Αψήφησε τους κανόνες της αναδυόμενης τάξης της Πληροφορίας

Τι στην ευχή είναι το Cryptojacking;

Τι είναι το Cryptojacking, πώς προέκυψε, πώς και γιατί μας απειλεί και αν υπάρχει τρόπος να προστατευτούμε.

Αν το σκεφτείτε λίγο, ολόκληρος ο πολιτισμός και η εξέλιξη της Ιστορίας έχουν έναν κεντρικό άξονα, που δεν είναι άλλος από τον οικονομικό παράγοντα. Οι πόλεμοι, τα εγκλήματα, η κοινωνική ανισότητα, η καταπίεση, οι αδικίες, όλα έχουν ως βάση το χρήμα. Χάρη στο χρήμα και την «κουλτούρα» του πλουτισμού παρασιτούν εις βάρος της ανθρωπότητας και του πλανήτη εταιρείες, θρησκείες και κράτη.

Ο «πυρετός του χρυσού» και ό,τι εκφράζει το «αμερικάνικο όνειρο» έχει διαμορφώσει πλήρως τις σύγχρονες κοινωνίες απανταχού στον πλανήτη, έχοντας ως ρυθμιστή το χρήμα. Και επειδή προφανώς μπορούν άπαντες να ονειρεύονται μα σαφώς δε μπορούν όλοι να είναι πλούσιοι, υπάρχουν οι διάφορες ζώνες (πλούσια/φτωχά κράτη) και οι κοινωνικές διαστρωματώσεις. To κυνήγι του χρυσού» όμως ήταν και θα είναι το «άγιο δισκοπότηρο» της ανθρωπότητας.

Μια άποψη για το χρήμα
Όλα τα ανθρώπινα όνειρα έχουν άμεσα ή έμμεσα ως στόχο το χρήμα με το οποίο θα μπορέσουμε να ικανοποιήσουμε τις υλικές μας ανάγκες και να υπερ-καταναλώνουμε τα πάντα, έχοντας σαν «θεσμό» την ιδιοκτησία.

Από τα παιδικά μας χρόνια ακόμα και με την σχολική προπαγάνδα μαθαίνουμε πως τα πάντα πρέπει να έχουν μια αξία, έχοντας φτάσει πλέον στην εποχή που η έννοια της αλληλεγγύης και της μη κερδοσκοπίας να θεωρούνται γραφικές και, ακόμα χειρότερα, να επανεξετάζονται ως ποινικά αδικήματα. Και πως να μην συμβαίνει αυτό όταν η «ηθική», η δικαιοσύνη, η παιδεία, ο έρωτας είναι διαμορφωμένα από τον ίδιο παράγοντα. Το χρήμα.

Η λέξη «σκλάβος» άλλωστε και το σκοτεινό παρελθόν της δε θα υπήρχαν στην ανθρώπινη ιστορία αν ο βασικός στόχος δεν ήταν το κέρδος και ο πλουτισμός.

Σκεφτείτε τα αυτά. Σκεφτείτε την ίδια την ανθρώπινη ιστορία που βασίζεται σε πολέμους και στη «λογική» πως διαφορετικοί λαοί, «φυλές», «ράτσες» δε μπορούν να συνυπάρχουν. Σταθείτε και δείτε λίγο την κοινωνική αποδιοργάνωση που υφίσταται και την αποδοχή της κοινωνικής ζούγκλας ως φυσιολογικής.

Αναλογιστείτε το πόσα άσχημα θα έλειπαν αν δεν υπήρχε ο αυτοσκοπός του κέρδους. Δε θα υπήρχαν πόλεμοι, δε θα είχαμε σύνορα, δε θα είχαμε φασίστες, εθνίκια και τα παράγωγά τους, δε θα είχαμε απατεώνες να λυμαίνονται τις ζωές, δε θα είχε χυθεί τόσο ανθρώπινο αίμα. Αντίθετα, θα είχαμε εξελιγμένες κοινωνίες, υψηλές τεχνολογίες και επιστήμες, σεβασμό και αναγνώριση του δικαιώματος ύπαρξης άλλων μορφών ζωής, υγιή διατροφή και απόλαυση της εφήμερης ζωής μας.

