Fabio Baccaglioni



Si en los últimos tiempos visitaste sitios de descargas como Piratebay y de pronto tu PC se puso algo lenta que no te sorprenda, muchos sitios empezaron a migrar de los popups violentos a Coinhive, un script que permite minar Monero, una de las tantas criptomonedas que hay, desde el mismo browser.

El tema aquí es que usualmente no le avisan al usuario, utilizan el CPU al máximo, consumen tu electricidad sin que des tu consentimiento.

Okey, uno podría pensar que este es el "costo" de entrar a un sitio non-sancto donde uno va a buscar algo para desargar que tampoco está pagando, es una forma de hacerlo... ¿O No?

La cuestión es que inventada la herramienta ésta da para el abuso y es lo que está sucediendo con Coinhive.



Primero que nada entendamos qué es Coinhive. La idea de este script es genial, una versión en javascript que se puede ejecutar en cualquier browser, ofrecerlo como una opción para reemplazar la publicidad de un sitio o una aplicación. En la misma web te permiten probarlo y hasta "minar" un poco para que veas cuánto consume de recursos.

Lo interesante es la amplia gama de aplicaciones que tienen, ellos se quedan con un 30% de los hashs generados, el 70% es para el dueño del sitio, aplicación o lo que sea donde lo esté utilizando. La idea de utilizar Monero como criptomoneda tiene que ver con sus propios algoritmos que funcionan mejor en un CPU que en un GPU a diferencia de otras criptomonedas.

Esta diferencia le permite ser una opción lógica para operar en un browser y aprovechar el CPU de cada usuario. Ahora bien, hasta aquí es ideal, hasta ofrecen captchas para aumentar los hashs procesados por usuarios y todo es super configurable, pero todo tiene un pero.

Coinhive ofrece la herramienta y se queda con una parte, perfecto, pero no exige reglas a sus usuarios. Es decir, ellos sugieren, pero no se ponen estrictos. Así un dueño de alguna página dedicada a cualquier tema puede incrustar el código de Coinhive y configurarlo para que le use el 100% del CPU a sus visitantes. Coinhive no se quejará, no pregunta, no le interesa.

Esto llevó a un resultado inevitable: codicia.

Así es, si no existe penalización por el abuso, se abusará y así resultó: muchos sitios empezaron a abusar de las posibilides que da la herramienta.

Lo primero es no avisarle al usuario que está participando de la minería, lo segundo fue configurarlo para consumir más recursos de los que tendría sentido, pero lo tercero ha sido ya la infección de sitios de terceros para "robarles" minería a sus visitantes. Si no fuesen tan codiciosos probablemente nadie se daría cuenta, pero así son los desesperados cuando quieren dinero.

Durante los últimos meses aparecieron varias apps en la tienda de Google Play que abren un objeto de browser y dentro, mientras uno usa la app o queda en segundo plano, minaba con este script de Coinhive.

No sólo eso, empezaron a aparecer los sitios hackeados con el código incrustado al pie, como para que nadie lo note y esto es lo más relevante. Visualmente no hay nada que cambie, no te aparece ningún cartel, la web se ve perfecta, está todo normal. Salvo tu CPU.

Y aquí es donde se pone turbio el tema, ya no se trata de un rebusque para el dueño de un sitio, empezó a transformarse en una "infección" y extenderse hasta a 200 sitios del TOP 100.000 de Alexa.

Según Adguard esto serían unos 500 millones de usuarios afectados y unos 43.000 dólares en "ganancias" para los mineros turbios, se sumaron tres clones de Coinhive (JSECoin, CryptoLoot y MineMyTraffic) impactando principalmente en tráfico de EEUU, India, Rusia y Brasil.

Hay varios problemas además del exceso de consumo eléctrico, el equipo en sí ve su vida útil reducida si se sostiene el uso de software para minar criptomonedas, además del tema ético y moral alrededor de no avisarle a tu público del uso que se está haciendo de su browser.

¿Es el costo por entrar a un sitio de piratería? Para algunos será mucho mejor esto que popups e intentos de ataques y secuestro de cuentas, es más seguro, para el dueño del sitio también porque ya no debe apelar a infectar a su público, pero al mismo tiempo habrá que ver hasta qué punto el usuario quiere que todo su procesador esté a merced de un turbio script.

Los adblockers ya estan empezando a bloquear este tipo de intentos, Cloudflare banea a usuarios de su CDN que no le avisen a sus visitantes que serán utilizados para esto, varios antivirus también estan incorporando bloqueos y ya hay varias extensiones para el browser como AntiMiner, NoCoin o MinerBlock.

Si se hiciera de una forma moderada tal vez el minar podría ser la herramienta que le permita a muchos sitios sobrevivir sin apelar a los invasivos anuncios así que tampoco he de condenar la técnica, sí su implementación turbia, pero no por eso la herramienta en sí es mala.

Comentarios

La publicidad acá abajo me sugiere criptomonedas. Le falta poner "no se asuste con las malas noticias" .

Estas cosas siempre saltan con la codicia. El mejor robo es el hormiga, el que nadie percibe que te van sacando de a poco todo el tiempo. Como el IVA. Creo que el mayor problema de nuestros tiempos es la ansiedad, hay que aflojarle y robar con más calma.

  • Citar »

Danbat dijo:
La publicidad acá abajo me sugiere criptomonedas. Le falta poner "no se asuste con las malas noticias" .

Estas cosas siempre saltan con la codicia. El mejor robo es el hormiga, el que nadie percibe que te van sacando de a poco todo el tiempo. Como el IVA. Creo que el mayor problema de nuestros tiempos es la ansiedad, hay que aflojarle y robar con más calma.


si uno usa dos threads y saca "un poco" de hashes procesados por cliente, nadie lo nota, como mucho sube a un 30-40% el uso de CPU en la página.
con esto van a ganar los que sean piolas y entiendan eso

  • Citar »

Por otro lado, hoy el Bitcoin tuvo un pico histórico....

  • Citar »

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace