Ето как един загадъчен разработчик намали разходите за използването на AWS с 90%, а след това изчезна
Оригиналът е на Maxime Topolov
Наскоро направих одита на един мой клиент от SaaS сферата. Неговата история си заслужава да бъде разказана. Това е история за алчността, лъжите и хубостта на хакерството.
Това е историята за това, по какъв начин този мой клиент понижи разноските си за използването на AWS с цели 90 000 $ с помощта на загадъчен разработчик, който изчезна откакто работата бе свършена.
Когато шест месеца по-късно разноските за AWS още веднъж се повишиха до към 100 000 $ на месец, същият клиент ме помоли да ревизира какво в действителност се е случило.
Разгадаването на този случай се оказа същинско безумство
Началната информация
По аргументи, свързани с декларацията за неразгласяване на информация, не мога да разкрия името на клиента или бранша, в който работи. Но това е SaaS компания, която предлага артикул в доста нишов промишлен пазар. Нейният артикул може да се опише като модел с изкуствен интелект, който употребява данните от другите приложения на трети страни и основава скъпи прогнози.
В тази история изключително значима роля играят два съществени аспекта:
Данните са разпределени в голям брой приложения на трети страни без API (става дума за индустриални машини), тъй че клиентът ми сътвори уголемение за Chrome, което ги събира (подобно на RPA) и ги изпраща на инстанциите на AWS за потребление.
Работата с един модел с изкуствен интелект е скъпа, тъй че междинните разноски за изчислителни запаси са към 100 000 $ на месец.
Злодеят
Преди съвсем една година ИТ шефът на моя клиент бе потърсен от програмист на свободна процедура, който съобщи, че ще направи по този начин, че да спести 90% от разноските за облачните услуги. Предложението му бе отхвърлено.
Само че няколко месеца по-късно бе назначен нов ИТ шеф, който трябваше да показва триумфа си пред управлението. Междувременно разработчикът траял да упорства и даже направил предложение, което било невероятно да се откаже: в случай че успее да извърши обещаното, щял да получи един чек за 50 000, а в случай че не успее – няма да получи безусловно нищо.
За новия ИТ шеф това си е един на ниска цена метод да се покаже пред управлението от допустимо най-хубавата си страна. И по този начин той даде зелена светлина на фрийлансъра.
Трикът
Оттук стартира моето следствие. Първото нещо, което видях, бе, че разработчикът не е направил никакви други промени с изключение на тези в разширението за Chrome. То бе много семпло: претърсваше интерфейсите на другите приложения, извличаше данните, изпращаше ги в облака и задействаше обработката.
Само че след неговата интервенция кодът на това уголемение се оказа двойно по-голям. Видях, че са се появили стотици нови файлове. Вниманието ми притегли един от тях – огромният файл accounts.yaml, в който имаше почти 1 милион Гугъл акаунта.
Какво, по дяволите, става тук? Всички сметки изглеждаха подправени, като че ли са били купени в даркнет за стотина $.
Точно този файл ми даде опция да схвана какво е направено и какво се е случило.
Оказа се че програмистът фрийлансър повече не е качвал данните в електронния облак, употребен от моя клиент. Той е създавал пробни GCP (Google Cloud Platform) сметки благодарение на тези един милион елементарни Гугъл сметки, по-късно качвал там ИИ модела на моя клиент, след това качвал и данните, стартирал осъществяването на заложената задача посредством разпапралелване в сметките на Гугъл облака и получавал нужния резултат.
Готин трик… Това в действителност е можело да се направи посредством на… разширението за Chrome, което в тогавашната версия на GCP заобикаля инспекцията за сигурност на Гугъл, която по принцип не разрешава сходно основаване на GCP сметки. Но фрийлансърът очевидно е бил хакер от висок клас, който е знаел за тази специфичност при разширенията за Chrome.
С създаването на софтуера на моя клиент се занимават външни компании и други негови сътрудници, като по този метод никой не е направлявал работата на фрийлансъра програмист. Той е докладвал и показвал всичко единствено на новия ИТ шеф, който въобще не е имал време да ревизира кода.
Самият аз видях, че както бе дадено разноските за потреблението на електронния облак паднаха с въпросните 90%. Фрийлансърът си получи своите $50 000. А по-късно изчезна. Напълно.
Щастливият ИТ шеф искаше да даде на този талант нови задания. Но той изчезна. Не отговаряше нито на имейлите, нито на гласовите известия по телефона, изтри профила си в LinkedIn. Изчезна, изпари се…
Провалът
Няколко месеца по-късно разноските още веднъж започнаха да се усилват. Всеки път, когато безплатният акаунт в GCP спираше да работи, данните се изпращаха към предходната система основана на AWS. Изглежда, че кодът е изчерпал годните сметки в Гугъл и/или Гугъл е почнал да се оправя по-добре с улавянето на автоматизираното основаване на GCP сметки и въобще с автоматизираното основаване на всевъзможни сметки.
Тази история получи необятен отзвук и доста мнения. Както нормално става, мненията се разделиха. Първото и по-елементарно пояснение за случилото се бе цитирането на следния остарял анекдот за гениалния експерт, който продал машина за отпечатване на пари на фалшификатори. Банкнотите били толкоз положителни, че прекосявали безусловно всички проби. Въпросният експерт продал машината за $100 хиляди $ и липсващ. Изпарил се е. Машината работила няколко дни и спряла. След като я разглобили се оказало, че в нея има единствено един тъпан, напълнен с същински банкноти на сума $10 000 $ и много опростено подаващо устройство, откъдето банкнотите излизат. За по-голям резултат в машината е трябвало да се подава хартия, на която да се печатат парите, само че тя просто се е сгъвала в планувания за тази цел отсек. Тя просто е давала напълно същински и легални купюри. Докато не свършат.
Но има и друго мнение. Така или другояче, въпросното да кажем хакерско уголемение за уеб браузъра Chrome е работило в продължение на към шест месеца. Да си напомним, че този очевидно огромен клиент е плащал по към 100 000 $ на месец за облачни калкулации. Тоест фрийлансърът-програмист в действителност му е икономисал маса пари, надалеч повече от чека за 50 000 $. И вероятно е съумял да вдигне имиджа на този ИТ шеф. Въпросът е кой е платил сметката? Отговорът не е сложен.
