2. Hírek
  3. Biztonság

Bányászni csak pontosan, szépen

Nem az okozza a problémákat, hogy sokan távolról igénybe veszik az erőforrásainkat, hanem az, hogy ezt szabályok betartása nélkül teszik.

A napokban egy olvasónk jelzése nyomán néztünk utána egy weboldalnak, mely úgy használt bányászprogramot (Coinhive), hogy erről nem értesítette a felhasználóit. Önmagában a bányászattal nincs baj – még, akkor sem, ha ennek a finanszírozási formának a megítélése jelen pillanatban még tüzes viták tárgya –, viszont a használatának módjáról már rég látszik, hogy csak szabályozottan és átláthatóan tehető meg, legfőképp a felhasználók informálása számít alapelvnek. Közvetlen megkeresésünk után az oldal üzemeltetői törölték a szoftver beágyazását, így nagyon valószínű, hogy nem szándéktalanul került oda, hanem csöndben ők maguk illesztették be. Rendszergazdánk tesztjei szerint egyébként az olyan profi AV-programok, mint a Norton, azonnal letiltották az oldalt a Coinhive miatt, de nem mindenki használ ilyen vírusvédelmet.

Ugyanakkor a jelenségre azért érdemes figyelni, mivel az utóbbi idők egyik legerősebb trendje, hogy a hackerek a busás jövedelem reményében egyre több weboldalra ágyaznak be bányászprogramot úgy, hogy az üzemeltető (és a felhasználó) nem is tud róla. A legfrissebb ilyen jelentés, melyet Troy Mursch biztonsági kutató tett közzé, és lényege az, hogy a weboldalaik megalkotásában a Drupal Content Management System régebbi, nem frissített verzióit használók ki vannak téve annak, hogy támadók bányászprogramokat ágyazzanak be oda. A célpontok ilyen esetben természetesen elsősorban nagy látogatottságú oldalak, a kutató azt találta, hogy leginkább az Egyesült Államok kormányzati és oktatási intézményeinél fedezhető fel a fertőzöttség, de emellett a világ más részein is tapasztalható, sőt nagy technológiai vállalatok honlapjai is áldozatul estek (pl. a Lenovo, a D-Link, a világ egyik vezető egyeteme, az UCLA stb.). A szakember elemzése szerint a kód egyértelműen utal arra, hogy e behatolások mindegyikét ugyanaz az ember vagy csoport hajtotta végre.

A Coinhive egyébként – némi jogi hercehurca után – ma már teljesen legálisan használható eszköz, de csak szabályozottan, melynek fundamentuma, hogy felhasználói beleegyezésre van szükség.

Előzmények