Madencilere yönelik eleştirilerin başında enerjinin maliyeti geliyor Bugün kripto para birimlerinin Bulut bilişim platformlarında bir sorun daha ortaya çıktı son aylarda, o zamandan beri bazı madencilik grupları serbest seviyeleri kötüye kullanıyor Kripto para madenciliği için bulut hizmet platformlarının sayısı.
Daha önce yama yapılmamış sunuculara yapılan saldırı ve ele geçirme olaylarında adı geçen birçok sürekli entegrasyon (CI) hizmeti, artık bu şeritlerden şikayetçi. Deneme sürelerinin sınırına kadar yeni ücretsiz hesaplara geçmeden önce platformlarında ücretsiz hesaplar kaydederler.
Kripto para birimleri yalnızca dijital dünyada var olmasına rağmen perde arkasında “madencilik” adı verilen devasa bir fiziksel operasyon gerçekleşmektedir.
Çeteler belirli platformlarda hesap açarak faaliyet gösteriyor. Ücretsiz bir katmana kaydolarak ve sağlayıcının ücretsiz katman altyapısında bir kripto para birimi madenciliği uygulaması çalıştırarak. Deneme süreleri veya ücretsiz krediler limitlerine ulaştığında, gruplar yeni bir hesap açar ve birinci adıma yeniden başlar, sağlayıcının sunucularını üst kullanım limitinde tutar ve normal işlemleri yavaşlatır.
Bu şekilde kötüye kullanılan hizmetlerin listesi GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut ve Okteto gibi hizmetleri içerir. Geçtiğimiz birkaç ay boyunca geliştiriciler, diğer platformlarda gördükleri benzer kötüye kullanım hikayelerini paylaştılar ve bu şirketlerin bazıları benzer kötüye kullanım deneyimlerini paylaşmak için öne çıktı.
Çoğu Bu suiistimal, sürekli entegrasyon hizmeti sağlayan şirketlerde meydana gelir. (CI). Sürekli entegrasyon, birden fazla katılımcının kod değişikliklerinin tek bir yazılım projesine entegrasyonunu otomatikleştirme uygulamasıdır. Bu, geliştiricilerin kod değişikliklerini sıklıkla derlemelerin ve testlerin çalıştırılacağı merkezi bir depoda birleştirmesine olanak tanıyan önde gelen bir DevOps uygulamasıdır.
Yeni kodun doğruluğunu doğrulamak için otomatik araçlar kullanılır entegrasyonundan önce. Kaynak kodu sürüm kontrol sistemi CI süreci için gereklidir. Sürüm kontrol sistemi ayrıca otomatik kod kalitesi testi, sözdizimi stili inceleme araçları vb. gibi diğer kontrollerle de tamamlanır.
Uygulamada bulutta barındırılan CI, oluşturma, paketleme ve test sürecini gerçekleştiren ve ardından sonucu bir proje yöneticisine ileten yeni bir sanal makine oluşturularak elde edilir.
Kripto para madenciliği çeteleri, kendi kodlarını eklemek için bu süreci kötüye kullanabileceklerini ve bu CI sanal makinesinin, saldırıdan önce saldırgan için küçük karlar elde etmek amacıyla kripto para madenciliği işlemlerini gerçekleştirmesini sağlayabileceklerini fark etti. VM'nin sınırlı ömrü sona erer ve VM, bulut sağlayıcı tarafından kapatılır.
Kripto para madenciliği çeteleri, GitHub kullanıcılarına sanal bir altyapı özelliği sunan GitHub Actions özelliğini, siteyi madencilik yapmak ve GitHub'un kendi sunucularıyla kripto para madenciliği yapmak için bu şekilde suistimal etti.
GitHub ve GitLab tek CI sağlayıcıları değil bu istismarla karşı karşıya kalanlar. Rapora göre Microsoft Azure, LayerCI, Sourcehut, CodeShip ve diğer birçok platform bu etkinlikle mücadele etti.
GitLab gibi bir şirket, daha büyük olması nedeniyle, kripto madencilerinin kötüye kullanımını önlemenin başka yollarını bularak kullanıcılarına ücretsiz CI teklifini sürdürmeye devam edebilir. Ancak diğer küçük IC satıcıları bunu yapamaz. Sourcehut ve TravisCI, geçtiğimiz Salı günü, hizmette düşüş yaşayan ödeme yapan müşterilerini koruma kararlarında, sürekli kötüye kullanım nedeniyle ücretsiz CI katmanlarını sunmayı bırakmayı planladıklarını söyledi.
Ancak hizmet sağlayıcılar için ücretsiz kullanım tekliflerini iptal etmek, gördükleri kötüye kullanımı sınırlamanın bir yolu olsa da, bu teklifleri açık kaynak projeleri için kullanan tek başına geliştiriciler için en uygun çözüm değildir. Berrelleza'nın önerdiği alternatif bir çözüm, bu suiistimalleri tespit eden ve bunlara yanıt veren otomatik sistemlerin devreye alınması olabilir.. Ancak bu tür sistemlerin oluşturulması, bazı şirketlerin tahsis edemediği veya bu sistemlerin beklendiği gibi çalışacağını garanti edemediği kaynakları gerektirir.