אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » רשת האינטרנט » זה התחיל: סקריפט בג׳רוזלם פוסט כרה מטבעות קריפטוגרפיים

זה התחיל: סקריפט בג׳רוזלם פוסט כרה מטבעות קריפטוגרפיים

רן בר-זיק אוקטובר 22, 2017 1:05 pm 9 תגובות

אם נכנסתם היום לאתר ג׳רוזלם פוסט, המחשב שלכם בקושי סחב. למה? כי היה באתר סקריפט שכרה באמצעות המחשב שלכם מטבע קריפטוגרפי.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

לפני זמן מה החלה מגפה חדשה בעולם הווב – אתרים שמבצעים כרייה של מטבעות קריפטוגרפיים באמצעות הקוראים שלהם או התקפות שנועדו לשתול באתרים אחרים סקריפטים שמבצעים כרייה כזו.

מטבעות קריפטוגרפיים, למי שלא יודע, הם מטבעות כגון ביטקוין, את׳ריום, ריפל ואחרים אשר ניתן להשיגם באמצעות קנייה ממשתמשים אחרים באמצעות שער מוסכם (כיום שער הביטקוין הוא 6,000 דולר למטבע אחד) או באמצעות כרייה שלהם. מה זאת אומרת כרייה? זה אומר השקעת משאבי מחשוב על מנת לייצר מטבע (או חלק ממנו). כשזמן החישוב הנדרש הולך ועולה ככל שכמות המטבעות מצטמצמת. הסבר טוב על כרייה אפשר למצוא פה. אבל בגדול, נדרש כוח מחשוב ממש רב על מנת לייצר מטבע קריפטגורפי. ברגע שהוא נוצר, יש לנו כסף.

בתחילת דרכם של המטבעות הקריפטוגרפיים, רוב ה׳כורים׳ השתמשו במחשבים חזקים. אבל מאוחר יותר גילו שבמקום להשתמש במחשבים יעודיים חזקים ויקרים, אפשר להשתמש ברשת של מחשבים ״רגילים״ שכל אחד מהם יתרום כוח עיבוד וביחד הם יגיעו לעוצמה משמעותית. בתחילה זה כמובן שימש משתמשים לגיטימיים שבנו רשתות של משתמשים שחלקו בינהן את הרווח. מאוחר יותר האקרים השתמשו במחשבים שאותם הם הדביקו על מנת לייצר רווח לעצמם. לא מזמן עולם התוכן באינטרנט גילה את הדרך הזו. נוצרו ספריות ג׳אווהסקריפט ושירותים שונים שאיפשרו לקבל כוח מחשוב מהמבקרים באתרים השונים כדי לעזור בכריה. החלוץ היה אתר pirate bay, שהפעיל ספריית ג׳אווהסקריפט בשם Coinhive שלקחה כוח מחשוב מכל מבקר ורתמה אותו לטובת כרייה.

מה הבעיה עם זה? ובכן, ה-CPU של המשתמש עובד מאוד קשה ויגיע ל-100 אחוז ניצולת. המשתמש התמים יתקשה מאוד להפעיל תוכנות אחרות, לראות סרטים ולעשות כל שימוש אחר במחשב. אם המשתמש גולש ממחשב נייד/טלפון, הבטריה תתרוקן במהירות. מבחינה מוסרית, זה מפוקפק, כיוון שאנו לא מודיעים לגולש שאנחנו רותמים את המחשב שלו (שהוא הרכוש של הגולש) לטובת יצירת רווח לאתר. יצרני דפדפנים מובילים כבר הודיעו בדרכים אלו ואחרות שהם ישקלו לחסום כרייה באמצעות דפדפן. אבל הנושא עדיין פתוח.

היום התגלה לי, על ידי המתכנת המוכשר טל מלכא שבאתר תקשורת מרכזי היה סקריפט שמשתמשב-coinhive על מנת לכרות מטבע קריפטוגרפי מלקוחות שמבקרים אצלו. איזה אתר? הג׳רוזלם פוסט. אתר תקשורת מרכזי ופופולרי באנגלית. בקוד הקליינט שלו ניתן לראות שימוש בקוד של coinhive וכן מספר חשבון שנקרא jpost. על פי התגובה של ג׳רוזלם פוסט, מדובר בקוד שהושתל שם באופן זדוני. אם כך, מדובר בצורת התקפה חדשה ומעניינת.

סקריפט של coinhive רץ בג׳רוזלם פוסט עם חשבון על שם ג׳רוזלם פוסט
סקריפט של coinhive רץ בג׳רוזלם פוסט עם חשבון על שם ג׳רוזלם פוסט

לפני הסרת הקוד, היה ממש אפשר לראות את זה בקלות, הייתם נכנסים לג׳רוזלם פוסט והייתם יכולים לראות איך מד ה-CPU וצריכת האנרגיה שלכם קופץ מיידית לרמה מאוד גבוהה.

