3. gada 2020. martā, īsi pirms pusdienlaika Vašingtonā, Stīvens Raiens kādam no ASV Valsts kases departamenta nosūtīja pateicības vēstuli ar ziņkārīgu detaļu.
Kriptovalūtu meklēšanas uzņēmuma CipherTrace galvenais operators un līdzdibinātājs Raiens bija viens no 16 vadītājiem, kas iepriekšējā dienā piedalījās nozares augstākā līmeņa sanāksmē ar toreizējo Valsts kases sekretāru Stīvenu Mnučinu. Kopā ar pateicību par tikšanos Raiens pievienoja slaidu klāju, kurā bija izklāstīta CipherTrace stratēģija kriptovalūtu maku demistifikācijai. Starp šīm metodēm: “medus podi”.
Šis raksts ir daļa no CoinDesk's Privātuma nedēļa sērija.
Raiena piezīme bija daļa no 250 lappušu garā Mnuchina e-pasta vēstuļu krājuma, ko CoinDesk ieguva saskaņā ar Informācijas brīvības likuma (FOIA) pieprasījumu. Viņa slaidu klāja daļas ļoti līdzinās CipherTrace publiskajiem reklāmas materiāliem. Arī tie ir minējuši “meduspodus” vai līdzīgus “kriptonaudas podi” vismaz kopš 2018. gada.
Ko CipherTrace domāja ar šiem terminiem? Kiberdrošības kopiena izmanto frāzi “medus pods”, lai aprakstītu mānekļu mērķi, kas vāc izlūkdatus par nenojaušajiem uzbrucējiem. Citiem vārdiem sakot, lamatas.
CipherTrace, kuru maksājumu gigants Mastercard iegādājās pagājušā gada rudenī par neizpaužamu cenu, ir daļa no kotedžu industrijas, kas uzrauga kriptovalūtas un noziedzības krustceles 14 miljardu dolāru apmērā gadā. Izsijājot miljoniem ikdienas darījumu, kas reģistrēti blokķēdēs vai publiskajās virsgrāmatās, tādi uzņēmumi kā Chainalysis, TRM Labs un Elliptic meklē sarkanos karogus un nelikumīgas kustības, marķējot aizdomīgās adreses.
Uzņēmumi savus pakalpojumus uzskata par būtiskiem kriptovalūtu normalizēšanai un noziedzības izskaušanai. Nelabvēļi šīs izsekošanas firmas uzskata par narkotikām, lai gan tās galvenokārt strādā ar publisku informāciju.
CipherTrace nebūtu pirmais uzņēmums šajā nišā, kas izliks lamatas, cerot iegūt informāciju, kas nav atrodama ķēdē. Chainalysis, vadošais kriptovalūtu izsekošanas pārdevējs, gadiem ilgi pieder maka pārlūka vietne, kas fiksē apmeklētāju IP adreses un saista tās ar blokķēdes adresēm, kuras viņi meklēja. Uzņēmums šo praksi atzina tikai oktobrī, mēnesi pēc tam, kad CoinDesk publicēja rakstu, pievēršot tam uzmanību.
Vairāk nekā pusducis kriptovalūtu nozares veterānu pastāstīja CoinDesk, ka viņiem nav ne jausmas, ko CipherTrace domāja ar “meduspodiņiem”. Paziņojumā, kas sniegts CoinDesk, Los Gatos, Kalifornijā bāzētais uzņēmums sniedza datora drošības pamata definīciju, nepaskaidrojot, ko tā nozīmē blokķēdes analīzes kontekstā.
"Kriptonaudas banka" vai "medus pods" ir drošības termins, kas attiecas uz mehānismu, kas rada virtuālu slazdu, lai pievilinātu iespējamos uzbrucējus," sacīja CipherTrace, piebilstot, ka dokumenti, kuros minēta šī taktika, ir veci. "CipherTrace vairs neizmanto" kriptovalūtas naudas traukus"," teikts tajā (lai gan uzņēmuma tīmekļa vietnē ceturtdien tika reklamēti gan naudas, gan medus podi).
CoinDesk jautāja CipherTrace: "Vai jūsu uzņēmums vāc IP adrešu datus, lai saistītu tos ar maka adresēm?"
CipherTrace pārstāvis atbildēja: "Kā uzņēmums, kas orientēts uz privātumu, CipherTrace nesakārto IP datus privātpersonām."
Viņa neatbildēja uz CoinDesk jautājumu par to, vai CipherTrace kartē IP ar makiem. CoinDesk jautāja otro reizi, vai CipherTrace kartē IP adreses ar seifa adresēm. CipherTrace neatbildēja.
