skip to main | skip to sidebar
42 commenti

Siti sfruttano i computer dei visitatori per generare denaro digitale

Credit: AdGuard.
Ultimo aggiornamento: 2017/12/18 23:30. 

Se visitate un sito e vi accorgete che la ventola del vostro computer inizia a girare follemente e il computer si scalda parecchio, non è detto che sia colpa del sito progettato maldestramente: potrebbe essere assolutamente intenzionale. Alcuni siti, anche molto famosi, hanno infatti cominciato a sfruttare i computer dei visitatori per generare criptovalute (non bitcoin ma altre criptovalute analoghe).

Le criptovalute, infatti, si basano sul mining, ossia sulla generazione di unità di valuta tramite la risoluzione di complesse equazioni; chi le risolve si tiene le unità di valuta corrispondenti. Il problema è che questi calcoli consumano molta energia e quindi hanno un costo elevato, che i disonesti tentano di far pagare a qualcun altro. Così qualcuno ha pensato di far fare i calcoli ai computer dei visitatori dei siti Web.

Il vertiginoso aumento del tasso di cambio dei bitcoin rispetto alle valute tradizionali ha creato una febbre intorno alle criptovalute e ha incoraggiato questa nuova forma di abuso informatico, prontamente battezzato cryptojacking o stealth mining. In pratica, le pagine di un sito contengono del codice che viene eseguito dai computer dei visitatori ed effettua le complesse operazioni matematiche necessarie per generare una criptovaluta a favore del titolare del sito. In pratica, questi siti si arricchiscono facendo lavorare i computer dei loro frequentatori.

Lo ha fatto, per esempio, il popolare sito di download The Pirate Bay, che a settembre ha aggiunto sperimentalmente alle proprie pagine uno script che usava la potenza di calcolo dei dispositivi dei visitatori per generare la criptovaluta Monero e intascarsela. L’intento era trovare un modo per pagare le spese di gestione del sito senza ricorrere alla pubblicità.

Il sistema usato da The Pirate Bay si chiama Coinhive e dopo questo uso sperimentale è iniziato l’abuso: invece di avvisare gli utenti della situazione, come sarebbe corretto fare, un numero crescente di siti molto popolari ha inserito il codice di Coinhive nelle proprie pagine di nascosto. Lo hanno fatto per esempio alcuni siti di streaming video, come Openload, Streamango, Rapidvideo e OnlineVideoConverter, e una filiale di Starbucks è stata colta a usare Coinhive per sfruttare i computer dei clienti che si collegavano al suo Wi-Fi.

I siti di streaming in questione hanno totalizzato quasi un miliardo di visitatori in un mese, per cui si stima che abbiano incassato circa 326.000 dollari in Monero.

In teoria il sistema Coinhive dovrebbe smettere di sfruttare i computer dei visitatori quando lasciano il sito, ma ovviamente c’è chi ha pensato bene di abusare di questo sistema usando un JavaScript che crea nel browser dell’utente una piccola finestra nascosta, nella quale lo sfruttamento continua anche dopo che l’utente crede di aver lasciato il sito.

Starbucks è intervenuta bloccando l’abuso, ma resta il problema degli altri siti, circa 2500 secondo una stima, che continuano lo sfruttamento dei visitatori. Ci sono anche app che sfruttano i dispositivi degli utenti per generare criptovalute che finiscono nelle tasche dei creatori delle app stesse: alcune di queste app sono state offerte in Google Play e scaricate in tutto circa 15 milioni di volte prima di essere scoperte.

Difendersi da questi abusi non è facile, ma si possono usare alcuni adblocker o plug-in per Google Chrome, per esempio seguendo queste istruzioni.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (42)
adblock è uno strumento efficace/sufficiente tecnicamente?
Io ho modificato il file hosts reindirizzando tutti questi miner a 127.0.0.1... poi si, se ne nasce uno nuovo o simettono lo script in locale mi fregano :/
Combinate i pulsanti nella barra delle applicazioni SOLO SE NECESSARIO e non lasciate l'impostazione "Sempre, mostro solo icone", e visualizzate anche sempre TUTTE le icone nell'area di notifica... se una pagina di Chrome (ammesso che usiate questo browser) rimane aperta e non vedete nulla a video neppure cercando di ingrandirla, avete il programmino del mining che sta girando, ma ve ne accorgete. Se lasciate sempre tutte le icone raggruppate (default) è molto più difficile capirlo.
Domanda da lettore di fantascienza anni '70: ma tutti questi calcoli che si fanno per miniare...portano a qualcosa? Ho letto che si forza un algoritmo, ma che algoritmo è?
Visione complottista: non è che questo miniare bitcoin non sia altro che usare una enorme rete di computer per forzare un sistema...tipo che alla fine la soluzione è la schermata di accesso della Banca Centrale Svizzera?!
Non ho capito a cosa servirebbero tutti i calcoli che si fanno per miniare? Fini a se stessi oppure il fine è forzare un sistema informatico?
A parte Monero, Coinhive non dovrebbe funzionare con bitcoin e ethereum - che sono onerosissime da minare, sopratutto bitcoin. Potrebbe funzionare con le fiches dei casinò/vlt virtuali!
X Andrea e unknown: Minare non è la traduzione di mining. Mining vuol dire estrarre materiali preziosi, in questo caso scoprire bitcoins. Semplificando moltissimi questi calcoli servono a risolvere un algoritmo che definisce i bitcois,
Partendo dal presupposto che sia eticamente scorretto, mi chiedevo: la pratica è illegale?
Vero che si usa la potenza computazionale del processore del visitatore senza avvisarlo, ma lo si fa anche quando si usano altri script lato utente.
mi pare che siti come blogo.it blogosfere &c. implementino questo abuso, a giudicare dal contatore dell'ad-blocker che inizia a mostrare centinaia e più di numeri...
Ciao a tutti,
Vorrei proporre a Paolo (o a qualche volenteroso) di (tentare? ) di spegare come l'esecuzione di questi complessi calcoli matematici , èpossano condurre alla generazione di una forma di "ricchezza" .... per quanto leggo in giro, questo concetto in tutte le spiegazioni che ho trovato in giro al riguardo, viene tralasciato a favore della spiegazione delle "cripto"valute in se, e/o lasciato per scontato.... Ma (almeno per me...) non è scontato per niente..... GRAZIE!!!! (michele)
Sarà che chi violenta la lingua italiana io lo appenderei per i gioielli, ma perché "minare"? In italiano, minare significa piazzare delle mine. Si mina un ponte, una roccia, un campo, non un computer. Se il "miner" è il minatore ed il fine ultimo del "mining" è quello di estrarre il minerale (e in questo caso la criptocagata) perché non dire semplicemente "estrarre", che poi è esattamente quello che tutte queste complicate operazioni alla fine fanno? Mah....
Mi pare che i calcoli fatti dal Bitcoin servano proprio a permettere gli scambi in Bitcoin.
E' interessante cercare "coinhive.min.js" su google : si trovano siti che lo usano direttamente, senza darsi neanche la pena di rinominare il file javascript.
Altri siti lo elencano (con risultati) nelle loro ricerche standard di utenti di specifici prodotti javascript.
... intriguing !!!
Continuo a leggere commenti e richieste di chiarimento su come funzionano i bitcoin a margine di un post che non riguarda i bitcoin. Monero, la criptovaluta che appesta i vostri browser non va scambiata con i bitcoin. Credo che ognuno di voi sia ben consapevole della moneta nella quale viene pagato dal suo datore di lavoro. E farebbe una colossale differenza se foste pagati in euro o rubli o fiches del casinò di Venezia.

@Paolo: Per favore, ritagga l'articolo dato che i bitcoin non sono sfruttabili con questa tecnica di hackeraggio.
"Sarà che chi violenta la lingua italiana io lo appenderei per i gioielli, "

Se ognuno di quelli che ritengono qualche cosa meritevole di commenti del genere li esprimesse, penso che internet sarebbe ricoperto da migliaia di polemiche su aspetti secondari.

