В широком кругу людей, далеких от современных технологий, принято считать, что ИТ- и уже тем более ИБ-специалисты — это параноики, которые под влиянием профдеформации перестраховываются и защищают себя десятками различных средств защиты, зачастую перекрывающих друг друга для большей надежности. Увы, реальность немного иная и сегодня мне хотелось бы показать то, что обычно скрыто от широкого взгляда. Речь пойдет о результатах мониторинга Интернет-активности посетителей различных крупных международных и национальных мероприятий, посвященных современных информационным технологиям и информационной безопасности. Компания Cisco часто является технологическим партнером таких конференций и выставок как RSA в Сан-Франциско, BlackHat в Сингапуре, Mobile World Congress в Барселоне, а таже является организатором собственного мероприятия, в разных странах именуемого то Cisco Live, то Cisco Connect. И везде мы используем наши технологии мониторинга которых я и хотел бы поделиться.
Начну с российской Cisco Connect, которая раз в год проходит в Москве, и на которой Cisco представляет свои новинки, рассказывая об опыте их использования для решения различных бизнес- и ИТ-задач. Посещает эту конференцию более 2-х тысяч человек, которые преимущественно относятся к категории инженеров и ведущих специалистов, отвечающих за эксплуатацию своих инфраструктур, насчитывающих от нескольких сотен до десятков и сотен тысяч узлов. Эти специалисты приходят на конференцию Cisco Connect и, наряду с получением новых знаний, продолжают находиться на связи со своим руководством или подчиненными, отвечая на рабочую почту или заходя на различные Интернет-ресурсы в поисках ответа на возникающие вопросы. Иными словами, посетители Cisco Connect активно используют мобильные устройства (планшеты, смартфоны и ноутбуки) и предоставляемый Cisco доступ в Интернет. В последний раз, весной, мы решили интегрировать нашу беспроводную инфраструктуру для выхода в Интернет с системой мониторинга DNS — Cisco Umbrella.
Мы не оценивали, сколько участников Cisco Connect использовали предоставленный беспроводной доступ в Интернет, а сколько применяли 3G/4G-доступ, предоставляемый их мобильным оператором. Но за два дня конференции с 7 утра 3 апреля до 9 вечера 4 апреля через сервис Cisco Umbrella прошло около 600 тысяч DNS-запросов. Это не так уж и много в масштабе всего сервиса, который в день обрабатывает около 120-150 миллиардов запросов. 0.08% из этого числа запросов имело ярко вредоносную направленность и было блокировано.
Интересно, что если в первый день около половины всех вредоносных запросов было зафиксировано нами в первой половине дня (с 10-ти утра до часа дня), когда были пленарные доклады, то во второй день активизация всего плохого началась после 4-х вечера, когда конференция подходила к концу и участники готовились к культурной программе — небольшому фуршету и участию в концерте. Низкая активность в остальное время говорит о том, что участники Cisco Connect активно слушали выступления специалистов Cisco и ее партнеров и не отвлекались на серфинг в Интернет и работу на мобильных устройствах.
Согласно статистике, большая часть заблокированных попыток доступа была связана с действием вредоносного кода.
Сам по себе сервис Cisco Umbrella не может сказать, является ли посещаемый ресурс зараженным или нет. Ассоциированные с доменом вредоносные семплы говорят только о том, что они каким-либо образом коммуницируют с заблокированным доменом или IP-адресом. Например, по причине распространения вредоносного кода с этого домена. Или по причине обращения вредоносного кода к данному домену в качестве kill switch (так действовал тот же WannaCry). Или по причине использования домена в качестве командного сервера. В любом случае это повод для проведения дополнительного расследования.
Что же касается командных серверов, то мы фиксировали и такие попытки.
Обращу внимание, что злоумышленники достаточно активно эксплуатируют тему, связанную с использование доменов-клонов или доменов, названия которых похожи на настоящие. Так было и во время Cisco Connect, когда мы зафиксировали попытки обращения к домену onedrive[.]su.
Наконец, несколько попыток было связано с деятельностью криптомайнеров. Это еще одна пограничная зона, которая требует дополнительного расследования, так как заранее нельзя сказать, является ли майнинг в данном случае легальным (вдруг кто-то решил подзаработать) или компьютер пользователя используется скрыто и не по назначению. Я уже писал про различные способы обнаружения майнинга с помощью решений Cisco — с тех пор мы только усилили наши возможности в этой области.
Можно отметить, что по сравнению с другими ИТ- и ИБ-мероприятиями, Cisco Connect является не таким уж и крупным (хотя в России оно одно из крупнейших). Но даже на 2000 с лишним посетителей было зафиксировано почти 250 попыток взаимодейстия с доменами, связаными с вредоносным кодом, что немало для аудитории, которая должна прекрасно понимать всю опасность данной угрозы и уметь с ней бороться. Давайте посмотрим, что нам удалось обнаружить в рамках мониторинга Wi-Fi-окружения на крупнейшей мировой выставке по кибербезопасности — RSAC, которая проходила в апреле этого года в Сан-Франциско. Ее посетило 42 тысячи человек. Cisco вместе с компанией RSA обеспечивали работу RSA SOC (уже в пятый раз), задачей которого было не допустить атак на беспроводную инфраструктуру Moscone Center (место проведения выставки и конференции). Со стороны Cisco были предоставлены следующие решения — песочница Cisco Threat Grid, система мониторинга DNS — Cisco Umbrella, а также решения по Threat Intelligence — Cisco Visibility и Talos Intelligence.
Интересно, что на гораздо более крупном чем Cisco Connect мероприятии, число вредоносных доменов было сопоставимо — 207. Зато используемых в рамках RSAC криптомайнинговых доменов мы зафиксировали с помощью Cisco Umbrella на порядок больше — 155. Наиболее активны были следующие:
Парадоксально, но на крупнейшем мировом ИБ-мероприятии, где собирается свет всей отрасли (ну или большая его часть), пользователи до сих пор продолжали использовать незашифрованные HTTP-соединения и скачивать через них файлы, среди которых были счета, авиабилеты, коммерческие предложения, материалы для инвесторов и т.п. Именно это мы отметили как основную проблему во время недельного мониторинга. Такое впечатление, что участники RSA чувствовали себя на конференции как дома и не сильно заботились о своей безопасности. А ведь вся эта информация могла быть использована для организации фишинга — большое количество ценной информации было открыто для перехвата.
С презентацией для брифинга с инвесторами вообще получилась интересная ситуация. В ней была достаточно ценная информация от одного из спонсоров RSA — пришлось срочно выискивать их на выставке, делать экскурсию в SOC, чтобы они на месте могли убедиться в опасности своих действий и выяснили, доступна ли уже СМИ и аналитикам циркулирующая в незащищенном виде информация.
Всего за 5 дней конференции RSA SOC зафиксировал около 1000 вредоносных файлов, среди которых были и такие, как вариант червя SkyNet.
Были зафиксированы и взаимодействия с командными серверами (таких попыток было 24),
а также фишинговые сайты-клоны. Например, cragslist[.]org, который имитирует известный сайт электронных объявлений Graiglist, запущенный в Сан-Франциско в 90-х годах и пользующийся большой популярностью у американцев.
Фейковый сайт их и привлекал, хотя сам был зарегистрирован в Чехии.
Что изменилось на RSAC за прошедший год? Возросла активность криптомайнеров (особенно Monero) и появилось мобильное вредоносное ПО. А вот беспечность пользователей осталась на прежнем уровне — 30-35% e-mail передавалась в незашифрованном виде с помощью устаревших протоколов POP и IMAPv2. И хотя остальные приложения преимущественно использовали шифрование, оно было слабым и построено на уязвимых криптографических протоколах, например, TLS 1.0. Кроме того, многие приложения, например, домашнее видеонаблюдение, сайты знакомств (полно же командировочных безопасников :-), умные дома, хоть и использовали аутентификацию, аутентификационные данные передавались в открытом виде! Парадоксальное явление.
Немного иная картина была на Mobile World Congress в Барселоне в первом квартале этого года, который посетило 107 тысяч человек. Для мониторинга беспроводной сети мы использовали нашу систему анализа Cisco Stealthwatch. Шифрование Web-трафика использовалось в 85% случаев (на сингапурском BlackHat это значение достигало и вовсе 96%).
