Vietnes izmanto jūsu pārlūkprogrammu, lai iegūtu kriptonauda. Tā varētu būt laba lieta

Nosaukums to visu pasaka: WannaMine. Panda, Bilbao, Spānijā bāzēta kiberdrošības kompānija, februāra sākumā rakstīja, ka "jauns ļaundabīgās programmatūras variants ir pārņēmis datorus visā pasaulē, nolaupot tos mīnu kriptovalūtas saukšanai ar nosaukumu Monero".

Vīruss atsauc atmiņā WannaCry - tārpu, kurš 2017. gada maijā aizslaucīja zemeslodi, šifrējot inficēto sistēmu datus un pieprasot bitcoin izpirkuma maksājumus, lai to atšifrētu. Bet WannaMine izmanto atšķirīgu pieeju kriptovalūtas savākšanai no saviem upuriem: tā izmanto viņu mašīnu apstrādes jaudu, lai atkal un atkal palaistu algoritmu ar nosaukumu CryptoNight, cerot atrast jaucējkrānu, kas atbilst noteiktiem kritērijiem, pirms to dara citi kalnračnieki. Kad tas notiek, tiek izrakts jauns bloks, izveidojot jaunu monero gabalu - apmēram 1500 USD vērtībā rakstīšanas laikā - un nododot negaidīto uzbrucēja maku.

Iespējams, ka kāds konkrēts kalnračis vispirms atradīs nākamo bloku un saņems atlīdzību, ir niecīgs, taču tas ir pietiekami daudz, lai inficētu centrālo procesoru, un jūs kopā varat sašņorēt pienācīgu ieņēmumu plūsmu. Tā kā upuris apmaksā elektrības rēķinus un nodrošina aparatūru, izmaksas uzbrucējam ir niecīgas. (Skat. Arī Kā darbojas Bitcoin ieguve? )

"Koncepcijas pierādījums"

11. februārī tika atklāts līdzīgs, bet diezgan iespaidīgs uzbrukums. Kiberdrošības pētnieki Skots Helme un Ians Thorntons-Trumps (phat_hobbit) pamanīja, ka vietnes no Lielbritānijas Nacionālā veselības dienesta līdz ASV tiesām nolaupīja apmeklētāju pārlūkprogrammas, lai atrastu mīnu.

Ummm, jā, tas ir * slikti *. Man tikko @phat_hobbit norādīja, ka @ICOnews viņu vietnē ir instalēts kriptogrāfs ... pic.twitter.com/xQhspR7A2f
- Skots Helme (@Scott_Helme), 2018. gada 11. februāris

Vainīgais bija angofonu valdību iecienītais teksta-runas spraudnis ar nosaukumu Browsealoud, kurš bija inficēts ar Coinhive - mononera kalnraktuvē pārlūkprogrammā, kas pats par sevi nebūt nav ļaunprātīga programmatūra: tā sniedzēji to uzskata par likumīgu veidu, kā pelnīt trafiku, taču, pēc pamatplates, uzdodiet lietotājiem pārāk maz jautājumu.

Pagaidām - tātad 2018. gads. Bet kaut kas nav beidzies. Uzbrucēji neko nedarīja: apmēram 24 USD, kas pat netika izmaksāti, Coinhive pastāstīja mātesplatē. Un kā uzsvēra Helme, uzbrukums varēja būt daudz sliktāks: "Uzbrucējiem bija patvaļīga skriptu injekcija tūkstošiem vietņu, tostarp daudzām NHS vietnēm šeit, Anglijā." Viņi varētu būt nozaguši ļoti vērtīgu personas datu laivu kravas. Bet viņi to nedarīja.

Turklāt, ņemot vērā viņu izvēlēto uzbrukuma metodi, uzbrucējiem vajadzēja izvēlēties lielākas datplūsmas, mazāk rūpīgus un zemākas drošības mērķus: pornogrāfijas vietnes ir iecienījušas kriptogrāfijas, jo tās atbilst šiem kritērijiem.

Liekas, ka nolaupītāju mērķis nebija nopelnīt naudu. Varbūt, kā teica Wired UK Matt Burgess - pārfrāzējot Malwarebytes analītiķi Krisu Boidu - viņi tā vietā "izveidoja koncepcijas pierādījumu".

Kriptogrāfs izjauc reklāmas modeli?

Kāda varētu būt koncepcija, Boids neprecizēja. "Redzēsim, kāda veida traku lietu var izdarīt ar šiem skriptiem, " viņš iztēlojās hakeru teikto.

Bet Lucas Nuzzi, Digital Asset Research vecākajam analītiķim, ir ideja. "Pārlūkprogrammās bāzēti kalnrači, piemēram, Coinhive, ir vislabākā pastāvošā noderīgā PoW [darba pierādījuma] ieviešana, " viņš tvīda. "Pirmoreiz interneta vēsturē vietnēm ir veids, kā gūt peļņu no satura, nebombardējot lietotājus ar reklāmām."

Iespēja neaprobežojas tikai ar reklāmām balstītiem modeļiem:

2 \ šos kalnračus var ieviest ar mazāk nekā 20 koda rindām. Wikipedia nebūtu jāpieprasa ziedojumi, ja viņi ieviestu pārlūkprogrammā balstītu kalnraču.
- Lūkass Nuzzi (@LucasNuzzi), 2018. gada 15. februāris

Pārlūkprogrammu ieguve var izjaukt pašreizējos monetizācijas modeļus tīmekļa satura nodrošinātājiem. Interneta reklāmas - kas ir kaitinošas, bieži satur ļaunprātīgu kodu un atbalsta datu starpniecības nozari, kas apdraud lietotāju privātumu un drošību - varētu tikt atbalstītas. Ziedojumi - kas, spriežot pēc Wikipedia pamatiem, to nesamazina - arī varētu izbalināt. (Skat. Arī Blockchain var padarīt jūs - nevis Equifax - jūsu datu īpašnieku. )

Diemžēl Nuzzi turpina, hakeri pārspēj cienījamas vietnes ar perforatoru, kas pārlūka ieguvi saista ar sabiedrības iztēlē esošu ļaunprātīgu programmatūru un "sagrauj cerības par adopciju tādās cienījamās vietnēs kā Wikipedia".

Salons veic ienirt

Varbūt, bet vismaz viena cienījama, ja tā cīnās, vietne ir veikusi kritumu. Salons sadarbojas ar Coinhive, un 11. februārī - Browsealoud sabrukuma dienā - tas apmeklētājiem, izmantojot reklāmu bloķētājus, sāka jautāt, vai viņi vēlas "bloķēt reklāmas, ļaujot salonam izmantot jūsu neizmantoto skaitļošanas jaudu". Bieži uzdoto jautājumu lapā ir paskaidrots, ka tas nozīmē monero ieguvi, lai gan tajā nav minēts tā partneris, kurš tagad ir draņķīgs. (Skat. Arī Salons vēlas izmantot jūsu datoru Cyrptocurrency ieguvei. )

Lai novērtētu lietotāju pieredzi, es ieslēdzu pāris reklāmas bloķētājus, apmeklēju salonu un piekritu “apspiest reklāmas”. Tas nedarbojās. Mājaslapa kļuva daļēji necaurspīdīga un nav noklikšķināma, kā tas dažreiz notiek, ja obligāto uznirstošo logu aizsedz reklāmas bloķētājs (kam bloķēšanas rīks ir nepieciešams priekšnoteikums, lai izvēlētos kriptovalūtu). Pēc neliela pieļāvuma - tāda, kas normālos apstākļos būtu likusi man pārlūkot citur - es ieguvu monero apmaiņā pret liberālo komentāru samazināšanu.

Neredzēju reklāmas, bet, protams, darbojos ar reklāmas bloķētājiem. Lapa pastāvīgi atkārtoti ielādēja noteiktus elementus, liekot tekstam izlaisties ik pēc dažām sekundēm. Bija grūti lasīt. Nedaudz aizdomīgi, manu blokatoru skaitītāji atzīmējās ar atzīmi līdz 11 un 29, norādot pieprasījumus bloķētus ar katru atkārtotu ielādi.

Es, bez šaubām, ieguvu. Pirms lapas apmeklēšanas mans Macbook darbības monitors neuzrādīja nevienu lietojumprogrammu, kas izmantotu vairāk nekā 10% no CPU. Manas vizītes laikā Chrome Helper svārstījās no aptuveni 50% līdz - vienā brīdī - 320%. Arī Chrome enerģijas ietekme palielinājās līdz trīs cipariem; 12 stundu vidējais rādītājs ir 46.

Uz e-pastu Salon PR firmai, kurā jautāja par noieta tirgus pieredzi ar pārlūka ieguvi, netika saņemta tūlītēja atbilde. Šis raksts tiks atjaunināts, lai atspoguļotu Salona atbildes.

Vai pārlūka ieguve var darboties?

Mana īsa tikšanās ar pārlūka ieguvi atklāja žagas, kas raksturīgas beta versijām. Bet enerģijas patēriņš ir šķērslis, kuru nenovērsīs nenozīmīgi uzlabojumi. Bitcoin kalnrači plūst uz Kvebeku, jo elektrība ir lēta. Nolaupītāji tā paša iemesla dēļ izmanto apmeklētāju pārlūkprogrammas. Lai gan ir grūti novērtēt kalnrūpniecības monetāro ietekmi uz Salonu, elektrības patēriņa pieaugums bija acīmredzams. Ja ievērojams tīmekļa gabals pieņemtu pārlūka ieguvi, interneta izmantošana varētu kļūt dārga.

