skip to main | skip to sidebar
16 commenti

Le parole di Internet: cryptojacking

Ne avevo parlato la settimana scorsa nel Disinformatico radiofonico, ma c’è una novità: se avete notato che il vostro computer, tablet o telefonino rallenta, diventa molto caldo o fa partire le proprie ventole quando visitate un sito, fate molta attenzione, perché forse state facendo diventare ricco qualche criminale informatico. E può succedere anche visitando siti di ottima reputazione, come Youtube e persino alcuni siti governativi.

La moda del momento in campo criminale, infatti, è il cosiddetto cryptomining o cryptojacking, ossia l’inserimento, nelle pagine dei siti Web, di istruzioni che prendono il controllo del dispositivo del visitatore e gli fanno eseguire i complessi calcoli matematici che generano le criptovalute, come per esempio i Bitcoin, e depositano questo denaro virtuale nei conti dei truffatori. In pratica i criminali usano i nostri dispositivi per fare soldi per loro.

A prima vista può sembrare che per noi utenti questo sia un raggiro innocuo che non ci costa nulla, ma in realtà il surriscaldamento di smartphone e tablet li fa invecchiare precocemente e può anche danneggiarli, mentre lo sforzo di calcolo aggiuntivo imposto ai computer aumenta il loro consumo di energia elettrica e quindi pesa sulla nostra bolletta.

La novità è che pochi giorni fa è stato messo a segno un attacco di cryptojacking particolarmente audace e diffuso: alcune migliaia di siti governativi, principalmente in lingua inglese, sono stati manipolati dagli aggressori informatici per fare in modo che contenessero istruzioni che facevano generare criptovalute (Monero) ai visitatori. Fra i siti colpiti spiccano quello della sanità britannica, quello ufficiale dei tribunali statunitensi (UScourts.gov) e, ironicamente, quello dell’autorità per la protezione dei dati del Regno Unito (Information Commissioner's Office (ICO)).

Invece di attaccare questi siti uno per uno, gli ignoti aggressori hanno attaccato uno dei loro fornitori, Browsealoud, i cui servizi informatici (i cosiddetti script) vengono inseriti direttamente nei siti in questione e vengono eseguiti quando un utente visita anche solo la pagina iniziale di uno di questi siti; poi hanno modificato le istruzioni di questi script in modo da aggiungere la generazione delle criptovalute, e hanno aspettato che gli utenti visitassero i siti colpiti. In sostanza, infettando un fornitore sono riusciti a infettare automaticamente tutti i siti clienti di quel fornitore.

Per fortuna la reazione degli esperti d’informatica è stata molto rapida e il fornitore infetto è stato isolato ed escluso, ma il successo di quest’incursione ispirerà sicuramente molti emuli, che potranno colpire per esempio attraverso un altro tipo di fornitore molto diffuso: gli inserzionisti pubblicitari.

Difendersi da questo abuso è per fortuna abbastanza semplice: un buon antivirus riconosce questo genere di attacco e lo blocca, sia sugli smartphone e tablet sia sui computer. Inoltre lo sfruttamento illecito dei nostri dispositivi termina quando smettiamo di visitare un sito infetto e chiudiamo il programma di navigazione, non lascia sui dispositivi virus o altri elementi informatici pericolosi e non ruba dati personali. Ma è comunque un furto, se non altro di energia elettrica, che arricchisce qualcuno alle nostre spalle e incoraggia i criminali a violare i siti per infettarli. Conviene quindi fare prevenzione, intanto che gli esperti predispongono soluzioni.

Ma intanto è già partita la moda successiva: la rivista online Salon.com ha deciso che chi la visita usando un adblocker per bloccare le pubblicità potrà accedere ai suoi articoli solo se acconsente all’uso del suo computer, tablet o telefonino per generare criptovalute.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
Se può interessare, Opera ha un sistema per bloccare il crypto-mining, ma ancora non so quanto sia efficace:
Opera --> Preferenze --> Blocco degli Annunci Pubblicitari; flag su "Blocca gli annunci ..." e poi flag su "NoCoin".
Anche l'altro you... , non tube, ma l'altro... aveva uno script per la generazione di monete virtuali... ovviamente me lo hanno riferito amici di amici... ora penso l'abbiano tolto.
La rivista online perderà lettori mi sa...
"Ma intanto è già partita la moda successiva: la rivista online Salon.com ha deciso che chi la visita usando un adblocker per bloccare le pubblicità potrà accedere ai suoi articoli solo se acconsente all’uso del suo computer, tablet o telefonino per generare criptovalute".

