Mặt tối của tiền ảo: bạn sẽ được trả công hậu hĩnh khi tham gia DDoS máy tính khác

Đồng Bitcoin từ lâu đã bị chỉ trích vì đòi hỏi phải tiêu tốn một lượng điện năng và tài nguyên điện toán lớn đến mức điên rồ. Vào năm ngoái, mạng lưới Bitcoin – bao gồm tất cả các cỗ máy trên Trái Đất đang chạy phần mềm Bitcoin – sử dụng sức mạnh điện toán lớn hơn 6.000 lần sức mạnh của 500 siêu máy tính mạnh nhất thế giới cộng lại, để chạy một hệ thống phi tập trung nhằm khai thác và theo dõi đồng tiền kỹ thuật số này.

Nhưng trong khi nhiều người vẫn đang cố tạo nên những cách thiết kế khác nhau để sử dụng tất cả chu kỳ CPU đó, hai nhà nghiên cứu tinh quái gần đây đã đưa ra một ý tưởng ngược đời: Một loại tiền tệ mã hóa độc hại chỉ có thể được khai thác bằng cách tham giá vào một cuộc tấn công kỹ thuật số nhằm vào các máy tính khác.

Được trả tiền để tham gia DDoS

Trong một tài liệu được trình bày tại Hội nghị về bảo mật máy tính USENIX 2016, các nhà nghiên cứu Eric Wustrow và Benjamin VanderSloot đề xuất một đồng tiền được gọi là “DDoSCoin”, một loại tiền mã hóa về lý thuyết sẽ được sử dụng như một "proof-of-work" (bằng chứng về công việc), bắt nguồn từ việc tham gia vào các cuộc tấn công Từ chối dịch vụ (DDoS).

Với những ai còn thấy xa lạ với các thuật ngữ này, Bitcoin và các đồng tiền dựa trên công nghệ blockchain khác đang được “khai thác” dựa vào sự tồn tại của một mạng lưới các cỗ máy đầy sức mạnh, có thể làm việc cùng nhau để liên tục giải quyết các bài toán học phức tạp.

Tính toán các giải pháp cho những bài toán đó dẫn đến kết quả là một “proof-of-work” (bằng chứng về công việc), từ đó sẽ tạo ra các đồng tiền được mã hóa để đảm bảo tính hợp lệ cho những người dùng khác thông qua một hệ thống phân phối sổ cái công cộng được gọi là blockchain.

Nhưng ngược lại, thay vì các vấn đề toán học được giải quyết để được tặng Bitcoin, “proof-of-work” độc hại (theo cách gọi của các nhà nghiên cứu là “Proof-of-DDoS”) của DDoSCoin lại hoạt động bằng cách kiểm tra các phản hồi có ký hiệu mã hóa mà máy chủ website trả về khi nào người dùng kết nối với nó. Bằng cách này, hệ thống có thể tặng thưởng cho người dùng, những người chứng minh được họ tham gia vào một cuộc tấn công bằng cách xác nhận rằng họ đã làm ngập lụt trang web mục tiêu với số yêu cầu đủ mức cần thiết.

Hệ thống DDoSCoin cũng cho phép những người tham gia lựa chọn các trang web cụ thể để làm mục tiêu tấn công thông qua sự đồng thuận. Tuy nhiên, do ý tưởng của Proof-of-DDoS dựa trên việc xác thực các kết nối mã hóa TLS phiên bản 1.2 đến website nạn nhân, người tham gia sẽ chỉ có thể nhắm vào các website hỗ trợ các kết nối bảo mật này.

“Trong phiên bản hiện tại của TLS, máy chủ đăng ký một tham số được cấp cho máy khách trong quá trình bắt tay ba bước (TCP handshake), đi cùng với các giá trị cung cấp bởi máy chủ sử dụng trong việc trao đổi chìa khóa của kết nối.” Các nhà nghiên cứu đã viết trong tài liệu có tên “DDoSCoin: Cryptocurrency with a Malicious Proof-of-Work”, điều này cho phép các máy khách (client) chứng minh được rằng, nó đã tham gia vào các cuộc tấn công DDoS nhằm đến máy chủ mục tiêu.

Bằng cách này hệ thống sẽ tặng thưởng cho người dùng, những người chứng minh được họ đã tham gia vào một cuộc tấn công DDoS. Các nhà nghiên cứu còn đề xuất rằng, những người khai thác với các block DDoSCoin sau đó có thể trao đổi đồng tiền mã hóa của họ với các đồng tiền khác, bao gồm cả Bitcoin và Ethereum.

