Svetainės naudoja jūsų naršyklę, kad gautų šifrą. Tai gali būti geras dalykas

Vardas sako viską: „WannaMine“. Bilbao, Ispanijoje įsikūrusi kibernetinio saugumo įmonė „Panda“ vasario pradžioje rašė, kad „naujas kenkėjiškų programų variantas perėmė kompiuterius visame pasaulyje, užgrobdamas juos šifruoti valiutą, vadinamą Monero“.

Virusas primena „WannaCry“ - kirminą, kuris 2017 m. Gegužę sukrėtė pasaulį, šifruodamas užkrėstų sistemų duomenis ir reikalaudamas išmokų už bitcoin išpirką, kad būtų galima jį iššifruoti. Tačiau „WannaMine“ naudoja kitokį požiūrį į tai, kad iš savo aukų išgautų kriptovaliutą: ji naudoja jų mašinų apdorojimo galią ir vėl ir vėl paleidžia algoritmą, vadinamą „CryptoNight“, tikėdamasi rasti maišos, atitinkančios tam tikrus kriterijus, prieš tai daro kiti kalnakasiai. Kai tai atsitiks, iškasamas naujas blokas, sukuriantis naujo monero rieką, kurio vertė yra maždaug 1500 USD, ir uždėjus netikėtumą į užpuoliko piniginę.

Tikimybė, kad bet kuris kalnakasis pirmiausia ras kitą bloką ir gaus atlygį, yra maža, tačiau užkrėsite pakankamai centrinių procesorių ir galėsite nulaužti gerą pajamų srautą. Kadangi auka sumoka sąskaitas už elektrą ir aprūpina technine įranga, išlaidos užpuolikui yra nereikšmingos. (Taip pat žiūrėkite, Kaip veikia „Bitcoin“ gavyba? )

„Koncepcijos įrodymas“

Vasario 11 d. Buvo atidengtas panašus, bet gana įspūdingas išpuolis. Kibernetinio saugumo tyrinėtojai Scottas Helme ir Ianas Thorntonas-Trumpas (phat_hobbit) pastebėjo, kad svetainės nuo JK Nacionalinės sveikatos tarnybos iki JAV teismų užgrobė lankytojų naršykles mano kasykloms „monero“.

Ummm, taip, tai yra * blogai *. Ką tik turėjau @phat_hobbit nurodyti, kad @ICOnews jų svetainėje yra įdiegtas kriptovaliutų įrenginys ... pic.twitter.com/xQhspR7A2f
- Skotas Helme (@Scott_Helme), 2018 m. Vasario 11 d

Kaltininkas buvo teksto į kalbą papildinys, populiarus anglofonų vyriausybių pavadinimu „Browsealoud“, kuris buvo užkrėstas „Coinhive“ - „monero miner“ naršyklėje, kuri nebūtinai yra kenkėjiška programinė įranga per se: jos teikėjai pateikia tai kaip teisėtą būdą užsidirbti pinigų iš srauto, tačiau užduokite jų vartotojams per mažai klausimų, teigia pagrindinė plokštė.

Kol kas, taigi 2018. Tačiau kažkas neveikia. Užpuolikai nieko nepadarė: apie 24 USD, kurie net nebuvo išmokėti, - „Coinhive“ pasakojo „Motherboard“. Ir kaip pažymėjo Helme, išpuolis galėjo būti daug blogesnis: "Užpuolikai tūkstančiams svetainių, įskaitant daugelį NHS svetainių, Anglijoje, įvaldė scenarijus savavališkai." Jie galėjo pavogti labai vertingų asmens duomenų laivu. Bet jie to nepadarė.

Be to, atsižvelgiant į pasirinktą užpuolimo būdą, užpuolikai turėjo pasirinkti didesnio srauto, mažiau tikrinamus ir mažesnio saugumo tikslus: pornografijos tinklalapiai yra populiarūs kriptovaliutų gamintojai, nes jie atitinka šiuos kriterijus.

Panašu, kad pagrobėjų tikslas nebuvo užsidirbti pinigų. Galbūt, kaip sakė „Wired UK“ Mattas Burgessas - perfrazuodamas Malwarebytes analitiką Chrisą Boydą, jie „vietoje to sukūrė koncepcijos įrodymo“.

Kriptas ardo skelbimų modelį?

Kokia tai gali būti sąvoka, Boydas nenurodė. „Pažiūrėkime, kokį beprotišką dalyką galima padaryti su šiais scenarijais“, - įsivaizdavo jis įsilaužėlių pasakęs.

Tačiau Lucas Nuzzi, „Digital Asset Research“ vyresnysis analitikas, turi idėją. „Naršyklėse dirbantys kalnakasiai, tokie kaip„ Coinhive “, yra geriausias egzistuojančio naudingo PoW [darbo įrodymo] įgyvendinimas“, - jis tvitino. "Pirmą kartą interneto istorijoje svetainėse yra būdas užsidirbti iš turinio, nereikia bombarduoti vartotojų skelbimais."

Galimybės neapsiriboja vien skelbimais pagrįstais modeliais:

2 \ Šie kalnakasiai gali būti įdiegti naudojant mažiau nei 20 kodo eilučių. Vikipedijai nereikėtų prašyti aukų, jei ji įdiegtų naršyklės šulinį.
- Lucas Nuzzi (@LucasNuzzi), 2018 m. Vasario 15 d

Naršyklės gavyba gali sutrikdyti dabartinius pinigų turinio teikėjų modelius. Erzinančios interneto reklamos, dažnai turinčios kenkėjišką kodą ir palaikančios duomenų tarpininkavimo pramonę, kenkiančią vartotojų privatumui ir saugumui, galėtų būti perduotos pagalbiniam vaidmeniui. Aukos, kurios, spręsdamos pagal Vikipedijos ieškinio pagrindus, jos nesupjaustytų, taip pat galėtų išnykti. (Taip pat žiūrėkite: „ Blockchain“ gali jus paversti ne „Equifax“ - jūsų duomenų savininku. )

Deja, „Nuzzi“ tęsiasi, įsilaužėliai muša gerbiamas svetaines į perforatorių, kuris naršyklių gavybą sieja su visuomenės vaizduotėje esančia kenkėjiška programine įranga ir „griauna viltį priimti tokias patikimas svetaines kaip„ Wikipedia “.

Salonas priima Plungę

Galbūt, bet bent viena patikima, jei stengiasi, svetainė apsivertė. Salonas bendradarbiauja su „Coinhive“, o vasario 11 d. - „Browsealoud“ nesėkmės dieną - pradėjo lankytojų, besinaudojančių skelbimų blokatoriais, paklausti, ar jie norėtų „blokuoti skelbimus leisdami salonams naudoti jūsų nenaudojamą kompiuterio galią“. DUK puslapyje paaiškinta, kad tai reiškia „monero mining“, nors jame neminimas jo dabar liūdnai pagarsėjęs partneris. (Taip pat žiūrėkite, Salonas nori naudoti kompiuterį „Cyrptocurrency“ gavybai. )

Norėdami įvertinti vartotojo patirtį, įjungiau porą skelbimų blokatorių, apsilankiau salone ir sutikau „slopinti skelbimus“. Tai neveikė. Pagrindinis puslapis pasidarė pusiau nepermatomas ir nenuskaitomas, kaip kartais nutinka, kai privalomą iššokantįjį langą užstoja skelbimų blokatorius (jei reklamos blokatorius yra būtina sąlyga, norint pasirinkti kriptovaliutą). Po šiek tiek apsimestinio - tokio, dėl kurio normaliomis aplinkybėmis turėčiau paskatinti naršyti kitur - buvau kasamas moneroe mainais už tai, kad supjaustiau liberalų komentarus.

Nemačiau jokių skelbimų, bet, žinoma, rinkau skelbimų blokatorius. Puslapis nuolat įkeldavo tam tikrus elementus, todėl tekstas pasislenka kas kelias sekundes. Buvo sunku skaityti. Šiek tiek įtariai mano skelbimų blokatorių skaitikliai pažymėjo iki 11 ir 29, nurodydami, kad užklausos užblokuotos, kiekvieną kartą perkraunant.

Aš neabejotinai buvau kasamas. Prieš apsilankydamas puslapyje, mano „Macbook“ veiklos monitorius nerodė jokios programos, kurioje būtų naudojama daugiau kaip 10% procesoriaus. Mano apsilankymo metu „Chrome Helper“ svyravo nuo maždaug 50% ir iki - vienu metu - 320%. „Chrome“ energijos poveikis taip pat išaugo į trigubą skaičių; 12 valandų vidurkis yra 46.

El. Laiškas „Salon“ viešųjų ryšių firmai, kuriame klausiama apie pardavimo vietos patirtį dirbant su naršyklių gavyba, negavo iškart atsakymo. Šis straipsnis bus atnaujintas, kad atspindėtų salonų atsakymus.

Ar gali veikti naršyklės gavyba?

Mano trumpas susidūrimas su naršyklės gavyba atskleidė žagsėjimą, būdingą beta versijoms. Tačiau energijos suvartojimas yra kliūtis, kurios neišspręs nedideli patobulinimai. Bitcoin kalnakasiai plūsta į Kvebeką, nes elektra yra pigi. Pagrobėjai kasinėja lankytojų naršykles dėl tos pačios priežasties. Nors sunku įvertinti pinigų gavybos poveikį salonui, elektros suvartojimo padidėjimas buvo akivaizdus. Jei nemaža dalis interneto pritaikytų naršyklių gavybą, naudojimasis internetu gali brangti.

Tas pats pasakytina ir apie aparatinės įrangos naudojimą. „WannaMine“ pateikė tokią problemą, nes, kaip teigė „Panda“, „būdas, kuriuo ji stengiasi maksimaliai išnaudoti procesorių ir RAM, daro kompiuterį didelę įtampą“. Jei svetainės neriboja lankytojų kompiuterių keliamų reikalavimų, procesai lėtai nuskaitys ir aparatūra susidėvės žymiai greičiau.

„Nuzzi“ nenuvertina šių problemų. „Jei naršyklės pagrindu vykdoma kasyba taps daiktu, tikrai bus piktnaudžiaujama, kai kalbama apie kalnakasybos gijų, kurias sunaudoja svetainė, skaičių“, - sakė jis el. Paštu. Kita vertus, „kaip ir reklamose, bus būdų, kaip užblokuoti tą šifrą, todėl interneto svetainės turi išsiaiškinti, koks turėtų būti teisingas balansas, kitaip vartotojai nustos lankytis svetainėje arba blokuos kasyklą“.

Kalbant apie elektros energijos naudojimą, „monero“ maišos funkcija „CryptoNight“ yra lengvesnė nei, tarkime, bitcoin SHA-256. „Monero mining“ nėra didelė problema nešiojamųjų kompiuterių vartotojams “, sako Nuzzi, tačiau„ tai tikrai neleidžia naudoti kai kurių išmaniųjų telefonų naudojimo atvejų “, nes jų ribota akumuliatoriaus talpa.

Tuomet kyla rizika, kad maišos greičio ginklų varžybos, dėl kurių bitkoinų ir „Litecoin“ procesorių ar net GPU kasyba tapo nepelningos, užkirs kelią naršyklės kasybos pastūmimui. Priežastis, dėl kurios „Coinhive“ ir „WannaMine“ naudoja monero, yra ta, kad ji yra viena iš vienintelių kriptovaliutų, kurias galima pelningai iškasti naudojant procesorių. Atsižvelgiant į tinkamas ekonomines paskatas, argi mononeras negali nukentėti nuo ASIC, specializuotos aparatinės įrangos, skirtos tik kuo greičiau atlikti maišos funkcijas?

Nuzzi taip nemano. „CryptoNight“ jis vadina „nuostabiai suprojektuotu“, pridurdamas, kad tai leidžia „Monero“ iškasti naudojant įvairius įrenginius, įskaitant išmaniuosius telefonus, nes dauguma jų turi bent 2 GB RAM, o „CryptoNight“ egzemplioriui inicijuoti reikia tik 2 MB. į „Scrypt“ („Litecoin“ sutarimo algoritmas), „CryptoNight“ yra daug atsparesnis grandinės integracijai, kuri leidžia kurti ASIC “.

„Monero“ kūrėjai taip pat pažadėjo pakeisti algoritmą, jei bus sukurta ASIC. „Gamintojai, tokie kaip„ Bitmain “, niekada neskiria MTTP biudžeto, kad sukurtų„ Monero ASIC “, atsižvelgiant į šią riziką“, - sako Nuzzi. (Taip pat žiūrėkite „ Bitcoin vs. Litecoin“: koks skirtumas? )

Ilgai uždelsta

Jei kriptovaliutos išstumia reklamas kaip pagrindinį būdą užsidirbti pinigų iš interneto turinio, tai būtų įvykdytas vienas iš pirmųjų kriptovaliutos pažadų.

Argumentas, kad bitcoin mikromokėjimai svetainėms gali sutrikdyti dabartinį modelį, nukentėjo dėl didėjančių operacijų mokesčių, tačiau buvo bandoma naudoti ir kitus žetonus, pavyzdžiui, skelbimą blokuojantį „Brave“ naršyklės pagrindinį dėmesio žetoną. Tačiau kol finansuojama piniginė ir kompensuojamos svetainės, kurių skelbimus blokuojate, išlieka neprivalomos - kaip tai daroma „Brave“ -, atrodo, kad modelis greičiausiai nepateiks svetainių jiems reikalingų pajamų. (Drąsus, reikia pasakyti, tikrai įsivaizduoja vietą reklamuotojams savo platformoje.)

Negarantuojama, kad naršyklės gavyba įsitvirtins arba kad poveikis vartotojų įrangai ir sąskaitoms už elektrą nebus užkertamas kelias sandoriui. Vis dėlto yra tikimybė, kad erzinančios, įkyrios, kartais kenksmingos reklamos arba programos, kurias naudojate joms blokuoti, yra pakeliui.

Investuoti į kriptovaliutas ir kitus pirminius monetų siūlymus (toliau - ICO) yra labai rizikinga ir spekuliatyvi, todėl šis straipsnis nėra „Investopedia“ ar rašytojo rekomendacija investuoti į kriptovaliutas ar kitas ICO. Kadangi kiekvieno žmogaus padėtis yra unikali, prieš priimant bet kokius finansinius sprendimus, visada reikia pasitarti su kvalifikuotu specialistu. „Investopedia“ nepateikia jokių garantijų dėl čia pateiktos informacijos tikslumo ar savalaikiškumo. Nuo šio straipsnio rašymo dienos autorius neturi jokios kriptovaliutos pozicijos.