CERT-RO: Pe aproximativ 150 de domenii de internet .ro este folosit un cod care genereaza criptomoneda Monero, incetinind functionarea dispozitivelor utilizatorilor/Seful CERT-RO: Am informat toti detinatorii site-urilor respective pentru a lua masuri de remediere

de Adrian Vasilache     HotNews.ro
Vineri, 12 ianuarie 2018, 16:31 Economie | Telecom

Mircea Grigoras, director general adjunct CERT-RO
Foto: AGERPRES
Specialistii CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica) au identificat aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero, a anuntat vineri Centrul. CoinHive este un cod Javascript care monetizeaza traficul site-urilor in care este inserat pentru a genera criptomoneda Monero, o situatie avantajoasa pentru ambele parti , deoarece Coinhive pastreaza o parte din suma minata, in timp ce proprietarul site-ului pastreaza restul. Cei care pot fi afectati sunt vizitatorii acelor site-uri, care nu sunt mereu notificati ca procesorul lor este utilizat la o anumita capacitate, fara acordul lor.
  • Mircea Grigoras, directorul general al CERT-RO, pentru HotNews.ro: "Plecam de la premisa ca toate aceste site-uri au fost compromise si am notificat toti detinatorii site-urilor in cauza in speranta ca vor lua masuri de remediere ori de informare a utilizatorilor. In caz contrar vom reveni cu informatii de actualitate."


Redam mai jos integral comunicatul CERT-RO cu privire la domeniile de internet .ro pe care este folosit codul CoinHive pentru minat Monero:


"In ultima perioada, o serie de site-uri romanesti, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizeaza puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede.

Criptomoneda este o moneda digitala, virtuala si poate fi utilizata ca mijloc de plata. Folosirea prefixului 'cripto' arata ca acest mijloc de plata utilizeaza criptografia, ceea ce face aproape imposibila falsificarea acesteia.  Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plati sigure si anonimizate. Utilizatorul nu mai este obligat sa se identifice ca in cazul utilizarii serviciilor bancare. Moneda virtuala ruleaza pe un registru public numit blockchain.

Criptomonedele sunt create printr-un proces denumit minerit (mining), care implica utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematica, rezultatul acestora generand monede. Utilizatorii pot cumpara monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomoneda ar fi Bitcoin, Ethereum, Ripple sau Litecoin.

Descriere

Recent, un utilizator al retelei sociale Reddit a publicat capturi de ecran prin care afisa faptul ca in codul sursa al unui cunoscut site de stiri din Romania este inserat un script activ care foloseste CoinHive, pentru a mina criptomoneda Monero.

Coinhive functioneaza prin furnizarea detinatorilor de site-uri web unui cod Javascript pe care il pot incorpora in site-ul lor. Acest cod utilizeaza puterea de procesare a vizitatorilor site-ului pentru a mina Monero.

Sigur, este o situatie avantajoasa pentru ambele parti, deoarece Coinhive pastreaza o parte din suma minata, in timp ce proprietarul site-ului pastreaza restul. Din nefericire insa, vizitatorii acestor site-uri nu sunt intotdeauna notificati cu privire la faptul ca procesorul lor este utilizat la o anumita capacitate, fara acordul lor. Coinhive in sine este o companie legitima. Cu toate acestea, actorii implicati in aceste operatiuni nu fac intotdeauna ca acest proces sa fie transparent.

Impact

In urma postului de pe Reddit, specialisti din domeniul securitatii cibernetice din Romania au identificat o lista de peste 100 de site-uri pe care exista ruleaza acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era incarcat la capacitate maxima pentru o astfel de activitate de minare a Monero, ceea ce ducea in cele din urma la blocarea dispozitivului.  

Ulterior, echipa CERT-RO a identificat in spatiul virtual romanesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodata, expertii CERT-RO au observat faptul ca pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive. Mai mult, prin folosirea portalului publicwww.com am descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleasi conturi de CoinHive ca domeniile romanesti.

Remediere

    Utilizarea programelor anti malware

Majoritatea programelor antivirus blocheaza in momentul de fata executia scripturilor care mineaza monede virtuale.ᅡᅡ Singura deficienta ar fi faptul ca aceasta caracteristica poate fi disponibila indeosebi pentru programele cu licenta si nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de solutii existente pe piata care permit blocarea acestor scripturi pentru Windows si Mac, astfel nefiind necesare alte setari suplimentare din partea utilizatorului.

