В широком кругу людей, далеких от современных технологий, принято считать, что ИТ- и уже тем более ИБ-специалисты — это параноики, которые под влиянием профдеформации перестраховываются и защищают себя десятками различных средств защиты, зачастую перекрывающих друг друга для большей надежности. Увы, реальность немного иная и сегодня мне хотелось бы показать то, что обычно скрыто от широкого взгляда. Речь пойдет о результатах мониторинга Интернет-активности посетителей различных крупных международных и национальных мероприятий, посвященных современных информационным технологиям и информационной безопасности. Компания Cisco часто является технологическим партнером таких конференций и выставок как RSA в Сан-Франциско, BlackHat в Сингапуре, Mobile World Congress в Барселоне, а таже является организатором собственного мероприятия, в разных странах именуемого то Cisco Live, то Cisco Connect. И везде мы используем наши технологии мониторинга которых я и хотел бы поделиться.
Начну с российской Cisco Connect, которая раз в год проходит в Москве, и на которой Cisco представляет свои новинки, рассказывая об опыте их использования для решения различных бизнес- и ИТ-задач. Посещает эту конференцию более 2-х тысяч человек, которые преимущественно относятся к категории инженеров и ведущих специалистов, отвечающих за эксплуатацию своих инфраструктур, насчитывающих от нескольких сотен до десятков и сотен тысяч узлов. Эти специалисты приходят на конференцию Cisco Connect и, наряду с получением новых знаний, продолжают находиться на связи со своим руководством или подчиненными, отвечая на рабочую почту или заходя на различные Интернет-ресурсы в поисках ответа на возникающие вопросы. Иными словами, посетители Cisco Connect активно используют мобильные устройства (планшеты, смартфоны и ноутбуки) и предоставляемый Cisco доступ в Интернет. В последний раз, весной, мы решили интегрировать нашу беспроводную инфраструктуру для выхода в Интернет с системой мониторинга DNS — Cisco Umbrella.
Мы не оценивали, сколько участников Cisco Connect использовали предоставленный беспроводной доступ в Интернет, а сколько применяли 3G/4G-доступ, предоставляемый их мобильным оператором. Но за два дня конференции с 7 утра 3 апреля до 9 вечера 4 апреля через сервис Cisco Umbrella прошло около 600 тысяч DNS-запросов. Это не так уж и много в масштабе всего сервиса, который в день обрабатывает около 120-150 миллиардов запросов. 0.08% из этого числа запросов имело ярко вредоносную направленность и было блокировано.
Интересно, что если в первый день около половины всех вредоносных запросов было зафиксировано нами в первой половине дня (с 10-ти утра до часа дня), когда были пленарные доклады, то во второй день активизация всего плохого началась после 4-х вечера, когда конференция подходила к концу и участники готовились к культурной программе — небольшому фуршету и участию в концерте. Низкая активность в остальное время говорит о том, что участники Cisco Connect активно слушали выступления специалистов Cisco и ее партнеров и не отвлекались на серфинг в Интернет и работу на мобильных устройствах.
Согласно статистике, большая часть заблокированных попыток доступа была связана с действием вредоносного кода.
Сам по себе сервис Cisco Umbrella не может сказать, является ли посещаемый ресурс зараженным или нет. Ассоциированные с доменом вредоносные семплы говорят только о том, что они каким-либо образом коммуницируют с заблокированным доменом или IP-адресом. Например, по причине распространения вредоносного кода с этого домена. Или по причине обращения вредоносного кода к данному домену в качестве kill switch (так действовал тот же WannaCry). Или по причине использования домена в качестве командного сервера. В любом случае это повод для проведения дополнительного расследования.
Что же касается командных серверов, то мы фиксировали и такие попытки.
Обращу внимание, что злоумышленники достаточно активно эксплуатируют тему, связанную с использование доменов-клонов или доменов, названия которых похожи на настоящие. Так было и во время Cisco Connect, когда мы зафиксировали попытки обращения к домену onedrive[.]su.
Наконец, несколько попыток было связано с деятельностью криптомайнеров. Это еще одна пограничная зона, которая требует дополнительного расследования, так как заранее нельзя сказать, является ли майнинг в данном случае легальным (вдруг кто-то решил подзаработать) или компьютер пользователя используется скрыто и не по назначению. Я уже писал про различные способы обнаружения майнинга с помощью решений Cisco — с тех пор мы только усилили наши возможности в этой области.
Можно отметить, что по сравнению с другими ИТ- и ИБ-мероприятиями, Cisco Connect является не таким уж и крупным (хотя в России оно одно из крупнейших). Но даже на 2000 с лишним посетителей было зафиксировано почти 250 попыток взаимодейстия с доменами, связаными с вредоносным кодом, что немало для аудитории, которая должна прекрасно понимать всю опасность данной угрозы и уметь с ней бороться. Давайте посмотрим, что нам удалось обнаружить в рамках мониторинга Wi-Fi-окружения на крупнейшей мировой выставке по кибербезопасности — RSAC, которая проходила в апреле этого года в Сан-Франциско. Ее посетило 42 тысячи человек. Cisco вместе с компанией RSA обеспечивали работу RSA SOC (уже в пятый раз), задачей которого было не допустить атак на беспроводную инфраструктуру Moscone Center (место проведения выставки и конференции). Со стороны Cisco были предоставлены следующие решения — песочница Cisco Threat Grid, система мониторинга DNS — Cisco Umbrella, а также решения по Threat Intelligence — Cisco Visibility и Talos Intelligence.
Интересно, что на гораздо более крупном чем Cisco Connect мероприятии, число вредоносных доменов было сопоставимо — 207. Зато используемых в рамках RSAC криптомайнинговых доменов мы зафиксировали с помощью Cisco Umbrella на порядок больше — 155. Наиболее активны были следующие:
Парадоксально, но на крупнейшем мировом ИБ-мероприятии, где собирается свет всей отрасли (ну или большая его часть), пользователи до сих пор продолжали использовать незашифрованные HTTP-соединения и скачивать через них файлы, среди которых были счета, авиабилеты, коммерческие предложения, материалы для инвесторов и т.п. Именно это мы отметили как основную проблему во время недельного мониторинга. Такое впечатление, что участники RSA чувствовали себя на конференции как дома и не сильно заботились о своей безопасности. А ведь вся эта информация могла быть использована для организации фишинга — большое количество ценной информации было открыто для перехвата.
С презентацией для брифинга с инвесторами вообще получилась интересная ситуация. В ней была достаточно ценная информация от одного из спонсоров RSA — пришлось срочно выискивать их на выставке, делать экскурсию в SOC, чтобы они на месте могли убедиться в опасности своих действий и выяснили, доступна ли уже СМИ и аналитикам циркулирующая в незащищенном виде информация.
Всего за 5 дней конференции RSA SOC зафиксировал около 1000 вредоносных файлов, среди которых были и такие, как вариант червя SkyNet.
Были зафиксированы и взаимодействия с командными серверами (таких попыток было 24),
а также фишинговые сайты-клоны. Например, cragslist[.]org, который имитирует известный сайт электронных объявлений Graiglist, запущенный в Сан-Франциско в 90-х годах и пользующийся большой популярностью у американцев.
Фейковый сайт их и привлекал, хотя сам был зарегистрирован в Чехии.
Что изменилось на RSAC за прошедший год? Возросла активность криптомайнеров (особенно Monero) и появилось мобильное вредоносное ПО. А вот беспечность пользователей осталась на прежнем уровне — 30-35% e-mail передавалась в незашифрованном виде с помощью устаревших протоколов POP и IMAPv2. И хотя остальные приложения преимущественно использовали шифрование, оно было слабым и построено на уязвимых криптографических протоколах, например, TLS 1.0. Кроме того, многие приложения, например, домашнее видеонаблюдение, сайты знакомств (полно же командировочных безопасников :-), умные дома, хоть и использовали аутентификацию, аутентификационные данные передавались в открытом виде! Парадоксальное явление.
Немного иная картина была на Mobile World Congress в Барселоне в первом квартале этого года, который посетило 107 тысяч человек. Для мониторинга беспроводной сети мы использовали нашу систему анализа Cisco Stealthwatch. Шифрование Web-трафика использовалось в 85% случаев (на сингапурском BlackHat это значение достигало и вовсе 96%).
Анализируя Netflow, мы за два дня (26 и 27 февраля) зафиксировали 32000 событий безопасности, из которых 350 можно было определить как серьезные инциденты:
Некоторые вредоносные программы использовали PowerShell для взаимодействия с командными серверами по HTTPS. Вообще вредоносы все чаще используют зашифрованные соединения (рост 268% за последние полгода). Мы их анализировали с помощью технологии Encrypted Traffic Analytics, встроенной в Cisco Stealthwatch, и позволяющей обнаруживать вредоносную активность в зашифрованном трафике без его расшифрования и дешифрования.
Завершу заметку о том, что происходит за кулисами ИБ- и ИТ-мероприятий, где специалисты также попадают под раздачу злоумышленников и киберпреступников, как и рядовые пользователи, рассказом о том, как мы мониторили безопасность на сингапурском Black Hat, прошедшем в марте 2018 года. В этот раз мы были частью NOC, отвечая за безопасность азиатского мероприятия по ИБ. Но как и на RSAC использовали тот же набор решений — Cisco ThreatGrid для анализа файлов, Cisco Umbrella для анализа DNS и Cisco Visibility для threat intelligence. Так как многие доклады, лабы, демонстрации и тренинги требовали доступа к вредоносным сайтам и файлам, мы их не блокировали, а только наблюдали за ними. В целом картина была схожей с тем, что описано выше, но об одном интересном случае рассказать хотелось бы.
В первый день конференции мы зафиксировали необычную активность — более 1000 DNS-запросов к домену www.blekeyrfid[.]com за 1 час. Дополнительное расследование показало, что вся активность шла с одного ПК и только во время работы конференции.
Перейдя из консоли Cisco Umbrella в средство проведения расследования Cisco Umbrella Investigate, мы стали изучать, что это за домен. IP, на котором располагался домен, оказался в черном списке Umbrella. Доступ к таким сайтам был допустим для участников конференции Black Hat Asia. Однако мы заблокировали доступ к нему со стороны конференционных активов.
Расследование с помощью ThreatGrid показало, что этот домен рекламировал решения для спуфинга систем контроля доступа. Дальше информация была передана организаторам, которые уже сами проводили соответствующее расследо��ание, была ли данная активность законной или нет.
Но самым распространенным событием безопасности на Black Hat Asia стали криптомайнеры. Впервые мы зафиксировали такую активность еще на европейском Black Hat 2017-го года. В Сингапуре же это стало просто каким-то бичом. Наибольшая часть трафика с конференции вела на домен authedmine[.]com, который ассоциирован с coinhive[.]com.
Анализ этого домена в Cisco Umbrella Investigate показал, что с ним связано много вредоносных семплов, которые мы анализировали в Cisco ThreatGrid.
Благодаря недавно выпущенному новому решению Cisco Visibility мы смогли лучше понять архитектуру злоумышленников и взаимосвязь между IP-адресами, артефактами, URL и вредоносными семплами.
Обычно криптомайнинг реализуется двумя способами:
Владельцы authedmine[.]com заявляют (как показывает анализ в ThreatGrid), что они используют первый вариант.
Однако на самом сайте для майнинга используется скрипт .js (метод, используемый обычно во втором варианте), который загружается в Temporary Internet Files без согласия пользователя.
Используя интегрированные и глобальные данные threat intelligence, мы видим, что этот скрипт используется как артефакт в других других семплах, которые мы анализировали с помощью Cisco ThreatGrid.
Были зафиксированы и другие майнинговые домены:
Какие бы выводы мне бы хотелось сделать в заключение этого обзора наших усилий по мониторингу различных ИТ- и ИБ-мероприятий в 2018-м году:
P.S.: Совсем скоро, в августе, мы будем вновь мониторить безопасность Black Hat в Лас-Вегасе и обязательно поделимся с читателями Хабра результатами нашей работы.
Начну с российской Cisco Connect, которая раз в год проходит в Москве, и на которой Cisco представляет свои новинки, рассказывая об опыте их использования для решения различных бизнес- и ИТ-задач. Посещает эту конференцию более 2-х тысяч человек, которые преимущественно относятся к категории инженеров и ведущих специалистов, отвечающих за эксплуатацию своих инфраструктур, насчитывающих от нескольких сотен до десятков и сотен тысяч узлов. Эти специалисты приходят на конференцию Cisco Connect и, наряду с получением новых знаний, продолжают находиться на связи со своим руководством или подчиненными, отвечая на рабочую почту или заходя на различные Интернет-ресурсы в поисках ответа на возникающие вопросы. Иными словами, посетители Cisco Connect активно используют мобильные устройства (планшеты, смартфоны и ноутбуки) и предоставляемый Cisco доступ в Интернет. В последний раз, весной, мы решили интегрировать нашу беспроводную инфраструктуру для выхода в Интернет с системой мониторинга DNS — Cisco Umbrella.
Мы не оценивали, сколько участников Cisco Connect использовали предоставленный беспроводной доступ в Интернет, а сколько применяли 3G/4G-доступ, предоставляемый их мобильным оператором. Но за два дня конференции с 7 утра 3 апреля до 9 вечера 4 апреля через сервис Cisco Umbrella прошло около 600 тысяч DNS-запросов. Это не так уж и много в масштабе всего сервиса, который в день обрабатывает около 120-150 миллиардов запросов. 0.08% из этого числа запросов имело ярко вредоносную направленность и было блокировано.
Интересно, что если в первый день около половины всех вредоносных запросов было зафиксировано нами в первой половине дня (с 10-ти утра до часа дня), когда были пленарные доклады, то во второй день активизация всего плохого началась после 4-х вечера, когда конференция подходила к концу и участники готовились к культурной программе — небольшому фуршету и участию в концерте. Низкая активность в остальное время говорит о том, что участники Cisco Connect активно слушали выступления специалистов Cisco и ее партнеров и не отвлекались на серфинг в Интернет и работу на мобильных устройствах.
Согласно статистике, большая часть заблокированных попыток доступа была связана с действием вредоносного кода.
Сам по себе сервис Cisco Umbrella не может сказать, является ли посещаемый ресурс зараженным или нет. Ассоциированные с доменом вредоносные семплы говорят только о том, что они каким-либо образом коммуницируют с заблокированным доменом или IP-адресом. Например, по причине распространения вредоносного кода с этого домена. Или по причине обращения вредоносного кода к данному домену в качестве kill switch (так действовал тот же WannaCry). Или по причине использования домена в качестве командного сервера. В любом случае это повод для проведения дополнительного расследования.
Что же касается командных серверов, то мы фиксировали и такие попытки.
Обращу внимание, что злоумышленники достаточно активно эксплуатируют тему, связанную с использование доменов-клонов или доменов, названия которых похожи на настоящие. Так было и во время Cisco Connect, когда мы зафиксировали попытки обращения к домену onedrive[.]su.
Наконец, несколько попыток было связано с деятельностью криптомайнеров. Это еще одна пограничная зона, которая требует дополнительного расследования, так как заранее нельзя сказать, является ли майнинг в данном случае легальным (вдруг кто-то решил подзаработать) или компьютер пользователя используется скрыто и не по назначению. Я уже писал про различные способы обнаружения майнинга с помощью решений Cisco — с тех пор мы только усилили наши возможности в этой области.
Можно отметить, что по сравнению с другими ИТ- и ИБ-мероприятиями, Cisco Connect является не таким уж и крупным (хотя в России оно одно из крупнейших). Но даже на 2000 с лишним посетителей было зафиксировано почти 250 попыток взаимодейстия с доменами, связаными с вредоносным кодом, что немало для аудитории, которая должна прекрасно понимать всю опасность данной угрозы и уметь с ней бороться. Давайте посмотрим, что нам удалось обнаружить в рамках мониторинга Wi-Fi-окружения на крупнейшей мировой выставке по кибербезопасности — RSAC, которая проходила в апреле этого года в Сан-Франциско. Ее посетило 42 тысячи человек. Cisco вместе с компанией RSA обеспечивали работу RSA SOC (уже в пятый раз), задачей которого было не допустить атак на беспроводную инфраструктуру Moscone Center (место проведения выставки и конференции). Со стороны Cisco были предоставлены следующие решения — песочница Cisco Threat Grid, система мониторинга DNS — Cisco Umbrella, а также решения по Threat Intelligence — Cisco Visibility и Talos Intelligence.
Интересно, что на гораздо более крупном чем Cisco Connect мероприятии, число вредоносных доменов было сопоставимо — 207. Зато используемых в рамках RSAC криптомайнинговых доменов мы зафиксировали с помощью Cisco Umbrella на порядок больше — 155. Наиболее активны были следующие:
- authedmine[.]com
- coinhive[.]com
- minergate[.]com
- www[.]cryptokitties[.]co
- api.bitfinex[.]com
- poloniex[.]com (этот был зафиксирован и на Cisco Connect)
- www[.]coinbase[.]com
- api.coinone.co[.]kr
- binance[.]com
- gemius[.]pl
Парадоксально, но на крупнейшем мировом ИБ-мероприятии, где собирается свет всей отрасли (ну или большая его часть), пользователи до сих пор продолжали использовать незашифрованные HTTP-соединения и скачивать через них файлы, среди которых были счета, авиабилеты, коммерческие предложения, материалы для инвесторов и т.п. Именно это мы отметили как основную проблему во время недельного мониторинга. Такое впечатление, что участники RSA чувствовали себя на конференции как дома и не сильно заботились о своей безопасности. А ведь вся эта информация могла быть использована для организации фишинга — большое количество ценной информации было открыто для перехвата.
С презентацией для брифинга с инвесторами вообще получилась интересная ситуация. В ней была достаточно ценная информация от одного из спонсоров RSA — пришлось срочно выискивать их на выставке, делать экскурсию в SOC, чтобы они на месте могли убедиться в опасности своих действий и выяснили, доступна ли уже СМИ и аналитикам циркулирующая в незащищенном виде информация.
Всего за 5 дней конференции RSA SOC зафиксировал около 1000 вредоносных файлов, среди которых были и такие, как вариант червя SkyNet.
Были зафиксированы и взаимодействия с командными серверами (таких попыток было 24),
а также фишинговые сайты-клоны. Например, cragslist[.]org, который имитирует известный сайт электронных объявлений Graiglist, запущенный в Сан-Франциско в 90-х годах и пользующийся большой популярностью у американцев.
Фейковый сайт их и привлекал, хотя сам был зарегистрирован в Чехии.
Что изменилось на RSAC за прошедший год? Возросла активность криптомайнеров (особенно Monero) и появилось мобильное вредоносное ПО. А вот беспечность пользователей осталась на прежнем уровне — 30-35% e-mail передавалась в незашифрованном виде с помощью устаревших протоколов POP и IMAPv2. И хотя остальные приложения преимущественно использовали шифрование, оно было слабым и построено на уязвимых криптографических протоколах, например, TLS 1.0. Кроме того, многие приложения, например, домашнее видеонаблюдение, сайты знакомств (полно же командировочных безопасников :-), умные дома, хоть и использовали аутентификацию, аутентификационные данные передавались в открытом виде! Парадоксальное явление.
Немного иная картина была на Mobile World Congress в Барселоне в первом квартале этого года, который посетило 107 тысяч человек. Для мониторинга беспроводной сети мы использовали нашу систему анализа Cisco Stealthwatch. Шифрование Web-трафика использовалось в 85% случаев (на сингапурском BlackHat это значение достигало и вовсе 96%).
Анализируя Netflow, мы за два дня (26 и 27 февраля) зафиксировали 32000 событий безопасности, из которых 350 можно было определить как серьезные инциденты:
- активность криптомайнеров
- троянцы для Android (Android.spy, Boqx, инфицированное firmware)
- вредоносный код SALITY
- вредоносное ПО, активно сканирующиее сервисы SMB
- OSX Malware Genieo
- черви типа Conficker
- RevMob
- AdInjectors
- некоторое количество мобильных устройств на базе Android было инфицировано
- неразрешенное протоколы такие как Tor и BitTorrent.
Некоторые вредоносные программы использовали PowerShell для взаимодействия с командными серверами по HTTPS. Вообще вредоносы все чаще используют зашифрованные соединения (рост 268% за последние полгода). Мы их анализировали с помощью технологии Encrypted Traffic Analytics, встроенной в Cisco Stealthwatch, и позволяющей обнаруживать вредоносную активность в зашифрованном трафике без его расшифрования и дешифрования.
Завершу заметку о том, что происходит за кулисами ИБ- и ИТ-мероприятий, где специалисты также попадают под раздачу злоумышленников и киберпреступников, как и рядовые пользователи, рассказом о том, как мы мониторили безопасность на сингапурском Black Hat, прошедшем в марте 2018 года. В этот раз мы были частью NOC, отвечая за безопасность азиатского мероприятия по ИБ. Но как и на RSAC использовали тот же набор решений — Cisco ThreatGrid для анализа файлов, Cisco Umbrella для анализа DNS и Cisco Visibility для threat intelligence. Так как многие доклады, лабы, демонстрации и тренинги требовали доступа к вредоносным сайтам и файлам, мы их не блокировали, а только наблюдали за ними. В целом картина была схожей с тем, что описано выше, но об одном интересном случае рассказать хотелось бы.
В первый день конференции мы зафиксировали необычную активность — более 1000 DNS-запросов к домену www.blekeyrfid[.]com за 1 час. Дополнительное расследование показало, что вся активность шла с одного ПК и только во время работы конференции.
Перейдя из консоли Cisco Umbrella в средство проведения расследования Cisco Umbrella Investigate, мы стали изучать, что это за домен. IP, на котором располагался домен, оказался в черном списке Umbrella. Доступ к таким сайтам был допустим для участников конференции Black Hat Asia. Однако мы заблокировали доступ к нему со стороны конференционных активов.
Расследование с помощью ThreatGrid показало, что этот домен рекламировал решения для спуфинга систем контроля доступа. Дальше информация была передана организаторам, которые уже сами проводили соответствующее расследо��ание, была ли данная активность законной или нет.
Но самым распространенным событием безопасности на Black Hat Asia стали криптомайнеры. Впервые мы зафиксировали такую активность еще на европейском Black Hat 2017-го года. В Сингапуре же это стало просто каким-то бичом. Наибольшая часть трафика с конференции вела на домен authedmine[.]com, который ассоциирован с coinhive[.]com.
Анализ этого домена в Cisco Umbrella Investigate показал, что с ним связано много вредоносных семплов, которые мы анализировали в Cisco ThreatGrid.
Благодаря недавно выпущенному новому решению Cisco Visibility мы смогли лучше понять архитектуру злоумышленников и взаимосвязь между IP-адресами, артефактами, URL и вредоносными семплами.
Обычно криптомайнинг реализуется двумя способами:
- явный — пользователь явно соглашается участвовать в майнинге и предпринимает усилия, чтобы его антивирус и иное защитное ПО не блокировало криптомайнера
- неявный — пользователь не знает, что открытый им браузер майнит криптовалюту, использую ресурсы компьютера.
Владельцы authedmine[.]com заявляют (как показывает анализ в ThreatGrid), что они используют первый вариант.
Однако на самом сайте для майнинга используется скрипт .js (метод, используемый обычно во втором варианте), который загружается в Temporary Internet Files без согласия пользователя.
Используя интегрированные и глобальные данные threat intelligence, мы видим, что этот скрипт используется как артефакт в других других семплах, которые мы анализировали с помощью Cisco ThreatGrid.
Были зафиксированы и другие майнинговые домены:
- www[.]cryptokitties[.]co
- bitpay[.]com
- www[.]genesis-mining[.]com
- ws010[.]coinhive[.]com
- www[.]cryptomining[.]farm
- www[.]ledgerwallet[.[com
- ethereum[.]miningpoolhub[.]com
- miningpoolhub[.]com
- push[.]coinone.co[.]kr
- ws[.]coinone.co[.]kr
- getmonero[.]org
- widgets[.]bitcoin[.]com
- index[.]bitcoin[.]com
- api[.]nanopool[.]org
- wss[.]bithumb[.]com
- api[.]bitfinex[.]com
Какие бы выводы мне бы хотелось сделать в заключение этого обзора наших усилий по мониторингу различных ИТ- и ИБ-мероприятий в 2018-м году:
- Даже специалисты по ИБ или ИТ, которым по должности положено уметь себя защищать, не всегда делают это правильно.
- На конференциях по ИБ и ИТ многие специалисты беспечны и могут не только подключиться к фейковой точке доступа, но и использовать незащищенные протоколы для аутентификации на различных ресурсах или для работы с электронной почтой, открывая для злоумышленников интересные и опасные возможности.
- Мобильные устройства представляют из себя интересную мишень для злоумышленников. Ситуацию усугубляет тот факт, что такие устройства обычно плохо защищены и не находятся под сенью периметровых МСЭ, IDS, DLP, систем контроля доступа и защиты e-mail. Заражение таких устройств и приход с ними на работу может повлечь за собой гораздо более печальные последствия, чем несогласованный с пользователем майнинг.
P.S.: Совсем скоро, в августе, мы будем вновь мониторить безопасность Black Hat в Лас-Вегасе и обязательно поделимся с читателями Хабра результатами нашей работы.