Ειλικρινά, δε μπορώ να καταλάβω σε πιο σημείο της ανθρώπινης ύπαρξης έγινε αποδεκτό και φυσιολογικό το να μη μπορούν να επιβιώσουν κοινωνικές ομάδες, πληθυσμοί ολόκληροι, σε καιρό ειρήνης.

Υπάρχουν αρκετές απαντήσεις σε αυτά που γέννησαν την ανάγκη του χρήματος όπως «πληρωμή», «συσσώρευση», «κυκλοφορία εμπορευμάτων» και φυσικά ο «νόμος της αξίας». Παρόλα αυτά, ακόμα και αν είχαν ουσία αυτές οι τεχνητές ανάγκες κάποτε, δε σημαίνει πως εξακολουθούν να υφίστανται. Δεν είναι δυνατόν να θεωρούμε πως οι κοινωνίες αδυνατούν να αυτοργανωθούν, να συνυπάρξουν και να ορίσουν την ευζωία τους πέρα από ιδιοκτησίες, ατομικό πλουτισμό και κερδοσκοπική εκμετάλλευση. Σαφώς και οι κοινωνίες μπορούν να παράγουν χωρίς χρήμα. Τα προβάλλοντα αδιέξοδα είναι του καπιταλισμού και όσων θέλουν να τον συντηρούν.

Εν κατακλείδι, ας θυμηθούμε τι έλεγε ο Σοφοκλής στην «Αντιγόνη», πως «το χρήμα είναι το μεγαλύτερο από όλα τα κακά του κόσμου, που έχει εξουσία», ενώ ο γερο Καρλ το χαρακτήριζε ως το «εμπόρευμα όλων των εμπορευμάτων», αναφέροντας: [Κ. Μαρξ -«Το Κεφάλαιο» -τ. 1, σελ. 108]

«Το χρήμα δεν έχει τιμή. Για να συμμετέχει σε αυτήν την ενιαία σχετική μορφή της αξίας των άλλων εμπορευμάτων, θα πρεπε ν’ αναφερθεί στον ίδιο τον εαυτό του σαν προς το δικό του ισοδύναμο»

Σήμερα, στον 21ο αιώνα, την εποχή που η τεχνολογία καλπάζει και δε θα έπρεπε να νοούταν καν φτώχεια στον κόσμο, αυτή αυξάνεται και το χρήμα ακολουθεί την ιστορική του πορεία της ανακατανομής και της αύξησης των οικονομικών αποστάσεων. Θεωρώ πως κάπου έχουμε κάνει λάθος με το να υπάρχει ο πλούτος συγκεντρωμένος το 1% του παγκόσμιου πληθυσμού και συγχρόνως ο έλεγχος των πάντων, με μια σειρά από υφιστάμενες «κάστες» που λειτουργούν προς όφελος αυτού του 1%. Και αυτό καθώς είναι πρακτικά αδύνατο να υπάρξει κάποιος πλούσιος χωρίς να δημιουργηθούν υπερπολλαπλάσιοι φτωχοί.

Έτσι, η ανάγκη του «χρυσού» κορυφώνεται ανά περιόδους που, όπως ίσως μαντέψατε, δημιουργούνται λόγω του υφιστάμενου οικονομικο-κοινωνικού συστήματος. Τον 21ο αιώνα ο χρυσός ονομάζεται «κρυπτονομίσματα» και για την εξόρυξή του δεν απαιτούνται αξίνες μα υπολογιστική ισχύς.

O e-χρυσός

Στο ξεκίνημα του ηλεκτρονικού χρήματος, άνθρωποι λίγο άσχετοι με «βαθιά» οικονομικά, λίγο αφελείς, ίσως και ονειροπόλοι, πιστέψαμε πως αυτό θα μπορούσε να συμβάλει στην αλλαγή της κατάστασης και να πλήξει το οικονομικό κατεστημένο. Τελικά όμως, το μόνο που ίσως έχει κάποια σημασία είναι πως θα μπορούσε κάποιος να πραγματοποιήσει ανώνυμες συναλλαγές. Τίποτε άλλο. Επειδή κανείς δεν ξέρει πόσα «πραγματικά» χρήματα έχουν ξεπλυθεί με το Bitcoin και αντίστοιχα ηλεκτρονικά νομίσματα. Επειδή -έμμεσα- ο ίδιος ο καπιταλισμός ευνοεί την ύπαρξή τους.

