नाम यह सब कहता है: WannaMine। स्पेन की एक साइबर स्पेस कंपनी बिलबाओ के पांडा ने फरवरी की शुरुआत में लिखा था कि "एक नया मालवेयर वेरिएंट दुनिया भर के कंप्यूटरों को अपने कब्जे में ले रहा है, उनका अपहरण करके मोनरो नामक एक क्रिप्टोकरेंसी को माइन कर रहा है।"
वायरस WannaCry को याद करता है, एक कीड़ा जो मई 2017 में ग्लोब में बह गया, संक्रमित सिस्टम के डेटा को एन्क्रिप्ट करने और इसे डिक्रिप्ट करने के लिए बिटकॉइन फिरौती के भुगतान की मांग की। लेकिन WannaMine अपने पीड़ितों के लिए क्रिप्टोक्यूरेंसी को छोड़ने के लिए एक अलग तरीका अपनाता है: यह क्रिप्टोकरंसी नामक एल्गोरिथ्म को चलाने के लिए अपनी मशीनों की प्रसंस्करण शक्ति का उपयोग बार-बार करता है, किसी भी अन्य समर्थकों से पहले एक हैश मीटिंग निश्चित मानदंड पाने की उम्मीद करता है। जब ऐसा होता है, तो एक नया ब्लॉक खनन किया जाता है, जो नए मोनरो का एक हिस्सा बनाता है - लिखने के समय लगभग 1, 500 डॉलर - और हमलावर के बटुए में विंडफॉल जमा करना।
संभावना है कि किसी भी दिए गए खनिक को अगला ब्लॉक पहले मिलेगा और इनाम प्राप्त होने की संभावना कम है, लेकिन पर्याप्त सीपीयू को संक्रमित कर सकते हैं, और आप एक सभ्य राजस्व स्ट्रीम एक साथ हैक कर सकते हैं। चूंकि पीड़ित बिजली के बिलों का भुगतान करता है और हार्डवेयर प्रदान करता है, इसलिए हमलावर के लिए लागत नगण्य है। (यह भी देखें, बिटकॉइन माइनिंग कैसे काम करता है? )
"एक सबूत की अवधारणा"
11 फरवरी को, एक समान लेकिन बल्कि अधिक शानदार हमले को उजागर किया गया था। साइबर सिक्योरिटीज के शोधकर्ता स्कॉट हेल्मे और इयान थॉर्नटन-ट्रम्प (phat_hobbit) ने देखा कि ब्रिटेन की राष्ट्रीय स्वास्थ्य सेवा से लेकर अमेरिकी न्यायालयों तक की साइटें आगंतुकों के ब्राउज़रों को खदानों में छिपा रही थीं।
उम्म, तो हाँ, यह * बुरा * है। मैंने अभी @phat_hobbit को बताया था कि @ICOnews ने अपनी साइट पर एक क्रिप्टोकरंसी स्थापित की है… pic.twitter.com/xQhspR7A2f
- स्कॉट हेल्म (@Scott_Helme) 11 फरवरी, 2018
अपराधी एक टेक्स्ट-टू-स्पीच प्लगइन था, जो एंग्लोफोन सरकारों के साथ लोकप्रिय था जिसे ब्राउनसेलॉड कहा जाता था, जो सिक्काहाइव से संक्रमित था, एक इन-ब्राउज़र मोनोरो माइनर जो जरूरी नहीं कि प्रति सेवेयर मैलवेयर हो: इसके प्रदाता इसे ट्रैफिक मोनेटाइज करने के लिए एक वैध तरीके के रूप में प्रस्तुत करते हैं, लेकिन मदरबोर्ड के अनुसार अपने उपयोगकर्ताओं से बहुत कम सवाल पूछें।
अब तक, 2018। लेकिन कुछ बंद है। हमलावरों ने कुछ नहीं किया: $ 24 के बारे में, जिसे भुगतान भी नहीं किया गया था, कॉइनहाइव ने मदरबोर्ड को बताया। और जैसा कि हेल्म ने बताया, हमला बहुत बुरा हो सकता था: "हमलावरों ने इंग्लैंड में कई एनएचएस वेबसाइटों सहित हजारों साइटों पर मनमाना स्क्रिप्ट इंजेक्शन लगाया था।" वे अत्यंत मूल्यवान व्यक्तिगत डेटा के नाव लोड कर सकते थे। लेकिन उन्होंने ऐसा नहीं किया।
हमले के अपने चुने हुए तरीके को देखते हुए, हमलावरों को उच्च-यातायात, कम-जांच, कम-सुरक्षा लक्ष्यों को चुना जाना चाहिए: पोर्न साइटें क्रिप्टोमिनर्स के साथ लोकप्रिय हैं क्योंकि वे इन मानदंडों को फिट करते हैं।
ऐसा लगता है कि अपहर्ताओं का लक्ष्य पैसा कमाना नहीं था। शायद, जैसा कि वायर्ड यूके के मैट बर्गेस ने डाल दिया था - मालवेयरबाइट्स विश्लेषक क्रिस बॉयड को पैराफ्रेसिंग करते हुए - वे "इसके बजाय एक सबूत-की-अवधारणा का निर्माण कर रहे थे।"
क्रिप्टो विज्ञापन मॉडल को बाधित करता है?
