En la web de Movistar había un código utilizado para sacar provecho de los visitantes sin que se dieran cuenta. Movistar acaba de confirmar que el origen de este script no venía de ningún ataque informático, sino de una versión de prueba que había realizado para evitar, precisamente, que terceros puedan llevar a cabo estas acciones. La versión con el script "por error, se subió a producción sin haber eliminado previamente este tipo de código". Relacionada:
www.meneame.net/story/web-movistar-hace-mineria-criptomonedas-visitant
Pinta más de que google se la ha tragado otra vez más o de la agencia encargada de gestionarlo.
Aprovecho para adjuntar imagen sustituyendo el gorrito de lana
Me recuerda a cuando hicimos en el instituto un trabajo sobre Antonio Machado y poníamos Manchado por hacer la gracia. Al final se nos coló en la versión final.
Que es el mismo motivo por el que alguien cagaría sobre la tapa del inodoro en un aseo público,
Ya me gustaría saber los puestos y sueldos de todos los sabios informáticos que furulan por mnm. El 90% estará en Sillicon Valley cobrando 6 dígitos, no?
Salu2
La pena es que alguno en Navidad estará sin trabajo, e imagino que será algún subcontratado y no ningún jefe de servicio.
El que piense que movistar ha hecho esto para sacar dinero, es un paleto de cojones.
No hay por donde cogerlo.
Otra cosa es que no avisen.
No doy detalles porque estoy aquí con mi nombre y apellidos, pero le podéis preguntar a cualquiera que haya trabajado con ellos o utilizado sus servicios.
Error humano, comprensible y jodido de detectar.
Telefónica ha ganado (beneficios!!!) 2.400.000.000€ En el 2016, se van a enmarronar minando criptomonedas en I web?
okdiario.com/economia/2017/02/23/telefonica-triplica-ganancias-2016-lo
O bien ha sido realmente un error (probando sistemas anti este tipo de ataques, que lo dudo) o alguien de la cadena de producción de la web se ha pasado de listo, y los controles han fallado.
Repito que el que crea que esto es intencionado por parte de Telefónica, es un magufo de cojones. Gracias por aportar el dato de lo que ha ingresado Telefónica por este año.
Lo más triste es leer muchos comentarios de gente que habla como si supiera y no saben lo fácil que es identificar que ni son informáticos, y hablan sin tener ni puta idea ( cuñadismo ) o directamente tal vez trabajan en IT pero no saben cómo funciona Telefónica por dentro.
Yo he estado en 2 proyectos ( como 2 años ahí metido ) y me imagino que ha sido un pase a pro de una versión equívoca. Nadie, ningún técnico que trabaja en un cliente así, se la juega a colar una versión con un script así. No por el trabajo en sí, que nos sobra a los informáticos en España si nos sabemos mover, más porque se juegan la libertad.
Pero bueno , Telefónica es el Diablo, todos lo sabemos , y en cuanto sale algo así se tiran al cuello.
Yo particularmente , les tengo aprecio aún con todo lo que pueda salir a este respecto, y sabiendo como son las cosas en el mundo de las tecnologías, me decanto , como ya he dicho, más por el tema de un pase a pro por error.
Si quieren ganar más, comprar un par de voluntad políticas por cuatro duros y listo, impuesto especial, subida de precios, eliminación de la competencia, o lo que deseen...
La peña se mea fuera del tiesto. Me alegro de haberte leído, has sido uno de los pocos comentarios gratos que he visto por aquí.
Pues que la electricidad consumida la pagas tú.
Hay dos posibilidades:
- Les han hackeado . Es posible, pero poco probable.
- Algún desarrollador estaba sacándose un extra minando con los recursos de la empresa (pasa y me han contado un caso hace poco) y ese script se ha “deslizado “ a producción.
Creo que es un claro caso de ÑaaS (Ñapa a a Service)
Además al dueño de la web le importa un pimiento si estoy usando o no el 100% de mi ordenador. Por último, está compitiendo deslealmente con los mineros profesionales que pagan por su hardware y su factura eléctrica, incrementando la dificultad de minado y a la larga volviendo inútil el minado "legal".
Imagínate que un taxista robara tu coche por las noches, lo usara para trabajar (con sus correspondientes kilómetros de desgaste) y lo aparcara donde lo dejaste porque total, no lo estás usando el 100% del tiempo.
Ese código no se generó por sí mismo porque alguien se apoyara en el teclado y se escribieran casualmente todas las palabras necesarias para ejecutarlo, el que se crea algo así es un paleto de cojones.