Šāda nelīdzsvarotība "ir bieži sastopama problēma privātuma telpā, kad mēs runājam par tīkla identifikatoriem, piemēram, IP adresēm." sacīja Šons O'Braiens, kiberdrošības pētnieks. “Uzņēmumi cenšas norobežoties no tā, ko jūs tradicionāli saucat par personu identificējošu informāciju, sakot, ka IP adreses ir kaut kas cits. Patiesībā tie ir neticami noderīgi, lai identificētu mājsaimniecības, uzņēmumus un privātpersonas.
Piemēram, "ja jums ir nepieciešams izmeklēt Bitcoin darījumu, kas saistīts ar aizdomām par kibernoziegumu, IP adreses ir tieši tāda informācija, kādu jūs meklējat," sacīja O'Braiens. "Agrākās lietas, kas saistītas ar tiesībaizsardzību un internetu, pamatota iemesla dēļ balstās uz IP adresēm kā pierādījumu. Un tie ir tikpat noderīgi, lai uzmāktos un izsekotu cilvēkus, kā arī lai viņus sauktu pie atbildības.
Sekojot naudai
Izsekošanas uzņēmumi jau sen ir bijuši nozīmīgs, ja arī nepietiekami atzīts, spēks kriptogrāfijas institucionālajā gājienā. Cīnās pret uzskatu, ka bitkoīns galvenokārt ir noziedzīgs finanšu instruments, viņi analizē datus, lai precīzi noteiktu niecīgo daļu, kas patiesībā ir.
Ķēdes analīze nesen aplēsa, ka 0.15% kriptovalūtu darījumu 2021. gadā bija nelikumīgi — līdz šim mazākais reģistrētais procentuālais daudzums. ("Nelikumīgie" maki pagājušajā gadā uzkrāja rekordaugstu summu 14 miljardu ASV dolāru apmērā, kas ir šķietami paradoksāls rādītājs, ko Chainalysis attiecināja uz kriptovalūtu plaukstošo izaugsmi.)
CipherTrace saka, ka tās misija ir "izaugt kriptovalūtu ekonomiku, padarot to uzticīgu valdībām, drošu masveida adopcijai un aizsargājot finanšu iestādes no kriptovalūtu atmazgāšanas riskiem".
Ņemts no prezentācijas, kas kopīgota ar Valsts kases departamentu, šo aprakstu, visticamāk, dalītos katrs konkurējošais uzņēmums. Tas ir nelabvēļu bažu pamatā. Privātuma maksimālisti uzskata, ka Bitcoin radikāli caurspīdīgajai, bet pseidonīmajai būtībai ir jāplūst neatkarīgi no valsts, un viņi uzskata, ka šo uzņēmumu darbs ir šī ideāla nodevība.
"Tas ir sava veida iebrukums lietotāju privātumā, tāpat kā jūs varat sūdzēties par centralizētiem tīmekļa analīzes uzņēmumiem, kas apkopo IP adreses un ievieto sīkfailus cilvēku datoros un izseko tos no vienas vietnes uz vietni," sacīja Džons Laits, ilggadējs kriptogrāfijas speciālists. pedagogs, rakstnieks, podkāsts un pasākumu organizators.
Ķēdes analīze pēc būtības ir attiecinājuma sacensības.
Kiberdrošības aprindās attiecināšana nozīmē uzlaušanas vainīgo identificēšanu. Kriptogrāfiju kontekstā tas īpaši attiecas uz blokķēdes sleuthu praksi saistīt pseidonīmu maku adreses ar identificējamiem dalībniekiem. Šie dalībnieki varētu būt licencētas kriptovalūtu biržas vai glabātāji, izspiedējvīrusu uzbrucēji, darknet tirgi vai sankcionētas fiziskas vai juridiskas personas.
Piemēram: Ikviens, kam ir interneta pieslēgums, var redzēt, ka, piemēram, maka abc123 pārsūtīja 0.5 BTC uz zxy987; šī informācija pati par sevi ir diezgan bezjēdzīga. Taču izsekošanas datu bāze varētu dokumentēt, ka ASV Ārvalstu aktīvu kontroles birojs ir identificējis zxy987 kā piederību sankcionētam Āfrikas karavadonim. Vai arī tas varētu parādīt, ka abc123 bitcoin tika nozagts no biržas.
Tā ir vērtīga informācija biržām, kas vēlas izskaust nelikumīgas darbības, lietotājiem, kuri vēlas saglabāt savas monētas tīras, valdībām, kas vēlas sekot līdzi naudai. Tas tiek apvienots, izmantojot stingru attiecināšanu.
Tā kā, iespējams, tiek slēgti izmeklēšanas līgumi miljoniem dolāru, šiem uzņēmumiem ir akūta vajadzība iegūt jaunus attiecinājuma datus. Piemēram, kopš 20. gada uzņēmums CipherTrace ir noslēdzis 3.5 līgumus ar federālajām aģentūrām līdz 2018 miljonu dolāru vērtībā, no kuriem pēdējais ir bijis eksperta liecinieka darbs, liecina publiskie ieraksti.
