Coinhive jako nástroj hackerských útoků?

[coinnevim]

nerozumim posledni vete:

Salon slibuje, že k těžbě bude využívat jen část výpočetní kapacity a nebude na počítač nic instalovat. „Představte si to, jako když si na pár minut půjčíte kalkulačku, abyste vyřešili výpočet.(spis si predstavuji redaktora co tomu nerozumi) Když opustíte stránku, vrátíte ji.(kdo mi vrati prachy za elektriku)“ K celé akci chce Salon využívat nástroj CoinHive, který ovšem předchází nedobrá pověst.(hostovany malware) CoinHive je využívaný i při hackerských útocích, kdy útočníci přeberou kontrolu nad počítačem, aniž by uživatel cokoli tušil, a pak začnou s těžbou „digitálního zlata“.

zdroj

• jaky hack utok?
• kdo je utocnik?
• jak preberou kontrolu?
• je priklad takoveho utoku?
• jak a u koho zacne tezba?

co je pravdy na te posledni vete? neni to jen prekrouceni tupym novinarem injektaze mining scriptu (kteri tezi u klienta) na stranky webmastera pres derave cms/ externi script,pres ftp apod, jak o tom informovcaly media posl.dobu?

ps : napada me, neexistuje vylepseni tezicich skriptu, ze by bezely na serveru ?

[Reklama]

[Ravise]

Myslím, že to byl novinář, který se neobtěžoval s přemýšlením.

• cracker se vláme do nějakého webu, vloží/přepíše tamní coinhive tak, aby těžil na něj (crackera)
• těží klientův počítač na účet toho, komu patří ten coinhive skript
• tím, že coinhive používá relativně dost webů, se může crackerům vyplatit coinhive ukrást
• technicky vzato je coinhive malware, když ti ho někdo podstrčí bez tvého souhlasu
• vylámat se ze sandboxu prohlížeče může jít, ale prohlížeče se tomu ze všech sil brání

ps : napada me, neexistuje vylepseni tezicich skriptu, ze by bezely na serveru ?

To jako že na serveru, který poskytuje web? To je blbost, protože
a) by se tím zprznila ta podstata, že místo koukání na reklamy bude těžit klient (hodně zobrazení=větší výkon)
b) by tě vyšlo daleko líp pustit na tom serveru normální miner - těžit přes javascript bude mít mizerný výkon.

Myšlenkový výkon autora článku mě udivuje, protože stejně jako stačí blokovat reklamy, stačí zablokovat ten coinhive skript...

[?]

Není nad vypnutý JS.

Však stačí, když přes děravý CMS hacker ovládne web nějaké oblíbené aplikace a soubory aplikace ke stažení obohatí o miner/keyloger/... whatever...

Běžnýmu BFU pak stačí jen změnit domovskou stránku v prohlížeči na stránku, která obsahuje těžící kód. Dřív se to měnilo na stránky s reklamama a podobně.

Veřejné proxy servery pak můžou injektovat kód do navštěvovaných stránek.

Na serveru toho moc nevytěžíte, neboť server nebude mít GPU, který je dneska pro těžbu klíčový. Navíc taková zvýšená zatěž by mohla celý útok velice rychle prozradit. Proč těžit na pár CPU jádrech na serveru, když můžu mít tisíce CPU jader a GPU na straně nic netušících uživatelů. Navíc spousta menších webů pojede na nějakém sdíleném hostingu.