Über 500 Millionen Website-Nutzer wurden für für Kryptomining missbraucht. Was versteht man unter Guerilla Mining? Wer ist betroffen? Welche Gefahren können hierbei entstehen? Diese und weitere Fragen beantworte ich in diesem Artikel.
Was ist Guerilla bzw. JavaScript Mining?
Über 500 Millionen PCs werden heimlich für Kryptomining missbraucht, wie die Adblockerfirma Adguard mitteilt. Der Profit wird beim Guerilla bzw. JavaScript Mining durch Ressourcenraub erbeutet, und das ohne das es die Besucher der betroffenen Webseiten überhaupt merken, wie auch welivesecurity berichtet.
Bei einem Besuch eines mit schädlichen JavaScript Dateien infizierten Webseite, wird während des Besuchs diese JavaScript Datei ausgeführt, welche die Rechenleistung des PCs angezapft. Die hierdurch gewonnene Rechenleistung wird genutzt um Kryptowährungen wie z.B. Monero zu schürfen. Gerade das Mining von Monero ist aktuell hochlukrativ. Adguard schätzt den Gewinn durch Guerilla Marketing auf insgesamt 43.000 US-Dollar. Da dies aktuell ausbreitet, gilt es jetzt entsprechende Maßnahmen zu treffen.
Guerilla bzw. JavaScript Mining als Einnahmequelle für Webseiten?
Der JacaScript Code kann vom Betreiber der Webseite bewusst implementiert werden, um hiermit eine neue Einnahmequelle zu erschließen. Hierfür gibt es Anbieter wie z.B. Coinhive und JSEcoin, die solche Jacascript Codes zur Verfügung stellen. In der Regel geschieht dies allerdings ohne die Besucher zu informieren. Da nur wenige Betroffene die CPU-Leistung der eigenen Geräte überwachen auch meist ohne das die Besucher dies bemerken. Das kann allerdings den PC in die Knie zwingen, mindestens jedoch verkürzt es die Lebensdauer der Geräte und erhöht die Stromkosten, da dieses ineffiziente JacaScript Mining enorme Mengen an Energie verbraucht. Websiten-Betreiber sind also beim Einsatz dieser JacaScript Codes aufgefordert, die eigenen Besucher aufzuklären und mittels Opt-in die Möglichkeit zu bieten abzulehnen oder anzunehmen. Das passiert jedoch leider kaum.
Beispiel: Der JacaScript Code von JSEcoin enthält zum aktuellen Zeitpunkt (09.11.2017 - 11:45 Uhr) den Baustein "load.jsecoin.com". Um zu überprüfen, welche Webseiten die eigenen Besucher über diese Vorgehensweise informieren, habe ich mittels Nerdydata.com bei Alexa gelisteten Webseiten durchsucht. Zu diesem Zeitpunkt wurden 185 Webseiten gefunden, die den JacaScript Code von JSEcoin implementiert haben.
Keine der von mir überprüften 185 Webseiten informiert die Besucher darüber, das im Hintergrund teilweise enorme Rechenleistung angezapft wird. Ich arbeite mit einem aktuellen MacBook Pro und stelle hier mittels der Software Dr. Cleaner meist 100% CPU-Leistung fest! Es wird also nicht still und heimlich ein wenig abgezapft um unbemerkt zu bleiben, nein, es wird mit beiden Händen zugelangt. Wer das selbst überprüfen möchte, packt einfach den Schnipsel "load.jsecoin.com" (ohne Anführungszeichen) in den Suchschlitz bei Nerdydata.com und wühlt sich durch die dort aufgelisteten Webseiten.
Was ich zu diesem Zeitpunkt nicht validieren kann ist, wie viele von den 185 Webseiten den JacaScript Code bewusst implementiert haben. So ist es z.B. denkbar, das z.B. der Webseiten-Administrator diesen Code eingebracht hat, ohne das dem Webseiten-Inhaber dies bewusst ist. So wurde auf der offiziellen Webseite von Christiano Ronaldo der JavaScript Mining Code von Coinhive gefunden (dieser ist mittlerweile entfernt worden). Ich gehe jedoch nicht davon aus, das Christiano Ronaldo dies eigenständig umgesetzt hat, bzw. stünde das - in seiner Lohnklasse - einfach in keinem Verhältnis. Das wäre total unsinnig. Hier hat sich vielleicht ein Webseiten-Administrator etwas hinzuverdienen wollen. Das kann ich abschließend natürlich nicht zuverlässig sagen.
Ein weiteres Problem ergibt sich aus den Schwachstellen der JacaScript Mining Codes, denn wie auf Sucuri berichtet wird, sind diese Codes wohl bereits von Hackern unterwandert worden. Was dann in den unterwanderten bzw. gehackten JacaScript Codes passiert, möchten wir vermutlich besser garnicht wissen. Im besten Fall zapft sich ein Hacker die dort gewonnene Rechenpower ganz oder teilweise ab, um selbst die gewonnene Krypto-Coins zu ergattern.
Wie kann ich Guerilla bzw. JavaScript Mining feststellen?
- Der Laptop wird beim Besuch betroffener Webseiten heiß und der Lüfter schnauft bis zum Anschlag. Lösung: Software wie z.B. Dr. Cleaner überwachen die CPU-Leistung. Da der Jacascript Code nur beim Besuch der Website ausgeführt wird, kann hiermit genau überprüft werden, ob diese beim Besuch der Webseite die CPU-Leistung in die Höhe schnellt.
- Wenn der Akku von Smartphone und/oder Tablett plötzlich ungewöhnlich schnell leer leer geht.
- Bei Webseiten die Du häufig besuchst, kannst Du den Quellcode überprüfen. Nutze hierzu im z.B. Chrome Browser den Rechtsklick, dann "Seitenquelltext durchsuchen" und dann diesen nach "Coinhive" oder "JSEcoin" durchsuchen. Falls hier JavaScript Mining im Hintergrund ausgeführt wird, diese Webseite meiden.
Wie kann ich mich vor Guerilla bzw. JavaScript Mining schützen?
Aktuell arbeitet Google Chrome an einer Lösung dies bereits im Browser (default) zu unterbinden und auch die etablierten Virenscanner haben dies auf dem Schirm und schlagen bereits teilweise Alarm. Es ist nur eine Frage der Zeit, bis auch die weit verbreiteten AdBlocker das JavaScript Mining unterbinden. Auch springen aktuell einige findige Toolhersteller auf diesen Trend auf und bieten Browser Add-ons für Google Chrome und Firefox, um dies zu unterbinden. Hier ist jedoch ebenso Vorsicht geboten, um nicht in die nächste Falle (False Flag - unter falscher Flagge) zu tappen.
Die beiden Add-ons No Coin und minerBlock scheinen nicht ganz verkehrt zu sein. Beide veröffentlichen den source code auf GitHub (hier und hier) und damit ist transparent nachvollziehbar was die Add-ons genau machen. So macht man es richtig. Darüber hinaus gibt es NoScript (für Firefox) oder ScriptSafe (für Chrome). Damit ist allerdings nicht nur das JavaScript Mining, sonder JavaScript komplett unterbunden und damit leider dann auch viele Applikationen auf Webseiten oder gar ganze Webseiten nicht mehr nutzbar. Mir wäre das zu radikal, das muss aber jeder für sich selbst abwägen. Vorenthalten wollte ich diese Lösungen jedoch hier nicht.
Meine persönliche Meinung zum JavaScript Mining
Grundsätzlich finde ich den Tausch - Rechenleistung gegen Content - sehr interessant. Insofern transparent und via Opt-in klar und deutlich kommuniziert wohl auch für beide Seiten - im Vergleich zur lästigen Werbung - eine Option mit potenzial die Werbeindustrie von hinten aufzurollen.
Für Wikipedia kann dies z.B. eine interessante Lösung darstellen, um aus dem Dilemma mit den Spenden herauszukommen. Wenn wir mal ehrlich sind, ist das genau so nervig wie Werbung und daher schlecht gelöst. Zudem ist der Anteil derer, die tatsächlich spenden unglaublich gering. Wenn mich Wikipedia - zu Beginn des Besuches - fragt, ob ich 5-20 % meiner Rechenleistung abtreten möchte, während ich mich auf Wikipedia aufhalte, um somit den Betrieb dauerhaft zu gewährleisten, bin ich sofort dabei. Eine Aufklärung was genau passiert, ein einfacher Schieberegler, in welchem ich eigenständig definieren kann, wieviel Rechenleistung ich heute bereit bin abzugeben und zwei Buttons "Start" und "Stop". Fertig. Ich fände das richtig klasse und würde das auch regelmäßig nutzen.
Was überhaupt nicht angeht, ist das Webseiten heimlich mittels JavaScript Mining meine Rechenleistung anzapfen. Und Anbieter wie Coinhive und JSEcoin, die unsichere von Hackern unterwanderte JacaScript Codes verbreitet, sind aktuell keine vernünftige Lösung. Wer diese Nachfrage jetzt erkennt und sauber bedienen kann, wird einen festen Platz im Markt haben, da bin ich mir ganz sicher.
Wie denkst Du darüber?
Beste Grüße,
Oliver
PS: Dieser Artikel wurde von mir geschrieben und zuerst auf meinem Blog Crossbot.de veröffentlicht. Da ich fortan ausschließlich auf Steemit schreibe, bewege ich Stück für Stück alle Artikel hier her.
