que os saldos fossem atualizados”.

Os pesquisadores relataram 18 vulnerabilidades diretamente aos desenvolvedores de aplicativos através da abertura de tíquetes de suporte no repositório apropriado do GitHub ou no rastreador de problemas. Eles descobriram que havia uma mistura de respostas dos desenvolvedores envolvidos, revelando diferentes níveis de compreensão da ameaça representada pelos ataques do ACIDRain. Quatro vulnerabilidades já haviam sido observadas por outros usuários (embora para corrupção de dados não preocupações relacionadas à segurança). Na época do artigo, sete vulnerabilidades relatadas haviam sido confirmadas.

No geral, os pesquisadores escrevem: “Acreditamos que a magnitude e a prevalência dessas vulnerabilidades aos ataques do ACIDRain merecem uma reconsideração mais ampla do sucesso do conceito de transação, conforme empregado pelos programadores hoje, além da busca adicional por pesquisas nesse sentido. Com base em nossas primeiras experiências, tanto realizando ataques ACIDRain em aplicativos auto-hospedados quanto interagindo com desenvolvedores, acreditamos que há um trabalho considerável a ser feito para aumentar a conscientização sobre esses ataques – por exemplo, através de análises aprimoradas e regras adicionais de refinamento 2AD (incluindo análise do código-fonte para destacar melhor as fontes de erro) e em métodos automatizados de defesa contra esses ataques – por exemplo, sintetizando reparos como o ajuste automático do nível de isolamento e a aplicação seletiva dos mecanismos SELECT FOR UPDATE. Nossos resultados aqui – assim como os casos existentes de ataques de ACIDRain na natureza – sugerem que há um valor considerável em jogo ”. Direitos autorais reservados por Digiprove © 2018

minar bitcoins android