Ιδιαιτέρα μετά την εμφάνιση του «χρυσού Bitcoin» και του Monero, μα και κάποιων τρίτων e-coins (που η ύπαρξή τους και μόνο θα έπρεπε να αποτελεί ποινικό και οικονομικό έγκλημα), ο πυρετός αυτός γιγαντώνεται κυριολεκτικά μέρα με την ημέρα.

Έχουμε αναφερθεί αρκετά στο θέμα των e-coins παλιότερα και μπορείτε να αναζητήσετε και να πληροφορηθείτε σχετικά στο αρχείο μας. Σήμερα και με όλο αυτό το θέμα να έχει περάσει σε άλλη διάσταση -και όχι επειδή ντε και καλά είναι «κακά» τα e-coins σαν ιδέα- θα μιλήσουμε για το φαινόμενο που δημιουργήθηκε από την «ανάγκη» απόκτησής τους .

Τι είναι το Cryptojacking

Πρόκειται για νέο όρο που μπήκε στη ζωή μας και που πολύ φοβάμαι πως σύντομα ίσως και να πάρει διαστάσεις επιδημίας. Συνοπτικά, είναι ένας τρόπος που έχουν βρει κάποια λαμόγια για να βγάζουν χρήματα χρησιμοποιώντας το hardware του υπολογιστή σας.

Μέθοδοι Cryptojacking

Υποθέστε πως έχετε ανοίξει τον περιηγητή σας σε μια ιστοσελίδα. Με το άνοιγμά της τρέχει ένα σενάριο (script) το οποίο και εκμεταλλεύεται την επεξεργαστική ισχύ του υπολογιστή σας. Μπορεί να διαλύσει κυριολεκτικά τη CPU σας κάνοντας εξόρυξη κρυπτονομισμάτων (cryptocurrency mining).

Πιθανές ενδείξεις παραβίασης

Κάποια συμπτώματα είναι ο περιηγητής και άλλες εφαρμογές να «σέρνονται», ο υπολογιστής σας να λειτουργεί πιο αργά, να καταναλώνει περισσότερη ενέργεια και να παράγει περισσότερη θερμότητα. Ενδεχομένως θα ακούτε τα ανεμιστηράκια να γυρίζουν σαν τρελά ενώ, αν έχετε laptop, tablet ή smartphone, η μπαταρία θα τελειώνει πολύ γρήγορα. Αντίστοιχα, σταθεροί υπολογιστές θα απορροφούν περισσότερη ηλεκτρική ενέργεια και θα αυξάνουν την κατανάλωση στο λογαριασμό σας. Έχουν αναφερθεί και περιπτώσεις όπου κάηκαν συσκευές και υπολογιστές από αυτή τη διαδικασία.

Ευάλωτα λειτουργικά

Τα κακά νέα είναι πως σε αυτήν την περίπτωση τίποτα δεν είναι αλώβητο αφού οι «drive-by» cryptojacking επιθέσεις μπορούν να γίνουν σε οποιαδήποτε συσκευή με web browser, άσχετα με το λειτουργικό που τρέχει. Οποιαδήποτε σελίδα με ενσωματωμένο mining script μπορεί να χρησιμοποιήσει τον επεξεργαστή σας για να πετύχει την εξόρυξη.

Υπάρχει επίσης cryptojacking malware, το οποίο λειτουργεί ακριβώς όπως οποιοδήποτε άλλο κακόβουλο λογισμικό. Ένα κενό ασφαλείας, μια «τρύπα», είναι αρκετό για να τρυπώσει και να τρέξει κάποιο τέτοιο script στο μηχάνημά σας.

Ακόμα, πολλές εφαρμογές -ειδικά για Android- κρύβουν ένα τέτοιο πρόγραμμα, ενώ προβλήματα υπάρχουν και σε συσκευές που τρέχουν παλιότερες εκδόσεις Android με ευπάθειες, όπου τρύπωσε κάποιο cryptomining λογισμικό αναγκάζοντας τη συσκευή να να ξοδέψει την περιορισμένη υπολογιστική ισχύ της στην διαδικασία της εξόρυξης.

