Nettkultur, Sikkerhet & Webutvikling

Coin Hive – et forsøk på å utkonkurrere bannerannonser

Skjermdump fra coinhive.com


Den 14. september ble Javascript-biblioteket «Coin Hive» lansert som en ny måte å tjene penger på internett. Jubelen stod i taket flere steder og nettforumet Hacker News var positive til nyvinningen.

For hver dag som gikk tok flere og større nettsider i bruk Coin Hive, en teknologi som lar nettsider tjene penger ved at besøkende utvinner kryptovaluta. Kan dette være et alternativ til de irriterende bannerannonsene?

Ideen er som følger:

Et nettsted legger inn en kort kodesnutt på nettsiden sin, som gjør at de besøkende graver etter kryptovalutaen* Monero. De besøkende trenger ikke å gjøre noen ting bortsett fra å akseptere at prosessoren kjøres litt hardere enn ellers.

* Er du usikker på hvordan kryptovaluta fungerer, kan du lese Bitcoin – den nye verdensvalutaen? som kollega Henrik skrev i 2013.

Dermed kan nettstedet droppe ulike former for annonsering – være seg pop-ups, bannerannonser, eller auto-play videoer med lyd. Nettsiden tjener penger fordi krytpograverne (de besøkende) belønnes med kryptovaluta (…som nettsiden beholder) for arbeidet de gjør.

Dette er alt du trenger å legge inn på nettsiden for å kjøre koden.

Og annonser på internett er ikke spesielt lønnsomme, så det skal i teorien ikke mye til før man finner en mer innbringende modell. Et anslag fra 2016 tilsier at man kun tjener rundt 14 kroner per 1 000 sidevisning.

11 dager etter at koden ble lagt ut kunne de skryte av å ha utbetalt 700 000 kroner til ulike nettsider, og på et tidspunkt gravde biblioteket fram fem prosent av alle Monero-mynter globalt.

Problemet

Men antallet negative historier begynte å stige kraftig.

En av de første til å teste ut Coin Hive var nedlastingsnettstedet The Pirate Bay, ifølge TorrentFreak. Flere brukere var heller ikke imponert over at nettstedet ikke informerte dem om testen og at en feil gjorde at besøkendes prosessorer gikk på høyeste hastighet.

The Pirate Bay hijacks visitors’ CPU causing 100% spikes, everyone loses their ****
Steven Parker, oppsummerer hendelsen i Neowin

Mer moro ble det 25.september da noen la inn kodesnutten i strømmetjenestene Showtime.com og ShowtimeAnytime.com uten at brukere eller eiere av strømningstjenestene var klar over det, ifølge The Register.

Kodesnutten ble rask fjernet, men er et godt eksempel på krypto-kidnapping, en betegnelse på at noen kidnapper et nettsted eller lurer brukere.

Nettstedet Bleeping Computer kunne så fortelle at Coin Hive var på vei til å bli en favoritt blant skadevareprodusenter. Blant annet la noen kodesnutten inn i en nettleserutvidelse, falske nettsider, og som en del av en tech support-svindel.

Dette gjorde i sin tur at antivirusprogrammer begynte å flagge alle nettsider som brukte kodesnutten som kompromitterte, også nettsider som fulgte reglene for Coin Hive med tydelig godkjennelse fra sluttbrukeren.

Vi er litt lei oss for at noen av våre brukere integrerte Coin Hive på sine nettsider uten å fortelle de besøkende, og heller ikke spørre dem om lov. Vi tror det er mye potensial i løsningen vår, men vi må være respektfulle overfor sluttbrukerne.
Coin Hive, på deres blogg

Veien videre

Vi sender noen meldinger til gjengen bak. Prosjektet har sitt utspring fra en tysk bildedelingsside kalt Pr0gramm.

De ønsker ikke å gå ut med flere detaljer om hvem de er, men de beskriver seg som en «vennegjeng som gjør internett-ting».

Hvordan står det til med dere nå?

Akkurat nå er vi blokkert av annonseblokkering- og antivirusprogrammer, men vi jobber med å få et nytt produkt ut som skal forandre det. […] Vårt nye produkt er en kryptograver som krever eksplisitt godkjennelse fra sluttbrukerne.

Er dere i samtaler med antivirusselskaper om å tillate den nye versjonen?

Dessverre har det vært vanskelig å komme antivirusselskapene i møte. Vi har prøvd å kontakte flere av dem, blant annet Norton, Kaspersky, Avira etc… for å spørre om råd. Vi har spurt dem hva bør vi endre for at de skal tillate oss, men vi har så langt ikke fått noen svar.

Vi snakker fra her mer fram og tilbake. I samtalen videre kommer det fram at de kun sendte én forespørsel til hver av selskapene.

Kaspersky Lab og Symantec som eier Norton klarte på stående fot ikke å oppdrive deres korrespondansen, men en talsperson for Kaspersky Lab skriver at «hvis en tjeneste ikke brukes til skadelige formål av kriminelle og sluttbrukere er informert og godkjenner at prosessorkraft brukes vil den ikke bli blokkert av Kaspersky».

Det er derfor sannsynlig at Coin Hive vil kunne aksepteres av antivirus-selskapene når en eksplisitt godkjennelse blir en del av biblioteket, som de spår vil ta én til to uker.

