Sygnały ostrzegawcze: jak poznać wydobywanie kryptowalut?

Dwie historie, jakie chcemy opowiedzieć w tym tygodniu, wnoszą do dyskusji na temat wydobywania kryptowalut ważne kwestie i nie mniej ważne pytania.

Zespół Avast uważne śledzi zagrożenia i trendy w cyberbezpieczeństwie, które mogą objąć swoim zasięgiem użytkowników komputerów na całym świecie. Wraz ze wzrostem popularności kryptowalut, a co za tym idzie, także nieuniknionym nasileniem zjawiska ich wydobywania, pojawił się nowy obszar, który musimy uważnie monitorować. Oto dwie historie z minionego tygodnia, które przykuły naszą uwagę.

Tysiące stron internetowych padły ofiarą wtyczki zainfekowanej kryptominerem

Użytkownicy, którzy w poniedziałek odwiedzili jedną z wielu rządowych stron internetowych, w tym stronę internetową stanu Indiana, strony amerykańskich sądów, brytyjskiego Komisarza ds. Informacji, brytyjskiego NHS, departamentów rządu Australii i wielu innych, z dużą dozą prawdopodobieństwa nieświadomie uczestniczyli w wydobywaniu kryptowaluty Monero, do czego przyczyniło się złośliwe oprogramowanie.

Nie złamano zabezpieczeń żadnej konkretnej strony. Ofiarą oszustów padła natomiast wtyczka o nazwie Browsealoud, która po modyfikacji kodu przez hakerów umożliwiała kryptominerowi o nazwie Coinhive wykorzystanie procesora do wydobywania kryptowaluty bez wiedzy i zgody użytkownika.

Złamanie zabezpieczeń wtyczki wykrył Scott Helme, badacz specjalizujący się w dziedzinie bezpieczeństwa Jak jednak doszło do naruszenia zabezpieczeń? Wiemy tyle — prawidłowy skrypt został zhakowany na serwerze Amazon, na którym skrypt ten działa i gdzie tworzy część łańcucha dostaw kodu i technologii używanych do dostarczania treści i funkcji do przeglądarek. Nie wiemy jednak, w jaki sposób haker uzyskał dostęp do kodu. Nie znamy też jego tożsamości.

Zespół Browsealoud szybko usunął zainfekowany kod i udostępnił bezpieczną wersję wtyczki. Efekt uboczny był jednak taki, że wiele stron internetowych, których dotyczył problem zhakowanej wtyczki, musiało przejść w tryb offline, aby ich administratorzy mogli sprawdzić integralność zawartości i stosów technologii.

O ile ten konkretny słaby punkt udało się szybko wyeliminować, w świadomości użytkowników zrodziła się poważna obawa — że gotowe skrypty i wtyczki innych firm hostowane w infrastrukturze publicznej chmury, takiej jak AWS, mogą w przyszłości paść ofiarą hakerów i rozprzestrzeniać o wiele groźniejsze złośliwe oprogramowanie.

poście na swoim blogu poświęconym tej luce Troy Hunt, badacz specjalizujący się w dziedzinie bezpieczeństwa, proponuje dwie techniki zmniejszania skutków działania przestępców. Pierwsza z nich to SRI (Subresource Integrity, integralność podzasobów). Technika ta zakłada, że strony mogą zweryfikować bezpieczeństwo wykorzystywanych przez siebie skryptów innych firm, porównując wartość skrótu (hash) hostowanego skryptu z wartością zweryfikowanego kodu. Jeśli nie są one zgodne, skrypt nie uruchomi się, a użytkownik pozostanie bezpieczny.

Druga technika to CSP (Content Security Policy) — nazwa ta oznacza dosłownie politykę bezpieczeństwa zawartości. Jak opisuje Helme, w ramach tej techniki zasoby, które przeglądarka może załadować, są definiowane poprzez dodanie znanej, bezpiecznej zawartości do białej listy. To, co nie zostanie rozpoznane, nie zostanie załadowane.

Brzmi świetnie, prawda? Cóż — i tak, i nie. Martin Hron, badacz z Laboratorium Zagrożeń Avast, zwraca uwagę, że „wielu twórców i dostawców zawartości jest przyzwyczajonych do robienia wszystkiego »po staremu« i nawet nie wie o tych opcjach”.

„Zdecydowanie zalecam korzystanie z funkcji takich jak CSP i SRI. Jednak zdaję sobie sprawę, że jest to kwestia „kompromisu pomiędzy wygodą i łatwością wdrażania i konserwacji stron internetowych a bezpieczeństwem: wybór pada czasem na opcję łatwiejszą, a nie bezpieczniejszą” — komentuje Hron.