Tas pats attiecas uz aparatūras izmantošanu. WannaMine uzrādīja šādu problēmu tāpēc, ka, kā to teica Panda, "veids, kā tas cenšas maksimāli izmantot procesoru un operatīvo atmiņu, rada datoru lielām grūtībām". Ja vietnes neierobežo prasības, ko tās izvirza apmeklētāju datoriem, procesi palēninās līdz rāpošanai un aparatūra nolietojas ievērojami ātrāk.

Nuzzi neatbrīvo šīs problēmas. "Ja pārlūkprogrammā balstīta ieguve kļūst par lietu, noteikti tiek pieļauta ļaunprātīga izmantošana, ja runa ir par ieguves diegu skaitu, ko vietne patērē, " viņš teica, izmantojot e-pastu. No otras puses, "tāpat kā reklāmas, būs arī veidi, kā bloķēt šo šifrēšanu, tāpēc vietnēm ir jāizdomā, kādam jābūt patiesajam bilancei, pretējā gadījumā lietotāji pārtrauks apmeklēt vietni vai bloķēs kalnraču."

Runājot par elektrības patēriņu, monero hash funkcijai CryptoNight ir vieglāks pieskāriens nekā, teiksim, bitcoin's SHA-256. Monero ieguve "nav liela problēma klēpjdatoru lietotājiem", saka Nuzzi, bet "tas noteikti ierobežo dažus viedtālruņu lietošanas gadījumus" ar viņu ierobežoto akumulatora ietilpību.

Tad pastāv risks, ka jaucējdarbības ātruma sacensības, kas ir padarījušas nerentablus CPU un pat GPU ieguvi no bitcoin un Litecoin, neļaus pārlūka ieguves centieniem. Iemesls, kāpēc Coinhive un WannaMine izmanto monero, ir tas, ka tā ir viena no vienīgajām kriptovalūtām, kuru var rentabli iegūt, izmantojot centrālo procesoru. Ņemot vērā pareizos ekonomiskos stimulus, vai monero nevarētu kļūt arī par ASIC upuri, specializētu aparatūru, kas paredzēta tikai, lai pēc iespējas ātrāk darbotos ar hash funkcijām?

Nuzzi tā nedomā. Viņš sauc CryptoNight par "izcili izstrādātu", "piebilstot, ka tas" ļauj iegūt Monero, izmantojot dažādas ierīces, ieskaitot viedtālruņus, jo lielākajai daļai no tiem ir vismaz 2 GB RAM, bet tikai 2 MB ir nepieciešami, lai sāktu CryptoNight gadījumu. uz Scrypt (Litecoin vienprātības algoritms), CryptoNight ir daudz izturīgāks pret ķēžu integrāciju, kas ļauj veidot ASIC. "

Arī Monero izstrādātāji ir apsolījuši mainīt algoritmu, ja tiks izstrādāta ASIC. "Ražotāji, piemēram, Bitmain, nekad nepiešķirtu pētniecības un attīstības budžetu, lai izstrādātu Monero ASIC, ņemot vērā šo risku, " saka Nuzzi. (Skat. Arī Bitcoin vs Litecoin: Kāda ir atšķirība? )

Sen jau nokavēts

Ja kriptogrāfijas izspiež reklāmas kā galveno tiešsaistes peļņas gūšanas veidu, tas būtu viena no kriptovalūtas agrākajiem solījumiem izpildīšana.

Arguments, ka bitcoin mikromaksājumi vietnēm varētu izjaukt pašreizējo modeli, kļuva par upuri pieaugošajai transakciju maksai, taču citi mēģinājumi tika veikti, izmantojot citus marķierus, piemēram, reklāmas bloķējošo Brave pārlūka pamata uzmanības marķieri. Bet, kamēr seifa finansēšana un vietņu kompensēšana, kuru reklāmas jūs bloķējat, joprojām nav obligāta - kā tas ir Drosmīgajā -, šķiet, ka modelis, visticamāk, nesniegs vietnēm nepieciešamos ieņēmumus. (Drosmīgi, jāsaka, ka reklāmdevēji to paredz savā platformā.)

Nav garantijas, ka pārlūkprogrammas ieguve tiks pievilināta, vai arī, ka ietekme uz lietotāju aprīkojumu un elektrības rēķiniem nebūs darītājs. Tomēr pastāv iespēja, ka kaitinošas, uzmācīgas, reizēm kaitīgas reklāmas vai programmas, kuras jūs izmantojat, lai tās bloķētu, ir izejā.

Investīcijas kriptovalūtās un citos sākotnējos monētu piedāvājumos ("ICO") ir ļoti riskantas un spekulatīvas, un šis raksts nav Investopedia vai rakstnieka ieteikums ieguldīt kriptovalūtās vai citās ICO. Tā kā katra indivīda situācija ir unikāla, pirms finanšu lēmumu pieņemšanas vienmēr jākonsultējas ar kvalificētu speciālistu. Investopedia nesniedz nekādas garantijas un garantijas attiecībā uz šeit ietvertās informācijas precizitāti vai savlaicīgumu. Kopš šī raksta rakstīšanas autorei nav pozīcijas nevienā kriptovalūtā.