Επιδημία που θα γίνει πανδημία;

Τα cryptojacking malwares πλέον αποτελούν φαινόμενο. Αν λάβουμε μάλιστα υπόψιν μας κάποιες έρευνες της AdGuard, έχουμε περιπτώσεις όπου περισσότεροι από 500 εκατομμύρια χρήστες μολυνθήκαν από μόλις μια ιστοσελίδα, ενώ ελάχιστες ώρες μετά αυτός ο αριθμός ανέβηκε στο ένα δισ. από μόλις 4 ιστοσελίδες!

Όπως αναφέρουν:

Κατά την ανάλυση των πρώτων καταγγελιών, συναντήσαμε αρκετούς πολύ δημοφιλείς ιστότοπους που χρησιμοποιούν κρυφά τους πόρους των συσκευών χρηστών για την εξόρυξη κρυπτονομισμάτων που απέφυγαν μέχρι τώρα τους αποκλεισμούς από τα Ablock λογισμικά.

Σύμφωνα με τη SimilarWeb, αυτά τα τέσσερα sites μετρούν συνολικά 992 εκατομμύρια επισκέψεις μηνιαίως.

cryptomining-fever
Στατιστικά του cryptojacking σύμφωνα με την AdGuard.

Είναι πολλά τα λεφτά Άρη

Ποιο το κέρδος από αυτό, θα αναρωτηθείτε. Συνεχίζοντας η AdGuard, αναφέρει πως

Τα συνολικά μηνιαία κέρδη από την κρυπτογράφηση, λαμβάνοντας υπόψη την τρέχουσα τιμή του Monero, μπορούν να φτάσουν τα 326.000 δολάρια. Αυτά είναι απλά εξωφρενικά νούμερα, ειδικά εάν τα προσθέσουμε στα αποτελέσματα της προηγούμενης έρευνας μας.

Οι ένοχοι στους οποίους έχει επικεντρωθεί η συγκεκριμένη έρευνα:

  1. Openload και oload.stream (εκτιμώμενα μηνιαία κέρδη: 95.000 δολάρια)
  2. Streamango.com (εκτιμώμενα μηνιαία κέρδη: 7.200 δολάρια)
  3. Rapidvideo.com (εκτιμώμενα μηνιαία κέρδη: 25.000 δολάρια)
  4. OnlineVideoConverter.com (εκτιμώμενα μηνιαία κέρδη: 200.000 δολάρια)

Αν σας λένε κάτι τα ονόματα αυτών των σελίδων, μάλλον θα τις έχετε -δυστυχώς- επισκεφτεί προκειμένου να παρακολουθήσετε κάποια ταινία online. Οι περισσότερες από τις δημοφιλείς ιστοσελίδες που μετέχουν σε αυτή τη νέα τάση φαίνεται να σχετίζονται με το streaming. Στην περίπτωση του Openload, για παράδειγμα, οι χρήστες δε χρειάζεται να επισκέπτονται το ίδιο το site για να γίνουν θύματα, καθώς χρησιμοποιείται συχνά ως ενσωματωμένο πρόγραμμα αναπαραγωγής βίντεο σε άλλες σελίδες. Έτσι, όταν κάποιος επισκέπτεται μια τρίτη σελίδα που το έχει ενσωματώσει, φορτώνεται και το script της εξόρυξης.

Το «CoinHive» ήταν το πρώτο mining script που τράβηξε την προσοχή, ειδικά όταν ενσωματώθηκε στο «The Pirate Bay» (καμιά σχέση πια με το παλιό, το καλό, το ορθόδοξο). Ωστόσο, πλέον υπάρχουν περισσότερα script εξόρυξης από το CoinHive και έχουν ενσωματωθεί σε όλο και περισσότερα sites.

