Spletna mesta uporabljajo brskalnik za rudanje kriptovalut. Lahko bi bila dobra stvar

Ime pove vse: WannaMine. Panda, špansko podjetje za kibernetsko varnost iz Bilbaa, je v začetku februarja zapisalo, da "je nova različica zlonamerne programske opreme zavzela računalnike po vsem svetu in jih ugrabila za pridobivanje kripto valute z imenom Monero."

Virus se spominja WannaCryja, črva, ki je maja 2017 preplavil globus in šifriral podatke okuženih sistemov ter zahteval plačilo odkupnine za bitcoin, da bi ga dešifrirali. Toda WannaMine uporablja drugačen pristop k odstranjevanju kriptovalute svojih žrtev: procesno moč njihovih strojev znova in znova uporablja algoritem, imenovan CryptoNight, v upanju, da bo našel heš, ki bo ustrezal določenim kriterijem, še preden jih bodo naredili drugi rudarji. Ko se to zgodi, mine nov blok, ki ustvari košček novega denarja - vreden približno 1.500 dolarjev v času pisanja - in odloži vetrovnik v napadalčevo denarnico.

Možnosti, da bo kateri koli rudar najprej našel naslednji blok in prejel nagrado, je majhen, vendar okuži dovolj CPU-jev in lahko skupaj prekinete spodoben dohodek. Ker žrtev plačuje račune za elektriko in zagotavlja strojno opremo, so stroški za napadalca zanemarljivi. (Glej tudi, Kako deluje rudarjenje z bitcoini? )

"Dokazilo o konceptu"

11. februarja je bil odkrit podoben, a precej bolj spektakularen napad. Raziskovalca kibernetske varnosti Scott Helme in Ian Thornton-Trump (phat_hobbit) sta opazila, da spletna mesta od britanske nacionalne zdravstvene službe do sodišč ZDA ugrabljajo brskalnike obiskovalcev v rudnik denarja.

Ummm, ja, to je * slabo *. Pravkar sem @phat_hobbit poudaril, da ima @ICOnews na njihovem mestu nameščen kriptominer ... pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11. februarja 2018

Krivec je bil vtičnik za besedilo v govor, priljubljen pri anglofonskih vladah, imenovan Browsealoud, ki je bil okužen s Coinhive, rudarjem rudnika denarja, ki sam po sebi ni nujno zlonamerna programska oprema: njegovi ponudniki ga predstavljajo kot zakonit način zaslužka v prometu, vendar glede na Motherboard postavljajo svojim uporabnikom preveč premalo vprašanj.

Zaenkrat, torej 2018. A nekaj ni. Napadalci niso storili ničesar: približno 24 dolarjev, kar sploh ni bilo izplačano, je Coinhive povedal za Motherboard. In kot je Helme poudaril, bi bil napad lahko še veliko hujši: "Napadalci so imeli poljubno vbrizgovanje skript na tisoče strani, vključno z mnogimi spletnimi stranmi NHS tukaj v Angliji." Lahko bi ukradli čolne izredno dragocenih osebnih podatkov. Ampak niso.

Poleg tega bi morali napadalci glede na izbrani način napada izbrati cilje z večjim prometom, manj pregledanimi in nižjo varnostjo: pornografska spletna mesta so med kriptominerji priljubljena, ker ustrezajo tem kriterijem.

Zdi se, da cilj ugrabiteljev ni bil zaslužiti. Morda, kot je dejal Matt Burgess iz Wireda UK - parafrazirajoč analitika Malwarebytesa Chrisa Boyda -, so namesto tega "ustvarjali dokazilo o konceptu".

Kripto moti model oglasa?

Kakšen koncept bi to lahko bil, Boyd ni navedel. "Poglejmo, kakšne nore stvari je mogoče storiti s temi skriptami, " si je zamislil hekerje.

Toda Lucas Nuzzi, višji analitik pri Digital Asset Research, ima idejo. "Rudarji, ki temeljijo na brskalnikih, kot je Coinhive, so najboljše izvajanje obstoječega uporabnega PoW [dokazila o delu], " je tvitnil. "Prvič v zgodovini interneta imajo spletna mesta način vrednotenja vsebine, ne da bi morali uporabnikom bombardirati oglase."

