EconomiaTecnologia

Qualcuno potrebbe minare criptovalute col tuo browser, ecco come funziona il fenomeno

Negli ultimi mesi sono cresciuti i siti compromessi in modo da sfruttare i computer dei loro visitatori per produrre monete digitali

L’esplosione delle criptovalute, ovvero di bitcoin ma soprattutto dei suoi epigoni, ha rilanciato una pratica che sembrava divenuta molto ardua: sfruttare il computer di qualcuno per produrre (in gergo, «minare») monete digitali. In particolare, utilizzare la potenza computazionale dei dispositivi altrui attraverso siti web contenenti specifiche istruzioni. Quando il browser di un utente li visita, il suo computer viene messo al lavoro per risolvere i complessi algoritmi necessari per generare valuta digitale. Che si intasca qualcun altro ovviamente. Può essere lo stesso proprietario del sito, se è lui ad aver messo quei codici nelle sue pagine. Oppure un attaccante che, sfruttando una vulnerabilità, ha inserito i codici di nascosto e incassa il risultato, drenando al contempo risorse e batteria dei visitatori.

Minare sui computer degli altri via browser

Tutto ciò è stato reso possibile dall’unione di due fenomeni: criptomonete che si possono minare anche con dei normali computer (ricordiamo che minare bitcoin richiede da tempo hardware specializzato); e la diffusione di servizi per generare queste valute attraverso i browser, inserendo del codice JavaScript su un sito. Questa pratica è molto controversa. Alcuni la considerano un modo legittimo per fare soldi attraverso un sito, magari al posto della pubblicità. Tuttavia una simile tesi resta valida solo nel caso in cui sia il proprietario del portale a scegliere di far generare moneta digitale ai suoi utenti; e solo qualora questi ultimi siano avvisati della procedura (potendo eventualmente rifiutarla). Anche perché è una pratica che sfrutta i processori e le risorse dei loro dispositivi, sovraccaricandoli.

Monero, la valuta pro-privacy

A essere prodotta in questo modo è in particolare Monero, una criptomoneta nata nel 2014 che intende proteggere la privacy più di altre. Sebbene si parli spesso dell’anonimato di bitcoin, in realtà la più nota delle valute si basa su un registro distribuito delle transazioni (la blockchain) che è pubblico e visibile. Infatti la definizione corretta sarebbe moneta pseudonima: il sistema non rivela nomi o dati personali degli utenti, ma non garantisce di nascondere i legami tra diverse azioni o informazioni, quella che viene detta unlinkability (qui un glossario in italiano). Dunque, analizzando i collegamenti fra i pagamenti bitcoin, non è così improbabile risalire all’identità di chi c’è dietro, a meno che gli utenti non prendano particolari accorgimenti. Monero invece promette di essere anonima di default: offusca l’origine, la destinazione e l’ammontare di una transazione. È molto più difficile da tracciare e non a caso sta crescendo anche in ambienti come i mercati neri delle darknet (le reti anonime i cui siti sono detti anche Dark Web), dove si vendono merci illegali, come sostanze stupefacenti. Qui diversi siti – Zion, Wall Street Market e soprattutto Libertas – hanno scelto o aggiunto Monero come metodo di pagamento. Più in generale, nell’ultimo anno il valore di monero è impennato. Sono anche stati presi degli accordi con negozi online legittimi per avere sconti se si paga con questa valuta, in modo da agevolarne la diffusione.

Il successo di Coinhive

Ma negli ultimi mesi sono cresciuti i casi in cui siti web sfruttavano i browser degli utenti per generare proprio questa valuta digitale, anche grazie alla diffusione, dallo scorso settembre, di Coinhive, un servizio per minarla. Chi vi aderisce può inserire del codice in un sito e incassare il 70 per cento del guadagno (il 30 va al servizio). E così, il fenomeno è dilagato. Soprattutto su siti che forniscono streaming video, o su altri che richiedono agli utenti di stare collegati per molto tempo (più stanno, più minano). The Pirate Bay, la nota piattaforma di torrent, è stata beccata con le mani nel sacco, e ha poi dovuto scusarsi per non aver detto nulla agli utenti. Molti dei quali, sorprendentemente, hanno commentato di preferire quel sistema alle pubblicità. Nella maggior parte dei casi però i siti che costringono i loro visitatori a minare monero lo fanno a loro insaputa; nel senso che è qualcun altro che ha piazzato lì i codici. Ci sono vari casi eccellenti, dal servizio americano di fact-checking PolitiFact a Showtime, piattaforma del network CBS.

La crescita del crypto-jacking

C’è anche una definizione per simili attività: crypto-jacking, da crypto e hijacking (sequestro), ovvero la tecnica di impossessarsi dei browser per minare criptovalute senza il consenso dell’utente, secondo la definizione di Enisa, l’agenzia europea per la sicurezza delle reti e dell’informazione.

Tra i primi e i più assidui a documentare il fenomeno è stato il ricercatore americano Troy Mursch, che ha scovato episodi di cryptojacking su migliaia di siti. E non solo: a fine 2017 ha scoperto che pure una estensione del browser Chrome, Archive Poster, scaricata da migliaia di utenti, faceva minare monero sui dispositivi dei malcapitati. Alla fine, dopo la segnalazione, è stata rimossa. Nel mentre emergeva che pure i clienti di uno Starbucks di Buenos Aires erano messi a minare mentre usavano il Wi-Fi del locale. Il trend c’è, tanto che proprio in questi giorni il browser Opera ha introdotto una funzione, No Coin, che blocca il mining indesiderato. Ci sono naturalmente anche alcuni ad-blocker che fermano questa pratica o estensioni del browser come AntiMiner e No Coin per Chrome. Per chi si occupa di sicurezza il cryptojacking rientra infatti nella categoria dei software malevoli, dei malware.

Il ricercatore che insegue il cryptojacking

«La grande maggioranza di siti su cui si trova questo malware di cryptojacking sono stati compromessi», commenta a La Stampa il già citato Troy Mursch. «Anche se in alcuni casi sono messi direttamente dai proprietari per monetizzare contenuti illegali come show e film piratati. Lo abbiamo trovato anche su siti con contenuti pedopornografici. In particolare il cryptojacking si è esteso con l’introduzione di Coinhive, che era facile da implementare. È una libreria JavaScript che usa un algoritmo, CryptoNight, per generare monero. Tale algoritmo è adatto per essere minato su pc e dispositivi mobili e non richiede un hardware speciale». Il risultato è che basta piazzare alcune linee di codice su un sito. «Dopo, ogni visitatore inizierà a minare col suo browser. Tuttavia, nella maggior parte dei casi gli utenti sono ignari del fatto che qualcuno sta usando le loro risorse computazionali. Lo notano solo quando i loro apparecchi si surriscaldano (e sentono le ventole) oppure se sono lenti, si chiudono inaspettatamente o si bloccano». Per capire se un sito sta minando grazie al nostro browser, si può verificare la percentuale di utilizzo del processore (ad esempio accedendo su Windows a Task Manager).

La società di cybersicurezza Kaspersky ha rilevato che 700mila computer avrebbero subito attacchi di cryptomining nel 2014; numero salito a 1,8 milioni nel 2016. E che nei primi 8 mesi del 2017 erano già 1,65 milioni. Ma i dati – in un report intitolato Miner in crescita (Miner si riferisce agli strumenti che minano criptovalute) – si fermano proprio allo scorso settembre. Secondo una ricerca di ottobre della società AdGuard, che produce un ad-blocker, in sole tre settimane sarebbero sbucati almeno tre cloni di Coinhive: JseCoin, CryptoLoot, e MineMyTraffic. E non sono i soli (come mostrano questi dati di Mursch).

Come si compromettono i siti

Ma è così semplice compromettere un sito e usarlo come rampa di lancio per minare attraverso i browser dei visitatori? «Abbastanza; si fa sia indovinando credenziali FTP troppo deboli (quelle che servono a un amministratore di un sito per caricare un contenuto sullo stesso) o con attacchi di phishing tesi sempre a rubare credenziali per accedere allo spazio web; una volta dentro si inserisce una banalissima riga nell’HTML, nel codice del sito», risponde Paolo Dal Checco, esperto di informatica forense e criptovalute. «Oppure lo si fa bucando i vari CMS (i content management system con cui si gestiscono i contenuti dei siti) che ormai proliferano ovunque: ogni installazione non aggiornata di WordPress, Joomla, ecc, o con plugin non aggiornati, è potenzialmente bucabile. Ad esempio WordPress è stato bersaglio di attacchi massivi, su larga scala».

