Nazwa mówi wszystko: WannaMine. Panda, hiszpańska firma zajmująca się cyberbezpieczeństwem w Bilbao, napisała na początku lutego, że „nowy wariant złośliwego oprogramowania przejmuje komputery na całym świecie, porywając je w celu wydobycia kryptowaluty o nazwie Monero”.
Wirus przypomina WannaCry, robaka, który porwał świat w maju 2017 r., Szyfrując dane zainfekowanych systemów i żądając płatności okupu bitcoinami w celu ich odszyfrowania. Ale WannaMine stosuje inne podejście do wyciskania kryptowaluty ze swoich ofiar: wykorzystuje moc obliczeniową swoich maszyn do uruchamiania algorytmu o nazwie CryptoNight w kółko, mając nadzieję znaleźć hash spełniający określone kryteria, zanim zrobią to inni górnicy. Kiedy tak się dzieje, wydobywa się nowy blok, tworząc kawałek nowego monero - wartego około 1500 USD w momencie pisania - i wpłacając gratkę do portfela atakującego.
Szanse, że każdy górnik znajdzie następny blok jako pierwszy i otrzymają nagrodę, są niewielkie, ale zarażają wystarczającą liczbę procesorów i możesz zhakować porządny strumień przychodów. Ponieważ ofiara płaci rachunki za prąd i zapewnia sprzęt, koszty osoby atakującej są znikome. (Zobacz także, jak działa wydobywanie bitcoinów? )
„Dowód koncepcji”
11 lutego odkryto podobny, ale bardziej spektakularny atak. Badacze cyberbezpieczeństwa Scott Helme i Ian Thornton-Trump (phat_hobbit) zauważyli, że strony od brytyjskiej National Health Service po sądy amerykańskie porywały przeglądarki odwiedzających w celu wydobycia monero.
Ummm, więc tak, to jest * złe *. Właśnie kazałem @phat_hobbit zwrócić uwagę, że @ICOnews ma zainstalowany na swojej stronie program do szyfrowania… pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11 lutego 2018 r
Winowajcą była wtyczka zamiany tekstu na mowę popularna wśród rządów anglojęzycznych o nazwie Browsealoud, która została zainfekowana Coinhive, mono-górnikiem w przeglądarce, który niekoniecznie jest złośliwym oprogramowaniem jako takim: jego dostawcy przedstawiają go jako legalny sposób na zarabianie na ruchu, ale zadają użytkownikom zbyt mało pytań, zgodnie z płytą główną.
Do tej pory, więc 2018. Ale coś jest nie tak. Atakujący nic nie zarobili: około 24 $, które nawet nie zostało wypłacone, Coinhive powiedział Motherboard. I jak wskazała Helme, atak mógł być znacznie gorszy: „Atakujący mieli arbitralny zastrzyk skryptu na tysiącach witryn, w tym na wielu stronach NHS w Anglii”. Mogli ukraść mnóstwo niezwykle cennych danych osobowych. Ale nie zrobili tego.
Co więcej, biorąc pod uwagę wybraną metodę ataku, osoby atakujące powinny wybrać cele o wyższym natężeniu ruchu, mniej zbadane, o niskim poziomie bezpieczeństwa: strony pornograficzne są popularne wśród kryptomerów, ponieważ spełniają te kryteria.
Wygląda na to, że celem porywaczy nie było zarabianie pieniędzy. Być może, jak ujął to Matt Burgess z Wired UK - parafrazując analityka Malwarebytesa, Chrisa Boyda - „zamiast tego tworzyli proof-of-concept”.
Crypto zakłóca model reklamy?
Jaka to może być koncepcja, Boyd nie określił. „Zobaczmy, co można zrobić za pomocą tych skryptów” - wyobrażał sobie hakerów.
Ale Lucas Nuzzi, starszy analityk w Digital Asset Research, ma pomysł. „Górnicy z przeglądarkami, tacy jak Coinhive, są najlepszą implementacją użytecznego istniejącego oprogramowania PoW” - napisał na Twitterze. „Po raz pierwszy w historii Internetu strony internetowe mogą zarabiać na treściach bez konieczności bombardowania użytkowników reklamami”.
Potencjał nie ogranicza się do modeli opartych na reklamach:
2 \ Te górniki można wdrożyć za pomocą mniej niż 20 linii kodu. Wikipedia nie musiałaby prosić o darowizny, gdyby wdrożyli przeglądarkę opartą na przeglądarce.
- Lucas Nuzzi (@LucasNuzzi) 15 lutego 2018 r
Eksploracja przeglądarek może zakłócać obecne modele monetyzacji dla dostawców treści internetowych. Reklamy internetowe - irytujące, często zawierające złośliwy kod i wspierające branżę pośrednictwa danych, która zagraża prywatności i bezpieczeństwu użytkowników - mogą zostać przeniesione do roli wspierającej. Darowizny - które, sądząc po treści zarzutów Wikipedii, nie ograniczają ich - mogą również stracić na znaczeniu. (Zobacz także Blockchain może cię - nie Equifax - właścicielem twoich danych ).
Niestety, Nuzzi kontynuuje, hakerzy uderzają w renomowane witryny, które łączą wyszukiwanie przeglądarki ze złośliwym oprogramowaniem w publicznej wyobraźni i „niszczą nadzieję na przyjęcie przez renomowane strony internetowe, takie jak Wikipedia”.
Salon bierze udział
Być może, ale przynajmniej jedna renomowana, jeśli walczy, witryna spadła. Salon nawiązał współpracę z Coinhive, a 11 lutego - w dniu upadku Browsealoud - zaczął pytać użytkowników korzystających z programów blokujących reklamy, czy chcieliby „zablokować reklamy, pozwalając Salonowi na wykorzystanie nieużywanej mocy obliczeniowej”. Strona FAQ wyjaśnia, że oznacza to wydobywanie monero, chociaż nie wspomina o swoim niesławnym partnerze z nazwy. (Zobacz także: Salon chce używać komputera do wydobywania kryptowalut ).
Aby ocenić zadowolenie użytkowników, włączyłem kilka programów blokujących reklamy, odwiedziłem Salon i zgodziłem się „ukryć reklamy”. Nie działało. Strona główna stała się półprzezroczysta i niemożliwa do odczytania, co czasami zdarza się, gdy obowiązkowe okienko wyskakujące jest zasłaniane przez bloker reklam (posiadanie adblokera jest niezbędnym warunkiem wstępnym do włączenia się w kryptomer). Po kilku drobiazgach - takich, które w normalnych okolicznościach skłoniłyby mnie do szukania gdzie indziej - wydobywałem monero w zamian za wycięcie liberalnych komentarzy.
Nie widziałem żadnych reklam, ale oczywiście uruchomiłem blokery reklam. Strona ciągle przeładowuje niektóre elementy, co powoduje przeskakiwanie tekstu co kilka sekund. Trudno było to przeczytać. Trochę podejrzliwie liczniki moich programów blokujących reklamy zaznaczały do 11 i 29, wskazując, że żądania są blokowane przy każdym przeładowaniu.
Bez wątpienia kopałem. Przed odwiedzeniem strony monitor aktywności mojego Macbooka nie pokazywał żadnej aplikacji wykorzystującej więcej niż 10% procesora. Podczas mojej wizyty Chrome Helper wahał się od około 50% do - w pewnym momencie - 320%. Wpływ energii Chrome również zwiększył się do potrójnych cyfr; 12-godzinna średnia wynosi 46.
Wiadomość e-mail do firmy PR firmy Salon z zapytaniem o doświadczenie sklepu z eksploracją przeglądarki nie otrzymała natychmiastowej odpowiedzi. Ten artykuł zostanie zaktualizowany w celu odzwierciedlenia odpowiedzi Salonu.
Czy przeglądarka może działać?
Moje krótkie spotkanie z eksploracją przeglądarki ujawniło rodzaj czkawek typowych dla wersji beta. Ale zużycie energii jest przeszkodą, której drobne ulepszenia nie rozwiążą. Górnicy Bitcoin uciekają do Quebecu, ponieważ energia elektryczna jest tania. Z tego samego powodu porywacze wydobywają za pomocą przeglądarek odwiedzających. Chociaż trudno jest oszacować wpływ wydobycia na monety w imieniu Salonu, wzrost zużycia energii elektrycznej był oczywisty. Jeśli znaczna część Internetu przyjęła wyszukiwanie przeglądarki, korzystanie z Internetu może być kosztowne.
To samo dotyczy użycia sprzętu. WannaMine przedstawił taki problem, ponieważ, jak to ujęła Panda, „sposób, w jaki próbuje maksymalnie wykorzystać procesor i pamięć RAM, powoduje duże obciążenie komputera”. O ile strony nie ograniczą wymagań, jakie stawiają na komputerach odwiedzających, procesy zwolnią do indeksowania, a sprzęt znacznie się zużyje.
Nuzzi nie pomija tych problemów. „Jeśli eksploracja za pomocą przeglądarki stanie się problemem, na pewno pojawią się nadużycia, jeśli chodzi o liczbę wątków eksploracji zużywanych przez witrynę” - powiedział za pośrednictwem poczty elektronicznej. Z drugiej strony „podobnie jak reklamy, będą istnieć sposoby blokowania tego skryptu, więc strony internetowe muszą ustalić, jaka powinna być sprawiedliwa równowaga, w przeciwnym razie użytkownicy przestaną odwiedzać witrynę lub zablokują górnika”.
Jeśli chodzi o zużycie energii elektrycznej, funkcja skrótu Monero CryptoNight ma jaśniejszy dotyk niż, powiedzmy, bitcoin SHA-256. Wydobycie Monero „nie stanowi dużego problemu dla użytkowników laptopów”, mówi Nuzzi, ale „z pewnością ogranicza niektóre przypadki użycia smartfonów” dzięki ich ograniczonej pojemności baterii.
Następnie istnieje ryzyko, że wyścig zbrojeń o szybkości mieszania, który sprawił, że procesor, a nawet wydobycie bitcoinów i litecoinów przez procesor GPU, byłoby nieopłacalne, wstrzyma eksplorację przeglądarki. Powodem, dla którego Coinhive i WannaMine używają monero, jest to, że jest to jedna z niewielu kryptowalut, które można z zyskiem wydobywać za pomocą procesora. Czy przy odpowiednich zachętach ekonomicznych monero nie padłoby również ofiarą ASIC, specjalistycznego sprzętu zaprojektowanego wyłącznie do jak najszybszego uruchamiania funkcji skrótu?
Nuzzi tak nie uważa. Nazywa CryptoNight „genialnie zaprojektowanym”, „dodając, że” pozwala na wydobywanie Monero przy użyciu różnych urządzeń, w tym smartfonów, ponieważ większość z nich ma co najmniej 2 GB pamięci RAM, a do zainicjowania instancji CryptoNight potrzeba tylko 2 MB. Scrypt (algorytm konsensusu Litecoin), CryptoNight jest znacznie bardziej odporny na integrację obwodów, co pozwala na budowanie układów ASIC. ”
Programiści Monero obiecali również zmienić algorytm, jeśli opracowany zostanie ASIC. „Producenci tacy jak Bitmain nigdy nie przeznaczaliby budżetu na badania i rozwój w celu opracowania ASO Monero ze względu na to ryzyko”, mówi Nuzzi. (Zobacz także: Bitcoin vs. Litecoin: jaka jest różnica? )
Spóźniona
Jeśli cryptomining zastępuje reklamy jako główny sposób zarabiania na treściach online, byłoby spełnieniem jednej z pierwszych obietnic kryptowaluty.
Argument, że mikropłatności bitcoinowe do witryn mogą zakłócić obecny model, padł ofiarą rosnących opłat transakcyjnych, ale podjęto inne próby przy użyciu innych tokenów, takich jak token podstawowej uwagi blokujący przeglądarkę Brave. Ale tak długo, jak finansowanie portfela i rekompensowanie witryn, których reklamy blokujesz, pozostaje opcjonalne - tak jak w przypadku Brave - model wydaje się mało prawdopodobne, aby zapewnić stronom przychody, których potrzebują. (Odważny, należy powiedzieć, przewiduje miejsce dla reklamodawców na swojej platformie).
Nie ma gwarancji, że wydobycie przez przeglądarkę się przyda lub że wpływ na sprzęt użytkowników i rachunki za prąd nie będzie łamał porozumienia. Istnieje jednak szansa, że irytujące, natrętne, czasami szkodliwe reklamy - lub programy, których używasz do ich blokowania - wychodzą.