Σε κάποιες περιπτώσεις μάλιστα δημιουργείται κάποια παραβίαση, αν και έχουν αναφερθεί και «συμβάσεις» με ένα άκακο και υπεράνω πάσης υποψίας website, και έτσι οι επιτιθέμενοι κερδίζουν από τις επισκέψεις σε αυτό το site. Αυτό επίσης μπορούν να το πάθουν και ελάχιστα έμπειροι bloggers και κάτοχοι ιστοσελίδων σε self-hosting. Σε άλλες περιπτώσεις, οι ιδιοκτήτες ιστοσελίδων προσθέτουν μόνοι τους τα cryptomining scripts και αποκομίζουν κέρδος.

Δηλαδή, την στιγμή που διαβάζετε αυτές τις γραμμές, δεν είναι μόνο τα streaming sites μα έχουν γίνει επώνυμες αναφορές και για υπηρεσίες όπως τα Discord και Slack μα και άλλες που χρησιμοποιούνται από πάρα πολλούς ανθρώπους.

«Drive-by» cryptojacking επιθέσεις
Οι επιθέσεις cryptojacking «drive-by»γίνονται ολοένα και συχνότερες στο Διαδίκτυο. Οι ιστοσελίδες μπορούν να περιέχουν JavaScript που εκτελείται στον περιηγητή σας και, ενώ έχετε ανοιχτή αυτήν την ιστοσελίδα, ο κώδικας μπορεί να κάνει εξόρυξη, μεγιστοποιώντας την κατανάλωση πόρων από τη CPU σας.

Είναι ξεκάθαρο ότι κάθε εγκληματίας και μη στρέφεται προς το cryptocurrency, ενώ η τεράστια έκταση αυτών των επιθέσεων (τέτοιες είναι καθώς οι ιστοσελίδες δεν παίρνουν πρώτα την άδεια του χρήστη), είναι σχεδόν απίστευτη.

Τεχνικά, το φαινόμενο ξεκίνησε με επιθέσεις σε IIS 6.0 servers. Την ανακοίνωση έκανε η ESET (ρίχνοντας όπως πάντα την ευθύνη σε «hackers») αναφέροντας πως χρησιμοποιήθηκε μια ευπάθεια στο IIS 6.0 -γνωστή ως CVE-2017-7269- για να αποκτηθεί ο έλεγχος των μηχανημάτων και στη συνέχεια να εγκατασταθεί ένα Monero mining script.

Πληροφορία
Παλιότερη έρευνα έδειξε ότι πάνω από το 70% όλων των ανταλλακτηρίων κρυπτονομισμάτων υπήρξαν στόχοι DDoS επιθέσεων. Για παράδειγμα, τον Ιούλιο του 2018, η KICKICO -μια από τις μεγαλύτερες εταιρείες ανταλλαγής e-coins και δημιουργός του KickCoin- ανακοίνωνε πως από την παραβίαση έχασε (οι χρήστες της δηλαδή) 70 εκατομμύρια «μάρκες» KICK, αξίας περίπου 7,7 εκατομμυρίων δολαρίων.

Υπάρχει πλέον μια μεγάλη λίστα από αναφορές για τέτοιου είδους κυβερνοεπιθέσεις που έχουν στόχο την εκμετάλλευση των CPUs/GPUs των υπολογιστών ανυποψίαστων χρηστών. Μάλιστα, μια από τις πρόσφατες αναφορές αποκαλύπτει ένα νέο malware που μόλυνε εκατοντάδες Windows servers με ένα κρυφό cryptocurrency mining πρόγραμμα, το οποίο απέφερε κέρδη 63.000 δολάρια σε τρεις μήνες!

«Zero Day» ως λογική συνέπεια

Η ευπάθεια του CVE-2017-7269 στο WebDAV του IIS 6.0 κατηγοριοποιήθηκε ως «zero day» όταν ανακαλύφθηκε για πρώτη φορά το Μάρτιο του 2017. Ενώ το ελάττωμα έχει διορθωθεί, αρκετά μηχανήματα παραμένουν ευάλωτα.

