No dia 17 de setembro, visitantes do site Pirate Bay perceberam uma série de anormalidades quando o o visitaram. Em questão de segundos, o uso da CPU — que pode ser analisado no Gerenciador de Tarefas do Windows — atingiu picos anormais. No dia seguinte, o site TorrentFreak, especializado em notícias do protocolo BitTorrent, forneceu a resposta: os responsáveis pelo Pirate Bay testaram uma ferramenta que utiliza parte do processador dos visitantes para minerar uma criptomoeda chamada Monero, criada em 2014.
A medida era uma forma de depender menos das propagandas duvidosas e muitas vezes carregadas de malware que pipocam no site. A ferramenta relativamente recente e baseada em Javascript é chamada de Coinhive. Apesar dos usuários considerarem a prática justa de um certo ponto de vista, a falta de transparência os irritou.
No Reddit, muitos afirmaram que até 100% da CPU foi utilizada pelo site, que ocupava oito processos. A direção do Pirate Bay admitiu ter colocado o script lá como um teste para se livrar da necessidade de inserir propaganda no site. Dois dias depois, o script foi retirado da página e tudo parecia ter voltado à normalidade.
Uma semana depois, no dia 25, pesquisadores de segurança digital identificaram o mesmo script no site da emissora americana Showtime, responsável por séries como Homeland, Dexter e Penny Dreadful. Da mesma forma, visitantes do site identificaram um uso incomum do poder de processamento da CPU, que chegou a 70%.
O que impressionou é que, diferente do Pirate Bay, um serviço ilegal já condenado pela prática de pirataria, o Showtime é um site legal de uma das grandes emissoras e TV a cabo do mercado americano, que cobra para seus assinantes assistirem séries e filmes. Os pesquisadores acreditam que o código entrou no site na última sexta-feira (23) e saiu na segunda. Quem fez isso ainda é um mistério.
Pela análise do código, o site britânico The Register chegou ao código com o script, sob a tag da New Relic, uma empresa de análise de dados de visitantes. O script era inserido no início do HTML da página, para que o carregamento não demorasse a começar. A Showtime e a New Relic afirmaram não terem nada a ver com o código.
Apesar dos usos escusos da mineração, a Coinhive descreve a si própria como um empreendimento legítimo para editores de site que desejam não dependerem apenas de publicidade, principalmente em tempos de bloqueadores de anúncio. Mas em sua documentação, a empresa aconselha a "não rodar o minerador sem avisar aos usuários, recomendamos fortemente não fazê-lo". A Coinhive ressalta que "a boa vontade dos usuários é muito mais importante que lucro a curto prazo".
Os perigos da mineração
Contudo, tal prática, ainda que resulte em dinheiro para donos de grandes sites, carrega consigo uma série de riscos que ainda não estão claros ou elucidados por pesquisadores.
— Com a presença estabelecida e persistente na máquina infectada, nada impede que o atacante decida incorporar funções de controle remoto na máquina da vítima. Um exemplo destes comandos remotos que poderiam ser implementados é o ataque de negação de serviço — afirma o especialista em segurança da Trend Micro André Alves, em entrevista ao R7.
O pesquisador ainda informa que existe uma série de questões legais que ainda precisam ser discutidas em um futuro próximo, quando tal prática poderá se tornar mais comum.
— A legalidade de não ser permitido identificar “doadores” que se tornam fontes primárias de fundos para sites e, consequentemente, às empresas que os mantém é, no mínimo, questionável. As autoridades regulamentadoras terão grande trabalho para se adequar à era da blockchain que é, inerentemente, eliminadora de intermediários — informa André Alves.
Segundo o especialista da Trend Micro, existe uma chance clara desse tipo de prática se tornar viável para sites em um futuro próximo, desde que usuários compreendam que no processo eles gastem energia elétrica e cedem seus computadores para códigos que não compreendem completamente — que ainda por cima podem carregar malwares programas maliciosos. Sites também devem deixar muito claro o que está acontecendo nos bastidores e deixar o usuário decidir se continua ou não.
Dinheiro no bolso
O site TorrentFreak fez um cálculo que serviu como estimativa do quanto o site pode ter ganhado com a prática. Em contato com a Coinhive, eles descobriram que a empresa paga 0.00015 XMR (XMR é a sigla para a moeda Monero) a cada 1 milhão de hashes de processamento.
O início do cálculo leva em conta que um notebook comum roda cerca de 30 hashes por segundo. Estimativas apontam que o site receba cerca de 315 milhões de visitas por mês, cada uma delas de cinco minutos. Então temos 30 hashes por segundo, multiplicados por 300 segundos de visitação e multiplicado por 315 milhões de visitas por mês. Chegamos ao total de 2,835 trilhões de hashes por mês, ou 425,25 XMR.
Com a cotação do Monero na casa dos US$ 93,70 (cerca de R$ 297), o Pirate Bay poderia ganhar US$ 40 mil por mês. Se reduzirmos a mineração a taxa aceitável de 30% da CPU, os ganhos cairiam para realistas 127,57 XMR, ou US$ 12 mil, dos quais a taxa de 30% da própria Coinhive precisa ser subtraída. Como resultado, o valor cai novamente para 89,30 XMR, ou US$ 8.400 (R$ 26,8 mil), o que pode ser insuficiente para sustentar um site tão grande.
A soma final ainda por cima carrega complicadores, como a cotação do Monero ou a debandada de visitantes.
Como proteger seu computador
A criptomoeda Monero foi criada em 2014 com o objetivo de ser mais segura e privada que a famosa Bitcoin. Questões técnicas de lado, o Monero se destaca por não guardar quaisquer registros das transações, como o padrão blockchain, base do Bitcoin, faz.
A grande diferença é que o Bitcoin contém endereços únicos por carteira digital. Isso significa que cada usuários é ligado de forma anônima a uma carteira e todas as transações dessa carteira podem ser vistas publicamente. Caso o usuário se proteja, sua identidade real jamais será ligada a essa carteira, mas investigações anteriores mostraram que é possível que autoridades consigam rastrear identidades reais de usuários de Bitcoin.
Isso acontece porque o Bitcoin foi criado para não ser apenas privado, mas seguro e com regras de funcionamento claras. É exatamente por isso que muitos sistemas bancários ao redor do mundo podem adotar o blockchain para registros de operações financeiras.
O Monero cria uma identidade para cada operação, o que torna as carteiras completamente anônimas. E as operações são privadas: apenas o receptor e quem ele libere pode ver os detalhes da operação.
Outro detalhe também ajudou a popularização da Monero por mineradores: o Bitcoin exige poder de processamento gigantesco para mineração, e empresas criam verdadeiras fazendas de mineração com galpões cheios de computadores para conseguir Bitcoins. A Monero exige muito menos, como o sucesso da Coinhive deixa claro.
São esses dois detalhes (privacidade total e menor exigência de processamento) que tornaram a Monero preferida de quem deseja enganar usuários.
Mas diversas extensões e antivírus já se mexeram para bloquear que o Coinhive "sequestre" a sua CPU. A primeira iniciativa foi do pesquisador de segurança Rafael Keramidas, que criou o No Coin. Basta instalar a extensão no Chrome ou Firefox e se livrar do script da Coinhive. Por enquanto o No Coin só bloqueia o código da Coinhive, mas promete uma atualização caso outros scripts mineradores surjam e se tornem populares.
Uma segunda opção é adicionar o script de mineração na lista negra de uma extensão de bloqueio de anúncios. Abra o painel de controle da extensão, e na seção "Meus filtros", adicione uma linha com o código https://coin-hive.com/lib/coinhive.min.js e sua CPU não será utilizada para enriquecer os outros tão cedo.