क्या अवधारणा हो सकती है, बॉयड ने निर्दिष्ट नहीं किया। "आइए देखें कि इन लिपियों के साथ किस तरह की पागल चीज की जा सकती है, " उन्होंने हैकर्स की कल्पना की।
लेकिन डिजिटल एसेट रिसर्च के वरिष्ठ विश्लेषक लुकास नुज़ी का एक विचार है। "ब्राउज़र-आधारित खननकर्ता जैसे कि सिक्काहाइव अस्तित्व में उपयोगी पीओडब्ल्यू का सबसे अच्छा कार्यान्वयन है, " उन्होंने ट्वीट किया। "इंटरनेट के इतिहास में पहली बार, वेबसाइटों में विज्ञापनों के साथ उपयोगकर्ताओं को बमबारी किए बिना सामग्री का मुद्रीकरण करने का एक तरीका है।"
क्षमता विज्ञापन-आधारित मॉडल तक सीमित नहीं है, या तो:
2 \ _ इन खनिकों को कोड की 20 से कम लाइनों के साथ लागू किया जा सकता है। विकिपीडिया को दान के लिए पूछने की आवश्यकता नहीं होगी यदि उन्होंने ब्राउज़र-आधारित माइनर लागू किया है।
- लुकास नुज़ी (@LucasNuzzi) 15 फरवरी, 2018
ब्राउज़र माइनिंग में वेब सामग्री प्रदाताओं के लिए वर्तमान मुद्रीकरण मॉडल को बाधित करने की क्षमता है। इंटरनेट विज्ञापन - जो कष्टप्रद होते हैं, अक्सर दुर्भावनापूर्ण कोड होते हैं, और एक डेटा ब्रोकरेज उद्योग का समर्थन करते हैं जो उपयोगकर्ताओं की गोपनीयता और सुरक्षा से समझौता करता है - एक सहायक भूमिका के लिए फिर से आरोपित किया जा सकता है। दान - जो विकिपीडिया की दलीलों के दसियों को देखते हुए, इसे काटता नहीं - महत्व में फीका पड़ सकता है। (यह भी देखें, ब्लॉकचेन आपको बना सकता है - समान नहीं - आपके डेटा का स्वामी। )
दुर्भाग्य से, नुज़ी जारी है, हैकर्स ने प्रतिष्ठित साइटों को पंच से हराया, जो सार्वजनिक कल्पना में मैलवेयर के साथ ब्राउज़र खनन को जोड़ता है और "विकिपीडिया जैसी प्रतिष्ठित वेबसाइटों द्वारा गोद लेने की उम्मीद को कुचलता है।"
सलून ने डुबकी लगाई
शायद, लेकिन कम से कम एक प्रतिष्ठित, यदि संघर्ष कर रहा है, तो साइट ने इसका लाभ उठाया है। सलोन ने कॉइनहाइव के साथ साझेदारी की है, और 11 फरवरी को - ब्राउनसॉल्ड पराजय का दिन - यह विज्ञापन अवरोधकों का उपयोग करके आगंतुकों से पूछना शुरू कर देता है कि क्या वे "अप्रयुक्त कंप्यूटिंग शक्ति का उपयोग करने की अनुमति देकर विज्ञापनों को अवरुद्ध करना चाहते हैं।" एफएक्यू पेज बताता है कि इसका मतलब खनन मोनरो है, हालांकि यह नाम से अपने अब-कुख्यात साथी का उल्लेख नहीं करता है। (यह भी देखें, Cyrptocurrency खनन के लिए अपने कंप्यूटर का उपयोग करने के लिए सैलून चाहता है। )
उपयोगकर्ता अनुभव का आकलन करने के लिए, मैंने कुछ विज्ञापन अवरोधकों को चालू किया, सैलून का दौरा किया और "विज्ञापनों को दबाने" के लिए सहमत हुआ। यह काम नहीं किया। मुखपृष्ठ अर्ध-अपारदर्शी और अकल्पनीय हो गया, जैसा कि कभी-कभी तब होता है जब एक अनिवार्य पॉप-अप एक विज्ञापन-अवरोधक (एक एडब्लॉकर के क्रिप्टोमिनर में ऑप्ट करने के लिए एक आवश्यक पूर्व-आवश्यकता होने के नाते) द्वारा अस्पष्ट हो जाता है। कुछ उधेड़बुन के बाद - जिस तरह से मुझे सामान्य परिस्थितियों में कहीं और ब्राउज़ करने के लिए प्रेरित किया जाता था - मैं उदार टिप्पणी को काटने के बदले में मोनरो का खनन कर रहा था।
