Обменник

Могут ли злоумышленники сделать ваш браузер в Интернете для биткойнов? Как насчет вашего телевизора? Недостатки безопасности в некоторых системах могут сделать это возможным, говорят эксперты.

Немецкие исследователи обнаружили недостаток в телевизорах гибридного широковещательного широкополосного телевидения (HbbTV), которые могут позволить злоумышленнику запускать вредоносный код, в том числе биткойн-шахтеров, говорит один отчет ,

Эти устройства относятся к числу растущих числа смарт-телевизоров, которые всегда подключены к Интернету и получают доступ к онлайн-услугам в дополнение к цифровому телевидению, чтобы улучшить восприятие. Исследование проводилось Марко Гиглири, Флорианом Освальдом и Эриком Тисом из Технического университета Дармштадта. Консультация Martin Herfurt из Германии Nruns также исследовали телевизоры Samsung, о которых идет речь. Было обнаружено, что у них есть недостатки, которые позволяют злоумышленникам вводить собственное содержание.

Это произошло раньше с другими телевизорами Samsung. Некоторые считают, что можно запускать биткойн-шахтеров на таких взломанных устройствах.

«Это вполне возможно, и некоторые смарт-телевизоры были взломаны удаленно», – сказал эксперт по криптографии и безопасности Серхио Лернер, генеральный директор аргентинской компании Certimix, который участвует в тестировании недостатков безопасности в протоколе Bitcoin.

В отчете SC Magazine утверждается, что браузер, основанный на браузере JavaScript, такой как Биткойн Плюс , может использоваться для манипулирования браузерами смарт-ТВ в рулонах для монет. Это программное обеспечение использует ссылку на удаленный файл JavaScript, содержащийся в коде, который может быть встроен в любую веб-страницу (есть также плагин WordPress). Компьютеры, посещающие страницу с кодом, будут убеждены начать добычу монет, отправив их на адрес владельца страницы.

Мы видели, как другие использовали идею встроенного JavaScript для «кражи» мощности процессора от посещающих компьютеров. Одна опытная команда программистов создала Smidge, технологию, которая делит проблемы между множеством компьютеров, посещающих один веб-сайт. Они используют его для решения шахматных задач сейчас, но веб-распределенный биткойн-шахтер наверняка не может быть далеко, говорит один ,

Использование большого количества компьютеров для совершения ваших ставок без согласия известно как botherding – и сеть этих зомби-машин называется ботнетом. Возможно, мы должны назвать ту же технику для биллинга биткойнов. И такая сеть будет битнет.

«Я предполагаю, что вы можете использовать практически любую систему и любое оборудование для своих биткойнов, это просто вопрос эффективности», – говорит Клаудио Гварнири, исследователь в охранной фирме Rapid7, который исследовал битнетов, таких как Skynet в прошлом. Обычно они включают вредоносное ПО, размещенное на машине, тогда как эти «атаки» используют JavaScript для установки каких-либо вредоносных программ, а просто для того, чтобы жертва сделала некоторые бесплатные вычисления.

Проблема с биллингами с использованием мощности процессора заключается в том, что вам просто нужно столько всего, – указывает Гарньери, не соглашаясь с Надольным. «Оба случая, которые вы указали, являются интересными хаками, но они никогда не станут выгодным способом для биткойнов: использование JavaScript будет слишком медленным».

Скайнет имел от 150 000 до 200 000 хостов, и это было относительно успешным, сказал он. Лернер соглашается. «Смарт-ТВ будет очень медленным шахматом Bitcoin, и вам понадобятся тысячи телевизоров, чтобы заработать что-то значимое. Не хороший источник дохода », – утверждает он.

Это было бы очень медленно. Intel Core2 Duo будет доставить около 2.5Megahash / sec, что означает, что вам нужно, чтобы 240 из этих пользователей посетили ваш сайт, чтобы равняться хеш-ставке AMD 7970.

Тем не менее, это не выходит за рамки возможности управлять графическим процессором с помощью веб-страницы, повышая вычислительную мощность. WebGL, веб-графический язык, предназначенный для высокопроизводительной онлайн-графики, был использован для создания аппаратно-ускоренные примеры ,

Возможно, у вас будет больше шансов сделать эту работу с помощью базы данных на основе Scrypt, которая совместима с процессором и графикой, а многие из них имеют более низкий коэффициент хэширования. Текущая нормальная хеш-скорость Feathercoin составляет около 660 мегабайт в секунду, что делает эти 240 процессоров более доступными.

Это предполагает, что эти невольные посетители ничего не делают со своим компьютером и остаются на вашем веб-сайте. Но тогда, как вы заставляете людей оставаться на странице? Вам понадобятся постоянные, постоянные процентные ставки, когда люди будут держать страницу открытой, чтобы сделать горную работу. Это нормально, если вы забираете кучу добровольцев (в этом случае это не битнет, это сообщество). Меньше, если вы пытаетесь обмануть людей в разработку на основе браузера.

Вам нужно будет внедрить это на очень популярный сайт, и если вы все-таки похожи на человека, вы, вероятно, просто заразите компьютеры посетителей загружаемой загрузкой, чтобы вы могли их невольно даже когда они покидают сайт.

Наиболее подходящим способом монтирования атаки bitherding было бы компрометировать машину напрямую и использовать ее GPU, соглашается Guarnieri. «Есть тонны бот-сетей, которые бросают биткойн-шахтеров, в большинстве случаев они фактически внедряют законного клиента на добычу полезных ископаемых, например, Ufasoft one ,” он говорит.

В качестве альтернативы вы бы нацелились на оптимизированные для игр системы, которые, скорее всего, будут иметь виды графически-дружественного программного обеспечения, хорошо известные для высоких коэффициентов хэширования. Это именно то, что Ассоциация развлечений E-Sports (EASA) сделал, когда встроенный bitcoin mining software внутри своего клиентского программного обеспечения – предположительно, как шутка от первого дурака – и раздражал своих пользователей. Клиент был разработан, чтобы остановить других игроков, обманывающих вас, когда вы играли в онлайн-игры, но фирма включила код биткойн-добычи в качестве скрытого дополнения, прежде чем вытащить патч через несколько недель в ответ на жалобы пользователей.

Короче говоря, взломать телевизоры для моих биткойнов или злонамеренно обманывать компьютеры в их добычу просто путем посещения веб-сайта – это простое предложение. Есть гораздо более простые способы скрытно усилить людей в добыче ваших монет для вас. Но если вы хотите собрать команду нетехнических добровольцев в заведомо добывающую валюту на основе Scrypt для хорошей причины, у этой идеи могут быть только ноги.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here