¿Podrían los hackers convertir tu televisor en un minero zombie de Bitcoin ?

¿Podrían los atacantes hacer que tu navegador web mine bitcoins? ¿Y tu televisor? Las fallas de seguridad en algunos sistemas podrían hacerlo posible, según los expertos.

Investigadores alemanes han descubierto una falla en los televisores Hybrid Broadcast Broadband TV (HbbTV) que podría permitir a un atacante ejecutar código malicioso, incluidos mineros de Bitcoin , dice un informe.

Estos dispositivos se encuentran entre un número creciente de televisores inteligentes, siempre conectados a internet y con acceso a servicios en línea además de la televisión digital, para mejorar la experiencia de visualización. La investigación fue realizada por Marco Ghiglieri, Florian Oswald y Erik Tews de la Universidad Técnica de Darmstadt. Martin Herfurt de la consultora alemana.NrunsTambién se analizaron los televisores Samsung en cuestión. Se descubrió que presentaban fallas que permitían a los atacantes inyectar su propio contenido.

Esto ya ha ocurrido con otros televisores Samsung. Algunos creen que es posible ejecutar mineros de Bitcoin en dispositivos pirateados como estos.

“Es completamente posible, y algunos televisores inteligentes han sido hackeados remotamente”, dijo el experto en criptografía y seguridad Sergio Lerner, CEO de la empresa argentina Certimix, quien participa en pruebas de fallas de seguridad en el protocolo Bitcoin .

El informe de SC Magazine sostiene que un minero de JavaScript basado en navegador, como Bitcoin PlusPodría usarse para manipular los navegadores de televisores inteligentes para que minen criptomonedas. Este software utiliza un LINK a un archivo JavaScript remoto, contenido en código que puede incrustarse en cualquier página web (también existe un plugin para WordPress). Los ordenadores que visiten una página con el código serán persuadidos a iniciar la minería de criptomonedas, enviándolas a la dirección del propietario de la página.

Hemos visto a otros usar la idea de JavaScript incrustado para robar potencia de CPU a los ordenadores visitantes. Un equipo de programadores expertos ha creado Smidge, una Tecnología que divide los problemas entre muchos ordenadores que visitan un mismo sitio web. Ya lo están usando para resolver problemas de ajedrez, pero un minero de Bitcoin distribuido basado en la web seguramente no estará muy lejos. dice ONE.

Usar muchas computadoras para cumplir tus órdenes sin tu consentimiento se conoce como molestar, y una red de estas máquinas zombi se llama botnet. Quizás deberíamos llamar a la misma técnica para minar bitcoins "bithering". Y una red así sería una bitnet.

“Supongo que se puede usar prácticamente cualquier sistema y cualquier hardware para minar bitcoins, es solo una cuestión de eficiencia”, dice Claudio Guarnieri, investigador de la empresa de seguridad Rapid7, que haexploradoBitnets como Skynet en el pasado. Estos generalmente implican la instalación de malware en una máquina, mientras que estos "ataques" usan JavaScript no para instalar malware, sino simplemente para que la víctima realice cálculos gratuitos.

El problema de usar la potencia de la CPU para el bithering es que se necesita mucha, señala Guarnieri, discrepando con Nadolny. «Ambos casos que mencionaste son trucos interesantes, pero nunca serán una forma rentable de minar Bitcoins: usar JavaScript sería demasiado lento».

Skynet tenía entre 150.000 y 200.000 hosts, y tuvo un éxito relativo, afirmó. Lerner coincide. «Un televisor inteligente sería un minero de Bitcoin muy lento y se necesitarían miles de televisores para obtener ingresos significativos. No es una buena fuente de ingresos», afirma.

Sería muy lento. Un Intel Core2 Duo...entregaralrededor de 2,5 Megahashes/seg, lo que significa que necesitarías que 240 de esos usuarios visiten tu sitio para igualar la tasa de hash de un AMD 7970.

Dicho esto, no está fuera del alcance de la posibilidad de controlar una GPU con una página web, aumentando la potencia de procesamiento. WebGL, el lenguaje de gráficos basado en la web diseñado para gráficos en línea de alto rendimiento, se ha utilizado para crear ejemplos acelerados por hardware.

Podrías tener más posibilidades de que esto funcione con una moneda basada en Scrypt, que es compatible con CPU y GPU, y muchas de las cuales tienen una tasa de hash más baja. La tasa de hash normal actual de Feathercoin ronda los 660 megahashes/s, lo que hace que esas 240 CPU sean mucho más manejables.

Eso supone que estos visitantes involuntarios no hacen nada más con su ordenador y permanecen en tu sitio web. Pero entonces, ¿cómo conseguir que la gente permanezca en la página? Necesitarías tasas de visitas constantes y sostenidas, con gente que mantenga la página abierta, para que la minería funcione. Esto está bien si reclutas a un grupo de voluntarios (en cuyo caso, no es una bitnet, es una comunidad). No tanto si intentas engañar a la gente para que use la minería a través del navegador.

Necesitarías incrustarlo en un sitio muy popular, y si eres el tipo de persona que de todas formas se queja, probablemente solo infectarías las computadoras de los visitantes con una descarga automática, para que puedan minar sin darse cuenta incluso cuando no están en el sitio.

La forma más adecuada de lanzar un ataque de bitherding sería comprometer una máquina directamente y hacer que use su GPU, coincide Guarnieri. "Hay muchísimas botnets que instalan mineros de Bitcoin ; en la mayoría de los casos, simplemente integran un cliente de minería legítimo como... Ufasoft ONE”, dice.

Como alternativa, se podría optar por sistemas optimizados para juegos que probablemente incluyan software con gráficos optimizados, conocidos por sus altas tasas de hash. Esto es exactamente lo que...Asociación de Entretenimiento de Deportes Electrónicos (EASA) Lo hizo al integrar el software de minería de Bitcoin <a href="http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software">http://paritynews.com/web-news/item/1034-esea-league-stuffed-bitcoin-mining-code-inside-client-software</a> en su software cliente —supuestamente como una broma del Día de los Inocentes—, lo que irritó a sus usuarios. El cliente estaba diseñado para evitar que otros jugadores hicieran trampa mientras jugaban en línea, pero la empresa incluyó el código de minería de Bitcoin como un extra encubierto, antes de retirar el parche semanas después en respuesta a las quejas de los usuarios.

En resumen, hackear televisores para minar bitcoins, o engañar maliciosamente a ordenadores para que los minen simplemente visitando un sitio web, es una propuesta engañosa. Hay maneras mucho más sencillas de presionar a la gente Para ti que mine tus monedas. Pero si quisieras reunir a un equipo de voluntarios sin conocimientos técnicos para minar a sabiendas monedas basadas en Scrypt por una buena causa, esa idea podría tener éxito.