Tudi potencial ni omejen na modele, ki temeljijo na oglasih:

2 \ Ti rudarji se lahko izvajajo z manj kot 20 vrsticami kode. Wikipediji ne bi bilo treba zaprositi za donacije, če bi izvajali rudar s sedežem.
- Lucas Nuzzi (@LucasNuzzi) 15. februar 2018

Rudarjenje brskalnikov lahko moti trenutne modele zaslužka ponudnikov spletnih vsebin. Internetne oglase - ki so moteči, pogosto nosijo zlonamerno kodo in podpirajo panogo za posredovanje podatkov, ki ogroža zasebnost in varnost uporabnikov - lahko prevzamejo podporo. Donacije - ki, sodeč po razlogu izjav Wikipedije, jih ne bodo zmanjšale - bi prav tako lahko postale pomembne. (Glejte tudi, da vas lahko Blockchain naredi - ne enakovreden - lastnik vaših podatkov. )

Na žalost, nadaljuje Nuzzi, hekerji pretepajo ugledna spletna mesta, ki povezujejo rudarjenje brskalnikov z zlonamerno programsko opremo v javni domišljiji in "zdrobijo upanje o uporabi na uglednih spletnih mestih, kot je Wikipedia.

Salon prevzame plaz

Morda, toda vsaj eno ugledno mesto, če se bori, se je zavleklo. Salon se je povezal s Coinhiveom, 11. februarja, na dan razkola Browaloud, pa je obiskovalce začel uporabljati z zaviralci oglasov, če želijo "blokirati oglase, tako da Salonu dovolijo, da uporabi vaše neuporabljene računalniške moči." Na strani s pogostimi vprašanji je razloženo, da to pomeni rudarjenje monera, čeprav svojega zdaj zloglasnega partnerja ne omenja po imenu. (Glej tudi Salon želi uporabljati svoj računalnik za rudarjenje s cikloptokorenino. )

Za oceno uporabniške izkušnje sem vklopil nekaj blokatorjev oglasov, obiskal Salon in se strinjal, da bom "zatiral oglase". Ni šlo. Domača stran je postala napol neprosojna in je ni mogoče klikniti, kot se včasih zgodi, ko obvezno pojavno okno zakrije blokator oglasov (pri čemer je adblocker nujen predpogoj za odločitev o kriptominerju). Po nekaj prevarah - takšnih, zaradi katerih bi v običajnih okoliščinah brskal drugam - sem rudal monero v zameno za rezanje liberalnih komentarjev.

Nisem videl nobenih oglasov, seveda pa sem prikazal zaviralce oglasov. Stran nenehno nalaga določene elemente, zaradi česar se besedilo preskoči na vsakih nekaj sekund. Težko je bilo brati. Nekoliko sumljivo so števci mojih zaviralcev oglasov odkljukali do 11 in 29, kar pomeni, da so zahteve blokirane z vsakim ponovnim nalaganjem.

Nedvomno sem rudaril. Pred obiskom strani moj nadzornik dejavnosti Macbook ni pokazal nobene aplikacije, ki bi uporabljala več kot 10% CPU-ja. Med mojim obiskom se je Chrome Helper gibal med 50% ali približno do - v enem trenutku - 320%. Chromov energetski vpliv je dosegel tudi trimestne števke; 12-urno povprečje je 46.

Na e-poštno sporočilo PR-ovega podjetja Salon, ki sprašuje o izkušnjah prodajalne z rudarjenjem brskalnika, ni prejel takojšnjega odgovora. Ta članek bo posodobljen, da odraža odgovore Salona.

Ali lahko brskanje po brskalnikih deluje?

Moje kratko srečanje z rudarjenjem brskalnika je razkrilo vrste kolcanja, ki so značilne za beta verzije. Toda poraba energije je ovira, ki je manjše izboljšave ne bodo rešile. Rudarji bitcoinov priletijo v Quebec, ker je elektrika poceni. Ugrabitelji iz istega razloga rudijo z uporabo brskalnikov za obiskovalce. Čeprav je težko oceniti denarni učinek rudarjenja v Salonovem imenu, je bilo povečanje porabe električne energije očitno. Če bi velik del spletnega sprejemanja brskalnikov, bi uporaba interneta lahko postala draga.