Mehr zum Thema Guerilla bzw. JavaScript Mining im Netz:
- Guerilla Mining - Die Gefahren für Unternehmen und Behörden
- The Pirate Bay experimentiert heimlich mit Monero Mining
- JavaScript-Miner: Neue Einnahmequelle für Websites?
- Kryptowährung – Web Mining: Profit durch Ressourcenraub
- Malvertising-Kampagne setzt auf Krypto-Mining in fremden Browsern
Weitere Artikel von mir auf Deutsch:
- 5 Tipps für einen erfolgreichen Start auf Steemit
- Steemit wird 2018 explodieren
- Geld verdienen mit Ebooks
- Coinlend: Lending-Bot für Bitfinex, Poloniex und Quoinex
Bild: © gangiskhan / stock.adobe.com
Vote & resteem
Da kommt Freude auf!
Danke, @biggi :)
Ich kann hier kein besonderes Problem erkennen. Ich bin jederzeit frei darin diese Webseite nicht mehr zu benutzen. Bei 100% CPU Last wird man ja schnell abwägen ob der Inhalt das Wert ist bzw, davon ausgehen das die Seite ein Problem hat und woanderst nach den Infos suchen.
Was die Sicherheit angeht. Wo liegt der Unterschied ob jetzt ein Javascript das z.B. einen Post anzeigen soll schlecht programmiert ist oder ob das Skript eben mined. Ist also kein spezielles Problem des minings.
Hi skorner,
danke für Deinen Kommentar. :)
Daraus schließe ich, dass Dir das bereits bekannt ist, ist das richtig? Der Artikel würde dann mehr all jene ansprechen, denen das überhaupt nicht bewusst ist. Mein Fazit ist auch kein durchweg Schlechtes. Meine Kritik geht dann klar in Richtung mangelnder Transparenz.
Der Punkt Sicherheit ist: Die Scripts sind scheinbar (Quellen sind oben angegeben) unterwandert. Das ist dann nicht mehr so prickelnd.
Und Du hast vollkommen recht, das ist kein spezielles Problem des Minings.
Beste Grüße,
Oliver
Ja stimmt ich bin die letzten Monate ziemlich tief in die Kryptowelt eingestiegen und habe so ziemlich alles ausgetestet was die Kryptowelt zu bieten hat daher war es schon bekannt.
Da haben wir ja was gemeinsam. Bin auch die letzten Monate richtig intensiv in das Thema eingestiegen. Und es macht tierisch Spaß. Das Thema Guerilla bzw. JavaScript Mining ist mir aufgefallen und hiermit weise ich darauf hin. Happy steeming :)
Upvoted!
Thanks!
Hi! I am a robot. I just upvoted you! I found similar content that readers might be interested in:
https://www.crossbot.de/guerilla-mining/
Thanks for your advice, @cheetah. I have already mentioned this in the article:
English:
This article was written by me and first published on my blog Crossbot.de. Since I only write on Steemit from now on, I move all articles here piece by piece.
German:
Dieser Artikel wurde von mir geschrieben und zuerst auf meinem Blog Crossbot.de veröffentlicht. Da ich fortan ausschließlich auf Steemit schreibe, bewege ich Stück für Stück alle Artikel hier her.
Kind regards,
Oliver
Thank you @oliverschmid for promoting this post together with https://steemit.com/budget/@jerrybanfield/introducing-steem-budget-proposals
Thanks, @jerrybanfield. :)
Sneaky Ninja Attack! You have been defended with a 1.00% vote... I was summoned by @oliverschmid! I have done their bidding and now I will vanish...Whoosh
Thanks, @sneaky-ninja :)
You are just Upvoted for using Vincentb tag.
Follow me and Vincent Briatore for join our new helping community.
This post has received a 2.20 % upvote from @booster thanks to: @oliverschmid.
This post has received a 0.58 % upvote from
thanks to: @oliverschmid.
For more information, click here!!!!
Send minimum 0.100 SBD to bid for votes.
Before sending a transfer to @minnowhelper, verify that your publication meets these conditions (http://www.minnowhelper.com/conditions.php). After the transfer is made, no claims will be received.
The Minnowhelper team is still looking for investors (Minimum 10 SP), if you are interested in this, read the conditions of how to invest click here!!!
ROI Calculator for Investors click here!!!
You got a 3.64% upvote from @postpromoter courtesy of @oliverschmid! Want to promote your posts too? Check out the Steem Bot Tracker website for more info. If you would like to support development of @postpromoter and the bot tracker please vote for @yabapmatt for witness!
This post has received gratitude of 0.51 % from @appreciator thanks to: @oliverschmid.