Il commento di Coinhive

Tuttavia i creatori di Coinhive difendono gli usi leciti dei loro software. «Gli utilizzi migliori sono quelli che offrono agli utenti una qualche ricompensa per il fatto di fare da minatore», commentano a La Stampa via mail. «Ad esempio, si concede account o accesso premium per certi contenuti. Lo fa il miner usato dal sito (una image board) tedesco Pr0gramm.com. Per quanto riguarda gli abusi, abbiamo delle policy rigide contro l’uso del miner su siti hackerati. Inoltre i proprietari dei siti stanno intuendo come usare il programma senza infastidire gli utenti. Pensiamo che ci possa essere molto potenziale per i cryptominer sul web, anche se il web deve ancora impararlo».

Tuttavia questa pratica non sembra essere molto redditizia per un singolo sito. Secondo gli stessi dati pubblicati da Coinhive, un sito con un milione di visite mensili potrebbe guadagnare intorno ai 160 euro. «Si tratta di una stima – ci spiegano da Coinhive – L’ammontare dipende molto da quanto tempo stanno i visitatori, da che hardware usano e da altri fattori». Sta di fatto che se per un sito medio si tratta di cifre modeste, per un hacker in grado di comprometterne molti simultaneamente il discorso si fa più interessante.

«Certamente il poco lavoro di mining che fanno i visitatori non può produrre chissà quanti monero – conferma Dal Checco – e rende molto di più se invece si infettano decine di migliaia di siti anche medio/piccoli e si raccolgono i proventi convogliandoli su un unico indirizzo, invece di mettere il codice su un solo sito anche molto visitato. Non è escluso che presto anche le SmartTV cominceranno a minare, ma persino i router potenzialmente. Invece sono già realtà i trojan, veri e propri software malevoli che invece di rubare informazioni stanno silenti e minano su pc e smartphone». Infatti, a dicembre, la stessa Kaspersky ha segnalato la diffusione di app Android che, mascherate da altro, ad esempio un servizio di contenuti per adulti, minano monero in modo aggressivo sugli smartphone degli utenti, col rischio di danneggiarli.

Arrivano pure gli hacker nordcoreani?

In questo scenario non poteva mancare il riferimento anche agli ormai onnipresenti hacker nordcoreani. Nei giorni scorsi una società di sicurezza, AlienVault, ha comunicato di aver trovato un malware progettato per installare miner per monero sui computer delle vittime. Il beneficiario sembrava essere un computer della Kim Il Sung University (KSU) di Pyongyang. Il software malevolo, creato poco prima di Natale, sembra però essere più una prova e la stessa inclusione di un server nordcoreano nel codice potrebbe essere ingannevole, potrebbe essere stato messo apposta per depistare (quella che in gergo si definisce false flag). Nondimeno, AlienVault sostiene che l’azione potrebbe essere coerente con precedenti attività attribuite ad hacker di Pyongyang. In particolare rammentano tre eventi del 2017: l’attacco del ransomware Wannacry; la violazione informatica di un exchange sudcoreano, Bithumb; e le prime notizie di attività di mining in Corea del Nord. Tutto ciò, secondo AlienVault, mostrerebbe l’improvviso interesse per le criptovalute e diversi modi di sfruttarle da parte del regime di Kim Jong-un.

Ricordiamo che Wannacry – il virus del riscatto che bloccò aziende e ospedali in vari Paesi – è stato attribuito da alcuni rappresentati del governo americano e inglese a Pyongyang, anche se non sono state mostrate, come spesso accade in queste vicende, prove evidenti. Lo scorso agosto, i soldi dei riscatti di Wannacry, in bitcoin, si erano mossi per essere scambiati coi più anonimi monero, avevano rilevato alcuni ricercatori, come avevamo raccontato in questo articolo.

(Nota: le criptovalute sono spesso scritte in maiuscolo quando ci si riferisce al protocollo, in minuscolo all’unità di conto. Tuttavia soprattutto nel caso di bitcoin molte testate tendono a uniformare sul minuscolo anche per omogeneità di stile).

 

FONTE CAROLA FREDIANI LASTAMPA.IT

FOTO REUTERS
Fonte
LASTAMPA.IT
Mostra altro...

Artigos relacionados

Pulsante per tornare all'inizio
Utilizziamo i cookie per migliorare il nostro sito e la vostra esperienza nell'usarlo. I cookie utilizzati per il funzionamento essenziale del sito sono già stati definiti. Leggi di più
Accettare