Enako velja za strojno uporabo. WannaMine je predstavil takšno težavo, ker je, kot je dejal Panda, "način, kako skuša kar najbolje izkoristiti procesor in RAM, računalnik močno obremeniti." Če spletna mesta ne omejijo zahtev, ki jih postavljajo na računalnike obiskovalcev, se bodo procesi počasi lotili in strojna oprema se bo obrabila bistveno hitreje.

Nuzzi teh težav ne popušča. "Če rudarjenje s pomočjo brskalnika postane stvar, bo zagotovo prišlo do zlorabe, ko gre za število rudarskih niti, ki jih spletno mesto porabi, " je dejal po elektronski pošti. Po drugi strani pa "kot oglasi obstajajo načini blokiranja tega skripta, zato morajo spletna mesta ugotoviti, kakšno bi moralo biti pošteno stanje, sicer bodo uporabniki prenehali obiskovati spletno mesto ali blokirali rudar".

Kar zadeva porabo električne energije, ima monerova hash funkcija CryptoNight lažji dotik kot recimo bitcoin SHA-256. "Monero rudarjenje" za uporabnike prenosnikov "ni velika težava, " pravi Nuzzi, "pa zagotovo omejuje nekatere primere uporabe pametnih telefonov" s svojo bolj omejeno kapaciteto baterije.

Potem obstaja nevarnost, da bo dirka z orožjem hitrosti, zaradi katere je CPU in celo rudarjenje GPU-ja bitcoin in litecoin nedonosna, zaustavila gonjo za rudarjenje brskalnika. Razlog, da Coinhive in WannaMine uporabljata monero, je ta, da je to edina kripto valuta, ki jo lahko s pomočjo CPU-ja donosno rudamo. Ali ne bi monero lahko postal žrtev ASIC-ov, specializirane strojne opreme, zasnovane izključno za čim hitrejše izvajanje hash funkcij?

Nuzzi ne misli tako. CryptoNight imenuje "briljantno zasnovan" in dodal, da "omogoča, da se Monero rudi z različnimi napravami, vključno s pametnimi telefoni, saj ima večina vsaj 2 GB RAM-a, za začetek primerka CryptoNight pa je potrebnih le 2 MB. Scrypt (algoritem soglasja Litecoin) je CryptoNight veliko bolj odporen na integracijo vezja, kar omogoča gradnjo ASIC. "

Monerovi razvijalci so obljubili tudi, da bodo spremenili algoritem, če bo razvit ASIC. "Proizvajalci, kot je Bitmain, nikoli ne bi namenili proračuna za raziskave in razvoj za razvoj Monero ASIC glede na to tveganje, " pravi Nuzzi. (Glej tudi Bitcoin vs. Litecoin: Kakšna je razlika? )

Dolga zamuda

Če kriptominiranje izpodrine oglase kot glavni način zaslužka spletnih vsebin, bi bila to izpolnitev ene od prvih obljub kripto valute.

Argument, da bi mikroplačila bitcoinov spletnim mestom lahko zmotila trenutni model, je postal žrtev zvišanja plačil za transakcije, vendar so bili uporabljeni tudi drugi poskusi z uporabo drugih žetonov, kot je osnovni pozorni brskalnik Brave Browser. Dokler financiranje denarnice in nadomestilo spletnih mest, katerih oglase blokirate, ostanejo neobvezni - kot je to v Brave - model verjetno ne bo zagotovil mestom prihodkov, ki jih potrebujejo. (Pogumno bi bilo treba reči, da oglaševalcem na svoji platformi ponuja mesto.)

Nobenega zagotovila ni, da se bo rudarjenje brskalnikov ujelo ali da učinek na uporabniško opremo in račune za elektriko ne bo prekinil poslov. Obstajajo pa možnosti, da se nadležni, vsiljivi, občasno škodljivi oglasi - ali programi, s katerimi jih blokirate - odpravijo.

Vlaganje v kripto valute in druge začetne ponudbe kovancev ("ICO-ji") je zelo tvegano in špekulativno in ta članek ni priporočilo Investopedije ali pisca, da vlagajo v kripto valute ali druge ICO-je. Ker je položaj posameznika edinstven, se je treba pred sprejetjem finančnih odločitev vedno posvetovati s kvalificiranim strokovnjakom. Investopedija ne daje nobenih navedb ali jamstev glede točnosti ali pravočasnosti informacij, ki jih vsebujejo. Na dan, ko je bil napisan ta članek, avtor nima položaja v nobeni kripto valuti.