Gli hacker potrebbero trasformare la tua TV in un minatore Bitcoin zombie?

Gli aggressori potrebbero far sì che il tuo browser web estragga bitcoin? E la tua TV? Le falle di sicurezza in alcuni sistemi potrebbero renderlo possibile, affermano gli esperti.

I ricercatori tedeschi hanno scoperto un difetto nei televisori Hybrid Broadcast Broadband TV (HbbTV) che potrebbe consentire a un aggressore di eseguire codice dannoso, compresi i miner Bitcoin , afferma ONE rapporto.

Questi dispositivi sono tra un numero crescente di Smart TV, sempre connesse a Internet e che accedono a servizi online oltre alla TV digitale, per migliorare l'esperienza di visione. La ricerca è stata condotta da Marco Ghiglieri, Florian Oswald ed Erik Tews della Technical University of Darmstadt. Martin Herfurt della consulenza tedescaLe suorehanno anche esaminato le TV Samsung in questione. Sono state trovate delle falle che avrebbero permesso agli aggressori di iniettare i propri contenuti.

Ciò è già accaduto con altre TV Samsung. Alcuni credono che sia possibile eseguire miner Bitcoin su dispositivi hackerati come questi.

"È del tutto possibile e alcune Smart TV sono state hackerate da remoto", ha affermato l'esperto di crittografia e sicurezza Sergio Lerner, CEO della società argentina Certimix, coinvolta nel test delle falle di sicurezza nel protocollo Bitcoin .

Il rapporto di SC Magazine sostiene che un miner JavaScript basato su browser, come Bitcoin Più, potrebbe essere utilizzato per manipolare i browser delle smart TV per estrarre monete. Questo software utilizza un LINK a un file JavaScript remoto, contenuto in un codice che può essere incorporato in qualsiasi pagina web (c'è anche un plugin di Wordpress). I computer che visitano una pagina con il codice saranno convinti a iniziare a estrarre monete, inviandole all'indirizzo del proprietario della pagina.

Abbiamo visto altri usare l'idea di JavaScript incorporato per "rubare" potenza di CPU dai computer in visita. ONE team di programmatori esperti ha creato Smidge, una Tecnologie che divide i problemi tra molti computer che visitano un singolo sito web. Ora la stanno usando per risolvere problemi di scacchi, ma un minatore Bitcoin distribuito basato sul web T può essere lontano, dice ONE.

Utilizzare molti computer per fare i propri ordini senza consenso è noto come botherding, e una rete di queste macchine zombie è chiamata botnet. Forse dovremmo chiamare la stessa tecnica per il mining di bitcoin bitherding. E una rete del genere sarebbe una bitnet.

"Presumo che tu possa usare praticamente qualsiasi sistema e qualsiasi hardware per estrarre bitcoin, è solo una questione di efficienza", afferma Claudio Guarnieri, un ricercatore presso la società di sicurezza Rapid7, che haesploratobitnet come Skynet in passato. Questi in genere comportano malware piazzati su una macchina, mentre questi "attacchi" usano JavaScript non per installare alcun malware, ma semplicemente per far fare alla vittima qualche calcolo libero.

Il problema con il bitherding usando la potenza della CPU è che ne serve solo una certa quantità, sottolinea Guarnieri, in disaccordo con Nadolny. "Entrambi i casi che hai specificato sono hack interessanti, ma non saranno mai un modo redditizio per estrarre Bitcoin: usare JavaScript sarebbe semplicemente troppo lento".

Skynet aveva tra 150.000 e 200.000 host, e questo ha avuto un discreto successo, ha detto. Lerner è d'accordo. "Una Smart TV sarebbe un minatore Bitcoin molto lento e avresti bisogno di migliaia di TV per guadagnare qualcosa di significativo. Non è una buona fonte di reddito", afferma.

Sarebbe molto lento. Un Intel Core2 Duoconsegnarecirca 2,5 Megahashes/sec, il che significa che dovresti avere 240 di quegli utenti che visitano il tuo sito per eguagliare l'hash rate di un AMD 7970.

Detto questo, T è fuori dal regno delle possibilità controllare una GPU con una pagina web, aumentando la potenza di calcolo. WebGL, il linguaggio grafico basato sul web progettato per la grafica online ad alte prestazioni, è stato utilizzato per creare esempi accelerati tramite hardware.

Potresti avere più possibilità di far funzionare tutto questo con una valuta basata su Scrypt, che è compatibile con CPU e GPU e molte delle quali hanno un hash rate inferiore. L'attuale hash rate normale di Feathercoin è di circa 660 Megahash/sec, rendendo quelle 240 CPU molto più trattabili.

Ciò presuppone che questi visitatori ignari non stiano facendo altro con il loro computer e rimangano sul tuo sito web. Ma allora, come fai a far sì che le persone restino sulla pagina? Avresti bisogno di percentuali di successo costanti e sostenute, con persone che tengono la pagina aperta, per far funzionare il mining. Va bene se stai arruolando un gruppo di volontari (nel qual caso, T è un bitnet, è una comunità). Meno se stai cercando di ingannare le persone per fare mining basato su browser.

Dovresti incorporarlo in un sito molto popolare e, se sei il tipo di persona che fa comunque il bitherd, probabilmente infetteresti i computer dei visitatori con un download drive-by, in modo che possano estrarre inconsapevolmente anche quando sono fuori dal sito.

Il modo più appropriato per montare un attacco di bitherding sarebbe quello di compromettere direttamente una macchina e farle usare la sua GPU, concorda Guarnieri. "Ci sono tonnellate di botnet che scaricano i miner Bitcoin , nella maggior parte dei casi in realtà incorporano solo un client di mining legittimo come il Ufasoft ONE", dice.

In alternativa, potresti puntare a sistemi ottimizzati per il gaming che avrebbero maggiori probabilità di avere i tipi di software adatti alla grafica, noti per gli elevati hash rate. Questo è esattamente ciò cheAssociazione di intrattenimento e-sport (EASA) lo ha fatto, quando ha incorporato <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> il software di mining Bitcoin all'interno del suo software client, presumibilmente come uno scherzo del pesce d'aprile, e ha irritato i suoi utenti. Il client era stato progettato per impedire ad altri giocatori di barare mentre giocavi online, ma l'azienda ha incluso il codice di mining Bitcoin come extra nascosto, prima di ritirare la patch alcune settimane dopo in risposta ai reclami degli utenti.

In breve, quindi, hackerare le TV per estrarre bitcoin, o ingannare maliziosamente i computer per estrarli semplicemente visitando un sito web, è una proposta speciosa. Ci sono modi molto più semplici per costringere segretamente le persone a estrarre le tue monete Per te. Ma se volessi radunare un team di volontari non tecnici per estrarre consapevolmente valute basate su Scrypt per una buona causa, quell'idea potrebbe avere gambe.