मैंने कोई विज्ञापन नहीं देखा, लेकिन निश्चित रूप से मैं विज्ञापन अवरोधक चला रहा था। पृष्ठ ने लगातार कुछ तत्वों को पुनः लोड किया, जिससे पाठ लगभग हर कुछ सेकंड में छोड़ दिया गया। पढ़ना मुश्किल था। थोड़ा संदेह है, मेरे विज्ञापन-ब्लॉकर्स काउंटर 11 और 29 तक टिक गए हैं, हर पुनः लोड के साथ अवरुद्ध अनुरोधों का संकेत देते हैं।
मैं निस्संदेह खनन कर रहा था। पृष्ठ पर जाने से पहले, मेरी मैकबुक की गतिविधि मॉनिटर ने 10% से अधिक सीपीयू का उपयोग करके कोई एप्लिकेशन नहीं दिखाया। मेरी यात्रा के दौरान, क्रोम हेल्पर 50% या इतने तक - एक बिंदु पर - 320% तक था। क्रोम का ऊर्जा प्रभाव भी तीन अंकों तक बढ़ गया; 12-घंटे का औसत 46 है।
सैलून के पीआर फर्म को ब्राउज़र माइनिंग के साथ आउटलेट के अनुभव के बारे में पूछने पर एक ईमेल का तत्काल उत्तर नहीं मिला। यह लेख सैलून की प्रतिक्रियाओं को प्रतिबिंबित करने के लिए अपडेट किया जाएगा।
क्या ब्राउज़र माइनिंग का काम कर सकता है?
ब्राउज़र माइनिंग के साथ मेरी संक्षिप्त मुठभेड़ में हिचकी के प्रकार का पता चला है जो बीटा संस्करणों के विशिष्ट हैं। लेकिन बिजली की खपत एक बाधा है जिसका मामूली सुधार नहीं होगा। बिटकॉइन खनिक क्यूबेक के लिए आते हैं क्योंकि बिजली सस्ती है। अपहरणकर्ता आगंतुकों के ब्राउज़र का उपयोग उसी कारण से कर रहे हैं। हालांकि, सैलून की ओर से खनन के मौद्रिक प्रभाव का अनुमान लगाना मुश्किल है, बिजली की खपत में वृद्धि स्पष्ट थी। यदि वेब का एक महत्वपूर्ण हिस्सा ब्राउज़र खनन को अपनाया, तो इंटरनेट का उपयोग करना महंगा हो सकता है।
वही हार्डवेयर उपयोग के लिए जाता है। WannaMine ने इस तरह की समस्या पेश की, क्योंकि पांडा ने कहा, "जिस तरह से यह प्रोसेसर का अधिकतम उपयोग करने की कोशिश करता है और रैम कंप्यूटर को महान तनाव में रखता है।" जब तक साइटें आगंतुकों के कंप्यूटर पर उनके द्वारा की जाने वाली मांगों को सीमित नहीं करतीं, प्रक्रियाएं एक क्रॉल तक धीमी हो जाएंगी और हार्डवेयर काफी तेजी से खराब होगा।
नुज़ी इन समस्याओं से छूट नहीं देता है। "अगर ब्राउज़र-आधारित खनन एक चीज बन जाता है, तो निश्चित रूप से दुरुपयोग होगा जब यह वेबसाइट द्वारा खपत किए गए खनन धागे की संख्या की बात आती है, " उन्होंने ईमेल के माध्यम से कहा। दूसरी ओर, "विज्ञापनों की तरह, उस स्क्रीप्ट को अवरुद्ध करने के तरीके भी होंगे, इसलिए वेबसाइटों को यह पता लगाना होगा कि उचित संतुलन क्या होना चाहिए, अन्यथा उपयोगकर्ता वेबसाइट पर जाना बंद कर देंगे या खनन करने वाले को रोकेंगे।"