Ah... ma davvero è proprio quello che accade? :)

Facciamo chiarezza allora.

Non pretendo che le mie opinioni siano giuste, e che qualcuno debba essere "appeso per le palle" se non è d'accordo con me, sebbene esistono vaste evidenze sull'argomento, ma la lingua è un qualcosa in continua ed inarrestabile evoluzione.

A volte termini preesistenti vengono usati con nuove accezioni, e la rigidità della lingua italiana - rispetto per esempio a quella inglese - non aiuta nel processo. A quel punto bisogna inventarsi qualcosa di nuovo. Spesso lo spunto è una traduzione dall'inglese, lingua dominante, che aiuti a distinguere la nuova accezione da quelle precedenti.

"Salvare", usato ormai da tutti per indicare l'operazione di conservazione delle di un "file", ne è un esempio. Fino a 20 anni fa "salvare" significava tutt'altro. Oggi sta per "salvaguardare", "conservare" in ambito informatico. DI esempi se ne possono fare a centinaia: all'inizio si storce la bocca. Poi ci si abitua e nemmeno ci si fa più caso. Il caso di "mining" potrebbe essere analogo, se si vedrà che il termine funziona in questo senso e si afferma. Altri casi sono - il primo che mi viene in mente... oggi - "bannare" usato all'interno della comunità informatica al posto di "bandire", che è il termine generico. Altro esempio "scannare" (che io non uso vista l'immagine che evoca...).

D'altra parte il termine grammar-nazi è stato coniato apposta in inglese per indicare chi dirotta sistematicamente il discorso su aspetti grammaticali per denigrare l'avversario, e quindi le sue opinioni anche se legittime. Ne avevamo un esempio qui che è stato buttato fuori dal nostro "ospite".

Io sarei un po' più dubitativo sulle questioni relative alla lingua. Tutto qui.
Redirigere col file hosts crea comunque sovraccarico sul PC. Bisognerebbe denunciare sta gente
Domanda da ignorante totale: chi sfrutta la potenza di calcolo dei computer altrui "guadagana" moneta virtuale. Giusto?

I proprietari dei computer sfruttati, cosa ci rimettono, pragamaticamente? Rallentamenti del pc e usura extra dei componenti? Consumo di energia elettrica? Altro?
Visto che mi pare ci sia molta curiosità intorno al mining di Bitcoin, malgrado nell'articolo si parli di altra moneta virtuale, io ho trovato utile quest'altro articolo per 'intuire' qualcosa di più sul suo funzionamento ('capire' sarebbe una parola troppo grossa):
https://aspoitalia.wordpress.com/2017/08/22/bitcoin-la-catastrofe-ecologica/
Logicamente lasciando da parte il tema centrale dell'articolo che meriterebbe ben altre discussioni.
@jollyjumper

E non ti sembra abbastanza? Oltretutto, se leggi il link in inglese, noterai come questi script che sfruttano i pc altrui in molti casi nascondono anche veri e propri malware, tipo trojan, che sono tutto tranne simpatici.
DI esempi se ne possono fare a centinaia: all'inizio si storce la bocca. Poi ci si abitua e nemmeno ci si fa più caso.

Per "sindaca" o "ministra" non accadrà mai!!


D'altra parte il termine grammar-nazi è stato coniato apposta in inglese per indicare chi dirotta sistematicamente il discorso su aspetti grammaticali per denigrare l'avversario, e quindi le sue opinioni anche se legittime. Ne avevamo un esempio qui che è stato buttato fuori dal nostro "ospite".

Non per questo motivo.
@Martinobri

Quella in effetti me la son persa, puoi riassumere il motivo in 3 o 4 parole?
martinobri, pgc,

Ne avevamo un esempio qui che è stato buttato fuori dal nostro "ospite".