Ah questa è bella!
Io il mio fidato ADBlocker non lo disattivo, piuttosto non visito chi s'offende se lo lascio attivo (vero Aranzulla?), di solito non ci perdo niente.

P.S.: Scusa Paolo e scusate tutti se copio/incollo ma non so come citare...
"Ma intanto è già partita la moda successiva: la rivista online Salon.com ha deciso che chi la visita usando un adblocker per bloccare le pubblicità potrà accedere ai suoi articoli solo se acconsente all’uso del suo computer, tablet o telefonino per generare criptovalute".

Mah... Finché avvertono chiaramente e non lasciano spazzatura dietro mi pare una alternativa molto valida alle pubblicità invasive a bestia..
Quando una pagina mi segnala di disattivare l'ADblocker se non mi va di farlo disattivo anche javascript (Firefox ha alcune estensioni che lo fanno al volo) e, di solito, la pagina si ricarica senza problemi.
Paolo: per quanto mi riguarda non userei il termine "arricchirsi" dato che con una CPU potente ottieni 90 hash/s, e ti servono oltre 600 milioni di hash per poter richiedere il pagamento minimo di 0,02 XMR (circa 6 dollari). Considerando 1000 visite al giorno, 15 minuti di permanenza a visita, 20 hash/s di media (tenendo conto 50% di traffico da dispositivi mobile, con performance ben diverse da una CPU desktop top di gamma), avresti 18 Mhash/giorno, 33 giorni per raccimolare 6 dollari;
se hai UN MILIONE di visitatori al giorno, sono 6000 dollari al mese; non male ma ben lontano dal mio concetto di "arricchirsi", direi piuttosto "arrivare ad avere un'ottima entrata mensile".
Tenendo conto che se riesci a fare dello script injection su un sito da un milione di visitatori al giorno e scegli il cryptomining forse ti sei fatto prendere dall'hype, quando con un po' di fantasia potresti fare cose molto più redditizie.
Tre anni fa switchai dal browser stock di Android a Firefox con adblock perché mi capitava che veniva fatto proprio script injection sul circuito pubblicitario usato da Engadget (non un sitarello del piffero o con ragazze nude) e venivo reindirizzato su siti di servizi mobile in abbonamento; la goccia che fece traboccare il vaso fu quando contestualmente al redirect mi arrivò un SMS che mi notificava l'avvenuto abbonamento SENZA OVVIAMENTE CHE AVESSI FATTO NULLA.
Certo, il cryptomining ha il vantaggio di non essere notato ma lo sono anche altre tecniche che sostituiscono i banner legittimi con banner gestiti da te, e così via.

Altra nota: l'ipotesi che il cryptomining riduca la vita della componentistica va prima dimostrata, o meglio, quantificata; capisco e condivido la teoria ma quello che conta è come questa si traduca in pratica, e dato che non abbiamo il metro per dire se la vita si riduce del 2% (cosa che pertanto sarebbe trascurabile) o del 30% (altro discorso) andrei cauto a spenderla come argomentazione certa.

Mi pare estremamente più rilevante l'argomentazione del consumo elettrico, perché dobbiamo ricordarci che per ogni euro che arriva a chi sfrutta questi sistemi le vittime spendono collettivamente una quantità di energia enorme, per cui subentrano due questioni:
- guadagnare un euro dal farne buttare via 10 al prossimo per me è peggio di un furto, nel furto per lo meno il criminale prende un euro, ma la vittima ne perde uno solo
- la sostenibilità ambientale. Le vittime spendono 10 euro IN ENERGIA ELETTRICA che quindi ha conseguenze ambientali.

A tal proposito trovo una cosa veramente aberrante i tanto osannati Bitcoin. Per fare una singola transazione (UNA TRANSAZIONE) si consumano quasi 500 KWh di elettricità.

CINQUECENTO CHILOWATTORA, quanti ne consuma una famiglia in quanto, un paio di mesi? PER UNA SINGOLA TRANSAZIONE.

Per mia logica basterebbe questo dato per renderlo illegale. Cazzo stiamo lì a perder tempo con le auto euro 6, a coibentare le case, le lampadine a risparmio energetico quando poi si butta nel cesso elettricità con un ritmo di CINQUANTA TERAWATTORA / ANNO solo per i Bitcoin (per dare una metrica QUANTO CONSUMA TUTTA L'ITALIA IN DUE MESI). Inconcepbile. Mi colpisce tra l'altro che sia un argomento affrontato pochissimo, dovrebbe essere una questione su cui chiunque dotato una minima sensibilità ambientale scenda in campo a fare una battaglia giustamente durissima.
Fx

Senza contare che (ironico e disilluso il primo, incazzoso il secondo):

1. i "criptoidioti" (per il momento considero idioti i cryptominers che comprano GPU di fascia alta (e anche no) senza considerare il rapporto tra gli hash/s e i watt consumati per ottenere quegli hash; dopo la tua riflessione su consumi e ambiente mi riservo in futuro di considerare ogni "cryptovaluer" un idiota ambientale ;)) fanno salire alle stelle il prezzo delle GPU, basta guardare su Amazon. E son bestemmie per noi videogiocatori.