Η έρευνα της ΕSET αποκάλυψε επίσης πως οι «hackers» απλά έκαναν copy-paste ένα νόμιμο και ανοιχτού κώδικα λογισμικό mining που ονομάζεται xmrig και πρόσθεσαν κάποιες «hardcoded» εντολές που περιείχαν τη διεύθυνση του ηλεκτρονικού πορτοφολιού και του mining pool URL. Όπως χαρακτηριστικά έγραφε η ESET

Αυτό (η διαδικασία) δε θα μπορούσε να πάρει στους κυβερνοαπατεώνες περισσότερο από μερικά λεπτά, όπως υποδηλώνεται από το γεγονός ότι το είδαμε «εκεί έξω» την ίδια μέρα που κυκλοφόρησε η βασική έκδοση του xmrig.

Λόγω της σοβαρότητας της ευπάθειας, η Microsoft είχε κάνει διαθέσιμο patch ακόμη και για προϊόντα στο τέλος της ζωής τους, όπως τα Windows XP και Server 2003.

Γιατί το Monero;

Η πρώτη απορία που μου δημιουργήθηκε είναι το γιατί η προτίμηση -κυρίως- στο κρυπτονόμισμα Monero.

Σχετικά με το «Monero»
To Monero (XMR) είναι -ανοιχτού κώδικα και δύσκολο να εντοπιστεί- νόμισμα χρησιμοποιώντας peer to peer συναλλαγές, με public ledger και με τις εισπράξεις και τις μεταφορές χρημάτων να παραμένουν ιδιωτικά από προεπιλογή. Το Ring signatures, που χρησιμοποιεί, κάνει πολύ δύσκολα τα πράγματα στο να συνδεθεί κάποια συναλλαγή με έναν συγκεκριμένο υπολογιστή. Αυτό το νόμισμα μπορεί να ενσωματωθεί στο ανώνυμο δίκτυο I2P και μπορείτε, αν θέλετε, να τρέξετε έναν πλήρη κόμβο (node). Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα web based λογαριασμό Monero. Διαθέτει desktop εφαρμογή για Linux, Windows, macOS, FreeBSD.

Το Monero, αν και δεν έχει τη δυναμική του Bitcoin (μα ανεβαίνει συνεχώς), είναι διαφορετικά κατασκευασμένο, με «μη Bitcoin» τεχνολογία, πολύ πιο εύκολο και γρήγορο στην εξόρυξη και λιγότερο απαιτητικό σε πόρους. Κάποτε είχα δει να το αναφέρουν σαν το «e-coin των φτωχών», αφού θεωρητικά μπορεί να «εξορυχτεί» και σε μέσης δυναμικότητας υπολογιστές. Εντελώς απλοϊκά, ας πούμε πως τεχνικά και πρακτικά είναι πολύ πιο εύκολο να γίνει η προαναφερθείσα απάτη με το Monero.

Η αντίδραση των περιηγητών

Η αλήθεια είναι πως δεν υπήρξε από πουθενά άμεση απόκριση. Όσον αφορά τον Firefox, την 30η Αυγούστου του τρέχοντος έτους, ο Nick Nguyen της Mozilla, έγραψε το εξής:

Παραπλανητικές πρακτικές που συλλέγουν αόρατα αναγνωρίσιμες πληροφορίες χρηστών ή υποβαθμίζουν την εμπειρία των χρηστών γίνονται όλο και συχνότερες. Για παράδειγμα, κάποιοι trackers ταυτοποιούν χρήστες με fingerprinting — μια τεχνική που τους επιτρέπει να αναγνωρίζουν αόρατα χρήστες από τις ιδιότητες των συσκευών τους, και ποιους χρήστες αδυνατούν να ελέγξουν. Άλλοι ιστότοποι έχουν αναπτύξει cryptomining scripts που εξορύσσουν σιωπηλά κρυπτονομίσματα στη συσκευή του χρήστη. Πρακτικές όπως αυτές καθιστούν τον ιστό πιο εχθρικό μέρος για να βρίσκεται κανείς. Μελλοντικές εκδόσεις του Firefox θα αποκλείουν αυτές τις πρακτικές από προεπιλογή.

Ο Nguyen προσθέτει περαιτέρω ότι αυτές οι δυνατότητες θα είναι διαθέσιμες στον Firefox Nightly και, αν λειτουργούν άψογα, θα εφαρμοστούν στην επερχόμενη, σταθερή έκδοση 63 του περιηγητή.

