Stedihabr Apr 28 2021 at 19:42

Как криптомайнеры убивают бесплатные CI

4 min

30K

ITSOFT corporate blogInformation Security*Build automation*Cryptocurrencies

Translation

+22

Comments 37

jakobz Apr 28 2021 at 21:07

А нельзя все что в CI крутится — отрубить от внешнего мира? На вход — только код, на выход — только артефакты, и никакого доступа в сеть?

E_STRICT Apr 28 2021 at 21:16

В CI часто устанавливаются зависимости проекта из внешних репозиториев (npm, packagist, и д.р.).

Roman_Cherkasov Apr 28 2021 at 21:41

White list может быть тогда?

vainkop Apr 29 2021 at 02:12

И что будет в whitelist? Весь GitHub, Dockerhub и т.д.? А смысл? Весь код и так там. Создаётся новый репозиторий, в него заливается что угодно и вперёд.

kipar Apr 29 2021 at 10:37

Вопрос не в том чтобы не дать залить код майнера, а чтобы майнер не смог общаться с пулом.

vainkop Apr 29 2021 at 10:52

Cicd используется для всяческих автоматизации и для адресов которые могут находиться где угодно, даже на домашних машинах, где может стоять прокси и пересылать трафик в любое место.
Не вижу решения, кроме как блокировка трафика по сигнатуре.

MichaelBorisov Apr 28 2021 at 22:24

Запакуют в код исходные данные для майнинга, а из «артефактов» будут забирать его результаты. Если есть хоть сколько-нибудь быстрый обмен информацией с внешним миром по любому каналу — его можно будет задействовать.

mwizard Apr 28 2021 at 23:49

Значит, надо добавить задержку в 10 минут перед стартом любой задачи. Так как для майнинга нужны актуальные данные, если между постановкой в очередь и попыткой смайнить блок пройдет время, за которое другие майнеры найдут блок, то майнинг на CI станет совершенно бесполезным.

Ну а чтобы это не очень ударило по обычным людям, то можно установить burst-лимиты, типа одна задача в час для пользователей с привязанной действительной картой выполняется сразу же, остальные с задержкой.

PyVolshebnyi Apr 29 2021 at 01:00

Отлично, пусть пулл реквесты маркируются и релизы собираются с задержкой в 10 минут. Мы подождем, тут спешить некуда же.

mwizard Apr 29 2021 at 01:06

Ну я предложил наиболее простой и наименее безболезненный способ убить майнинг на мощностях CI :) Если вы делаете больше одного релиза в час, или если ваш поток пуллреквестов так обширен, то, возможно, стоит задуматься о том, чтобы поднять CI на своих серверах.

Areso Apr 29 2021 at 12:43

CI может работать не только с релизами, и тогда возникает вопрос.

TheKnight Apr 29 2021 at 01:44

Мне кажется, что требовать от бесплатного CI работы за секунды — нагло и бесцеремонно.
Никто ж не предлагает платный тормозить.

Lexxnech Apr 29 2021 at 10:47

Действительно, почему бы всем тем, кто нормально использовал бесплатный сервис не поужаться, если майнеры обнаружили что на нем можно заработать?
Это «новое цифровое золото» давно уже не только электричество потребляет, но и весьма ощутимо бьет по кошелькам тех, кто криптовалютами не пользуется. Ну ничего, начали же геймеры платить в разы больше за более слабые видеокарты, ну так и пользователи СI привыкнуть, что за то что раньше было бесплатным теперь нужно платить либо страдать. Пусть скажут спасибо, что не блэкауты как порой бывает.

gxcreator Apr 29 2021 at 14:37

Ну давайте поругаем море, авось шторм пройдёт.

vainkop Apr 29 2021 at 02:07

Cicd с такими задержками не рабочий инструмент

enabokov May 1 2021 at 09:39

Для подписчиков задержек не должно быть.

vainkop Apr 29 2021 at 02:10

Быстрый обмен даже не всегда нужен, т.к. при майнинге часто можно получить задачу, поработать над ней и потом её результат уже отправлять обратно в пул.

Areso Apr 28 2021 at 22:34

У меня CI гоняет нагрузочное тестирование, и оно требует внешних элементов.
Впрочем, функциональное тестирование без моков точно также требует внешних элементов.

Glorian May 5 2021 at 19:16

Разумнее было бы сделать белый список ресурсов куда можно стучаться из CI. Тот же npm к примеру.

mihmig Apr 28 2021 at 22:41

А помимо proof of work (CPU) и proof of space (SSD/HDD)
может есть например proof of traffic, а то у меня интернет безлимитный...

ky0 Apr 28 2021 at 23:17

Да, есть валюта, поддерживающая децентрализованный стриминг — например, Theta.

voidMan Apr 30 2021 at 14:24

там вообще CPU\GPU тоже нехило так используется, я проверял

ky0 Apr 30 2021 at 15:33

Это для отдельного процесса — транскодинга видео. Его можно отключить, оставив только ретрансляцию.

v1000 Apr 29 2021 at 11:10

Не уверен, что этом можно сделать технически или юридически, но немлохо было бы разработать технологию, по которой нелегально добытую таким образом криптовалюту можно было-бы конфисковывать.

unsignedchar Apr 29 2021 at 11:18

Надо для начала придумать определение легально добытой криптовалюты, чем она будет отличаться от нелегально добытой (так то хеши можно хоть и на бумаге считать, просто долго очень). А если конфисковывать — то в чью пользу?

v1000 Apr 29 2021 at 14:10

Поэтому я и сказал, что не понимаю, как это технически и юридически реализовать.
Но идея простая — если майнинг происходит на системе, где это запрещено правилами, это считается нелегальным. Проще говоря — если знакомый попросил у вас машину съездить в магазин, а он на ней таксовал, хотя вы ему это явно запрещали — если ли у вас право потребовать с него полученную прибыль?

unsignedchar Apr 29 2021 at 17:34

идея простая — если майнинг происходит на системе, где это запрещено правилами, это считается нелегальным

Нужно придумать, как запретить подсчет sha-512 и использование циклов.

xenon Apr 30 2021 at 00:29

Увы, результат математических вычислений не зависит от машины. Если каким-то образом он не будет засчитываться с адреса 1.1.1.1 (github), то будет переправляться на «легальный» адрес (2.2.2.2) и оттуда уже засчитываться, будто б там и был рассчитан.

Это уж надо прямо другую математику на машине иметь, чтоб избежать такого ;-)

v1000 Apr 30 2021 at 09:51

это понятно, но разве запущенное на сервере нельзя скопировать или отследить сетевые подключения? идея же не только в том, чтобы запрещать такое использование ресурсов, но и чтобы это было невыгодно.
в этом, кстати, одна из проблем "анонимных" криптовалют, они понижают возможную ответственность за такие действия.

Utopia Apr 29 2021 at 19:06

Пора уже всем геймерам, разработчикам и просто хорошим людям бить майнеров по лицу…

Grand_piano Apr 30 2021 at 07:03

Я бы предложил просто ломать ноги, но боюсь меня никто не поддержит. Кроме проблем всей IT индустрии эта категория людей, мне кажется, ничего не производит. Много хайпа, много движухи, мало толку для кого-то кроме них. Но да, я помню, никто никому ничего не должен. И всё же… Эмоционально они воспринимаются, как "класс" людей занятых не пойми чем и одновременно ничего не делающих.

tundrawolf_kiba Apr 30 2021 at 15:10

Криптовалюты.
Ожидание: анархия, анонимность, киберпанк.
Реальность: раковая опухоль на теле IT индустрии.

ahdenchik Apr 30 2021 at 03:02

А какие вообще прорабатываются способы борьбы с майнингом? Где почитать?

Кроме пропаганды того что всё это бред и «бетховены» никакая не «валюта будущего» ничего на ум не приходит.

unsignedchar Apr 30 2021 at 08:25

А кто должен бороться? Продавцы железа? Им спрос очень выгоден, например.

lurker May 2 2021 at 14:04

Как вариант — межгосударственные соглашения, на подобии борьбы с вредными выбросами.

ainu May 10 2021 at 21:52

Когда появляются полностью анонимные мессенджеры, поддерживающие свободу слова, ими пользуются террористы, и появляется пропаганда, что «эти ваши мессенджеры никакая не технология будущего, и с ними надо бороться».

Когда появляется tor/vpn/onion/you name it, поддерживающие свободу от цензуры, ими пользуются распространители наркотиков и детской порнографии, и появляется пропаганда, что «эти ваши випиэн никакая не технология будущего, и с ними надо бороться».

Когда появляется бесплатный Github и другие сервисы, поддерживающие свободную разработку и обмен кодом как наследием человечества, ими ползуются распространители кряков, вирусов, кейгенов и пиратской литературыи, и появляется пропаганда, что «эти ваши омериканские гитхабы никакая не технология будущего, и с ними надо бороться».

Так вот, ответ прост. Бороться надо с нечистью, а не с технологией.
Надо бороться с чёрными майнерами (программно, как научились это делать в браузерах, чтобы не майнилось монеро). Надо бороться с черными репозиториями (да, подключать службу поддержки и живых людей, и пытаться автоматизировать). Надо бороться с черными сайтами (да, делать контрольные закупки и проводить расследования, где и как производят наркоту, и ловить, а не просто «блокировать»).

Да, блин, это сложно. Лёгкий путь «заблокировать» и «запретить» — это не решение, совсем. Как и пропаганда про «телеграм для террористов» или «vpn и твиттер для детской порнографии».

riky May 11 2021 at 19:44

Проблема в том что в крупных масштабах этими плохими штуками в основном занимаются свои же…
Поэтому борьба с ними символическая, ловят только тех кто отдельно от главной банды.
Те кто по-крупному занимаются — любой свой софт могут сделать.
Это лишь отмазка чтобы бороться с анонимными мессенджерами и сетями. Нужно чтобы на каждого можно было легко вести досье. Не дай бог кто-то станет народным активистом в оппозиции, должен быть простой способ его потихому угомонить.