DenníkN ťažil na PC ich návštevníkoch Monero kryptomenu

Prave som si cital tento clanok: https://androidportal.zoznam.sk/2017/09/dennikn-tazil-pc-navstevnikoch-kryptomenu  kde tvrdia ze DenníkN ťažil na pocitacoch ich návštevníkoch kryptomenu. DennikN sa vyjadril ze o tom nevedeli. Tento clanok je kratka uvaha na mozny zisk z takto prevedeneho hack a ako sa tomu firmy mozu branit.

Osobne si nemyslim ze ten JavaScript bol spusteny len na chvilu, a urcite nie omylom ako tvrdi DenníkN , aj ked je asi zbytocne nad tym nejak spekulovat.
Najskor to bude asi tak, ze ten JavaScript bez vedomia DennikaN dal na stranky zamestnanec firmy ktore pre DenníkN spravovala newsletter (a ktoru neskor vyhodili).
Zamestanec asi dufal ze na tom potajomky zbohatne. A tak pre zaujimavost som zacal rozmyslat kolko by na tom mohol ten clovek teoreticky zarobit.

 

Uvaha o Profite

Vychadzajuc z dostupnych cisiel, ktore som si zistil online za 5 minut:
  • DennikN mal podla verejne dostupnych statistik zhruba 1.685 miliona navstevnikov za posledny mesiac, ktory stravia v priemere 4 minuty na ich stranke – https://www.similarweb.com/website/dennikn.sk#overview

         

            To je zhruba 56 tisic ludi denne * 4 minuty navstevnosti je zhruba 224,000 minut co ten clovek mohol vyuzit na tazenie tej kryptomeny denne.
  • Priemerna cena elektriky na Slovensku okolo USD 0.143 (US cents per kWh) – http://www.doingbusiness.org/data/exploreeconomies/slovakia/getting-electricity

       

  • Klasicky domaci desktop pocitac s dobrou grafickou kartou a relativne dobrym GPU da tak okolo 20-50 H/s za sekundu a zozerie zhruba 100w za 6 hodin (0.27w za minutu)

 

Takze:

– 56 tisic ludi x 20H/s by dalo hashing power okolo 1,120,000 H/s v priebehu 24 hodin
– 56 tisic by za za ten den minulo okolo 60,480w (zratanych vsetkych 224 tisic minut)
Hodil som to do Monero mining kalkulacky na: https://www.cryptocompare.com/mining/calculator/xmr

Ak sa niekde nemylim, vyslo mi ze ten clovek mohol takymto sposobom denne vytazit 19.91 Monera, co zodpoveda zhruba profitu okolo US$ 1,690 po odpocitani cien energie (zhruba 207 dolarov). Kedze vsak za elektriku neplati, cisti denny zisk by bol zhruba USD 1,898.45, alebo zhruba 1,600 Euro denne. Ale to len v pripade ze by uplne kazdy citatel DennikN tazil Monero na 100% pocas celej navstevy web stranky dennika. Realita by bola asi radovo nizsia.

 

Ako sa branit?

Clovek ktory umiestnil Monero miner javascript na stranky Dennika N (mozeme ho kludne nazvat hacker) to nemal zda sa moc dobre vymyslene. Nespravil totiz v pridanom .js file ziadnu limitaciu toho kolko percent script vyuzije zo sily procesora (tzv. CPU throttling), tym padom to bolo takmer okamzite detekovatelne uzivatelmi stranky. Tu len dodam, ze je mozne ze CPU throttling sa v javascript ani neda spravit na front end, takze mozno aj chcel ale nemohol…
V kazdom pripade to vsak bola len otazka casu kedy na problem niektory z citatelov eventualne skoci, lebo to ze pri kazdej navsteve dennikN vybehne CPU na 100% je urcite lahko zistitelne (napr. moj PC okamzite zacne chladit naplno a je to pocut).

 

Tento pripad ale dobre poukazuje na to, ze pokial si firma nedetekuje zmeny na strankach alebo vo file systeme nejakym softwarom; a spolieha sa len na internal statistiky serverov a ich vyuzitia, tak by na tento hack nikdy nemusela prist.  Totiz to ze zakaznikovi bezi pocitac na 100% sa interne neda zistit.

 

Co sa ale da zistit je to, ze sa im zrazu objavil nejaky code na stranke, co tam nema byt. Na internete je relativne hodne FIM softwaru (File Integrity Monitoring) ktore firmy mozu pouzit na ochranu. Jeden z tych znamejsich je trebars File Monitoring Change software od SolarWinds.com, ktory dovoluje sledovat vsetky zmeny vo file system, a tiez auditovat tieto zmeny: http://go.solarwinds.com/LEM/NA/file-monitoring

 

Uzaver

DennikN tento druh monitorovania zdanlivo nerobi, napriek tomu ze dava svojim partnerom moznost editovat ich stranky.
Takze na to ze bol na ich stranku umiestneny Monero miner musel nakoniec prist jeden z ich citatelov, co nie je moc dobra reklama.

Comments

comments