​Antivirusul Avira și AdGuard, o aplicație care blochează reclamele, avertizează că site-ul Ministerului Educațieiwww.edu.rofolosește în prezent resursele computerelor de pe care este accesat pentru a mina criptomonede, potrivit testelor HotNews.ro pe mai multe PC-uri și browsere web. Dezactivarea aplicației AdGuard arată cum la accesarea site-ului www.edu.ro gradul de folosire a procesorului PC-ului urcă instant la 100%, lucru ce ar fi imposibil să se întâmple la accesarea unei simple pagini web.

Edu.ro mineaza criptomonedeFoto: Captura edu.ro

Dacă ai instalată AdGuard, o aplicație de blocare a reclamelor pe paginile web, la accesarea paginii web a Ministerului Educației se afișează următorul avertisment:

  • "edu.ro afișează mesajul: AdGuard has detected an attempt by this website tu use your browser as a crypto-currency miner. It can create significant CPU load. Press "Cancel" to prevent it."

Nu doar această aplicație dă în prezent acest avertisment. Și antivirusul Avira dă alertă de securitate la accesarea site-ului Ministerului Educației, precizând că a blocat un fișier folosit în minarea de criptomonede.

Click pentru a deschide

Dacă dezactivezi aplicația AdGuard și te duci în Task Manager pentru a vedea performanța PC-ului, vei observa cum la accesarea site-ului www.edu.ro, procesorul (CPU) sare brusc la 100% grad de folosire, lucru care ar fi imposibil dacă în spatele site-ului nu s-ar afla un script care să folosească resursele dispozitivului de pe care este accesat site-ul.

Click pentru a deschide

  • În codul sursă al paginii Ministerului Educației se fac trimiteri către site-uri cu escorte din Turcia

Click pentru a deschide

Mai mult, dacă verifici codul sursă al paginii www.edu.ro, se poate observa că acesta conține linkuri către site-uri de escorte din Turcia. De ce? Vom solicita Ministerului Educației o explicație pentru toate aceste probleme ale site-ului web și vom reveni cu răspunsuri imediat ce le vom primi.

Specialistii CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica) au avertizat în luna ianuarie a acestui an că pe aproximativ 150 de domenii de internet .ro este folosit un cod care genereaza criptomoneda Monero, încetinind funcționarea dispozitivelor utilizatorilor.

  • Redam mai jos integral comunicatul din ianuarie 2018 al CERT-RO cu privire la domeniile de internet .ro pe care este folosit codul CoinHive pentru minat Monero:

"In ultima perioada, o serie de site-uri romanesti, dar nu numai, au fost compromise prin inserarea unor script-uri care utilizeaza puterea de procesare a dispozitivelor utilizatorilor pentru minarea de criptomonede.

Criptomoneda este o moneda digitala, virtuala si poate fi utilizata ca mijloc de plata. Folosirea prefixului 'cripto' arata ca acest mijloc de plata utilizeaza criptografia, ceea ce face aproape imposibila falsificarea acesteia. Prin folosirea tehnologiilor descentralizate, se permite utilizatorilor efectuarea unor plati sigure si anonimizate. Utilizatorul nu mai este obligat sa se identifice ca in cazul utilizarii serviciilor bancare. Moneda virtuala ruleaza pe un registru public numit blockchain.

Criptomonedele sunt create printr-un proces denumit minerit (mining),care implica utilizarea procesorului dintr-un dispozitiv, pentru a rezolva probleme complicate de matematica, rezultatul acestora generand monede. Utilizatorii pot cumpara monedele de la brokeri, apoi le pot stoca sau cheltui folosind portofelele criptografice. Cele mai cunoscute exemple de criptomoneda ar fi Bitcoin, Ethereum, Ripple sau Litecoin.

Descriere

Recent, un utilizator al retelei sociale Reddit a publicat capturi de ecran prin care afisa faptul ca in codul sursa al unui cunoscut site de stiri din Romania este inserat un script activ care foloseste CoinHive, pentru a mina criptomoneda Monero.

