[uylug-varios] qué sensación de porquería

Eduardo Trápani etrapani at gmail.com
Thu Oct 12 20:01:51 PDT 2017


El 12/10/17 a las 21:26, Fatima Castiglione Maldonado 发 escribió:
> netamente algun sitio esta haciendo una de dos cosas"
> 
> a. poniendo tu CPU a minar en javascript dentro del browser

Leyendo más sobre ese caso, encontré menciones a un caso de uso
interesante. En lugar de poner propaganda, te podrían mandar a "trabajar
para ellos", con ese programita que mina.

Advertencia: Solo para los que no sepan qué es minar: me llevó un poco
entenderlo y me dio ganas de compartirlo.  Es más o menos así, cada vez
que A y B hacen una transacción, para guardarla, se guarda en un
registro cuya clave es un número XAB. El número ese X es especial, es un
hash que involucra a A y B, de cierto largo, pero además, tiene que
tener una condición más. Por ejemplo que empiece con una cierta cantidad
de ceros. Es como si fuera un puzzle. Y la única manera de resolver eso
con nuestra tecnología actual es por fuerza bruta y es ahí donde
montones de máquinas se ponen a "probar" hasta dar con un X que cumpla
la condición. Cuando lo logran, avisan y, si son la primera, reciben
como compensación un pequeño pago y la transacción se guarda como XAB en
el registro global de transacciones. Esto es una hipersimplificación,
pero creo que guarda lo más importante. Si uno tiene montones de
máquinas buscando, las posibilidades de encontrar son más y el pago
total también. Si uno no encuentra nada ... entonces no hay pago.

> b. instalando algo en la maquina como en el caso que abrio la discusion
> y haciendola minar cada vez que esta libre

Sí, de esos hay, incluso utilizando aparatos como cámaras ip o cosas del
internet of things que quedaron desprotegidas. Si te hacés de suficiente
capacidad de proceso, las posibilidades aumentan. Pero ojo que no minan
los dueños de las netbots, lo que ya empieza a darte una pista de la
rentabilidad.

> en cuanto a los comentarios sobre que "no seria rentable" son
> comentarios ingenuos, minar es rentable si sabes que minar y mucho mas
> si no pagas el hard ni la electricidad

El comentario no es mío, la referencia más autoritativa que puedo darte
ahora es la del McAfee Threats Report del 2014[1] (sí, no es de ayer,
pero si lo leen van a ver que tiene sentido aún hoy, si encuentran algo
más nuevo de ellos, por favor compartan).

En la página 4 dice (traducción muy rápida) "Sin embargo, si se hacen
las cuentas sobre el minado de cibermonedas en botnets, parecería que es
bastante improbable que los operadores de botnets hagan dinero usando la
capacidad de minado. Para nosotros, los únicos que hacen dinero con eso
son los que venden las herramientas".

Eso sin tener en cuenta la competencia feroz en todas las cibermonedas,
lo que hace que solo ya sea casi imposible minar (con éxito), que te
tengas que asociar a un pool y repartir las ganancias. Y con hardware
genérico ... más difícil todavía.

Hay algo de lo que decís que es importante, en caso de querer dedicar
recursos al minado (recursos propios o ajenos) hay que saber qué minar.
Con bitcoin ya nadie se va a hacer rico, con otras monedas emergentes es
más probable tener ganancias mayores (monero, la que empezó esta charla,
es relativamente nueva).

Para redondear lo del comentario sobre rentabilidad, hay que tener en
cuenta con qué ganan dinero los botnets (spam, phishing, banking, ...).
Ahora ganan también vendiendo el servicio (del que nadie va a obtener
grandes beneficios) pero no minando directamente. A eso se refiere el
párrafo que cité arriba con "los que venden las herramientas". Si fuese
rentable, minarían ellos mismos, en lugar de venderte la posibilidad de
usar sus redes para eso (el informe tiene unos ejemplos y habla de lo
malo que es incluso para la botnet porque el uso de recursos expone más
a los nodos, como pasó en el caso que nos trajo acá).

Yo que sé, se podrá estar más o menos de acuerdo con las conclusiones,
pero de ahí a "ingenuo" hay una distancia enorme.

[1]
https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf


More information about the Uylug-varios mailing list