Hiện tại, khoảng 56% trong số hàng triệu website đứng đầu danh sách của Alexa đang hỗ trợ TLS. Nhưng theo các nhà nghiên cứu, con số này được kỳ vọng sẽ tăng lên khi chuẩn mã hóa này trở nên phổ biến hơn. Nếu ý tưởng này biến thành sự thật, dường như những người khai thác sẽ dễ dàng có được phần thưởng của mình.

Làm thế nào để thiết lập các mục tiêu DDoS trong DDoSCoin?

Nếu bạn muốn thiết lập một mục tiêu để DDoS, bạn có thể sử dụng giao dịch PAY_TO_DDOS, bao gồm hai đối số sau:

- Tên miền của website nạn nhân.

- Số kết nối TLS cần được thiết lập.

Các giao dịch này được ghi lại như các block của DDoSCoin bên trong một cơ sở dữ liệu (hay blockchain). Giờ người khai thác chỉ cần lựa chọn một trong các block đó, bắt đầu cuộc tấn công, và họ sẽ nhận được DDoSCoin như một phần thưởng vì thực hiện các giao dịch.

Vậy điều gì sẽ xảy ra nếu mọi người đều muốn DDoS lẫn nhau?

Nếu tình huống đó xảy ra, câu hỏi sẽ là: Đồng tiền mã hóa này sẽ quyết định như thế nào, mục tiêu nào sẽ được ưu tiên bị tấn công DDoS? Theo các nhà nghiên cứu, lúc này hàng loạt người khai thác sẽ phải tham gia và cùng nhau quyết định xem tên miền nào sẽ bị tấn công.

"Proof-of-DDoS sẽ không phải là một mục tiêu tối hậu tốt đẹp, nhưng ..."

Khi trang Motherboard hỏi các nhà nghiên cứu về lý do tại sao họ lại mở ra một điều đáng sợ như vậy cho thế giới, email trả lời của họ bắt đầu bằng các ký tự: “¯\_(ツ)_/¯”.

“Các nhà nghiên cứu khác đã khám phá những loại hình khác nhau của hệ thống proof-of-work, nhưng chúng tôi nghĩ rằng vẫn còn nhiều khả năng cho các nỗ lực tiến xa hơn.” Ông Wustrow trả lời trang Motherboard trong một email. “Proof-of-DDoS sẽ không phải là một mục tiêu tối hậu tốt đẹp, nhưng có một vài khía cạnh của ý tưởng này có thể thúc đẩy suy nghĩ những điều tương tự như vậy…. Chúng tôi hy vọng rằng Proof-of-DDoS sẽ thu hút đủ sự chú ý để mọi người suy nghĩ nhiều hơn về những ý tưởng này.”

Ông Wustrow cũng cho rằng những điều tương tự như DDoSCoin có thể khuyến khích các những kẻ tấn công vì mục đích chính trị (các hacktivist), những người có thể sử dụng hệ thống này để thu hút người khác thực hiện các cuộc tấn công thay cho họ.

“Tuy nhiên, có thể việc trả tiền cho một botnet danh tiếng làm việc này cho bạn, vẫn dễ dàng và hiệu quả hơn.” Ông cho biết. “Mặt khác, một cái gì đó tương tự như đồng DDoSCoin có thể hạ thấp rào cản để thu thập phần thưởng cho các vụ tấn công DDoS, cuối cùng sẽ kéo theo việc giảm chi phí cho các hoạt động tấn công người tiêu dùng.”

Điều tương tự cũng có thể được thực hiện bởi những kẻ tội phạm bất chính, hay những kẻ thích chơi khăm, những người không ngần ngại sử dụng những thứ như DDoSCoin để khuyến khích việc quấy rối, tống tiền và tấn công mạng vào các trang web do nhà nước bảo trợ.

Đối với những tác động của việc tạo ra một hệ thống được thiết kế để các hoạt động gây hại như vậy, các nhà nghiên cứu nhấn mạnh rằng ngay cả khi có ai đó thực sự tạo ra một hệ thống tương tự như lý thuyết của họ, trách nhiệm và đạo đức của người tạo ra nó cũng nên được xem xét một cách độc lập với người dùng của hệ thống đó.

“Tôi không phải luật sư, vì vậy tôi sẽ không thể nói về trách nhiệm pháp lý.” Ông Wustrow cho biết. “Trong tài liệu của mình, chúng tôi chỉ nỗ lực cho thấy rằng ý tưởng này là có thể, chúng tôi không thúc đẩy việc biến nó thành hiện thực trong thế giới ngày nay.”

Cho đến nay, chúng ta đã chứng kiến nhiều dịch vụ được thuê để DDoS trên các sàn giao dịch ngầm, nơi bất kỳ ai sẵn sàng hạ gục một trang web mục tiêu nào đó, có thể chỉ cần trả tiền cho các hacker để hoàn thành việc đó cho mình.

Tham khảo TheHackNews, Motherboard