Η Google είχε περισσότερους λόγους να ενδιαφερθεί, αφού στο διαδικτυακό της κατάστημα με τα πρόσθετα βρέθηκαν ορισμένα τα οποία περιείχαν λογισμικό για mining, που φυσικά συνέβαινε εν αγνοία των χρηστών. Ο James Wagner, Extensions Platform Product Manager της Google, ανέβασε ένα άρθρο με τίτλο «Protecting users from extension cryptojacking».

Ανάμεσα στα άλλα, έγραψε:

Μέχρι στιγμής, η πολιτική του Chrome Web Store έχει επιτρέψει την εξόρυξη κρυπτονομισμάτων στις επεκτάσεις εφόσον αυτός είναι ο μοναδικός σκοπός της επέκτασης και ο χρήστης ενημερώνεται επαρκώς για τη συμπεριφορά της εξόρυξης. Δυστυχώς, περίπου το 90% όλων των επεκτάσεων με mining scripts που οι προγραμματιστές προσπάθησαν να μεταφορτώσουν στο Chrome Web Store απέτυχαν να συμμορφωθούν με αυτές τις πολιτικές και είτε έχουν απορριφθεί είτε έχουν αφαιρεθεί από το κατάστημα.

Ξεκινώντας από σήμερα, το Chrome Web Store δε θα δέχεται πλέον επεκτάσεις που εξορύσσουν κρυπτονομίσματα. Υπάρχουσες επεκτάσεις που εξορύσσουν κρυπτονομίσματα θα διαγραφούν από το Chrome Web Store στα τέλη Ιουνίου. Επεκτάσεις με σκοπούς σχετιζόμενους με το blockchain εκτός από την εξόρυξη θα συνεχίσουν να επιτρέπονται στο Web Store.

Και από πλευράς Opera υπήρξε αντίδραση και μάλιστα δημιουργήθηκε μια σελίδα, με την οποία μπορείτε να ελέγξετε αν ο περιηγητής σας έχει πέσει θύμα καποιου mining script (με μικρή επιφύλαξη για το ενδεχόμενο να συλλέγει πληροφορίες ο Opera).

Πάνω-κάτω έχουν αρχίσει και αντιδρούν οι περισσότεροι αλλά, όπως τουλάχιστον εκλαμβάνω από τις δηλώσεις, διάθεση να χτυπήσει το πρόβλημα στη ρίζα του έχει μόνο η Mozilla μέχρι στιγμής. Βλέπετε, βρισκόμαστε σε μια εποχή που μάλλον θα θεωρηθεί λογικό -και φοβάμαι πως θα συμβεί σύντομα- για τα όσα μας προσφέρει μια ιστοσελίδα να δίνουμε σαν αντάλλαγμα κάποια επεξεργαστική ισχύ για το mining των κατόχων της.

Προστασία από το Cryptojacking

Όπως καταλαβαίνετε, χρειάζονται ελάχιστα προκειμένου να κερδίσεις πολλά, εξαπατώντας και εκμεταλλευόμενος άλλους (σ.σ. παγκόσμιος και διαχρονικός κάνονας των λαμόγιων). Γιατί να ρίξει χρήματα ο άλλος σε servers και σχετικό hardware όταν μπορεί εύκολα να χρησιμοποιήσει το υλικό άλλων; Πόσο μάλλον όταν δεν υπάρχει ευαισθητοποίηση των ίδιων των χρηστών και ακόμα και καλά τεκμηριωμένες, γνωστές ευπάθειες εξακολουθούν να είναι πολύ αποτελεσματικές για τον κάθε κακόβουλο. Προφανώς δε χρειαζόμαστε κάποιο πόρισμα για να καταλάβουμε ότι ο μέσος χρήστης του Διαδικτύου (όλοι εμείς δηλαδή) είναι το εύκολο θύμα, εις βάρος του οποίου άλλοι αποκομίζουν κέρδη.