2. La fame di GPU dei "criptoidioti" interferisce con l'operato del SETI

http://www.bbc.com/news/technology-43056744
Vero, FX.

Una vergogna... per questo e mille altri motivi vanno vietati, vietati, vietati. E subito: parliamo ADESSO dell'1% del consumo di energia degli USA. Un quantitativo allucinante per arricchire quattro delinquenti parassiti.

fonte: https://arstechnica.com/tech-policy/2017/12/bitcoins-insane-energy-consumption-explained/
Questo commento è stato eliminato dall'autore.
pgc: l'articolo da te citato è di giugno 2017. I consumi da allora sono prossimo al doppio, solo pochi mesi dopo. Terribile.

Una nota sul "per arricchire quattro delinquenti parassiti", quella cifra fa riferimento al mining di Bitcoin nel suo complesso, di norma fatto legittimamente.

Tuttavia c'è l'altro grande tema: la possibilità di scambiare anonimamente denaro viene spesa come grande conquista per svincolarsi dai cattivi governi e dalle cattive banche centrali, quando nella realtà dei fatti è il paradiso per chi vuole delinquere;
come mai prima delle crittomonete i malware che chiedevano riscatti di fatto non esistevano?
I negozi della darknet che vendevano droga avevano un giro d'affari infinitesimale? E così via.

Poi non è che le crittomonete servano solo a questo, però davvero quando sento quelli che fanno proclami mi verrebbe voglia di farli rapire pagando il criminale di turno in Bitcoin... odio la gente che non ha il senso della realtà, o ancora peggio che mente spudoratamente per i suoi interessi
Fx,

Per fare una singola transazione (UNA TRANSAZIONE) si consumano quasi 500 KWh di elettricità

Impressionante. Da dove viene questo dato?
Paolo: https://digiconomist.net/bitcoin-energy-consumption

va preso un po' con le pinze perché non è esattamente facile tradurre gli hash necessari per una transazione in wattora, dato che l'hardware su cui puoi calcolarli è estremamente eterogeneo (dalle cpu alle gpu agli ASIC), a novembre era uscito un dato che parlava di 250 kwh, però son passati oltre 4 mesi, ho arrotondato a 500 kwh facendo un po' la media un po' andando a stima. Per andare (abbastanza) sul sicuro direi che sono 500 kwh con 250 kwh di errore +- :)

Paolo Alberton: si, SETI fa parte di tutte le (molte) applicazioni che le GPU hanno al di là dell'uso ludico;
i produttori lo sanno e ne fanno delle versioni ottimizzate per queste applicazioni che hanno però l'inconveniente di costare delle badilate,
pertanto le GPU per i videogiochi sono un ottimo compromesso per ricercatori, studiosi, appassionati di scienza, intelligenza artificiale, informatica;
più nel dettaglio per i (tanti) ricercatori, studiosi e appassionati con un budget limitato.

Insomma, da una parte l'economia di scala della grande industria dei videogiochi ha permesso di avere oggi schede capaci di fare parecchi teraflops a poche centinaia di euro, democratizzando la capacità di calcolo (una scheda video di fascia medio alta di oggi = il più potente supercomputer al mondo solo 15 anni fa); poi sono arrivate le crittomonete a rovinare tutto :P

(curiosità: non è tanto colpa dei Bitcoin, il cui mining praticamente non è più conveniente nemmeno sugli ASIC, e sulle GPU non lo è già da parecchio tempo; sono altre crittomonete che danno qualche profitto sulle GPU)

Ps: i videogiochi per me sono un lontano ricordo, recentemente però ho fatto un'eccezione... in uff abbiamo preso un Oculus Rift per fare delle demo, quando riesco (molto di rado, ma tutto sommato è un bene, non so come uscirei da sessioni più lunghe di 20 min) una partita a Robot Recall me la concedo.
Ogni volta che mi metto il caschetto rimango ammirato dalla VR, veramente una figata
Paolo

Ricordo di aver letto un articolo su Vice che riporta svariate fonti e fa una "review" delle diverse opinioni in merito.

