Dana 3. ožujka 2020., neposredno prije ručka u Washingtonu, DC, Stephen Ryan poslao je nekome iz Ministarstva financija SAD-a zahvalnicu sa zanimljivim detaljima.
Glavni operativni direktor i suosnivač tvrtke CipherTrace za istraživanje kriptovaluta, Ryan je bio jedan od 16 rukovoditelja koji su dan prije nazočili summitu industrije s tadašnjim ministrom financija Stevenom Mnuchinom. Uz svoju zahvalnost na sastanku, Ryan je priložio slajdove koji je izložio strategiju CipherTracea za demistificiranje kripto novčanika. Među tim metodama: "lonci s medom".
Ovaj je članak dio CoinDeska Tjedan privatnosti Serija.
Ryanova bilješka bila je dio skupa Mnuchinovih e-poruka od 250 stranica koje je CoinDesk dobio putem zahtjeva Zakona o slobodi informacija (FOIA). Dijelovi njegovog slajd paluba uvelike nalikuju CipherTraceovim javnim promotivnim materijalima. I oni su spominjali "honeypots" ili slične "lonce za kripto novac" barem od 2018.
Što je CipherTrace mislio pod ovim pojmovima? Zajednica kibernetičke sigurnosti koristi izraz "lonac meda" da opiše metu mamaca koja prikuplja obavještajne podatke o nesuđenim napadačima. Drugim riječima, zamka.
CipherTrace, koji je platni div Mastercard kupio prošle jeseni po nepoznatoj cijeni, dio je kućne industrije koja prati raskrižje kriptovalute i kriminala vrijedno 14 milijardi dolara godišnje. Pregledavajući milijune dnevnih transakcija zabilježenih na blockchain-ovima ili javnim knjigama, tvrtke kao što su Chainalysis, TRM Labs i Elliptic traže crvene zastavice i nedopuštena kretanja, označavajući sumnjive adrese u toku.
Tvrtke smatraju da su njihove usluge ključne za normalizaciju kriptovaluta i suzbijanje kriminala. Kritovi te tvrtke za praćenje prozivaju kao narkomane u lancu, iako one prvenstveno rade s javnim informacijama.
CipherTrace ne bi bila prva tvrtka u ovoj niši koja je postavila zamke u nadi da će uhvatiti informacije koje se ne mogu pronaći na lancu. Chainalysis, vodeći dobavljač kripto praćenja, godinama posjeduje web-mjesto za pretraživanje novčanika koje bilježi IP adrese posjetitelja i povezuje ih s blockchain adresama koje su tražili. Tvrtka je ovu praksu priznala tek u listopadu, mjesec dana nakon što je CoinDesk objavio članak u kojem je skrenula pozornost na to.
Više od pola tuceta veterana industrije kriptovaluta izjavilo je za CoinDesk da nemaju pojma što CipherTrace misli pod "honeypots". U izjavi dostavljenoj CoinDesku, tvrtka sa sjedištem u Los Gatosu u Kaliforniji dala je osnovnu definiciju računalne sigurnosti bez objašnjenja što to znači u kontekstu analize blockchaina.
"'Crypto money pot' ili 'honeypot' je sigurnosni pojam koji se odnosi na mehanizam koji stvara virtualnu zamku kako bi namamio potencijalne napadače," rekao je CipherTrace, dodajući da su dokumenti u kojima se spominju ove taktike stari. "CipherTrace više ne koristi 'kripto lonce za novac'", stoji u njemu (iako je web stranica tvrtke od četvrtka reklamirao i lonce za novac i med).
CoinDesk je upitao CipherTrace: "Prikuplja li vaša tvrtka podatke o IP adresi u svrhu povezivanja s adresama novčanika?"
Predstavnik CipherTrace-a je odgovorio: “Kao tvrtka koja je usredotočena na privatnost, CipherTrace ne mapira IP podatke privatnim osobama.”
Nije odgovorila na pitanje CoinDeska o tome preslikava li CipherTrace IP-ove na novčanike. CoinDesk je po drugi put upitao mapira li CipherTrace IP adrese u adrese novčanika. CipherTrace nije odgovorio.
Takva prikrivenost "čest je problem u prostoru privatnosti, kada govorimo o mrežnim identifikatorima poput IP adresa", rekao je Sean O'Brien, istraživač kibernetičke sigurnosti. “Tvrtke se pokušavaju distancirati od onoga što biste tradicionalno nazvali osobnim podacima govoreći da su IP adrese nešto drugo. Zapravo, nevjerojatno su korisni za prepoznavanje kućanstava, poduzeća i pojedinaca.”
Na primjer, "ako trebate istražiti transakciju Bitcoin-a povezanu s sumnjivim cyber kriminalom, IP adrese su upravo ona vrsta informacija koju tražite", rekao je O'Brien. “Najraniji slučajevi koji uključuju provođenje zakona i internet ovise o IP adresama kao dokazima, s dobrim razlogom. I, jednako su korisni za uznemiravanje i uhođenje ljudi kao i za kazneni progon.”
Slijedeći novac
Tvrtke za praćenje dugo su bile glavna, iako nedovoljno prepoznata sila u institucionalnom maršu kriptovaluta. Boreći se protiv percepcije da je bitcoin prvenstveno alat za financiranje kriminala, analiziraju podatke kako bi precizno odredili mršav udio koji zapravo jest.
Chainalysis je nedavno procijenio da je 0.15% kripto transakcija u 2021. bilo nezakonito – daleko najmanji postotak dosad. ("Nedopušteni" novčanici su prošle godine prikupili rekordnih 14 milijardi dolara, naizgled paradoksalna statistika koju je Chainalysis pripisao naglom rastu kriptovaluta.)
CipherTrace kaže da je njegova misija "razvijati ekonomiju kriptovaluta tako što će joj vlade vjerovati, sigurno je za masovno usvajanje i štititi financijske institucije od rizika pranja kriptovaluta".
Preuzeto iz prezentacije podijeljene s Ministarstvom financija, taj bi opis vjerojatno podijelila svaka konkurentska tvrtka. To je u središtu zabrinutosti klevetnika. Maksimalisti privatnosti vjeruju da bi radikalno transparentna, ali pseudonimna priroda Bitcoina trebala teći neovisno o državi, i vide rad tih tvrtki kao izdaju tog ideala.
"To je svojevrsna invazija na privatnost korisnika, na isti način na koji se možete žaliti na centralizirane tvrtke za web analitiku koje prikupljaju IP adrese i stavljaju kolačiće na računala ljudi i prate ih od web-mjesta do stranice", rekao je John Light, dugogodišnji kripto edukator, pisac, podcaster i organizator događaja.
On-chain analitika je, u svojoj srži, utrka atribucije.
U krugovima kibernetičke sigurnosti, atribucija znači identificiranje počinitelja haka. U kripto kontekstu, to se posebno odnosi na praksu istražitelja blockchaina povezivanja pseudonimnih adresa novčanika s akterima koji se mogu identificirati. Ti akteri mogu biti licencirane kripto burze ili čuvari, napadači ransomwarea, darknet tržišta ili sankcionirani pojedinci ili subjekti.
Na primjer: Svatko s internetskom vezom može vidjeti da je, recimo, novčanik abc123 prenio 0.5 BTC na zxy987; ova informacija je sama po sebi prilično beskorisna. No baza podataka praćenja mogla bi dokumentirati da je američki Ured za kontrolu inozemne imovine identificirao zxy987 kao da pripada sankcioniranom afričkom vojskovođi. Ili bi moglo pokazati da je bitcoin abc123 ukraden s mjenjačnice.
To su vrijedne informacije za burze koje žele spriječiti nezakonite aktivnosti, za korisnike koji žele održavati svoje kovanice čistima, za vlade koje žele pratiti novac. Ona se spaja kroz rigoroznu atribuciju.
S potencijalno milijunima dolara u istražnim ugovorima koji se traže, te tvrtke imaju akutnu potrebu za istraživanjem novih podataka o atribuciji. CipherTrace je, na primjer, od 20. sklopio 3.5 ugovora s saveznim agencijama u vrijednosti do 2018 milijuna dolara, a posljednji je posao vještaka, prema javnoj evidenciji.
U industriji koja nagrađuje izrađivače nijansiranih, detaljnih skupova podataka o atribuciji – i polju u kojem su kriminalci gladni obavještajnih podataka kako bi im pomogli izbjeći obavijest – čuvanje tajnog umaka atribucije je najvažnije, rekla su dva dugogodišnja praktičara.
Ipak, u svom e-mailu Ministarstvu financija, Ryan je ponudio okus “kako se postiže atribucija kriptovalute”. Honeypots su navedeni kao jedna od "aktivnih" strategija u slajd špilu.
Chainalysis: Blockchain atribucija as
Najveći konkurent CipherTracea počeo je koristiti vlastitu novu tehniku tri godine prije.
Osnovan 2014. i procijenjen u lipnju na 4.2 milijarde dolara, Chainalysis je velika kahuna industrije praćenja. Skupio je desetke milijuna dolara u saveznim ugovorima o prodaji softvera koji vizualizira aktivnost na lancu. Iako svatko s internetskom vezom može samostalno pregledavati javne blockchain zapise, trebat će vam mala pomoć da shvatite što ćete pronaći u zečjoj rupi.
Ali pravi poslovni as tracera je njegov skup podataka o atribuciji, rekla su tri insajdera iz industrije. Niti jedna druga tvrtka nije prikupila toliko detaljnih podataka o novčaniku kao Chainalysis', rekli su izvori.
To je dijelom zato što niti jedan drugi uređaj za praćenje nema tako velik poslovni otisak. Chainalysis pruža softver za praćenje 500 "davatelja usluga virtualne imovine" ili VASP, kako ih nazivaju regulatori. To je obostrano koristan odnos. Tvrtke dobivaju moćne alate za usklađenost s kriptovalutama, a Chainalysis dodaje njihove adrese novčanika u svoju globalnu bazu podataka. Međutim, ne traži od klijenata podatke o njihovim klijentima.
“Ne možemo govoriti u ime svih ostalih dobavljača. Moguće je da će drugi dobavljači zatražiti više informacija. Ali Chainalysis se bavi samo podacima o transakcijama na razini usluge”, objasnila je tvrtka u objavi na blogu iz 2019. Drugim riječima, identificira samo tvrtke za koje zna da kontroliraju novčanike, a ne i ljude.
Ali to nije bila cijela priča, a klijenti Chainalysisa i javne informacije o novčanicima nisu bili jedini izvori informacija tvrtke.
U nedatiranoj slideshow za talijansku policiju koja je procurila u rujnu, prodajni tim Chainalysisa opisao je kako ogromna mreža Bitcoin i Electrum novčanika čvorova tvrtke hvata vrijedne korisničke podatke kao što su IP adrese iz povezanih novčanika. To je pomoglo istražiteljima da slijede značajne kriminalne tragove, stoji u prezentaciji.
Slideshow je također bacio novo svjetlo na walletexplorer.com, popularni Bitcoin block explorer kojeg vodi Chainalysis od 2015. Prema dokumentima, za koje je CoinDesk potvrdio da su autentični, web stranica "struže" IP adrese sumnjivih korisnika, povezujući njihov otisak na internetu s njihovim adresa novčanika. Ovaj skup podataka pružio je "smislene tragove" za provođenje zakona.
„Nikada nije bila tajna da je Chainalysis bio vlasnik i upravljao walletexplorer.com. Od 2015. na dnu početne stranice stoji izjava da autor stranice radi u Chainalysisu kao analitičar i programer”, rekao je glasnogovornik tvrtke za CoinDesk.
Javna tajna, možda, ali jedva otvorena knjiga. Chainalysis je rijetko obraćao pozornost na činjenicu da walletexplorer.com usmjerava korisničke podatke u svoje druge poslovne linije.
Tjednima nakon što je CoinDesk izvijestio o walletexplorer.com, web-mjesto je usvojilo stranicu za otkrivanje privatnosti koja je po prvi put navela kako njezina zbirka podataka ulazi u liniju proizvoda Chainalysis.
“Blockchain informacije i informacije o posjetiteljima dijelimo s našim drugim poslovnim linijama Chainalysis kako bi nam pomogli u pružanju i poboljšanju tih usluga. Na primjer, druge poslovne linije Chainalysis možda će moći koristiti informacije koje pružamo za bolje povezivanje jedne adrese Bitcoin novčanika s drugom adresom Bitcoin novčanika”, stoji u politici od 14. listopada.
"Nedavno smo dodali obavijest o privatnosti kako bismo pružili više informacija o tome kako Chainalysis interno koristi podatke prikupljene s web stranice walletexplorer.com kako bi poboljšali naše usluge", rekao je glasnogovornik.
Ništa osobno?
Iako ostaje nejasno što točno rade CipherTraceovi honeypots, ova riječ evocira sustav koji navodno radi jednu stvar dok pokreće nešto drugo. Vlasnik novčanika koji se upušta u “honeypot” definitivno bi bio nesvjestan skrivenih motiva usluge.
Chainalysis, CipherTrace i Elliptic su svi ranije izjavili da ne žele vezati pojedince za novčanike. Njihovo je poslovanje pomagati vladama u istrazi kripto kriminala i održavanju usklađenosti razmjena.
Izlasci pojedinaca nisu dio te jednadžbe. Te tvrtke jednostavno prate novac, kažu.
"Blockchain inteligencija koju pružamo povezuje kripto transakcije s subjektima iz stvarnog svijeta kao što su burze, darknet tržišta i sankcionirani entiteti", rekao je Ari Redbord, voditelj pravnih i državnih poslova za TRM Labs, za CoinDesk.
“Ova obavještajna informacija omogućuje da kripto burza bude upozorena ako, na primjer, obradi transakciju koja uključuje adresu koja je prethodno korištena za financiranje terorizma”, rekao je. “Isto vrijedi i za transakcije povezane s hakiranjem, ransomwareom, povlačenjem tepiha i drugim napadima koji štete kripto investitorima i korisnicima.”
Ali "mi ne pripisujemo transakcije pojedincima", rekao je Redbord za TRM Labs.
Slično, predstavnik CipherTracea rekao je da "podatke o novčaniku ne pripisuje privatnim osobama, s iznimkom za subjekte koji su pod sankcijama." To je učinio plodno, pohvalivši se u jednom postu na blogu iz 2019. pripisivanjem 72,000 iranskih IP adresa na 4.5 milijuna novčanika.
Ostaje otvoreno pitanje pripisuje li CipherTrace IP adrese drugim novčanicima. Vrhunski predstavnici tvrtki kažu da ne čuvaju "osobne podatke", već samo "podatke koji mogu identificirati posao".
"CipherTrace ne održava PII, mi održavamo BII", rekao je izvršni direktor CipherTracea Dave Jevans u intervjuu u lipnju.
"Razumijemo, na primjer, koje adrese pripadaju kojoj razmjeni", rekao je. “Ali ne pratimo pojedinačne informacije da ste vi na ovoj adresi; to nije naš posao. Ne želimo to učiniti. Shvatit ćemo gdje novac dolazi, gdje novac odlazi, a onda je na sudovima i policiji”, da urade ostalo.
Kao što je primijetio O'Brien, istraživač kibernetičke sigurnosti, čini se da CipherTraceova definicija osobnih podataka isključuje IP adrese – zajedno s fizičkim lokacijama, prema jednom od postova na blogu tvrtke:
Izvor: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/