(ב) מאובטח: חטיפת קריפטו עומדת להפוך למגפת התוכנה החדשה

(ב) מאובטח הוא טור שבועי שצולל לנושא ההסלמה במהירות של אבטחת סייבר.

מטבעות קריפטו נלחמו על המוניטין שלו מאז הקמתו. אוהדי ביטקוין תמיד נאלצו להתגונן מפני האשמות שמטרתו היחידה היא לפעילויות בלתי חוקיות - שזה מטבע לפושעים. ביל גייטס אפילו טען שכן גרם למוות ב- Reddit AMA האחרון שלו.

כעת, למטבעות קריפטוגרפיים יש בעיה נוספת להתמודד איתה: חטיפת קריפטו. זוהי פעולה של פריצת מחשב לשימוש בכריית מטבעות קריפטוגרפיים, בדרך כלל מבלי שהבעלים ידע על כך. זוהי האבולוציה החדשה ביותר של תוכנות זדוניות - ונראה שהיא עומדת להתפשט כמו אש בשדה קוצים.

עולם חדש ואמיץ

בפברואר, הודיעה סלון קמפיין מימון המונים חדש שתפס כותרות ברחבי האינטרנט. אתה יכול לתרום את כוח המחשוב שלך באמצעות כריית ענן כדי לעזור לתמוך בפרסום. זה לא דורש התקנת תוכנה, או אפילו הגדרת חשבון.

בדיוק ככה, הופיעה חלופה למנויים בתשלום ולהכנסות מבוססות מודעות. כריית ענן הייתה כבר תופס, ועכשיו הוא מוצא מקרי שימוש חדשים ומעניינים.

גם בפברואר, חוקר האבטחה סקוט הלם פרסם הממצאים שלו על הצד האפל של הטכנולוגיה. מבלי לקבל הסכמה מבעלי האתר או מבקרים, ניתן לפרוץ סקריפטים של מטבעות קריפטוגרפיים לאתרים, אשר לאחר מכן פורצים את כוח המעבד של המבקר. זה קריפטוג'ינג.

בשנה האחרונה היו עדים למספר התקפות בקנה מידה גדול על אתרי אינטרנט כמו LA Times, Tesla ו-Polifact, אך לאחרונה המגמה הסלימה בצורה מדהימה עוד יותר. מחקרים מראים שאלפי אתרים לגיטימיים, כולל כמה ששייכים למוסדות ממשלתיים, נחטפו בהצפנה.

אֵיך? הלם מנסח זאת כך: "אם אתה רוצה לטעון קריפטומינר על 1,000+ אתרים, אתה לא תוקף 1,000+ אתרים, אתה לתקוף את האתר היחיד שכולם טוענים ממנו תוכן." במקרה אחד, טכנולוגיה מסייעת בשם Text Help הייתה נפגע. כל אתר שהשתמש בו אז דחף מבקרים, מבלי שלא לבעלי האתר או למבקרים היה מושג.

https://twitter.com/Scott_Helme/status/962684239975272450

אַחֵר דו"ח אחרון טוען של-50,000 אתרים כבר יש תוכנות זדוניות לכריית קריפטו המוכנות לגנוב את כוח המחשב שלך ללא ידיעתך. שבעת אלפים אתרים התגלו כמכילים את הזן הזה של גניבת קריפטו בפלטפורמת וורדפרס בלבד.

גם Salon וגם ההאקרים מאחורי ההתקפות האחרונות משתמשים באותו הכלי - כורה JavaScript בשם CoinHive. זה יכול להיות מוטבע בדף אינטרנט ומתפקד בחלון הדפדפן של המבקר. האקרים לקחו את התסריט ויישמו אותו כדי לאלץ מיד מבקרים לתרום את כוח המעבד שלהם לכריית מטבעות Monero, או XMR. (מה זה, אתם שואלים? קרא את המדריך שלנו ל האלטרנטיבות הטובות ביותר לביטקוין).

זו לא הייתה הכוונה של CoinHive. במקום זאת, המפתחים שלה "חולמים על זה כחלופה לתשלומי מיקרו, זמן המתנה מלאכותי במשחקים מקוונים, מודעות חודרניות וטקטיקות שיווק מפוקפקות". זה רעיון די חכם, באמת. המחשב הממוצע הוא הרבה יותר חזק מהנדרש כדי לגלוש באינטרנט, אז למה לא להשתמש במעט מהביצועים האלה כדי לשלם עבור תוכן? היוצרים של CoinHive אמרו ל-Motherboard לאחרונה ש"המוניטין שלהם לא יכול להיות גרוע יותר", בקוננו שהם לא ראו את הפוטנציאל של cryptojacking באותה תקופה.

שיהיה ברור, קריפטו-jacking היא לא דרך קלה עבור האקרים להתעשר. אם באתר יש 10-20 כורים פעילים כל היום, CoinHive טוען "אתה יכול לצפות להכנסה חודשית של בערך 0.3 XMR (~$86)." שֶׁלָה עם זאת, קל יחסית להאקרים ליישום, והטבע האנונימי של מטבעות קריפטוגרפיים מקשה על התמורה. זֵכֶר. תחשוב שזה פרס נמוך, אבל מאוד סיכון נמוך. כל עוד מטבעות קריפטוגרפיים ממשיכים לעלות בערכם, קריפטומין - והצד האפל שלו, גניבת קריפטו - ימשיכו להתפשט.

זו רק ההתחלה

לא קשה לדמיין את עתידו של ה-cryptojacking. כיום, מודעות נמצאות בכל מקום שאתה מסתכל באינטרנט, ומחוצה לו. מודעות מופיעות בכל מקום, מ-YouTube ועד תוכנות חינמיות. קריפטומין בענן יכול לספק חלופה, ולאפשר לך "לתרום" קצת כוח מעבד עבור תוכן אינטרנט או תוכנה בחינם.

נוכל גם לראות עתיד שבו קריפטוג'ינג נמצא כל הזמן בחדשות - ובעוצמה הרבה יותר גדולה. האינטרנט יכול להפוך לפעולת כריית קריפטו בלתי חוקית אחת, והמאבק נגד זה לא יהיה קל. האקרים ימצאו דרכים יעילות ועדינות יותר לעוות בחשאי מעבדים תמימים כדי להרוויח כסף מהיר. נכון לעכשיו, עדיין לא ניתן לכרות מטבעות קריפטוגרפיים בדפדפן באמצעות GPU של מבקר, מה שיספק כוח hashing הרבה יותר משמעותי. דבר כזה לא יכול להיות רחוק מדי.

וזה לא מפסיק עם כרייה בדפדפן.

תארו לעצמכם איך תוכנות פרסום עובדות היום. אתה מתקין תוכנה, ואתה לוחץ במהירות על כמה תיבות סימון כדי להשלים את ההתקנה. מבלי להיות מודעים לכך לחלוטין, התקנת תוכנה שמייצרת הכנסה לחברה על ידי הוספת מודעות לדפדפן שלך. מכיוון שהוא בלתי נראה, גריפת תוכנות זדוניות קריפטו קשה יותר להתמודדות. אולי אפילו לא תשים לב שהוא מזמזם בשקט ברקע כשהוא מאט את המחשב שלך וממלא את ארנק הקריפטו של מישהו.

זה בטוח יקרה בעתיד שבו מטבעות קריפטוגרפיים מחזקים את מעמדו כמטבע מקוון. זה ייתן למפתחים ולבעלי אתרים דרך חדשה להרוויח כסף לגיטימי מהעבודה שלהם - ולהאקרים מונעי רווחים עוד כלי חזק בארגז הכלים שלהם.

המלצות עורכים

• אינטל עשויה לעבוד על שבב מיוחד לכריית ביטקוין
• כריית מטבעות קריפטוגרפיים עבור Razer Silver לא שווה את כוח המחשוב שלך

שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.