Non ricordo di aver buttato fuori nessuno perché dirottava "sistematicamente il discorso su aspetti grammaticali per denigrare l'avversario, e quindi le sue opinioni anche se legittime", e martinobri sembra confermare questo mio ricordo. A chi vi state riferendo?
E' uscito un articolo interessante (e almeno per me "pazzesco") su questo "mining" Il Post [http://www.ilpost.it/2017/12/18/bitcoin-mining-cina/]
Credo si parli del caro Accademia... a me personalmente manca! :-)
Se ricordo bene non fu buttato fuori, bensì invitato ad astenersi dalle sue precisazioni pedantesche... e piuttosto preferì andarsene.
Suvvia, riconosciamo l'elefante nella stanza (tanto per fare rabbrividire tutti.. :-)).

Non rammento bene per quale motivo Accademia dei Pedanti se ne sia andato/a ma, da quel che ricordo non l'ho mai sentito/a

"dirotta[re] sistematicamente il discorso su aspetti grammaticali per denigrare l'avversario".

La prima parte sì, ma la denigrazione proprio no.
Paolo dixit:
"Non ricordo di aver buttato fuori nessuno perché dirottava "sistematicamente il discorso su aspetti grammaticali per denigrare l'avversario, e quindi le sue opinioni anche se legittime", e martinobri sembra confermare questo mio ricordo. A chi vi state riferendo?"

https://www.youtube.com/watch?v=umGF5uEnJOM
Trovo la tua osservazione un filo troppo ACCADEMICA
:-D
@pgc
Se ti riferisci ad Accademia, non mi risulta sia stato buttato fuori, decise di autosospendersi perchè non accettava le critiche di chi lo riteneva inopportuno nelle sue continue correzioni. Almeno, ricordo un post in cui annunciava che avrebbe continuato a leggere il blog (e mi auguro che lo faccia) ma senza più commentare.
Personalmente era un po' fastidioso il fatto che si spostasse l'attenzione sulla forma piuttosto che sui contenuti di certe risposte, ma non sicuramente da meritarsi di essere "bannato", cosa che Paolo non ha fatto.
Andò in questo modo. Anni fa Paolo sospese Accademia dei Pedanti per una settimana perché a suo giudizio in una certa discussione aveva ecceduto nei toni. Accademia non accettò la "punizione" e disse che non si sarebbe più fatto vivo. A eccezione di un singolo messaggio qualche anno dopo mai più ripetuto, tipo il segnale WOW, mantenne il proposito.

Per i giovani del blog: il tale in questione associava a considerazioni decisamente interessanti molte correzioni puramente ortografiche, grammaticali e simili. Ad alcuni non dispiaceva, ad altri sembrava che questo spostasse troppo l'oggetto delle discussioni. Io mi limiterò a far notare che nel corso del tempo, in coincidenza con l'attività di Accademia, la qualità dei messaggi di alcuni che ora criticano era sensibilmente migliorata. Se ci fosse rapporto di causa-effetto non so :-)
Paolo,

martino ha esposto la cosa perfettamente.

Ma ricordo solo una cosa: subito dopo il mio PRIMO messaggio sul forum, rispose con un'arroganza ed una supponenza incredibile, trattandomi come se fossi un ragazzino. E non su questioni grammaticali. La stessa arroganza usata con tante persone, soprattutto chi si affacciava per la prima volta su questo blog.

Ovviamente, ritengo che si possano fare correzioni, ci mancherebbe, ma bisogna vedere COME lo si fa. Se lo si fa facendo notare la cosa gentilmente e distinguendo forma e contenuti va bene, e l'ho fatto anche io. Se lo si fa trattando gli altri come deficienti per un apostrofo saltato (spesso a causa di fretta e distrazione) o per qualche dubbia e opinabile questione formale, e peggio se si usa questo sistema, come spesso accadeva, per screditare gli argomenti altrui, NO. Anch'io non amo i commenti scritti in modo sciatto. Ma questo è una cosa. Pontificare su QUALSIASI piccolo errore è altra cosa.

Non se ne poteva veramente più. Avevo perso completamente ai tempi la voglia di scrivere, tanto finiva tutto in caciara, grazie soprattutto a lui.

E da allora non mi pare di avere visto questo peggioramento nella forma dei commenti, anzi. La discussione, anche se serrata in certi casi, non rischia continuamente di essere dirottata su minuzie insignificanti.
Il mining serve ad "autenticare" le transazioni in crypto valuta.
Chi effettua il mining ha diritto ad una piccola percentuale della valuta a cui è relativa la transazione.
Il calcolo genera un hash (con determinate caratteristiche) della transazione stessa.
Ma ricordo solo una cosa: subito dopo il mio PRIMO messaggio sul forum, rispose con un'arroganza ed una supponenza incredibile, trattandomi come se fossi un ragazzino. E non su questioni grammaticali. La stessa arroganza usata con tante persone, soprattutto chi si affacciava per la prima volta su questo blog.

Confermo: diventava arrogante con chiunque la pensasse diversamente anche se si trattava di obiezioni correttamente argomentate.
Sembrava che avesse la necessità di vincere in ogni discussione.

Infatti la "moderazione dei suoi commenti per una settimana" (questo fu il termine usato da Paolo, se non ricordo male) ci fu proprio perché, pur di difendere la sua posizione oggettivamente indifendibile, Accademia dapprima tentò di spostare arbitrariamente i paletti della discussione e poi alzò i toni al punto da costringere Paolo a bloccare i suoi commenti per una settimana al fine di calmarlo.
Segnalo che per chi usa (come me) uBlock Origin è già implementato il blocco del codice pestifero di CoinHive, e si può installare un filtro aggiuntivo che ne copre altri.

PS: volevo segnalare a Paolo Attivissimo che il Corriere qualche giorno fa ha apparentemente preso per veri (nel senso di seri) due articoli natalizi del BMJ, che tutti gli addetti sanno essere delle cosette umoristiche non particolarmente scientifiche. Ghiotta occasione per una tiratina d'orecchie =)
Tutto giusto tranne i riferimenti al bitcoin, che in questi casi è completamente estraneo.

Capisco però i riferimenti, per cercare di spiegare alla gente cosa sono le cryptovalute (cosa non semplice soprattutto se deve essere fatto senza citare l'unica cryptovaluta conosciuta dalla popolo).

Giusto per chiarezza, per minare bitcoin, si usano ormai solamente schede con all'interno stampata la funzione di Hash sha256.

Si chiamano ASIC o antminer. In pratica sono hardware dedicati che servono solo ed esclusivamente a minare monete che abbiamo come funzione di hasc la SHA256 (bitcoin, bitcoincash).


@andrea asrologo:
il concetto è un po' piu' complesso di come descritto da paolo (impossibile spiegare il mining in un paragrafo)
Alla base il punto della questione è che le transazioni di moneta (io do a te 2 btc, tu dai a paolo 1 btc), ogni 10 minuti vengono incluse in un blocco (un file). Questo blocco perchè sia immutabile nel tempo ha bisogno di un hash, proprio come quelli che vedi di fianco ai link per il download di programmi. L'hash serve a verificare che il blocco non subisca variazioni. Inoltre l'hash verrebbe generato in pochi centesimi di secondo, ma il sistema bitcoin altera la difficoltà di calcolo di questo hash, per tutta una serie di ragioni, facendo si che nel mondo il tempo medio per scoprire l'hash corretto di un blocco si aggiri sui 10 minuti circa (in media). Ho cercato di farla semplice ma è un sistema molto complesso ed interessante tecnicamente.


@pezzatoio
il valore del bitcoin non dipende dai calcoli, ma puramente dalla domanda e dall'offerta.
I calcoli servono per rendere sicure e immodificabili le transazioni. E' un discorso complesso ma trovi online tutte le spiegazioni




@ Gianmaria

Potresti fornirmi per favore un link ad una spiegazione abbastanza esaustiva ma non eccessivamente tecnica che illustri passo passo il sistema del bitcoin per un non-esperto? (Anche in inglese, non c'è problema).