Spørsmålet er da om de klarer å stoppe skadevareprodusenter fra å ta i bruk tjenesten deres på nytt, noe som kan føre til en ny blokkering.

Ville det lønt seg hos oss?

I redaksjonen gjorde vi et overslag på om det ville lønt seg økonomisk å sette opp en kryptograver, noe det for oss dessverre ikke så ut til å gjøre med utstyret og strømprisene vi har:

Skjermdump: Crypto Compare

Maxence Cornet var en av dem som prøvde ut Coin Hive på sin nettside og skrev om erfaringen. Han har omlag 1 000 daglige brukere som i gjennomsnitt er 55 sekunder på siden.

Jeg gravde ut 0,00947 XMR (Monero-mynter, red.anm.) på 60 timer, eller skarve $0,89 totalt. For min nettside er det altså $0.36 per dag, noe som er fire til fem ganger mindre enn ikke-støyende bannerannonser.
Maxence Cornet | Medium

Samtidig kommer det stadig flere spesialtilpassede prosessorer for kryptograving, såkalte ASIC-prosessorer, noe som vil gjøre det enda mindre lønnsomt å bruke vanlige prosessorer.

Det ser altså ut som kryptogravere ikke enkelt vil kunne erstatte bannerannonser i norske nettaviser pr. nå, men vi skal ikke se bort fra at denne løsningen kan fungere på sosiale nettsteder som Pr0gramm eller streamingsider der brukerne er lenge inne på siden.

10 kommentarer

  1. Kristian Westgård

    Utvinne kryptovaluta? Hva i alle dager betyr det? Har noen gjemt pixelpenger et sted? Noen må jo ha laget disse kryptopengene, men hvorfor gjemme dem? Hvem gravde dem fram før dette kryptojavascriptet kunne gjøre det? Hvem får pengene når noen har gravd dem ut? Jeg har tusen flere spørsmål etter å ha lest denne saken enn før. Og det er jo ingen god følelse.

    Svar på denne kommentaren

    • Artikkelen om Bitcoins, som det henvises til tidlig i artikkelen, forklarer bakgrunnen for det som ikke blir forklart i denne artikkelen, nemlig hvordan en kryptovalutta fungerer, inkludert hva det vil si å grave ut penger (på engelsk kalt «mining»).

      Svar på denne kommentaren

    • Veronica Olsen (svar til Kristian Westgård)

      Kort forklart så må myntene som inngår i kryptovalutaen «lages» eller frigjøres. For Monero, som er nevnt her, gjøres det hvert andre minutt. Antallet mynter som frigjøres reduseres for hvert gang, slik at man ender opp med en visst antall mynter til slutt. Eller, i hvert fall er det slik for Bitcoin. For Monero vil det alltid frigjøres litt mynter.

      Disse frigjorte myntene spres ved å gi dem som belønning for å bidra til krypteringen av blockchain-en, altså som betaling for bokføring av transaksjoner. For å gi et ekstra incentiv foregår dette som en konkurranse om hvem som først klarer å finne en gyldig hash-nøkkel med en tallverdi mindre enn et forhåndsbestemt tall. Hvor vanskelig dette er bestemmes av hvor mange som konkurrerer om samme pot. Jo flere som deltar, jo vanskeligere er det.

      Det er dette som kalles «mining» eller «utvinning».

      Det er vanlig å delta i en såkalt mining pool, som er kryptovalutaens svar på et tippelag. Der deles belønningen basert på for eksempel hvor mange hash-nøkler man har bidratt med. Jeg vil tippe at denne tjenesten som beskrives i artikkelen er satt opp slik.

      Arbeidet man gjør med PCen er i all hovedsak bortkastet arbeid siden det den i praksis gjør er å generere lodd i et lotteri. Vinnerloddet har en nytteverdi i forhold til bokføringen, men den står ikke i forhold til arbeidet utført av alle som deltar. Resultater som ikke vinner blir forkastet, og om man leverer inn et «vinnerlodd» for sent (noen kom deg i forkjøpet) så forkastes også ditt resultat.

      Hvis du vil bruke PC-en din til noe fornuftig mens den går på tomgang så kan man heller prosessere vitenskapelig data med Boinc. Og da kan jeg selvfølgelig anbefale prosjektet LHC@Home, der jeg jobber med en del av koden bak. 🙂

      Svar på denne kommentaren

  2. Dette er i praksis å stjele strøm fra brukerene. Siden Javascript er ekstremt ineffektivt vil det øke strømregningene deres mye mer enn det gir nettsiden i inntekter, og de som bruker mobiltelefon vil gå tom for strøm på null komma svisj.

    Svar på denne kommentaren

  3. Veronica Olsen

    Problemet med kryptomining er at fortjenesten per brukte CPU-time går ned jo flere som gjør dette. Vanskelighetsgraden går nemlig opp som en direkte følge av antallet som forsøker å vinne potten for hver block. For tiden er denne potten på ca 6.5 Monero per andre minutt, eller ca 4750 kroner.

    Svar på denne kommentaren

  4. Dette er vel hvorfor jeg bruker AdBlock. Det siste jeg vil er å bruke min CPU kraft og elektrisitet til å mine crypto til en eller annen nisse. Coinhive gjør ikke bare PCen min om til en rakett, men nettsider som bruker Coinhive krasjer stadig (spesielt på mobil) ettersom javascript ikke er laget for intensive CPU oppgaver som cryptomining.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *