InVenture: Как на посетителях сайтов зарабатывают криптовалюту

20 ноября 2017

 

Некоторое время назад ряд онлайновых СМИ столкнулись с проблемой — читатели при заходе на их веб-сайты испытывали определенные трудности с загрузкой страниц, а работа их компьютера замедлялась. Подобную ситуацию обнаружило у себя и Delo.UA, наши читатели стали жаловаться на замедление работы их устройств при заходе на наш сайт. Как выяснили впоследствии технические специалисты нашего издания, один из партнеров без ведома компании устанавливал на нашем сервере скрипт, который майнил криптовалюту. После обнаружения скрипт был отключен, партнер уведомлен о недопустимом поведении, а читателям были принесены извинения.

Немного дальше решили пойти в Медиагруппе 1+1. Там выявили вмешательство в работу сайтов группы, целью которого была скрытая добыча криптовалюты Monero, "вероятно, в интересах международного стартапа Newzmate". "Департамент 1+1 digital провел расследование и обнаружил, что через API компании Newzmate в браузеры читателей новостных сайтов группы с домена api.traq.li загружался скрытый скрипт CoinHive для добычи криптовалюты Monero. Таким образом мошенники обогащались за счет ресурсов компьютеров пользователей без их ведома", — сообщала пресс-служба медиагруппы. Как тогда выяснили в 1+1, программа попала на сайты группы после покупки сервиса электронных рассылок Traqli, разработчиком которого является Newzmate. 1+1 обратились с заявлением по этому вопросу в Департамент киберполиции Национальной полиции Украины, считая, что компания-партнер несанкционированно вмешалась в работу их компьютерных сетей.

Как расценивать такие действия партнеров? Как на них реагировать? Насколько это законно? Можно ли защитить свои веб-ресурсы технически и юридически от таких действий? Об этом Delo.UA расспросило эксперта компании KPMG Николая Легкодимова.

Недавно некоторые наши коллеги пострадали от такой напасти как партнерский скрипт с внедренным майнингом криптовалют. По сути это было мошенничество. Насколько частой является такая практика, когда одни компании зарабатывают на других, обманывая их через такие партнерские вещи?

Недавно у ThePirateBay (сайт-индексатор торрентов) был эксперимент — люди заметили, что когда ты заходишь на страницу, повышается использование процессора и вычислительная мощность идет на работу скрипта, который занимается майнингом, а остальные процессы не в приоритете. Практика, с моральной точки зрения, спорная. На это можно посмотреть с двух сторон. С одной стороны — это канал монетизации, как в случае с ThePirateBay. С другой — без спроса используются ресурсы вашего компьютера. А с третьей стороны — вы когда пользуетесь каким-либо приложением, оно так или иначе тоже использует ресурсы вашего компьютера.

Мне кажется, здесь вопрос лежит не в плоскости "законно-незаконно", а на уровне справедливости — ваши ресурсы используются, вы не зарабатываете на этом, а кто-то другой зарабатывает. Скорее всего это никак не регулируется. Это просто на уровне доверия внутри коммьюнити, либо это будет принято приемлемым, либо нет. Я допускаю, что это будет продолжаться. Грубо говоря — сейчас есть правильные способы коммерциализации бесплатного софта. На вашем домашнем компьютере, скорее всего, стоит какое-то ПО, которое работает по следующей модели — вы им пользуетесь бесплатно для ваших целей, но периодически можете видеть какую-то рекламу. Или внизу есть рекламная полоска. За ее счет и зарабатывают.

Я не исключаю, что в какой-то момент вы на это (майнинг — ред.) согласились — когда нажимали все эти "Принять", не обращая внимания. Это может быть каналом монетизации бесплатного софта — вы чем-то пользуетесь бесплатно, но при этом в то время, когда вы не работаете (возможно, ночью), она майнит в пользу этого софта. Если вы с этим согласны, то ничего принципиально плохого я в этом не вижу.

То есть нужно внимательно читать лицензионные соглашения.

Я думаю, что и в случае ThePirateBay, и в вашем случае — это был некий эксперимент: можно ли на этом заработать. Здесь есть некоторые технологические ограничения, связанные с тем, что система устроена так, что скрипт, запускаемый с браузера, не самый оптимальный вид майнинга.

Почему?

Архитектурно у него не тот уровень доступа, он действует в рамках мандата на браузер, он не может загрузить процессор так, как если бы специализированное программное обеспечение напрямую занималось майнингом. На этом можно заработать только если это большая база, миллионы пользователей. Те случаи, о которых я слышал, ThePirateBay из них самый крупный. Если у вашего сайта домашняя страница про любимую кошку и туда заходят 200 пользователей, и вы им загружаете скрипты в их компьютеры, то они много не намайнят.