Gran parte delle spiegazioni che ho trovato erano o eccessivamente superficiali o estremamente tecniche. Ho provato a leggere il paper di Satoshi Nakamoto ma non ci ho capito nulla perché giustamente dà per scontati un gran numero di concetti complessi che mi sono del tutto ignoti.

Molte grazie!
Mi associo alla richiesta di Ottone Manfredi!

@Gianmaria
ASIC è un termine generico per indicare un tipo di circuito elettronico. La realtà è che per ottenere le massime prestazioni con i minimi consumi si usano schede dedicate basate su ASIC o FPGA.
@Il Lupo Della Luna

"Redirigere col file hosts crea comunque sovraccarico sul PC"

Certamente, ma a meno che non si inseriscano centinaia di redirect l'impatto è talmente minore da non essere nemmeno notato. Al momento ho circa una quindicina, forse 20 domini bloccati e navigo perfettamente.
"Mastering bitcoin" è un manuale che si addentra nel tecnico, ma i primi capitoli sono discorsivi e alla portata di tutti.

Lo trovate anche parzialmente tradotto in italiano.

In italiano trovate il PDF online liberamente scaricabile ma è tradotto solo così così.... Ho apportato alcune correzioni ma non hanno ancora rigenerato il PDF.

https://www.bitcoinbook.info/translations-of-mastering-bitcoin/
Mi pare di ricordare che non abbia mai suggerito il sillogismo "Hai commesso un errore di grammatica, pertanto quello che dici è falso", mi pare di ricordare che se qualcuno lo abbia accusato di questo abbia spesso specificato che si preoccupava della grammatica,
ma soprattutto, e qui non so se la memoria mi inganna o se mi son perso qualche risposta, non se la è mai presa con me, che (non per vantarmi) nel suo dominio puzzo più di un capodoglio putrefatto in una sala operatoria.
Tre note:

1) Generare bitcoin significa trovare un blocco il quale hash a 256 bit sia inferiore all'attuale difficoltà (semplificando, deve iniziare con N-zeri). La difficoltà 1 (quella iniziale) ha i 32 bit più significativi a zero. Quella attuale (1'873'105'475'221), ha i 72 bit più significativi a zero. La difficoltà aumenta/diminuisce a seconda del numero di blocchi generati durante le ultime due settimane: siccome un blocco deve essere approvato dalla rete, eventuali blocchi "fraudolenti" verranno rifiutati.

2) Purtroppo il Bitcon (e i sistemi di moneta equivalenti) è - almeno attualmente - un sistema energicamente insostenibile: se tutte le transazioni (indicativamente 100 miliardi all'anno) venissero fatte con la criptomoneta, si consumerebbe all'incirca l'equivalente di tutta l'energia elettrica consumata a livello mondiale (22'000 TWh / anno, circa 2.5 TW di potenza istantanea richiesta). E questo è solo il conteggio a regime, senza quindi contare tutta l'energia necessaria per la generazione dei blocchi/bitcoin.

3) Mi pare che, più che una moneta, sia un prodotto da acquistare/vendere: siamo comunque inesorabilmente legati alla "moneta centralizzata", con tutte le fluttuazioni e le speculazioni del mercato "normale".

Altra nota che poco c'entra: da qualche giorno Il Disinformatico si "mangia" una cpu (almeno con Firefox). Dapprima ho pensato che Paolo stesse facendo qualche esperimento con il mining.... Ma poi era solo il box di "Google Translate" che eseguire codice JavaScript a manetta. Filtrato quello, tutto a posto. Anche gli altri hanno lo stesso problema??
Se non ho capito male, il bitcoin è una specie di frenetico onanismo informatico/economico.
Per bloccare i siti malefici è forse più efficace usare un RaspberryPi con Pi-Hole, in pratica un DNS locale con un filtro per pubblicità e siti malevoli. Ha il vantaggio di funzionare in tutti i dispositivi nella rete locale
Paolo, ho appena scoperto che la pagina 'version history' di dropbox.com apparentemente ha del codice che il mio 'mining blocker' rileva!