Era questo: https://motherboard.vice.com/it/article/xwavxn/una-transazione-bitcoin-consuma-quanto-il-tuo-appartamento-in-una-settimana

Non cita 500 kWh ma si ferma ad un "modestissimo" massimo di 215.
@fx potresti dare una fonte sul consumo? Perché a occhio consuderando tutte le criptomonete e tutte le transazioni, l'energia elettrica non basta (idea spannometrica mia) ma una fonte mi darebbe un'idea più precisa. Grazie in anticipo.
Ok nel mentre sono usciti due articoli su ArsTechnica, uno infilato all'altro, per smentirmi su tutta la linea :)

https://arstechnica.com/tech-policy/2018/02/bitcoins-transaction-fee-crisis-is-over-for-now/

https://arstechnica.com/information-technology/2018/02/cryptocurrency-mining-criminals-that-netted-3-million-gear-up-for-more/

Scherzi a parte:
1) il primo parla di costo transazione, non di costo in termini di KWh; il costo in termini di KWh viene calcolato sulla base del consumo stimato per il mining (grazie al quale si validano le transazioni) diviso il numero di transazioni nella stessa unità di tempo. Per quello ora, se ho capito bene, ha sfondato i 700 KWh, perché rispetto a dicembre il numero di transazioni al giorno è sceso notevolmente
2) i 3 milioni, sufficienti per dire che in effetti si, sono diventati ricchi, fanno però riferimento a un client installato a insaputa dei proprietari su PC di tutto il mondo, a tutti gli effetti una botnet per il mining. Tramite un servizio di calcolo di quanto sia profittevole fare il mining:

https://www.cryptocompare.com/mining/calculator/xmr?HashingPower=200&HashingUnit=H%2Fs&PowerConsumption=150&CostPerkWh=0.12&MiningPoolFee=1

ne esce che per l'hash rate di un i5-4460 (trovato la tabella qui http://cryptomining24.net/cpu-for-monero/ ) con un consumo complessivo del PC ipotizzato (da me) in 150 W e un costo per KWh di 0,12$ si ha una spesa doppia in energia elettrica rispetto al ricavo... quindi i tizi per farsi 3 milioni hanno fatto sprecare complessivamente 6 milioni di $ in elettricità (stima molto spannometrica)

ST: al link che ho indicato nel post precedente, che nel momento in cui hai scritto non potevi aver visto perché non era ancora stato approvato, ci sono le indicazioni su come viene stimato il consumo complessivo della rete (così come le metodologie di calcolo);
in ogni caso a me impressiona che prendendo hardware pesantemente ottimizzato per questo (ad es. l'Antminer S9, 12 TH/s, circa 3000 euro) hai un margine di profitto davvero risicato:

https://www.cryptocompare.com/mining/calculator/btc?HashingPower=12&HashingUnit=TH%2Fs&PowerConsumption=1293&CostPerkWh=0.12&MiningPoolFee=1

Ci metti più di un anno per rifarti della sola spesa dell'hardware (non consideriamo i costi indotti),
considerato che nel 2009 facevi 200 bitcoin in due giorni su un Pentium 4, se qualcuno di voi torna indietro nel tempo sa cosa fare :D

Penso a quei poveretti che hanno minato bitcoin a quei tempi e poi hanno lasciato tutto su qualche vecchio hard disk... 200 bitcoin a dicembre erano 4 milioni! Di notizie del genere ce ne sono diverse:

http://www.independent.co.uk/life-style/gadgets-and-tech/news/bitcoin-value-james-howells-newport-landfill-hard-drive-campbell-simpson-laszlo-hanyecz-a8091371.html

http://www.dailymail.co.uk/news/article-4543488/Man-throws-Bitcoin-hard-drive-worth-4-8billion.html

Nel mio piccolo ho sempre avuto un po' l'idiosincrasia per queste cose perché così come ce le ho per la borsa e per il superenalotto (comprendendo che si tratta di cose diverse, ma non nella mia testa - limite mio, beninteso), quindi ho sempre seguito da esterno;
mio fratello in compenso voleva comprare qualche bitcoin quando erano a 200$ ma è stato dissuaso dalla sua fidanzata, che sosteneva (a torto col senno di poi, ma a ragione per le aspettative del momento) che fossero in bolla.
E' ironico che la blockchain, che normalmente serve a validare le transazioni, in questo caso sia servita a validare il sentimento che prova mio fratello per lei dato che pur essendo stato messo alla prova non l'ha né lasciata né mandata a quel paese :)