बिजली के उपयोग के लिए, मोनोरो के हैश फ़ंक्शन CryptoNight में बिटकॉइन के SHA-256 की तुलना में हल्का स्पर्श है। मोनू खनन "लैपटॉप उपयोगकर्ताओं के लिए एक बड़ी समस्या नहीं है, " नुजूल कहते हैं, लेकिन "यह निश्चित रूप से स्मार्ट फोन के लिए उपयोग के कुछ मामलों पर अंकुश लगाता है" उनकी अधिक सीमित बैटरी क्षमता के साथ।
फिर जोखिम है कि हैश दर हथियारों की दौड़, जिसने सीपीयू और यहां तक कि बिटकॉइन के जीपीयू खनन और गैर-लाभकारी है, ब्राउज़र खनन धक्का को रोक देगा। कॉइनहाइव और वनामाइन मोनरो का उपयोग करने का कारण यह है कि यह केवल क्रिप्टोकरेंसी में से एक है जो सीपीयू का उपयोग करके लाभप्रद रूप से खनन किया जा सकता है। सही आर्थिक प्रोत्साहन को देखते हुए, मोनरो भी ASIC के शिकार नहीं हो सकते, विशेष हार्डवेयर को संभव के रूप में उपवास के माध्यम से चलाने के लिए बनाया गया है?
नुज़ी ऐसा नहीं लगता। वह CryptoNight को "शानदार ढंग से डिज़ाइन किया गया" कहते हैं, "इसे जोड़ने" से मोनरो को स्मार्टफोन सहित विभिन्न प्रकार के उपकरणों का उपयोग करके खनन करने की अनुमति मिलती है, क्योंकि उनमें से अधिकांश में कम से कम 2GB RAM है, जबकि CryptoNight उदाहरण को शुरू करने के लिए केवल 2MB की आवश्यकता होती है। क्रिप्टो (Litecoin के सर्वसम्मति एल्गोरिथ्म) के लिए, CryptoNight सर्किट एकीकरण के लिए बहुत अधिक लचीला है, जो ASICs को बनाने की अनुमति देता है।"
एक ASIC विकसित होने पर मोनरो के डेवलपर्स ने एल्गोरिथ्म को बदलने का भी वादा किया है। "बिटमैन जैसे निर्माता कभी भी इस जोखिम को देखते हुए एक मोनरो ASIC विकसित करने के लिए R & D बजट आवंटित नहीं करेंगे, " नुज़ी कहते हैं। (यह भी देखें, बिटकॉइन बनाम लिटकोइन: क्या अंतर है? )
लंबे समय से अपेक्षित
यदि क्रिप्टोमाइनिंग विज्ञापनों को ऑनलाइन सामग्री के मुद्रीकरण के प्राथमिक तरीके के रूप में विस्थापित करता है, तो यह क्रिप्टोक्यूरेंसी के सबसे पहले वादों में से एक है।
तर्क यह है कि साइटों के लिए बिटकॉइन micropayments वर्तमान मॉडल को बाधित कर सकते हैं, बढ़ती लेनदेन शुल्क का शिकार हो गया, लेकिन अन्य अवरोधकों का उपयोग करके अन्य प्रयास किए गए हैं, जैसे कि ऐड-ब्लॉकिंग ब्रेव ब्राउज़र की बेसिक अटेंशन टोकन। लेकिन जब तक आपके द्वारा ब्लॉक किए गए बटुए और मुआवजे वाली साइटों के लिए धनराशि वैकल्पिक रहती है - जैसा कि यह बहादुर में है - मॉडल उन साइटों को उपलब्ध कराने की संभावना नहीं दिखती है, जिन्हें उनकी आवश्यकता है। (बहादुर, यह कहा जाना चाहिए, अपने मंच पर विज्ञापनदाताओं के लिए एक जगह की कल्पना करता है।)
इस बात की कोई गारंटी नहीं है कि ब्राउज़र माइनिंग को पकड़ लेगा, या यह कि उपयोगकर्ताओं के उपकरण और बिजली के बिलों पर प्रभाव एक डील-ब्रेकर नहीं होगा। एक मौका है, हालांकि, यह कष्टप्रद, घुसपैठ, कभी-कभी हानिकारक विज्ञापन - या आपके द्वारा उन्हें अवरुद्ध करने के लिए उपयोग किए जाने वाले प्रोग्राम - आपके रास्ते से बाहर हैं।