קפיצת CPU שמתקיימת ברגע שנכנסים לג׳רוזלם פוסט ויורדת ברגע שיוצאים ממנו
קפיצת CPU שמתקיימת ברגע שנכנסים לג׳רוזלם פוסט ויורדת ברגע שיוצאים ממנו
צריכת ה-CPU כאשר נכנסים לג׳רוזלם פוסט
צריכת ה-CPU כאשר נכנסים לג׳רוזלם פוסט
צריכת החשמל כאשר נכנסים לג׳רוזלם פוסט
צריכת החשמל כאשר נכנסים לג׳רוזלם פוסט

מי שנכנס הרגיש גם האטה של המחשב ואת המאווררים שלו עובדים יותר חזק. ברגע שיצאנו מהאתר של ג׳רוזלם פוסט, ניצולת ה-CPU ירדה מייד.

מה עושים נגד זה?

הפתרון הוא פשוט. גם בכרום וגם בפיירפוקס תוספי האנטי פרסומות כמו ublock לכרום ולפיירפוקס, חוסמים את הסקריפטים האלו. ישנם גם תוספים יעודיים רבים אחרים אחרים.

לסיכום

באופן עקרוני, כריית מטבעות קריפטוגרפיים היא לא עוול. אתרי תוכן צריכים לחיות ממשהו. אני לא פוסל, אך הבעיה היא כרגיל בשקיפות ובביצוע. בשקיפות: צריך להודיע למשתמשים שנעשה שימוש במשאבי המחשב שלהם. בביצוע: זלילת כל כוח ה-CPU ממש מעיקה על המחשב ושואבת אנרגיה. אפשר בהחלט להסתפק בחלק יחסי שלא יפריע לפעולת המחשב ולהגביל עוד יותר את ההפעלה כאשר מדובר במכשירים ניידים. אם מדובר בצורת התקפה חדשה, כפי שמסרו לי בג׳רוזלם פוסט, אז אתרים חייבים להפעיל הגנות הרבה יותר טובות.

עדכון

מג׳רוזלם פוסט נמסר:
היום בשעת צהריים נשלחה אלינו התראה בנושא קוד לכריית מטבעות המוטמע אצלנו באתר.
מייד נכנסנו לשרתים, זיהינו את הקוד וחסמנו אותו.
הקוד נשתל ללא ידיעתנו ושהה באתר שעות ספורות עד שנחסם.
אנו פועלים כרגע יחד עם חברת האחסון והאבטחה של השרתים על מנת להגיע למקור החדירה.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

9 תגובות

  1. חגי הגב אוקטובר 22, 2017 בשעה 2:08 pm

    אהלן,
    יש עוד אתרים בארץ שהחלו את זה.
    הכל בערך התחיל אחרי השגעון שלThePirateBay,
    מספר אתרי טורנט בעולם מאפשרים כיום להריץ כזה קורה במודע בתמורה לקרדיט העלאה וכו׳.
    אתר ישראלי גם ביצע את זה, וגם בו ללא שום מגבלה ועל 100% cpu.
    בנוסף לחוסמי פרסמות,
    יש את התוסף שנקרא NoCoin גם לכרום וגם לפיירפוקס.
    מעולה.

  2. אלמוגי הגב אוקטובר 22, 2017 בשעה 3:14 pm

    לא בטוח שזה דבר רע.
    יש כבר הרבה תחרות לקוינהייב, ושירותים יותר לגיטימיים שנכנסים לנושא (דוגמאת Papoto).
    הרבה טוענים שזה חלק בלתי נפרד ממוניטיזציה בעתיד. אני מסכים ומעדיף ,לחצוב, טיפה מאשר לראות יותר ויותר ספאם

  3. ישראל באנר הגב אוקטובר 22, 2017 בשעה 3:17 pm

    מעניין בכלל לראות את העתיד של ה"מטבע" החדש… לא חושב שנראה הרבה ממנה.

    • באבא הגב אוקטובר 22, 2017 בשעה 4:03 pm

      המטבע והתחום אינם חדשים כלל. העתיד כבר כאן, אין צורך לטמון ראשך בחול.

  4. אלעד הגב אוקטובר 22, 2017 בשעה 5:35 pm

    זה דבר רע מאוד.
    הבעיה היא היחס הבלתי פרופורציונלי בקיצוניות בין כמות הכסף והמשאבים שנלקחים מהמשתמשים לכסף שהאתר יכניס בפועל. בגלל שלמעשה היום בכלל לא ריאלי לכרות על גבי חומרה לא ייעודית, מחשב ממוצע שעושה כ18MH/s בחודש שלם של עבודה ב100% לא יצליח לכרות אפילו בשווי של אגורה אחת(!). מצד שני בכל זמן הזה המחשבים של המשתמשים יעבדו קשה מאוד, ימנעו שימוש סביר במחשב ויבזבזו חשמל רב.

  5. אודי הגב אוקטובר 23, 2017 בשעה 4:12 am

    יש הסבר לדרך בה הושתל הקוד?

    • רן בר-זיק הגב אוקטובר 24, 2017 בשעה 8:43 am

      לא, סירבו לומר לי.

  6. Erez הגב אוקטובר 23, 2017 בשעה 4:02 pm

    https://xkcd.com/1656/

    • רן בר-זיק הגב אוקטובר 24, 2017 בשעה 8:43 am

      🙂

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד