Nimi kertoo kaiken: WannaMine. Panda, Bilbaossa, espanjalainen kyberturvallisuusyritys, kirjoitti helmikuun alussa, että "uusi haittaohjelmavariantti on ottanut tietokoneita ympäri maailmaa, kaappaamalla heidät kryptovaluutan, nimeltään Monero, kaivokseen".
Virus muistuttaa WannaCryä, matoa, joka pyyhkäisi maapalloa toukokuussa 2017, salaamalla tartunnan saaneiden järjestelmien tiedot ja vaatien bitcoin-lunnaismaksuja salauksen purkamiseksi. Mutta WannaMine käyttää erilaista lähestymistapaa salaustekniikan väärentämiseen uhreiltaan: se käyttää heidän koneidensa prosessointitehoa CryptoNight-nimisen algoritmin suorittamiseen uudestaan ja uudestaan toivoen löytävänsä tietyn kriteerin täyttävän tiivisteen ennen kuin muutkin kaivostyöläiset tekevät. Kun näin tapahtuu, uusi lohko louhitaan, jolloin luodaan kimpale uutta moneroa - arvoltaan noin 1500 dollaria kirjoituksen tekohetkellä - ja talletetaan ennakkomaksu hyökkääjän lompakkoon.
Mahdollisuudet, että jokainen kaivostyöntekijä löytää seuraavan lohkon ensin ja saavat palkinnon, ovat pienet, mutta tartuttavat tarpeeksi suorittimia ja voit hakata yhdessä kunnollisen tulovirran. Koska uhri maksaa sähkölaskut ja toimittaa laitteistot, kustannukset hyökkääjälle ovat vähäiset. (Katso myös, Kuinka Bitcoinin louhinta toimii? )
"Konseptin todistus"
11. helmikuuta samanlainen, mutta melko näyttävä hyökkäys paljastettiin. Kyberturvallisuustutkijat Scott Helme ja Ian Thornton-Trump (phat_hobbit) huomasivat, että sivustot Yhdistyneen kuningaskunnan kansallisesta terveyspalvelusta Yhdysvaltain tuomioistuimiin kaappaavat vierailijoiden selaimet minun monerooni.
Ummm, niin joo, tämä on * huono *. Minulla oli juuri @phat_hobbit huomauttanut, että @ICOnewsin sivustoon on asennettu salaustekniikka… pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11. helmikuuta 2018
Syyllinen oli englanninkielisten hallitusten suosima teksti-puhe-laajennus nimeltään Browsealoud, joka oli saanut tartunnan Coinhiveen, selaimen sisäiseen monero mineriin, joka ei välttämättä sinänsä ole haittaohjelma: Sen tarjoajat esittävät sen laillisena tapana ansaita liikennettä, mutta kysy käyttäjiltä aivan liian vähän kysymyksiä emolevyn mukaan.
Toistaiseksi, joten 2018. Mutta jotain ei ole menossa. Hyökkääjät eivät tehneet mitään: noin 24 dollaria, jota ei edes maksettu, Coinhive kertoi emolevylle. Ja kuten Helme huomautti, hyökkäys olisi voinut olla paljon pahempaa: "Hyökkääjillä oli mielivaltainen käsikirjoitus tuhansissa sivustoissa, mukaan lukien monet NHS-sivustot täällä Englannissa." He olisivat voineet varastaa veneenkuormia erittäin arvokkaita henkilötietoja. Mutta he eivät.
Lisäksi ottaen huomioon heidän valitun hyökkäysmenetelmän, hyökkääjien olisi pitänyt valita korkeamman liikenteen, vähemmän tarkastettuja, alhaisemman turvallisuuden kohteita: pornosivustot ovat suosittuja salaustekniikan käyttäjien keskuudessa, koska ne täyttävät nämä kriteerit.
Näyttää siltä, että kaappaajien tavoitteena ei ollut ansaita rahaa. Ehkä, kuten Wired UK: n Matt Burgess sanoi - Malwarebytes-analyytikko Chris Boyd sanamuotoa sanoen - he olivat "luoneet sen sijaan konseptitodistuksen".
Salaus häiritsee mainosmallia?
Mikä käsite voi olla, Boyd ei tarkennut. "Katsotaanpa, kuinka hullu asia voidaan tehdä näillä skripteillä", hän kuvitteli hakkereiden sanovan.
Mutta Digital Asset Researchin vanhempi analyytikko Lucas Nuzziilla on idea. "Selainpohjaiset kaivostyöläiset, kuten Coinhive, ovat olemassa olevan hyödyllisen PoW: n paras toteutus", hän tweetti. "Ensimmäistä kertaa Internetin historiassa verkkosivustoilla on tapa ansaita sisältöä ansaitsemalla käyttäjiä pommittamalla mainoksia."
Mahdollisuudet eivät rajoitu mainospohjaisiin malleihin, myöskään:
2 \ Nämä kaivostyöläiset voidaan toteuttaa alle 20 koodirivillä. Wikipedian ei tarvitsisi kysyä lahjoituksia, jos se olisi ottanut käyttöön selainpohjaisen kaivostoiminnan.
- Lucas Nuzzi (@LucasNuzzi) 15. helmikuuta 2018
Selaimen louhinta voi häiritä nykyisiä kaupallistamismalleja verkkosisällöntuottajille. Internet-mainokset - jotka ovat ärsyttäviä, sisältävät usein haitallisia koodeja ja tukevat tiedonvälitysteollisuutta, joka vaarantaa käyttäjien yksityisyyden ja turvallisuuden - voitaisiin siirtää tukevaan rooliin. Lahjoitukset - jotka Wikipedian perusteiden perusteella eivät leikkaa sitä - saattavat myös haalistua. (Katso myös, Blockchain voi tehdä sinusta - ei Equifaxista - tietosi omistajan. )
Valitettavasti Nuzzi jatkaa, hakkerit lyövät hyvämaineisia sivustoja booliin, joka yhdistää selaimen louhinnan yleisen mielikuvituksen haittaohjelmien kanssa ja "murskaa toivon hyväksytystä hyvämaineisten verkkosivustojen, kuten Wikipedian".
Salonki ottaa askeleen
Ehkä, mutta ainakin yksi hyvämaineinen, jos kamppailee, sivusto on ottanut aseman. Salon on ollut yhteistyössä Coinhiveen, ja helmikuun 11. päivänä - Browsealoud-häiriöpäivänä - se aloitti kyselyn käyttäjiltä, jotka käyttivät mainosten estäjiä, jos he haluaisivat estää mainoksia sallimalla Salonilla käyttää käyttämätöntä tietokonevoimaa. UKK-sivulla selitetään, että tämä tarkoittaa moneron louhintaa, vaikka siinä ei mainita nykyään pahamaineisen kumppanin nimeä. (Katso myös, Salon haluaa käyttää tietokonetta Cyrptocurrency-louhintaan. )
Käyttäjäkokemuksen arvioimiseksi otin käyttöön pari mainosten estoa, kävin Salonissa ja suostuin "tukahduttamaan mainokset". Se ei toiminut. Kotisivusta tuli puolittain läpinäkymätön ja napsauttamaton, kuten joskus tapahtuu, kun pakollinen ponnahdusikkuna peittää ad-esto (jos adblocker on välttämätön ennakkoedellytys kryptominerin valinnalle). Jotkut vihannukset - sellaiset, jotka olisivat johtaneet minut selaamaan muualla normaaleissa olosuhteissa - kaivoin moneroa vastineeksi leikata liberaaleja kommentteja.
En nähnyt mainoksia, mutta tietenkin toimin mainosten estäjiä. Sivu lataa jatkuvasti tiettyjä elementtejä, jolloin teksti hyppää muutaman sekunnin välein. Oli vaikea lukea. Hieman epäilyttävästi mainosten estolaitteiden laskurit tarkistivat numeroihin 11 ja 29 osoittaen, että pyynnöt on estetty jokaisella uudelleenlatauksella.
Olin epäilemättä kaivos. Ennen sivulla käymistä MacBookin aktiivisuusmonitorissa ei ollut sovelluksia, jotka käyttävät yli 10% prosessorista. Vierailuni aikana Chrome Helper vaihteli noin 50%: sta - yhdessä vaiheessa - 320%: iin. Chromen energiavaikutus nousi myös kolminkertaiseksi; 12 tunnin keskiarvo on 46.
Salonin PR -yritykselle sähköpostitse, jossa kysyttiin myyntipisteen kokemuksesta selaimen kaivostoiminnasta, ei saatu välitöntä vastausta. Tämä artikkeli päivitetään vastaamaan Salonin vastauksia.
Voiko selaimen kaivostoiminta toimia?
Lyhyt kohtaamiseni selaimen louhinnan kanssa paljasti sellaiset hikkaat, jotka ovat tyypillisiä beetaversioille. Virrankulutus on kuitenkin este, jota pienet parannukset eivät ratkaise. Bitcoinin kaivostyöläiset ovat tulossa Quebeciin, koska sähkö on halpaa. Kaappaajat kaivovat kävijöiden selaimia samasta syystä. Vaikka kaivostoiminnan rahallisia vaikutuksia Salonin puolesta on vaikea arvioida, sähkönkulutuksen kasvu oli ilmeistä. Jos huomattava osa verkkoa omaksuu selaimen louhinnan, Internetin käyttö voi kallistua.