    Utilizarea extensiilor pentru browser

La nivel de browser, exista o suita intreaga de extensii care pot fi instalate atat in browserele utilizate pentru PC, cat si pentru platformele mobile (smartphone, tableta), dezvoltate pentru a preveni executia unor astfel de scripturi fara acordul utilizatorului final. Exemple de astfel de extensii sunt:

  •     No Coin (Google Chrome | Mozilla Firefox | Opera)
  •     minerBlock (Google Chrome)
  •     ScriptSafe (Google Chrome)
  •     NoScript Security Suite (Mozilla Firefox)
  •     Coin-Hive Blocker (Google Chrome)
  •     Ghostery (Safari | Microsoft Edge) etc.


    Blocarea manuala a domeniilor

In cazul in care sunt cunoscute domeniile utilizate pentru descarcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser asa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adauga in campul de la optiunea  Customize > Block an ad by its URL.

    Dezactivarea JavaScript

Dezactivarea rularii JavaScript in browser poate fi o optiune, cu mentiunea ca poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicatii pentru blocarea continutului poate fi o varianta de preferat. Spre exemplu, 1Blocker este o astfel de aplicatie care poata fi instalata pe dispozitivele iPhone si iPad.

    Actualizarea sistemului de operare si aplicatiilor instalate

De asemenea, pentru minimizarea riscului in ceea ce priveste securitatea aplicatiilor web, echipa CERT-RO va propune parcurgerea urmatoarelor ghiduri:

Ghid pentru securizarea aplicațiilor și serviciilor web
OWASP Top 10 - 2017



Citeste mai multe despre   




















Articol sustinut de Superbrands

AmCham  - 25 de ani de impact in Romania, prin sustinerea consultarii intre mediul public si privat, pentru dezvoltarea Romaniei

Camera de Comert Americana in Romania (AmCham Romania) este de 25 de ani intre cele mai reprezentative asociatii ale comunitatii de afaceri din Romania, fiind recunoscuta drept un promotor al dialogului public-privat pe teme ce privesc mediul de afaceri, politicile publice cu impact asupra economiei, competitivitatea Romaniei sau dinamica relatiilor comerciale intre SUA si Romania.

3491 vizualizari

  • 0 (2 voturi)    
    Site-uri (Vineri, 12 ianuarie 2018, 16:51)

    1anonim [utilizator]

    Link ul cu saiturile periculoasa ma duce anapoda. Daca nu spuneti de ce sa ne ferim ce sa cred? Puneti-va in situatia mea ( sau oricare) : m-ati anuntat de situatie, am intrat nitel in panica pentru ca (poate paranoia) PC-ul meu parca merge mai greu, nu-mi spuneti de ce site-uri sa ma feresc. Nu spuneti daca si care dintre sistemele de protectie ptr.PC( Kasp, Bit def. etc) sau actualizat cu solutii. Ar fi fost de ajutor. Deci??
    • +1 (1 vot)    
      Anti-malware nu e antivirus (Vineri, 12 ianuarie 2018, 17:52)

      marc.andre [utilizator] i-a raspuns lui 1anonim

      Un program antivirus nu ajuta in aceste cazuri. Un JavaScript Coinhive nu este un virus, si nu va fi detectat de catre un antivirus.

      Solutia este sa instalezi extensii (plugin-uri) in browserele folosite, ca sa nu mai porneasca JavaScriptul Coinhive (solutia asta te protejeaza pentru toate website-urile deja identificate de CERT-RO, dar si cele care sunt deocamdata ne-detectate de catre CERT-RO).
      • +1 (1 vot)    
        ESET (Vineri, 12 ianuarie 2018, 21:15)

        idna [utilizator] i-a raspuns lui marc.andre

        Pe mine ESET m-a avertizat și mi-a dat opțiunea de a bloca respectivul script, ceea ce am și făcut, putând apoi citi articolele de pe respectivul sait. Folosesc și uBlock în Firefox, acesta nu s-a sesizat, deși pe reddit ulterior am citit că ar fi trebuit.
      • 0 (0 voturi)    
        Ba poate (Sâmbătă, 13 ianuarie 2018, 20:00)

        Statul Necoplanar si Irational [utilizator] i-a raspuns lui marc.andre

        Daca programul e o solutie care verifica signaturi si pe pagini web.
  • +1 (1 vot)    
    antena3 (Vineri, 12 ianuarie 2018, 17:13)

    CIP03 [utilizator]

    antena3 , cine oare putea sa-si insele vizitatorii


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Marţi