Las webs hay que pagarlas, el acceso al contenido hay que pagarlo, hasta ahora se hace con popups, ventanas emergentes, banners, ruidos molestos, etc.
Si quitan eso y a cambio usan el 10% de mis ciclos no usados de micro, adelante.
El consumo no se dispara, yo tengo varios equipos minando, la diferencia entre usar el 4% y el 15% es irrisorio y despreciable.
En cuanto al ejemplo del taxi, te has dejado la parte en la que dejas de tener anuncios, a cambio de minar (es decir, tu al taxista le dejas tu coche cuando no lo usas, pero a cambio el después te paga de algún modo, o te da un bono para que las carreras te salgan gratis a ti cuando las uses
La web de Movistar no debería tener anuncios ni popups. Si Movistar no puede pagar su web que no la tenga.
Yo gestiono un negocio online y no ponemos publi, porque ni los anunciantes ni los visitantes tienen que pagarnos por tener una tienda, es parte de los costes de tener un negocio.
No defiendo la publicidad ni los popups, en mi opinión sólo sirven para degradar la calidad de la web e indirectamente del contenido, pero ejecutar código en los dispositivos de los visitantes para sacar dinero a costa del rendimiento es pura piratería, ni avisando se salvan. Espero que les caiga un buen paquete.
Lo que minan es monero, una moneda diseñada para ser resistente a ASIC.
La referencia escatológica no tiene sentido en el ámbito de la informática.
Un script para minar tiene una intención concreta, lo mismo si fuese malware y sucedaneos.
A lo que voy es que se puso con intención, para pruebas por curiosidad lo haces con cualquier web guarra en un servidor de desarrollo.
Que la parte donde tu cobras te la has perdido? no todo es recibir dinero, TODAS las webs tienen un mantenimiento, y el 90% usan anuncios para mantenerse. Si lo quieres aceptar, guay, sino, pues a tu bola
Si alguien pone una web de... recetas, y pone banners, molestan, pero es una forma de "agradecer" al de la web su contenido. Tu visión de "tener una web es parte del negocio" es muy egoista, hay una cosa llamada "donaciones" en las cuales quien quiera puede ayudar al mantenimiento de dicha web a cambio de algún beneficio, sea que no te salgan los popups por ejemplo.
"los anunciantes no tienen que pagarnos por tener una tienda" algo estás haciendo mal, los anunciantes SIEMPRE pagan por anunciarse en un sitio, sea en un bar, o en la camiseta del madrid.
Supongo que también estarás en contra de los anuncios en la tele, que vienen a ser lo mismo, no? entonces, quitamos los anuncios en la tele, quitamos los popups, los banners, y también quitamos la parte de anuncios en google... también te molestará si te llama una compañía X sobre su producto, y ya no hablemos de todas las octavillas que meten en el buzón las distintas tiendas.
Es mas, que los publicistas se vayan al carajo, quien los necesita? para que necesitamos marketing?
Que durante el tiempo que lees un blog, que será... cuanto? media hora? una hora? tu ordenador use el 10% de una cpu sobredimensionada, en la cual a veces ni con un buen videojuego se pone a tope (porque la gente es así, se compra un i7 y 64 gb de ram para leer el correo en outlook) no es una molestia, y es el pago necesario para evitar popups sonidos banners, tener una web mas rápida, que gasta menos datos porque solo descargas el contenido... etc.
Dejad de haceros los ofendidos por todo.
No se trata de un blog o alguién que ofrezca un servicio gratuito y tenga que recurrir a banners o scripts de este tipo para costearse el hosting o para ganar algun dinero.
Un Core i3 puede minar unos 8 mega hashes por segundo. Si el algoritmo se ejecutase en un navegador, supongamos una reducción de 8 veces (siendo muy generosos, puesto que muchos visitantes usan móviles etc, pero bueno). Eso nos da que un visitante puede darnos de forma optimista 1Mega hash cada segundo.
Un Antminer S9 (hardware especializado con el que se mina Bitcoin) mina a un ritmo de 14 Tera hashes por segundo. Es decir... Cada Antminer S9 es como un 14 millones de navegadores minando.
Además, esos 100k visitantes de los que hablas, estarán un rato en la página y luego se irán, por lo que usuarios concurrentes cuántos puedes tener? 1000? Soy muy muy generoso, venga, mil.
Es decir 1 mega hash * 1000, 1giga hash total. Eso con nuestros cálculos generosos por todas partes.
1 giga hash segundo constante, es 14000 veces más lento que un solo antminer S9.
Con 1 giga hash segundo tardarías siglos o milenios enteros para resolver un bloque con la dificultad actual... Teniendo en cuenta que solo tienes 10 minutos para hacerlo hasta que el puzzle cambia y tienes que empezar de 0... Mal plan.
De todos modos, por lo visto Movistar no fué algo adrede sino alguna prueba.
> Teniendo en cuenta que solo tienes 10 minutos para hacerlo hasta que el puzzle cambia y tienes que empezar de 0... Mal plan.
Aunque el puzzle cambie, tus probabilidades de encontrar un hash son exactamente las mismas dado que los hashes no tienen "recuerdo". El minado no se "empieza de cero".
Toda la razón del mundo, era un caso obvio de Falacia del jugador:
en.wikipedia.org/wiki/Gambler's_fallacy <- para los que no la conozcan
Gracias por el apunte!
DIcho esto, en este caso hay otros factores que entran en juego (sin restar ni un ápice de razón a tu apunte). El hecho de que vayas tan lento hace que continuamente estés minando sobre bloques pasados, y eso es tiempo que pierdes. Además sucede también que la dificultad va a ir creciendo, por lo que es una carrera sin final.
Si yo estoy minando con una probabilidad realista, digamos de encontrar un bloque cada semana, que el minado se reinicie me importa bien poco. Pero si mi tiempo de encontrar un bloque es superior (y de mucho) al ritmo al que se incrementa la dificultad, entonces estoy muy jodido...
> que vayas tan lento hace que continuamente estés minando sobre bloques pasados, y eso es tiempo que pierdes
No veo por qué estás minando sobre bloques pasados. En dejar de minar el bloque actual y minar uno nuevo se tarda literalmente lo que tarda en llegarte el bloque minado para poder incluirlo como bloque padre de tu nuevo bloque.
Si el script de minado es capaz de actualizar de alguna forma las transacciones sin confirmar y los bloques (ya sea por el mismo canal por el que mande resultados o tirando de alguna API en tiempo real como blockchain.info/api/api_websocket) el cambio es prácticamente instantáneo.
> Pero si mi tiempo de encontrar un bloque es superior (y de mucho) al ritmo al que se incrementa la dificultad, entonces estoy muy jodido...
Ahí tienes toda la razón.
Lo que dices de que es inviable frente a un minero ASIC es cierto. Lo que se te escapa es que el coste para el hacker es literalmente cero (excepto el riesgo de ser cazado que, depende de su jurisdicción, puede ser nulo). Infecta unos cuantos miles de webs con unos cuantos cientos de usuarios concurrentes y la cosa va escalando.
Lo peor que puede pasar es que te quedes a cero, pero si encuentras un bloque te llevas 608711€ para la saca de golpe.
A mí no me parece descabellado...
Conozco bastante gente que se dedica a minar monero con recursos ajenos (sigo relacionado con el mundillo de la seguridad) y ganan mucho dinero.
Sobre los bloques viejos, claro, te comes todo el tiempo que tarda en llegarte el nuevo bloque, el cual no es 0. Y teniendo en cuenta que cada 10 minutos hay bloque nuevo y tu vas a tardar milenios, si tarda en llegarte 10 segundos el bloque nuevo, multiplicas 10 segundos por 52560 bloques de media al año, por 1000 (1000 años), estamos hablando de que has tirado a la basura:
10 * 52560 * 1000 = 525600000 segundos
Es decir, 6083 dias. o lo que es lo mismo 16.6 años
Meto el script, intento hacer que no funcione con varias formas, y cuando creo que ya lo he conseguido, lo subo a pro.
Pero claro, sois unos simples que creo que no trabajáis en algo así, y sin saber cómo funcionan estas cosas hacéis conjeturas y lanzáis críticas.
Hay un problema con según que servidores webs que están expuestos en internet. Y es eso, que están expuestos. Como si estuvieras en la guerra, pero no hay humo ni fogonazos, ni ruido. Es un día cualquiera en un cpd cualquiera. Y la gente te ataca, por motivos políticos, o por diversión, o por ego... pero te ataca.
Y uno de esos posibles ataques es que metan un código java script ( .js ) en tu página web, que hace que mines criptomonedas con los procesadores de tus clientes ( hosts ).
Para evitar que un tercero acceda a tu servidor, hay mil maneras, pero nunca estarás seguro al 100 %. Así que , a parte de fortificar para que no entren, implementas formas de que esos .js ( scripts malos malísimos ) no corran en tus máquinas aunque alguien lo intente.
Un señor, posiblemente subcontratado, ha echado horas y horas investigando , haciendo pruebas, montando servidores web , ejecutando líneas de código... y cuando ya había hecho todo eso y encontrado una solución, guardado la versión correcta en su equipo y se disponía a subirla a producción, a lo mejor porque baja a fumar y vuelve despistado, o porque se ha ido a mear, o porque un jefe le mete prisa y presión porque te lo pedí esta mañana son las 4 y no lo tengo, o algo así, sube la versión equívoca ( con el script que usaba para probar que de verdad lo inutiliza ) y salta la liebre.
Pero supongo que tú nunca cometes errores, eso es cosa nuestra, de los informáticos. Y Telefónica es el Diablo en persona y quiere usar tu microprocesador para minar 10 $ guarros en alguna criptomoneda de estas de moda.
De acuerdo en que los PCS están sobredimensionados, ¿Y qué? Es mi Pc sobredimensionado, e igual quiero despreocuparme de controlar los procesos y dejarme siete programas abiertos que para eso tengo un i7 ¿Acaso el cartero te quita la comida del plato porque a la mayoría de la gente le sobra?
Y sí, me jode el spam, y que me llenen el buzón de mis comunicaciones PRIVADAS con folletos de mierda. O que me despierten de la siesta o me hagan levantarme de la mesa para venderme algo que no he pedido.
Sé que suena radical, pero desde que se inventó la "monetización", la minería de datos y la publicidad invasiva, desde que en vez de buscadores y portales navegamos por tiendas y agencias de publicidad el contenido del Internet más accesible es pura basura.
Elimina el clickbait y las agencias de publicidad y te quedarás con el Internet de los negocios, los aficionados y las instituciones: el Internet útil. El principal afectado sería el spam. Si te pagas un hosting es porque tienes un interés auténtico y no porque tu meta es captar tiempo de la gente a cambio de pagos de agencias de publicidad/minado/espionaje.
Sé que es un punto de vista extremo, pero también hay otras soluciones que me parecerían bien, como publi no invasiva relacionada con los temas de la página (no con el historial del usuario, como ahora). De todas formas lo que quiero destacar es que el cobrar por tener una página no debería ser una prioridad, y no debe ser nunca excusa para ejecutar funciones que no estén relacionadas con la finalidad de la web.
Lo que quiero decir cuando digo que no nos pagan la página los anunciantes es que no tenemos anunciantes. Nosotros cobramos por vender, no por el tiempo o los datos de nuestros visitantes.
Pero errar es de humano, y te aseguro que ese no vuelve a cagarla con las versiones de nada, a partir de ahora.
Tú eres mi tonto no? No te das cuenta de que todo lo que compras y todo a lo que accedes tiene ese precio porque anda por ahí la publicidad?
"Y si tengo 5 pestañas y el Excel" tengo que reconocer que me has hecho reir, pues mira yo es que no tengo la costumbre de acumular pestañas abro una, la uso y cierro, igual tienes que cambiar tus malos hábitos y empezar a usar el ordenador como se debe. Encima demuestras unos conocimientos altísimos del tema poniendo de excusa EL EXCEL!! Jaja
Yo tengo mi ordenador minando tanto CPU como GPU a tope puesto de tal manera que cuando otra app requiere acceso a ellos, el % de uso del minado baja hasta que yo dejo de usar el ordenador y puede usar de nuevo el 100%
Cuando hablo de 10% hablo en total, no de que cada página use un 10% sino de que en.el navegador configures el % que te apetezca y que cuanto más bajo más publicaciones te salga.
"Quita los anuncios y tendrás el internet de verdad" no es radical ni extremo, es estúpido la mayoría de las webs dan contenido gratuito, y no no me refiero a una web de pelis piratas, sino a un periódico, el mundo el país okdiario el diario.es ninguno te cobra por su contenido verdad? Cómo paga entonces a los periodistas e investigadores? Con aire?
Conforme van las cosas el periódico en papel desaparecerá y todo se leerá por internet, si no quieres anuncios ni quieres spam, ni quieres que se use tú pc para minar como coño quieres acceder a contenido gratuito?
Ejemplo del día YouTube sin anuncios no sería ni la centésima parte.
Deja el tema a los que sabemos y no a los que se oponen a todo simplemente por oponerse, sin base lógica alguna como tu
Es como si te monitorizan los equipos de alguna forma para comprobar la calidad de conexion o para hacer revisiones de los fallos de los equipos