Użycie techniki SRI oznacza, że za każdym razem, gdy właściciel wtyczki zaktualizuje jej kod, do przeglądarek musi zostać wysłana nowa wartość skrótu. Jak zauważa Hron: „za każdym razem, gdy używa się skryptu innej firmy, należy zastanowić się, na ile ufa się danemu źródłu”.

Podczas gdy właściciele stron internetowych eliminują ich podatność na niepożądane działanie wtyczki Browsealoud, warto rozpocząć konstruktywną dyskusję na temat zaufania — a zwłaszcza tego, jak i gdzie są opracowywane, hostowane i wdrażane fragmenty kodu, które trafiają do łańcucha dostarczania oprogramowania.

Witryna Salon daje czytelnikom wybór: mogą włączyć reklamy lub uruchomić kryptominera

Kryptominery nie muszą być koniecznie złośliwe — jak odkryli to w zeszłym tygodniu użytkownicy odwiedzający witrynę Salon.com. Czasami są używane celowo na stronach internetowych.

O ile w poprzedniej historii kod Coinhive został złośliwie i potajemnie wstrzyknięty do wtyczki Browsealoud, o tyle autorzy Coinhive oferują właścicielom stron internetowych możliwość zarabiania na użytkownikach, którzy blokują reklamy.

Oczywiście istnieje wiele powodów przemawiających za blokowaniem reklam — ograniczenie ryzyka wstrzyknięcia złośliwego oprogramowania przez zhakowane sieci reklamowe, uporządkowanie wyglądu stron, szybsze wczytywanie się stron pozbawionych zewnętrznych skryptów i treści reklamowych czy zmniejszenie liczby skryptów śledzących aktywność użytkownika i wkraczających w sferę jego prywatności.

Reklamy są też jednak ważnym źródłem finansowania dla wydawców. Ponieważ użytkownicy na bieżąco znajdują bardziej skuteczne i niezawodne mechanizmy, które wyłączają wyskakujące okienka, dźwięki i alerty, nie można dziwić się, że wydawcy szukają nowych sposobów na to, by zarabiać na swoich stronach. Jedną z takich metod jest zaoferowanie czytelnikom wyboru — mogą włączyć reklamy lub nadal je blokować, ale zamiast tego uruchomić kod Coinhive na czas ich wizyty na stronie.

Witryna Salon spotkała się z nieprzychylnymi komentarzami na temat niezbyt przejrzystego sposobu przedstawienia drugiej z opcji. Odwiedzający stronę użytkownicy z włączonymi wtyczkami blokującymi wyświetlanie reklam zobaczyli wyskakujące okienko z lakonicznym opisem: „Blokuj reklamy, pozwalając witrynie Salon na korzystanie z niewykorzystanej mocy obliczeniowej Twojego komputera”.

Krytycy szybko zwrócili uwagę na fakt, że chodzi tu o coś znacznie więcej niż tylko umożliwienie witrynie Salon „korzystania z niewykorzystanej mocy obliczeniowej”. David Gerard, autor książki poświęconej technologii blockchain, napisał w swoim tweecie, że Salon podaje do wiadomości „zwykłe kłamstwo na temat tego, jak działają komputery”.

Można zrozumieć, dlaczego właściciele witryny Salon poszli tą drogą. Jako wydawcy potrzebują reklam i przychodów, więc próbują zarabiać na swoich treściach, a blokowanie reklam jest dla nich ogromnym problemem. Tworzenie treści naprawdę sporo kosztuje.

Pytanie brzmi: czy w zamian za blokowanie reklam Salon (lub jakakolwiek inna witryna) może uruchamiać kryptominery na czas przeglądania zawartości? Martin Hron z Laboratorium Zagrożeń Avast odpowiada, że w świecie reklam i monetyzacji jest „to miecz, który ma dwa ostrza”.

„Jeśli witryna prosi użytkownika, by ten poszedł na pewne ustępstwa w zakresie wyświetlania reklam lub użycia narzędzi do wydobywania kryptowalut w zamian za darmową zawartość i poprosi o odpowiednie uprawnienia w jasny sposób, najlepiej na określony czas, to wydaje mi się to bezpieczne i uczciwe” — mówi Hron.

Ostatecznie decyzję każdy musi podjąć samodzielnie. Trzeba jednak wiedzieć jedno — uruchomienie kryptominera, nawet w sposób świadomy, znacznie ograniczy wydajność procesora i spowolni komputer. Przedstawiciele witryny Salon niejasno to potwierdzają, dodając jednak, że „wentylator w komputerze może się włączyć z tego samego powodu, z jakiego włącza się w czasie wykonywania innych obciążających zadań, np. grania w grę komputerową czy oglądania filmu na pełnym ekranie”.

Salon może być pierwszą, choć zapewne nie ostatnią witryną, która zdecyduje się na wykorzystanie takiego sposobu monetyzacji. Inni wydawcy będą bacznie obserwować przebieg tego eksperymentu.

 

--> -->