Чи можуть хакери перетворити ваш телевізор на зомбі-майнер Bitcoin ?

Чи можуть зловмисники змусити ваш веб-переглядач видобувати біткойни? Як щодо вашого телевізора? Експерти кажуть, що недоліки безпеки в деяких системах можуть зробити це можливим.

Німецькі дослідники виявили недолік у телевізорах Hybrid Broadcast Broadband TV (HbbTV), який міг дозволити зловмисникам запускати шкідливий код, зокрема майнери Bitcoin , повідомляє ONE звіт.

Ці пристрої є одними із зростаючої кількості Smart TV, які завжди підключені до Інтернету та мають доступ до онлайн-сервісів на додаток до цифрового телебачення, щоб покращити враження від перегляду. Дослідження провели Марко Гільєрі, Флоріан Освальд і Ерік Тьюз з Технічного університету Дармштадта. Мартін Герфурт з Німеччини консультант Nruns також досліджував розглянуті телевізори Samsung. Було виявлено, що вони мають недоліки, які дозволять зловмисникам впровадити власний вміст.

Це вже траплялося з іншими телевізорами Samsung. Деякі вважають, що на таких зламаних пристроях можна запускати Bitcoin майнери.

«Це цілком можливо, і деякі смарт-телевізори були зламані віддалено», — сказав експерт з криптографії та безпеки Серхіо Лернер, генеральний директор аргентинської компанії Certimix, який бере участь у тестуванні недоліків безпеки в протоколі Bitcoin .

У звіті SC Magazine стверджується, що майнер JavaScript у браузері, наприклад Bitcoin Plus, можна використовувати для маніпулювання браузерами смарт-телевізора для майнінгу монет. Це програмне забезпечення використовує LINK на віддалений файл JavaScript, що міститься в коді, який можна вставити на будь-яку веб-сторінку (також є плагін Wordpress). Комп’ютери, які відвідують сторінку з кодом, будуть переконані почати майнити монети, надсилаючи їх на адресу власника сторінки.

Ми бачили, як інші використовували ідею вбудованого JavaScript, щоб «вкрасти» потужність ЦП у відвідуваних комп’ютерів. ONE кмітлива команда програмістів створила Smidge, Технології , яка розподіляє проблеми між багатьма комп’ютерами, які відвідують один веб-сайт. Зараз вони використовують його для вирішення шахових завдань, але розподілений мережевий Bitcoin майнер точно T може бути далеко, каже ONE.

Використання великої кількості комп’ютерів для здійснення ставок без згоди відоме як турбування, а мережа цих машин-зомбі називається ботнетом. Можливо, ми повинні назвати ту саму техніку для майнінгу біткойнів bitherding. І такою мережею буде бітнет.

«Я припускаю, що ви можете використовувати майже будь-яку систему та будь-яке обладнання для видобутку біткойнів, це лише питання ефективності», — каже Клаудіо Гварнієрі, дослідник фірми безпеки Rapid7, який досліджено бітнети, такі як Skynet у минулому. Зазвичай вони включають зловмисне програмне забезпечення, розміщене на машині, тоді як ці «атаки» використовують JavaScript не для встановлення будь-якого зловмисного програмного забезпечення, а просто для того, щоб змусити жертву виконати деякі безкоштовні обчислення.

Проблема зв’язування з використанням потужності процесора полягає в тому, що її просто потрібно дуже багато, зазначає Гуарнієрі, не погоджуючись із Надольні. «Обидва випадки, які ви вказали, є цікавими хаками, але вони ніколи не будуть прибутковим способом видобутку біткойнів: використання JavaScript було б надто повільним».

За його словами, у Skynet було від 150 000 до 200 000 хостів, і це було відносно успішно. Лернер погоджується. "Смарт-телевізор був би дуже повільним майнером Bitcoin , і вам знадобляться тисячі телевізорів, щоб заробити щось значуще. Нехороше джерело доходу", - стверджує він.

Це було б дуже повільно. Intel Core2 Duo буде доставити приблизно 2,5 мегахеш/с, тобто вам потрібно, щоб 240 із цих користувачів відвідали ваш сайт, щоб дорівнювати хешрейту 7970 AMD.

Тим не менш, це T виходить за рамки можливості керувати графічним процесором за допомогою веб-сторінки, підвищуючи обчислювальну потужність. WebGL, веб-графічна мова, розроблена для високопродуктивної онлайн-графіки, використовувалася для створення апаратно-прискорені приклади.

Можливо, ви матимете більше шансів, щоб це запрацювало з валютою на основі Scrypt, яка є дружньою до процесора та графічного процесора, і багато з яких мають нижчий хешрейт. Поточна нормальна швидкість хешування Feathercoin становить близько 660 мегахешів/с, що робить ці 240 процесорів набагато поступливішими.

Це передбачає, що ці мимовільні відвідувачі більше нічого не роблять зі своїм комп’ютером і залишаються на вашому веб-сайті. Але як змусити людей залишатися на сторінці? Щоб майнінг працював, вам потрібен постійний і постійний показник відвідувань, коли люди тримають сторінку відкритою. Це добре, якщо ви залучаєте купу волонтерів (у такому випадку це T бітнет, а спільнота). Менше, якщо ви намагаєтесь обманом спонукати людей до майнінгу через браузер.

Вам потрібно було б вставити це на дуже популярний сайт, і якщо ви все-таки той тип людей, який байдуже, ви б, ймовірно, просто заразили комп’ютери відвідувачів за допомогою завантаження, щоб мимоволі дозволили їм добувати, навіть коли вони за межами сайту.

Ґварнієрі погоджується, що найкращим способом здійснити атаку з підключенням буде скомпрометувати комп’ютер безпосередньо та змусити його використовувати свій графічний процесор. «Існує безліч ботнетів, які скидають Bitcoin майнери, у більшості випадків вони просто вбудовують законний майнінг-клієнт, як-от Ufasoft ONE", - каже він.

Крім того, ви націлюєтеся на системи, оптимізовані для ігор, які, швидше за все, матимуть програмне забезпечення, зручне для роботи з графікою, добре відоме високими показниками хешування. Це саме те, що E-Sports Entertainment Association (EASA) зробив це, коли вставив <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> програмне забезпечення для видобутку Bitcoin у своє клієнтське програмне забезпечення – нібито як першоквітневу витівку – і роздратував своїх користувачів. Клієнт був розроблений, щоб зупинити інших гравців, коли ви граєте в онлайн-ігри, але фірма включила код майнінгу Bitcoin як прихований додатковий засіб, перш ніж витягнути патч через кілька тижнів у відповідь на скарги користувачів.

Коротше кажучи, злом телевізорів для видобутку біткойнів або зловмисне введення комп’ютерів в оману з метою їх видобутку просто за допомогою відвідування веб-сайту є підступною пропозицією. Є набагато простіші способи таємно змусити людей видобувати ваші монети Для вас. Але якщо ви хочете зібрати команду нетехнічних волонтерів для свідомого майнінгу валют на основі Scrypt для доброї справи, ця ідея може просто мати ноги.