Coinhive functioneaza prin furnizarea detinatorilor de site-uri web unui cod Javascript pe care il pot incorpora in site-ul lor. Acest cod utilizeaza puterea de procesare a vizitatorilor site-ului pentru a mina Monero.

Sigur, este o situatie avantajoasa pentru ambele parti, deoarece Coinhive pastreaza o parte din suma minata, in timp ce proprietarul site-ului pastreaza restul. Din nefericire insa, vizitatorii acestor site-uri nu sunt intotdeauna notificati cu privire la faptul ca procesorul lor este utilizat la o anumita capacitate, fara acordul lor. Coinhive in sine este o companie legitima. Cu toate acestea, actorii implicati in aceste operatiuni nu fac intotdeauna ca acest proces sa fie transparent.

Impact

In urma postului de pe Reddit, specialisti din domeniul securitatii cibernetice din Romania au identificat o lista de peste 100 de site-uri pe care exista ruleaza acest script CoinHive. Din nefericire pentru utilizatorii care vizitau acele site-uri, procesorul era incarcat la capacitate maxima pentru o astfel de activitate de minare a Monero, ceea ce ducea in cele din urma la blocarea dispozitivului.

Ulterior, echipa CERT-RO a identificat in spatiul virtual romanesc aproximativ 150 de domenii .ro pe care este folosit cod CoinHive pentru minat Monero. Totodata, expertii CERT-RO au observat faptul ca pentru toate aceste domenii au fost folosite 48 de conturi de CoinHive. Mai mult, prin folosirea portalului publicwww.com am descoperit la nivel global aproximativ 2400 de site-uri care folosesc aceleasi conturi de CoinHive ca domeniile romanesti.

Remediere

Utilizarea programelor anti malware

Majoritatea programelor antivirus blocheaza in momentul de fata executia scripturilor care mineaza monede virtuale.ᅡᅡ Singura deficienta ar fi faptul ca aceasta caracteristica poate fi disponibila indeosebi pentru programele cu licenta si nu pentru cele gratuite. Malwarebytes este doar un exemplu din multitudinea de solutii existente pe piata care permit blocarea acestor scripturi pentru Windows si Mac, astfel nefiind necesare alte setari suplimentare din partea utilizatorului.

Utilizarea extensiilor pentru browser

La nivel de browser, exista o suita intreaga de extensii care pot fi instalate atat in browserele utilizate pentru PC, cat si pentru platformele mobile (smartphone, tableta), dezvoltate pentru a preveni executia unor astfel de scripturi fara acordul utilizatorului final. Exemple de astfel de extensii sunt:

  •     No Coin (Google Chrome | Mozilla Firefox | Opera)
  •     minerBlock (Google Chrome)
  •     ScriptSafe (Google Chrome)
  •     NoScript Security Suite (Mozilla Firefox)
  •     Coin-Hive Blocker (Google Chrome)
  •     Ghostery (Safari | Microsoft Edge) etc.

Blocarea manuala a domeniilor

In cazul in care sunt cunoscute domeniile utilizate pentru descarcarea sau distribuirea unor astfel de scripturi, acestea pot fi blocate manual cu ajutorul unei extensii de browser asa cum este AdBlock. Spre exemplu, pentru a bloca domeniul https[:]//coin-hive.com/lib/coinhive.min.js, acesta se adauga in campul de la optiunea Customize > Block an ad by its URL.

Dezactivarea JavaScript

Dezactivarea rularii JavaScript in browser poate fi o optiune, cu mentiunea ca poate afecta toate site-urile care folosesc JavaScript, acestea fiind destul de multe. De aceea, utilizarea unei aplicatii pentru blocarea continutului poate fi o varianta de preferat. Spre exemplu, 1Blocker este o astfel de aplicatie care poata fi instalata pe dispozitivele iPhone si iPad.

Actualizarea sistemului de operare si aplicatiilor instalate

De asemenea, pentru minimizarea riscului in ceea ce priveste securitatea aplicatiilor web, echipa CERT-RO va propune parcurgerea urmatoarelor ghiduri:

Ghid pentru securizarea aplicațiilor și serviciilor web

OWASP Top 10 - 2017