Анализируя Netflow, мы за два дня (26 и 27 февраля) зафиксировали 32000 событий безопасности, из которых 350 можно было определить как серьезные инциденты:
Некоторые вредоносные программы использовали PowerShell для взаимодействия с командными серверами по HTTPS. Вообще вредоносы все чаще используют зашифрованные соединения (рост 268% за последние полгода). Мы их анализировали с помощью технологии Encrypted Traffic Analytics, встроенной в Cisco Stealthwatch, и позволяющей обнаруживать вредоносную активность в зашифрованном трафике без его расшифрования и дешифрования.
Завершу заметку о том, что происходит за кулисами ИБ- и ИТ-мероприятий, где специалисты также попадают под раздачу злоумышленников и киберпреступников, как и рядовые пользователи, рассказом о том, как мы мониторили безопасность на сингапурском Black Hat, прошедшем в марте 2018 года. В этот раз мы были частью NOC, отвечая за безопасность азиатского мероприятия по ИБ. Но как и на RSAC использовали тот же набор решений — Cisco ThreatGrid для анализа файлов, Cisco Umbrella для анализа DNS и Cisco Visibility для threat intelligence. Так как многие доклады, лабы, демонстрации и тренинги требовали доступа к вредоносным сайтам и файлам, мы их не блокировали, а только наблюдали за ними. В целом картина была схожей с тем, что описано выше, но об одном интересном случае рассказать хотелось бы.
В первый день конференции мы зафиксировали необычную активность — более 1000 DNS-запросов к домену www.blekeyrfid[.]com за 1 час. Дополнительное расследование показало, что вся активность шла с одного ПК и только во время работы конференции.
Перейдя из консоли Cisco Umbrella в средство проведения расследования Cisco Umbrella Investigate, мы стали изучать, что это за домен. IP, на котором располагался домен, оказался в черном списке Umbrella. Доступ к таким сайтам был допустим для участников конференции Black Hat Asia. Однако мы заблокировали доступ к нему со стороны конференционных активов.
Расследование с помощью ThreatGrid показало, что этот домен рекламировал решения для спуфинга систем контроля доступа. Дальше информация была передана организаторам, которые уже сами проводили соответствующее расследование, была ли данная активность законной или нет.
Но самым распространенным событием безопасности на Black Hat Asia стали криптомайнеры. Впервые мы зафиксировали такую активность еще на европейском Black Hat 2017-го года. В Сингапуре же это стало просто каким-то бичом. Наибольшая часть трафика с конференции вела на домен authedmine[.]com, который ассоциирован с coinhive[.]com.
Анализ этого домена в Cisco Umbrella Investigate показал, что с ним связано много вредоносных семплов, которые мы анализировали в Cisco ThreatGrid.
Благодаря недавно выпущенному новому решению Cisco Visibility мы смогли лучше понять архитектуру злоумышленников и взаимосвязь между IP-адресами, артефактами, URL и вредоносными семплами.
Обычно криптомайнинг реализуется двумя способами:
Владельцы authedmine[.]com заявляют (как показывает анализ в ThreatGrid), что они используют первый вариант.
Однако на самом сайте для майнинга используется скрипт .js (метод, используемый обычно во втором варианте), который загружается в Temporary Internet Files без согласия пользователя.
Используя интегрированные и глобальные данные threat intelligence, мы видим, что этот скрипт используется как артефакт в других других семплах, которые мы анализировали с помощью Cisco ThreatGrid.
Были зафиксированы и другие майнинговые домены:
Какие бы выводы мне бы хотелось сделать в заключение этого обзора наших усилий по мониторингу различных ИТ- и ИБ-мероприятий в 2018-м году:
P.S.: Совсем скоро, в августе, мы будем вновь мониторить безопасность Black Hat в Лас-Вегасе и обязательно поделимся с читателями Хабра результатами нашей работы.
Начну с российской Cisco Connect, которая раз в год проходит в Москве, и на которой Cisco представляет свои новинки, рассказывая об опыте их использования для решения различных бизнес- и ИТ-задач. Посещает эту конференцию более 2-х тысяч человек, которые преимущественно относятся к категории инженеров и ведущих специалистов, отвечающих за эксплуатацию своих инфраструктур, насчитывающих от нескольких сотен до десятков и сотен тысяч узлов. Эти специалисты приходят на конференцию Cisco Connect и, наряду с получением новых знаний, продолжают находиться на связи со своим руководством или подчиненными, отвечая на рабочую почту или заходя на различные Интернет-ресурсы в поисках ответа на возникающие вопросы. Иными словами, посетители Cisco Connect активно используют мобильные устройства (планшеты, смартфоны и ноутбуки) и предоставляемый Cisco доступ в Интернет. В последний раз, весной, мы решили интегрировать нашу беспроводную инфраструктуру для выхода в Интернет с системой мониторинга DNS — Cisco Umbrella.