Sama koskee laitteiston käyttöä. WannaMine esitti tällaisen ongelman, koska kuten Panda totesi, "tapa, jolla se yrittää hyödyntää prosessoria ja RAM-muistia mahdollisimman paljon, asettaa tietokoneen suuriin rasitteisiin". Ellei sivustot rajoita vierailijoiden tietokoneille asettamia vaatimuksia, prosessit hidastuvat indeksointiin ja laitteistot kuluvat huomattavasti nopeammin.
Nuzzi ei alenna näitä ongelmia. "Jos selainpohjaisesta kaivostoiminnasta tulee asia, siellä käydään ehdottomasti väärinkäyttöä kaivoslankojen lukumäärän suhteen, jota verkkosivusto kuluttaa", hän sanoi sähköpostitse. Toisaalta, "kuten mainoksia, siellä on myös tapoja estää kyseinen salausta, joten verkkosivustojen on selvitettävä, mikä käyvän tasapainon pitäisi olla, muuten käyttäjät lopettavat vierailun verkkosivustolla tai estävät kaivosmiestä".
Sähkön käytön suhteen moneron hash-toiminto CryptoNight on kevyempi kosketus kuin esimerkiksi bitcoinin SHA-256. Monero-kaivostoiminta "ei ole suuri ongelma kannettavien tietokoneiden käyttäjille", sanoo Nuzzi, mutta "se varmasti hillitsee joitain älypuhelimien käyttötapoja" rajoitetun akkukapasiteettinsa ansiosta.
Tällöin on vaara, että hash rate -kilpailu, joka on tehnyt CPU: n ja jopa GPU: n bitcoinin ja litecoinin louhinnan kannattamattomaksi, estää selaimen kaivostoiminnan. Syynä siihen, että Coinhive ja WannaMine käyttävät moneroa, on, että se on yksi harvoista kryptovaluutoista, jotka voidaan tuottaa kannattavasti CPU: lla. Ottaen huomioon oikeat taloudelliset kannustimet, eikö monero saisi myös joutua ASIC: ien, erikoistuneen laitteiston, joka on suunniteltu suorittamaan vain hash-toiminnot läpi mahdollisimman nopeasti, uhreiksi?
Nuzzi ei usko niin. Hän kutsuu CryptoNightia "loistavasti suunniteltuksi" ja lisäämällä, että sen avulla Monero voidaan louhia käyttämällä erilaisia laitteita, mukaan lukien älypuhelimet, koska suurimmalla osalla niistä on vähintään 2 Gt RAM-muistia, kun taas CryptoNight-ilmentymän käynnistämiseen vaaditaan vain 2 Mt. Scryptiin (Litecoinin konsensusalgoritmi), CryptoNight on paljon kestävämpi piirien integrointiin, mikä mahdollistaa ASIC: ien rakentamisen."
Moneron kehittäjät ovat myös luvanneet muuttaa algoritmin, jos ASIC kehitetään. "Bitmainin kaltaiset valmistajat eivät koskaan osoittaisi T & K-budjettia Monero ASIC: n kehittämiseen tämän riskin vuoksi", Nuzzi sanoo. (Katso myös, Bitcoin vs. Litecoin: Mikä on ero? )
Pahasti myöhästynyt
Jos kryptominointi syrjäyttää mainokset ensisijaisena tapana ansaita online-sisältöä, se olisi yhden kryptovaluutan aikaisimpien lupausten täyttäminen.
Väite, jonka mukaan sivustoille maksettavat bitcoin-mikromaksut voisivat häiritä nykyistä mallia, joutuivat nousevien transaktiomaksujen uhreiksi, mutta muita yrityksiä on yritetty käyttää muilla tunnuksilla, kuten mainosta estävän Brave-selaimen Basic Attention Token. Mutta niin kauan kuin rahoittaa lompakko ja kompensoida sivustoja, joiden mainokset estävät, on edelleen valinnaista - kuten Brave-mallissa on - malli näyttää todennäköisesti tarjoavan sivustoille tarvittavia tuloja. (Rohkea, pitäisi sanoa, kuvittelee paikka mainostajille sen alustalla.)
Ei ole mitään takeita siitä, että selaimen kaivostoiminta tarttuu kiinni tai että vaikutus käyttäjien laitteisiin ja sähkölaskuihin ei tule olemaan rikkoja. On kuitenkin mahdollista, että ärsyttävät, tunkeilevat, toisinaan haitalliset mainokset tai ohjelmat, joita käytät niiden estämiseen, ovat matkalla.
