Hackers podem transformar sua TV em um minerador zumbi de Bitcoin ?

Os invasores poderiam fazer seu navegador minerar bitcoins? E sua TV? Falhas de segurança em alguns sistemas podem tornar isso possível, dizem especialistas.

Pesquisadores alemães descobriram uma falha em aparelhos de televisão Hybrid Broadcast Broadband TV (HbbTV) que pode permitir que um invasor execute código malicioso, incluindo mineradores de Bitcoin , diz um relatório.

Esses dispositivos estão entre um número crescente de Smart TVs, sempre conectadas à Internet e acessando serviços online além da TV digital, para melhorar a experiência de visualização. A pesquisa foi realizada por Marco Ghiglieri, Florian Oswald e Erik Tews da Universidade Técnica de Darmstadt. Martin Herfurt da consultoria GermanyNrunstambém explorou as TVs Samsung em questão. Descobriu-se que elas tinham falhas que permitiriam que os invasores injetassem seu próprio conteúdo.

Isso já aconteceu antes com outras TVs Samsung. Alguns acreditam que é possível executar mineradores de Bitcoin em dispositivos hackeados como esses.

“É completamente possível, e algumas Smart TVs foram hackeadas remotamente”, disse o especialista em criptografia e segurança Sergio Lerner, CEO da empresa argentina Certimix, que está envolvida em testes de falhas de segurança no protocolo Bitcoin .

O relatório da SC Magazine argumenta que um minerador JavaScript baseado em navegador, como Bitcoin Plus, poderia ser usado para manipular navegadores de TVs inteligentes para minerar moedas. Este software usa um LINK para um arquivo JavaScript remoto, contido em código que pode ser incorporado em qualquer página da web (há também um plugin Wordpress). Computadores que visitam uma página com o código serão persuadidos a começar a minerar as moedas, enviando-as para o endereço do proprietário da página.

Vimos outros usando a ideia de JavaScript embutido para "roubar" poder de CPU de computadores visitantes. Uma equipe experiente de programadores criou o Smidge, uma Tecnologia que divide problemas entre muitos computadores que visitam um único site. Eles estão usando isso para resolver problemas de xadrez agora, mas um minerador de Bitcoin distribuído baseado na web certamente T pode estar longe, diz um.

Usar muitos computadores para fazer suas ordens sem consentimento é conhecido como incômodo - e uma rede dessas máquinas zumbis é chamada de botnet. Talvez devêssemos chamar a mesma técnica para mineração de bitcoins de bitherding. E tal rede seria uma bitnet.

“Presumo que você pode usar praticamente qualquer sistema e qualquer hardware para minerar bitcoins, é apenas uma questão de eficiência”, diz Claudio Guarnieri, pesquisador da empresa de segurança Rapid7, que temexploradobitnets como Skynet no passado. Geralmente envolvem malware colocado em uma máquina, enquanto esses ‘ataques’ usam JavaScript não para instalar nenhum malware, mas simplesmente para fazer a vítima fazer alguma computação gratuita.

O problema com o bitherding usando poder de CPU é que você precisa de uma quantidade limitada dele, aponta Guarnieri, discordando de Nadolny. “Ambos os casos que você especificou são hacks interessantes, mas eles nunca serão uma maneira lucrativa de minerar Bitcoins: usar JavaScript seria muito lento.”

A Skynet tinha entre 150.000 e 200.000 hosts, e isso era relativamente bem-sucedido, ele disse. Lerner concorda. “Uma Smart TV seria um minerador de Bitcoin muito lento e você precisaria de milhares de TVs para ganhar algo significativo. Não é uma boa fonte de renda”, ele afirma.

Seria muito lento. Um Intel Core2 Duo iráentregarcerca de 2,5 Megahashes/seg, o que significa que você precisaria ter 240 desses usuários visitando seu site para igualar a taxa de hash de um AMD 7970.

Dito isso, T está fora do reino da possibilidade controlar uma GPU com uma página da web, aumentando o poder de computação. WebGL, a linguagem gráfica baseada na web projetada para gráficos on-line de alto desempenho, foi usada para criar exemplos acelerados por hardware.

Você pode ter mais chances de fazer isso funcionar com uma moeda baseada em Scrypt, que é amigável para CPU e GPU, e muitas das quais têm uma taxa de hash menor. A taxa de hash normal atual da Feathercoin é de cerca de 660 Megahashes/seg, tornando essas 240 CPUs muito mais tratáveis.

Isso pressupõe que esses visitantes desavisados ​​não estejam fazendo mais nada com seus computadores e permaneçam no seu site. Mas então, como você faz as pessoas permanecerem na página? Você precisaria de taxas de acerto constantes e sustentadas, com pessoas mantendo a página aberta, para fazer a mineração funcionar. Isso é bom se você estiver recrutando um grupo de voluntários (nesse caso, T é um bitnet, é uma comunidade). Menos se você estiver tentando enganar as pessoas para mineração baseada em navegador.

Você precisaria incorporar isso em um site muito popular e, se você for o tipo de pessoa que fica chateada de qualquer maneira, provavelmente infectaria os computadores dos visitantes com um download drive-by, para que eles pudessem minerar sem querer, mesmo quando estivessem fora do site.

A maneira mais apropriada de montar um ataque de bitherding seria comprometer uma máquina diretamente e fazer com que ela use sua GPU, concorda Guarnieri. “Existem toneladas de botnets derrubando mineradores de Bitcoin , na maioria dos casos eles apenas incorporam um cliente de mineração legítimo como o Ufasoft um”, ele diz.

Alternativamente, você miraria em sistemas otimizados para jogos que teriam mais probabilidade de ter os tipos de software amigáveis a gráficos bem conhecidos por altas taxas de hash. É exatamente isso que oAssociação de Entretenimento E-Sports (EASA) fez, quando incorporou <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> software de mineração de Bitcoin dentro de seu software cliente – supostamente como uma brincadeira de 1º de abril - e irritou seus usuários. O cliente foi projetado para impedir que outros jogadores trapaceassem enquanto você estava jogando online, mas a empresa incluiu o código de mineração de Bitcoin como um extra secreto, antes de retirar o patch algumas semanas depois em resposta a reclamações de usuários.

Resumindo, então, hackear TVs para minerar bitcoins, ou enganar computadores maliciosamente para minerá-los simplesmente visitando um site, é uma proposta especiosa. Existem maneiras muito mais fáceis de forçar secretamente as pessoas a minerarem suas moedas Para Você. Mas se você quisesse reunir uma equipe de voluntários não técnicos para minerar conscientemente moedas baseadas em Scrypt por uma boa causa, essa ideia pode ter pernas.