Насколько это законно? Мы об этом не знали, это был партнерский скрипт, который был на наших страницах. Мы заходим на нашу страницу, она очень долго грузится. Оказалось, что там скрипт.

Говорить, законно или незаконно можно тогда, когда сформировано отношение к майнингу как к деятельности, у которой есть статус — хозяйственный, коммерческий. Этого нет. Если забыть о том, что на другом конце скрипта сидит человек, который со своего криптовалютного кошелька выведет деньги, то что сделал этот скрипт? Он загрузил ресурсы вашего компьютера не тем, чем вы ожидали. Это вопрос юридический или это вопрос доверия между автором контента с одной стороны и его потребителем с другой? На уровне справедливости с вашей стороны — вроде да, вы платите за электричество, которым питается ваш компьютер, который вы часто на ночь не выключаете. Почему ваш компьютер делает не то, что его просили?

С другой стороны, если это сам контент, бесплатный или условно бесплатный, — вы часто потребляете контент, за который не платите. Здесь не урегулирован вопрос. Есть многие бесплатные газеты и журналы, на которые люди заходят и пользуются этим контентом. Когда будет понятно, что майнинг законен в Украине и это является коммерческим способом создания стоимости, он будет внесен в коды как вид экономической деятельности, тогда возникнет юридический казус — за счет ваших ресурсов люди зарабатывают. А пока это выглядит так — ваш процессор просто загрузили тем, чем вы не хотели, и что?

Что для этого нужно? Чтобы майнинг был признан легальным способом заработка и для этого нужно было заключать договор? Или чтобы криптовалюты были признаны Национальным банком?

Я бы разделял эти вещи. То, что ваши ресурсы пытаются использовать — это ничем не отличается от того, что жильцы дома подключают к общему источнику энергии свою майнинговую ферму. Вроде, за это платит весь дом, но пользуются только они.

Другое — если майнинг будет легальным способом, то как он будет контролироваться, регулироваться? Сейчас все более-менее продвинутые ИТ-специалисты ищут дешевую электроэнергию. Дешевая электроэнергия окупается, дорогая — нет. Промышленный майнинг ведется не на ваших домашних компьютерах, он давно ведется даже не на центральных процессорах, и даже уже не на видеокартах, как он долго был. Есть специальные элементы, платы, у которых нет другой цели кроме майнинга, они специально для этой цели придуманы. Это достаточно простая экономика — сумма энергии киловатт в час — это сумма того портфеля, который вы майните, на рынке. Многие системные администраторы занимаются майнингом, хорошо еще если по ночам. Это происходит везде.

Без ведома сисадмина компания может этот скрипт внедрить?

Можно на уровне (скорее всего такого уровня защита появится) вашего пользовательского компьютера запретить исполнение определенного типа скриптов. Вы можете ограничить активный контент вашей страницы. Это похоже на существование программ для блокирования рекламы. Они не дают активному контенту браузера это сделать. Наверное, можно сделать и средство, которые будет запрещать определенные скрипты.

Решить этот вопрос можно, если обратиться к партнерам и попросить их этого не делать? Например, наше СМИ не хочет, чтобы его использовали в таких целях.

Вы можете сами периодически мониторить это — приходит новый контент. Скорее всего вы как-то это мониторите, на различные киберугрозы. Но если это важно, то это может быть еще один элемент в вашем списке, который вы будете мониторить — нет ли в числе контента, который мы даем пользователю, задач на его процессор, которые непонятно к чему привязаны. Грубо говоря, вы сейчас не знаете, майнит ваш телефон или нет. Он много не намайнит в силу ограничения производительности по мощности, но тем не менее.

Криптовалюта сейчас во многих странах лежит вне правового поля.

На постсоветском пространстве почти везде статус туманный. Недавно в Раду был подан законопроект, чтобы как-то регулировать криптовалюту. Вопросы идентификации, хранения транзакций — хочется надеяться, что регулирование этому поможет.

Допустим, сегодня криптовалюта была бы легальна. Чем бы это изменило вашу ситуацию? Кто-то на вас нелегально заработал, вот он заработал легальные деньги, которые трактуются украинским государством или он заработал что-то, что не трактуется государством. Он все равно на вас заработал за счет вашего электричества, за счет замедления ваших основных задач. Если вы подаете в суд — в чем ваш убыток? Вы сами хотели зарабатывать и это на упущенную прибыль?

К нам пришло меньше посетителей, за счет этого у нас меньший оборот рекламы.

У него будет техническая экспертиза юриста, у вас она будет. Это надолго. Ключевая мысль — нужно привыкнуть к тому, что электричество можно менять на деньги. Везде, где есть много относительно дешевого управляемого электричества или вычислительных мощностей (что одно и то же), везде сидит "присосавшийся" айтишник и у него маленькая фермочка для себя.