为什么免费代理是“免费”的？

最近偶尔发现， Chema Alonso 在 Defcon 20 会议上谈到他怎么从头开始创立一个JavaScript 僵尸网络，然后怎么运用它来找到骗子和黑客。
一切都是经过一个 SQUID 代理并修改了些小装备完成的。
这个主意非常简略：
1.【服务器】在一台 linux 服务器上装置 Squid
2.【Payload】修改服务器装备，给一切传输的 javascript 文件插入一些代码，这些代码的效果即是将用户数据传送到你的服务器上，比方用户在表单中输入的一切数据。
3.【缓存】将修改正的 js 文件的缓存时刻尽可能延伸。
可能发生最坏的工作是什么？
当某能逼迫你加载一个受感染的 js 文件， 那他们能够：
盗取你拜访的网站的登录信息（从登录表单中或 cookies）
盗取你的银行账号或信用卡信息
逼迫你参与 DDOS 进犯，让你的浏览器一秒钟内加载一个网站几百次，经过 iframe 或 script（脚本）来发送恳求。
根本你上网做的任何工作都能看到（包括你阅览时鼠标的位置）
https
假如你的网站加载了一些不安全的资本（比方从一个 http 站点加载 jquery），那该方法在 https 链接上也能生效。大多数浏览器都会提示你，有些甚至会阻止你拜访不安全的内容，可是没有人注意到浏览器地址栏中“锁”的符号。
举个例子
安全：a1279bf58d
不安全：9f0d9fc0ce
在介绍中，Chema 说他将修改正的服务器 IP 地址发布到网络上，几天后就有 5000 多人运用这个代理。大多数运用代理的人都是为了做坏事，因为他们都知道运用了代理在网络上就成为匿名了，好像许多人都没有思考过这个疑问：代理相同也能够对他们做一些坏事。
我在想是不是真的那么简略，所以我建了一个运转 Debian(Linux的一个发行版) 的虚拟机，然后努力实现这些概念。