Мы не оценивали, сколько участников Cisco Connect использовали предоставленный беспроводной доступ в Интернет, а сколько применяли 3G/4G-доступ, предоставляемый их мобильным оператором. Но за два дня конференции с 7 утра 3 апреля до 9 вечера 4 апреля через сервис Cisco Umbrella прошло около 600 тысяч DNS-запросов. Это не так уж и много в масштабе всего сервиса, который в день обрабатывает около 120-150 миллиардов запросов. 0.08% из этого числа запросов имело ярко вредоносную направленность и было блокировано.
Интересно, что если в первый день около половины всех вредоносных запросов было зафиксировано нами в первой половине дня (с 10-ти утра до часа дня), когда были пленарные доклады, то во второй день активизация всего плохого началась после 4-х вечера, когда конференция подходила к концу и участники готовились к культурной программе — небольшому фуршету и участию в концерте. Низкая активность в остальное время говорит о том, что участники Cisco Connect активно слушали выступления специалистов Cisco и ее партнеров и не отвлекались на серфинг в Интернет и работу на мобильных устройствах.
Согласно статистике, большая часть заблокированных попыток доступа была связана с действием вредоносного кода.
Сам по себе сервис Cisco Umbrella не может сказать, является ли посещаемый ресурс зараженным или нет. Ассоциированные с доменом вредоносные семплы говорят только о том, что они каким-либо образом коммуницируют с заблокированным доменом или IP-адресом. Например, по причине распространения вредоносного кода с этого домена. Или по причине обращения вредоносного кода к данному домену в качестве kill switch (так действовал тот же WannaCry). Или по причине использования домена в качестве командного сервера. В любом случае это повод для проведения дополнительного расследования.
Что же касается командных серверов, то мы фиксировали и такие попытки.
Обращу внимание, что злоумышленники достаточно активно эксплуатируют тему, связанную с использование доменов-клонов или доменов, названия которых похожи на настоящие. Так было и во время Cisco Connect, когда мы зафиксировали попытки обращения к домену onedrive[.]su.
Наконец, несколько попыток было связано с деятельностью криптомайнеров. Это еще одна пограничная зона, которая требует дополнительного расследования, так как заранее нельзя сказать, является ли майнинг в данном случае легальным (вдруг кто-то решил подзаработать) или компьютер пользователя используется скрыто и не по назначению. Я уже писал про различные способы обнаружения майнинга с помощью решений Cisco — с тех пор мы только усилили наши возможности в этой области.
Можно отметить, что по сравнению с другими ИТ- и ИБ-мероприятиями, Cisco Connect является не таким уж и крупным (хотя в России оно одно из крупнейших). Но даже на 2000 с лишним посетителей было зафиксировано почти 250 попыток взаимодейстия с доменами, связаными с вредоносным кодом, что немало для аудитории, которая должна прекрасно понимать всю опасность данной угрозы и уметь с ней бороться. Давайте посмотрим, что нам удалось обнаружить в рамках мониторинга Wi-Fi-окружения на крупнейшей мировой выставке по кибербезопасности — RSAC, которая проходила в апреле этого года в Сан-Франциско. Ее посетило 42 тысячи человек. Cisco вместе с компанией RSA обеспечивали работу RSA SOC (уже в пятый раз), задачей которого было не допустить атак на беспроводную инфраструктуру Moscone Center (место проведения выставки и конференции). Со стороны Cisco были предоставлены следующие решения — песочница Cisco Threat Grid, система мониторинга DNS — Cisco Umbrella, а также решения по Threat Intelligence — Cisco Visibility и Talos Intelligence.