Θεωρητικά, αν κλείσετε την καρτέλα ή το παράθυρο της σελίδας με το mining script, αυτό θα σταματήσει τη λειτουργία του. Ακόμα καλύτερα αν καθαρίσετε την προσωρινή μνήμη, τα cookies, το ιστορικό, και κάνετε μια επανεκκίνηση του περιηγητή σας. Σε διαδικτυακά πηγαδάκια με σχετικές συζητήσεις όμως αναφέρεται πως ένα τέτοιο script θα μπορεί να συνεχίσει να τρέχει στο παρασκήνιο, ακόμα και σε περίπτωση που κλείσουμε την υπεύθυνη καρτέλα, εφόσον ο περιηγητής παραμένει ανοιχτός. Φυσικά, όπως είναι ευνόητο, τέτοιες πρακτικές θα εξελίσσονται ακόμα περισσότερο, ευρισκόμενες συνήθως ένα βήμα μπροστά.

Επί του παρόντος, αυτό που μπορείτε να κάνετε εκτός από την παραπάνω διαδικασία καθαρισμού είναι η χρήση κάποιων addons. Αρκετά από τα adblockers έχουν ενημερωθεί ώστε να μπλοκάρουν και αυτού του είδους τα scripts. Αν χρησιμοποιήσετε κάτι τέτοιο, ελέγξτε στη σελίδα του αν προσφέρει και σχετική προστασία (το uBlock Origin το κάνει).

Κάποια άλλα πρόσθετα για την αντιμετώπιση των cryptojackers:

Σημείωση
Αυτά του Opera, κανονικά, θα πρέπει να δουλεύουν και στους παράγωγους browsers ή να υπάρχει το ίδιο ή αντίστοιχο πρόσθετο για αυτούς. Το ίδιο ισχύει και για εκείνα του Chrome, όπως και του Firefox. Δεν αποκλείεται ωστόσο να συναντήσετε στην αρχή, κάποιες ασυμβατότητες λόγω των εκδόσεων. Αν έχετε κάποιον άλλον browser, μπορείτε να ενημερωθείτε στην επίσημη σελίδα του.

Η δουλειά αυτών είναι να μπλοκάρουν τα διάφορα mining scripts, πριν καν προλάβουν να τρέξουν και ενημερώνοντάς σας άμεσα. Δεν είναι βέβαια τα μόνα, μα τα συγκεκριμένα -ανοιχτού κώδικα φυσικά- έχουν τις καλύτερες κριτικές και θεωρούνται τα πιο αποτελεσματικά. Εμένα μου πρότειναν το No Coin, το οποίο και χρησιμοποιώ.

Κλείνοντας

Δεν ξέρω για τα υπόλοιπα αλλά, τουλάχιστον σε αυτό, είναι επιλογή μας το να μην αφήνουμε τους επιτήδειους να κερδοσκοπούν εις βάρος μας. Μένει μόνο η πράξη.

Έτσι, αντί επιλόγου, μα μένοντας στο θέμα, θα σας προτείνω να διαβάσετε το βιβλίο «Η Τιμή και το Χρήμα» του Κωνσταντίνου Θεοτόκη (θα το βρείτε και σε PDF).

2
Μοιραστείτε μαζί μας τις σκέψεις σας

avatar
1 Νήματα σχολίων
1 Απαντήσεις νήματος
0 Ακόλουθοι
 
Σχόλιο με τις περισσότερες αντιδράσεις
Πιο ενδιαφέρον νήμα
2 Σχολιαστές
constantinosComm Enter Πρόσφατοι σχολιαστές
  Εγγραφή  
νεότερο παλιότερο περισσότερο ψηφισμένο
Ειδοποίηση για
Comm Enter
Επισκέπτης
Comm Enter

πολύ ενδιαφέρον άρθρο. δεν είχα σκεφτεί ότι υπάρχουν scripts ή και εφαρμογές για android που να κάνουν mining στο υπόβαθρο (όχι ότι μου προξενεί και μεγάλη εντύπωση βέβαια). έχετε υπόψιν σας μήπως κάποιον τρόπο για να τσεκάρουμε τα android μας για τέτοιου είδους συμπεριφορές; αναφέρομαι σε εφαρμογές κυρίως που έχουμε ήδη εγκαταστήσει στο λειτουργικό. 🙂

Σας ενημερώνουμε ότι η ιστοσελίδα μας ακολουθεί ειδικό πρόγραμμα διατροφής και μασουλάει φρεσκοψημένα cookies Καλά μωρέΘέλω να μάθω περισσότερα