SecureNews продолжает цикл статей, посвященных криптовалюте, и сегодня в центре нашего внимания браузерный майнинг.
Браузерный майнинг – это процесс добычи криптовалюты с помощью специальной программы (майнера), внедренной в сайт. Пользователи, открывая сайт, запускают майнер, который начинает добывать криптовалюты, задействуя мощности компьютеров посетителей веб-ресурсов. Не так давно мы сообщали о случаях внедрения майнеров на таких сайтах, как The Pirate Bay и Showtime.
С помощью экспертов мы попытались разобраться в том, является ли браузерный майнинг законным и как ему могут противостоять пользователи.
Браузерный майнинг – это новая тенденция? Или администрации сайтов уже занимались этим ранее?
Владимир Фоменко, руководитель хостинг-компании King Servers:
«Скорее это продолжение распространенных ранее вредоносных программ, которые встраивались в установочные файлы на многих сомнительных ресурсах.
Сейчас на фоне ажиотажа с криптовалютами недобросовестные веб-мастера ищут новые способы заработать на пользователях своих ресурсов.
Ни один веб-мастер, который уважительно относится к своим пользователям, не станет добавлять подобный функционал без предупреждения на свой сайт, так как это значительно повлияет на его репутацию, и он может просто потерять тех людей, которые заходили на его ресурс.
В случае же, если веб-мастер хочет использовать подобный инструмент вместо рекламы, то будет честным по отношению к посетителям уведомить о наличии подобного функционала и запросить согласие на запуск.
Возможно, это станет лучшим и менее навязчивым способом получить средства на поддержание сайта без размещения навязчивой рекламы».
Константин Каратов, основатель биржи Cryptonit, директор по развитию блокчейн-компании Finom:
«Майнинг как средство заработка существует уже много лет, но по-настоящему доходным он стал сравнительно недавно, в последние два года, в связи со стремительным ростом рынка криптовалют. Именно поэтому участились случаи, когда недобросовестные владельцы веб-сервисов и сайтов встраивают в свои продукты скрытые майнеры в виде скриптов. Эти кусочки кода заставляют устройства пользователей в фоновом режиме добывать монеты и отправлять их на чужие кошельки. Ранее браузерный майнинг был бесполезен. Несмотря на то, что охват у этого метода огромен, браузер позволяет добраться только до небольшой части ресурсов процессора. Скрипты чаще «зашивали» в файлы, которые пользователь устанавливал прямо на компьютер: в игры, торренты. Так вредоносная программа получала все мощности процессора. Теперь же майнинг стал настолько рентабельным, что даже частичный контроль над мощностями пользователя приносит хороший доход. Злоумышленники вплотную занялись браузерами, а в начале 2017 года появился первый ботнет для IoT-устройств, еще более слабых с точки зрения майнинга».
Сергей Ключников, эксперт проекта «Майнинг» дата-центра Xelent:
«Тенденция не новая: например, еще в марте 2015 года ходили слухи о том, что uTorrent втайне от пользователей устанавливал на компьютер программное обеспечение для добычи криптовалюты. Сегодня браузерный майнинг получил новое развитие в связи с общим ростом интереса к майнингу, точнее – ростом рентабельности майнинга».
Является ли использование администраторами майнеров на своих сайтах законным?
Владимир Фоменко:
«С точки зрения законодательства многих стран в данном случае не происходит никакой вредоносной деятельности, так как владелец ресурса не наносит умышленного вреда и не получает неправомерный доступ к информации пользователя.
Так что встраивание кода майнера в сайт вполне законно и можно расценивать это как один из неэтичных по отношению к пользователю методов получения прибыли, наравне с распространенными на многих ресурсах блоками навязчивой рекламы».
Константин Каратов:
«Законно ли встраивать майнеры в свой сайт? Вопрос весьма тонкий. Учитывая, что по всему миру майнинг в принципе не регулируется и законодательной базы для этого нет, можно рассуждать только о том, насколько этично поступают администраторы сайтов, встраивая к себе майнеры. Пользователь изначально заходит на сайт, который представляет для него информационную ценность. Было бы логичным вознаградить веб-мастера за полезный контент и сгенерировать для него пару монет, используя свои мощности. Однако это действие сильно нагружает центральный процессор. Поэтому пользователя необходимо предупредить о такой возможности или необходимости и позволить решать самому: уйти с сайта или продолжить сеанс на новых условиях. Только такая прозрачность позволит веб-мастеру сохранить лицо, ведь никто не любит, когда его обманывают, причем по-тихому».
Сергей Ключников:
«Если сайт не предупреждает посетителя (а это происходит в большинстве случаев), эксплуатация ресурсов является незаконным – фактически это использование собственности пользователя. Такую ситуацию можно сравнить с вождением его автомобиля или проживанием в его квартире без его ведома. С другой стороны, навязчивую рекламу тоже можно назвать незаконной, особенно, если пользователь вынужден ее смотреть в обмен на доступ к нужной ему информации. Отмечу, что браузерный майнинг используется, в первую очередь, на сайтах для доступа к торрент-файлам, скачивание которых само по себе является нарушением закона. Речь идет, конечно, о российском законодательстве».
Как посетители сайтов могут противостоять браузерному майнингу?
Владимир Салыкин, менеджер продуктов Рутокен компании «Актив»:
«У пользователей всегда есть выбор. Подобные решения пока находятся в зачаточном состоянии и приводят к резкому снижению производительности при работе с компьютером. В ряде случаев даже полностью блокируют хоть какую-то работу. Технически можно разработать и сайты, которые будут выполнять майнинговые операции на низких скоростях, не мешая нормальной работе пользователей. Но такие решения не будут экономически выгодными, даже если их внедрит крупный портал, имеющий свыше тысячи пользователей онлайн. Что касается защиты пользователей от подобных решений – уже есть расширения для браузеров, позволяющие не только детектировать и предупреждать пользователя о наличии внедренного майнера на сайте, но и прекращающие работу такого майнера без угрозы для просмотра контента сайта».
Владимир Фоменко:
«Тут все очень просто, код подобных майнеров представляет собой встроенный в сайт фрагмент JavaScript.
И самым лучшим и действенным способом защититься от недобросовестных веб-мастеров является отключение JavaScript в браузере по умолчанию и включение его только на доверенных ресурсах.
При таком варианте посетитель будет полностью защищен от запуска майнера на своем устройстве.
Стоит отметить, что JavaScript сам по себе является очень уязвимым компонентом и распространение браузерных майнеров – это еще одна причина для отключения его на уровне пользовательского устройства.
Но не только посетителям стоит побеспокоится о защите, владельцам сайтов также стоит подумать о безопасности и не допустить внедрения постороннего кода.
Многие пренебрегают аудитом безопасности и встраивание майнера в сайт – не самое страшное, что может произойти при халатном отношении к безопасности сайта.
Веб-мастерам, которые хотят защитить свои ресурсы, мы можем порекомендовать проверить настройки сервера и обновить серверное ПО.
Это можно сделать самостоятельно, но для лучшего результата лучше обратиться к специалистам. Тем более сделать это могут не только сторонние люди, но и техническая поддержка хостинга».
Константин Каратов:
«Противостоять браузерному майнингу можно. Самое простое и надежное – заблокировать выполнение JavaScript у себя в браузере. Но тогда вы получите множественные проблемы с другими сайтами, поскольку почти все современные ресурсы работают на скриптах. Также можно поискать расширения, или аддоны, к браузеру, которые бы блокировали майнеры, используя эвристический анализ или базы вредоносных скриптов. Что-то похожее попытались сделать в плагине No Coin.
Еще один способ защититься – избегать сайтов с потоковыми видео и флеш-играми. Именно на них чаще всего обнаруживаются скрытые майнеры, поскольку пользователи проводят там много времени, а нагрузка от проигрывания контента маскирует работу скриптов».
Михаил Кондрашин, технический директор Trend Micro в России и СНГ:
«Пользователям нужно внимательнее относиться к предупреждениям сайтов с уведомлениями об обнаружении вредоносного кода на их компьютере. Это расхожий прием злоумышленников, чтобы убедить пользователя установить на компьютер расширение для браузера или «защитную» программу. Разумеется, что для эффективной защиты бдительности недостаточно. Всем пользователям стоит самостоятельно выбрать для защиты своего компьютера специализированную программу, убедившись, что она обладает возможностью блокировки опасных сайтов».
Сергей Ключников:
«Есть несколько способов защиты от майнинга в веб-браузере: во-первых, это редактирование файла hosts, которое требует определенных навыков в системном администрировании. Во-вторых, это отключение JavaScript, которое повлечет за собой ограничение функциональности сайта. В-третьих, это установка специального дополнения для браузера или добавление фильтра в uBlock и AdBlock. Нужно помнить, что доменные имена и инструменты браузерного майнинга могут со временем меняться, поэтому защиту лучше периодически обновлять».
Станет ли браузерный майнинг разумной альтернативой рекламе на сайте? Какой из способов заработка является более предпочтительным для владельцев сайтов и менее болезненным для пользователя?
Владимир Фоменко:
«Тут все будет зависеть от типа ресурса. Наиболее популярные для внедрения кода майнера ресурсы в данный момент – сайты с браузерными играми, так как пользователь держит вкладку открытой длительное время и нагрузка на процессор будет малозаметна. При длительном нахождении на сайте прибыль от майнинга будет выше, чем прибыль от самой навязчивой рекламы.
В то же время размещать майнер на страницах, где пользователь пробудет очень короткое время, будет просто бессмысленно.
Если владельцы сайтов, где размещение майнера целесообразно, смогут объяснить пользователям, что в качестве замены рекламы они теперь размещают майнеры и смогут настроить код так, чтобы майнинг не доставлял неудобств посетителям – это может стать разумной альтернативой и будет выгодно всем. Владельцы ресурсов смогут получать доход, необходимый для поддержания сайта, а пользователи получат возможность заходить на сайты и не наблюдать множество навязчивой рекламы».
Константин Каратов:
«Браузерный майнинг, если о нем открыто предупреждают пользователя, вполне мог бы стать альтернативой рекламе на сайтах. Google и Facebook сильно монополизировали этот рынок. Более 63% интернет-рекламы в США приходится именно на них, а по миру в целом около 20%. С одной стороны, получается, что эти IT-гиганты забирают львиную долю доходов у интернет-изданий, которые создают авторский контент и вынуждены спасаться платной подпиской. С другой – монополисты могут легко отрезать от рекламодателей целые ниши сайтов. В частности, это касается ресурсов, которые имеют проблемы с соблюдением прав на интеллектуальную собственность, вроде RuTracker и PirateBay. Для первых и вторых браузерный майнинг вполне может стать хорошим решением по монетизации трафика».
Сергей Ключников:
«В настоящий момент браузерный майнинг не является альтернативой рекламе – для получения денег используются одновременно оба способа. Это происходит, в первую очередь, потому, что реклама стала традиционным инструментом онлайн-заработка, и многие пользователи уже научились ее отключать. Майнинг же не всегда заметен, особенно неподготовленному пользователю, он требует определенных знаний для борьбы с ним и может привести к плачевным последствиям для пользователя, например, к перегреву».