Интересно, что на гораздо более крупном чем Cisco Connect мероприятии, число вредоносных доменов было сопоставимо — 207. Зато используемых в рамках RSAC криптомайнинговых доменов мы зафиксировали с помощью Cisco Umbrella на порядок больше — 155. Наиболее активны были следующие:
- authedmine[.]com
- coinhive[.]com
- minergate[.]com
- www[.]cryptokitties[.]co
- api.bitfinex[.]com
- poloniex[.]com (этот был зафиксирован и на Cisco Connect)
- www[.]coinbase[.]com
- api.coinone.co[.]kr
- binance[.]com
- gemius[.]pl
Парадоксально, но на крупнейшем мировом ИБ-мероприятии, где собирается свет всей отрасли (ну или большая его часть), пользователи до сих пор продолжали использовать незашифрованные HTTP-соединения и скачивать через них файлы, среди которых были счета, авиабилеты, коммерческие предложения, материалы для инвесторов и т.п. Именно это мы отметили как основную проблему во время недельного мониторинга. Такое впечатление, что участники RSA чувствовали себя на конференции как дома и не сильно заботились о своей безопасности. А ведь вся эта информация могла быть использована для организации фишинга — большое количество ценной информации было открыто для перехвата.
С презентацией для брифинга с инвесторами вообще получилась интересная ситуация. В ней была достаточно ценная информация от одного из спонсоров RSA — пришлось срочно выискивать их на выставке, делать экскурсию в SOC, чтобы они на месте могли убедиться в опасности своих действий и выяснили, доступна ли уже СМИ и аналитикам циркулирующая в незащищенном виде информация.
Всего за 5 дней конференции RSA SOC зафиксировал около 1000 вредоносных файлов, среди которых были и такие, как вариант червя SkyNet.
Были зафиксированы и взаимодействия с командными серверами (таких попыток было 24),
а также фишинговые сайты-клоны. Например, cragslist[.]org, который имитирует известный сайт электронных объявлений Graiglist, запущенный в Сан-Франциско в 90-х годах и пользующийся большой популярностью у американцев.
Фейковый сайт их и привлекал, хотя сам был зарегистрирован в Чехии.
Что изменилось на RSAC за прошедший год? Возросла активность криптомайнеров (особенно Monero) и появилось мобильное вредоносное ПО. А вот беспечность пользователей осталась на прежнем уровне — 30-35% e-mail передавалась в незашифрованном виде с помощью устаревших протоколов POP и IMAPv2. И хотя остальные приложения преимущественно использовали шифрование, оно было слабым и построено на уязвимых криптографических протоколах, например, TLS 1.0. Кроме того, многие приложения, например, домашнее видеонаблюдение, сайты знакомств (полно же командировочных безопасников :-), умные дома, хоть и использовали аутентификацию, аутентификационные данные передавались в открытом виде! Парадоксальное явление.
Немного иная картина была на Mobile World Congress в Барселоне в первом квартале этого года, который посетило 107 тысяч человек. Для мониторинга беспроводной сети мы использовали нашу систему анализа Cisco Stealthwatch. Шифрование Web-трафика использовалось в 85% случаев (на сингапурском BlackHat это значение достигало и вовсе 96%).
Анализируя Netflow, мы за два дня (26 и 27 февраля) зафиксировали 32000 событий безопасности, из которых 350 можно было определить как серьезные инциденты:
- активность криптомайнеров
- троянцы для Android (Android.spy, Boqx, инфицированное firmware)
- вредоносный код SALITY
- вредоносное ПО, активно сканирующиее сервисы SMB
- OSX Malware Genieo
- черви типа Conficker
- RevMob
- AdInjectors
- некоторое количество мобильных устройств на базе Android было инфицировано
- неразрешенное протоколы такие как Tor и BitTorrent.
Некоторые вредоносные программы использовали PowerShell для взаимодействия с командными серверами по HTTPS. Вообще вредоносы все чаще используют зашифрованные соединения (рост 268% за последние полгода). Мы их анализировали с помощью технологии Encrypted Traffic Analytics, встроенной в Cisco Stealthwatch, и позволяющей обнаруживать вредоносную активность в зашифрованном трафике без его расшифрования и дешифрования.
Завершу заметку о том, что происходит за кулисами ИБ- и ИТ-мероприятий, где специалисты также попадают под раздачу злоумышленников и киберпреступников, как и рядовые пользователи, рассказом о том, как мы мониторили безопасность на сингапурском Black Hat, прошедшем в марте 2018 года. В этот раз мы были частью NOC, отвечая за безопасность азиатского мероприятия по ИБ. Но как и на RSAC использовали тот же набор решений — Cisco ThreatGrid для анализа файлов, Cisco Umbrella для анализа DNS и Cisco Visibility для threat intelligence. Так как многие доклады, лабы, демонстрации и тренинги требовали доступа к вредоносным сайтам и файлам, мы их не блокировали, а только наблюдали за ними. В целом картина была схожей с тем, что описано выше, но об одном интересном случае рассказать хотелось бы.
В первый день конференции мы зафиксировали необычную активность — более 1000 DNS-запросов к домену www.blekeyrfid[.]com за 1 час. Дополнительное расследование показало, что вся активность шла с одного ПК и только во время работы конференции.
Перейдя из консоли Cisco Umbrella в средство проведения расследования Cisco Umbrella Investigate, мы стали изучать, что это за домен. IP, на котором располагался домен, оказался в черном списке Umbrella. Доступ к таким сайтам был допустим для участников конференции Black Hat Asia. Однако мы заблокировали доступ к нему со стороны конференционных активов.
Расследование с помощью ThreatGrid показало, что этот домен рекламировал решения для спуфинга систем контроля доступа. Дальше информация была передана организаторам, которые уже сами проводили соответствующее расследование, была ли данная активность законной или нет.
Но самым распространенным событием безопасности на Black Hat Asia стали криптомайнеры. Впервые мы зафиксировали такую активность еще на европейском Black Hat 2017-го года. В Сингапуре же это стало просто каким-то бичом. Наибольшая часть трафика с конференции вела на домен authedmine[.]com, который ассоциирован с coinhive[.]com.
Анализ этого домена в Cisco Umbrella Investigate показал, что с ним связано много вредоносных семплов, которые мы анализировали в Cisco ThreatGrid.
Благодаря недавно выпущенному новому решению Cisco Visibility мы смогли лучше понять архитектуру злоумышленников и взаимосвязь между IP-адресами, артефактами, URL и вредоносными семплами.
Обычно криптомайнинг реализуется двумя способами:
- явный — пользователь явно соглашается участвовать в майнинге и предпринимает усилия, чтобы его антивирус и иное защитное ПО не блокировало криптомайнера
- неявный — пользователь не знает, что открытый им браузер майнит криптовалюту, использую ресурсы компьютера.
Владельцы authedmine[.]com заявляют (как показывает анализ в ThreatGrid), что они используют первый вариант.
Однако на самом сайте для майнинга используется скрипт .js (метод, используемый обычно во втором варианте), который загружается в Temporary Internet Files без согласия пользователя.
Используя интегрированные и глобальные данные threat intelligence, мы видим, что этот скрипт используется как артефакт в других других семплах, которые мы анализировали с помощью Cisco ThreatGrid.
Были зафиксированы и другие майнинговые домены:
- www[.]cryptokitties[.]co
- bitpay[.]com
- www[.]genesis-mining[.]com
- ws010[.]coinhive[.]com
- www[.]cryptomining[.]farm
- www[.]ledgerwallet[.[com
- ethereum[.]miningpoolhub[.]com
- miningpoolhub[.]com
- push[.]coinone.co[.]kr
- ws[.]coinone.co[.]kr
- getmonero[.]org
- widgets[.]bitcoin[.]com
- index[.]bitcoin[.]com
- api[.]nanopool[.]org
- wss[.]bithumb[.]com
- api[.]bitfinex[.]com
Какие бы выводы мне бы хотелось сделать в заключение этого обзора наших усилий по мониторингу различных ИТ- и ИБ-мероприятий в 2018-м году:
- Даже специалисты по ИБ или ИТ, которым по должности положено уметь себя защищать, не всегда делают это правильно.
- На конференциях по ИБ и ИТ многие специалисты беспечны и могут не только подключиться к фейковой точке доступа, но и использовать незащищенные протоколы для аутентификации на различных ресурсах или для работы с электронной почтой, открывая для злоумышленников интересные и опасные возможности.
- Мобильные устройства представляют из себя интересную мишень для злоумышленников. Ситуацию усугубляет тот факт, что такие устройства обычно плохо защищены и не находятся под сенью периметровых МСЭ, IDS, DLP, систем контроля доступа и защиты e-mail. Заражение таких устройств и приход с ними на работу может повлечь за собой гораздо более печальные последствия, чем несогласованный с пользователем майнинг.
P.S.: Совсем скоро, в августе, мы будем вновь мониторить безопасность Black Hat в Лас-Вегасе и обязательно поделимся с читателями Хабра результатами нашей работы.