Nozarē, kas atalgo niansētu, detalizētu attiecinājuma datu kopu veidotājus — un jomā, kurā noziedznieki ir izsalkuši pēc izlūkošanas, lai palīdzētu viņiem izvairīties no pamanīšanas — īpaši svarīgi ir sargāt attiecinājuma slepeno mērci, sacīja divi ilggadēji praktizētāji.
Neskatoties uz to, Raiens savā e-pastā Valsts kases departamentam piedāvāja ieskatu “kā tiek panākta kriptovalūtas attiecināšana”. Medus podi tika uzskaitīti kā viena no "aktīvajām" stratēģijām slaidu komplektā.
Ķēdes analīze: Blockchain attiecinājuma ace
CipherTrace lielākais konkurents sāka izmantot savu jauno tehniku trīs gadus iepriekš.
Chainalysis, kas dibināta 2014. gadā un novērtēta jūnijā 4.2 miljardu dolāru apmērā, ir izsekošanas nozares lielākā kahuna. Tas ir uzkrājis desmitiem miljonu dolāru federālos līgumos, pārdodot programmatūru, kas vizualizē darbību ķēdē. Lai gan ikviens, kam ir interneta pieslēgums, var patstāvīgi pārlūkot publiskos blokķēdes ierakstus, jums būs nepieciešama neliela palīdzība, lai saprastu, ko atrodat truša bedrē.
Taču izsekotāja patiesais biznesa dūzis ir tā attiecinājuma datu kopa, sacīja trīs nozares speciālisti. Neviens cits uzņēmums nav uzkrājis tik detalizētu maka datu kā Chainalysis, sacīja avoti.
Daļēji tas ir tāpēc, ka nevienam citam marķierim nav tik lielas uzņēmējdarbības pēdas. Chainalysis nodrošina izsekošanas programmatūru līdz 500 “virtuālo līdzekļu pakalpojumu sniedzējiem” jeb VASP, kā regulatori tos sauc. Tās ir abpusēji izdevīgas attiecības. Uzņēmumi iegūst jaudīgus kriptovalūtu atbilstības rīkus, un Chainalysis pievieno viņu maku adreses savai globālajai datubāzei. Tomēr tas neprasa klientiem datus par saviem klientiem.
“Mēs nevaram runāt visu pārējo pārdevēju vārdā. Iespējams, citi pārdevēji var lūgt papildu informāciju. Bet Chainalysis attiecas tikai uz pakalpojumu līmeņa darījumu datiem," uzņēmums paskaidroja 2019. gada emuāra ierakstā. Citiem vārdiem sakot, tas identificē tikai uzņēmumus, par kuriem tā zina, ka tie kontrolē makus, nevis cilvēkus.
Bet tas nebija viss stāsts, un Chainalysis klienti un publiskā informācija par makiem nebija vienīgie uzņēmuma informācijas avoti.
Nedatētā slaidrādē Itālijas policijai, kas tika nopludināta septembrī, Chainalysis pārdošanas komanda aprakstīja, kā uzņēmuma plašais Bitcoin un Electrum maku mezglu tīkls uztver vērtīgus lietotāju datus, piemēram, IP adreses no savienojošajiem makiem. Tas palīdzēja izmeklētājiem sekot jēgpilnām noziedznieku norādēm, teikts prezentācijā.
Slaidrāde arī atklāja jaunu gaismu vietnē walletexplorer.com, populārā Bitcoin bloku pārlūkprogramma, ko Chainalysis vada kopš 2015. gada. Saskaņā ar dokumentiem, kuru autentiskumu CoinDesk apstiprināja, vietne "nokasa" aizdomīgo lietotāju IP adreses, saistot viņu interneta pēdas nospiedumu ar viņu maka adrese. Šī datu kopa tiesībaizsardzības iestādēm ir sniegusi “nozīmīgus ieteikumus”.
"Nekad nav bijis noslēpums, ka Chainalysis pieder un pārvalda vietni walletexplorer.com. Kopš 2015. gada sākumlapas apakšā ir redzams paziņojums, ka vietnes autors strādā uzņēmumā Chainalysis kā analītiķis un programmētājs,” CoinDesk pastāstīja uzņēmuma pārstāvis.
Atklāts noslēpums, iespējams, bet diez vai atklāta grāmata. Ķēdes analīze reti pievērsa uzmanību faktam, ka vietne walletexplorer.com novirzīja lietotāju datus uz citām biznesa līnijām.
Dažas nedēļas pēc CoinDesk ziņojuma vietnē walletexplorer.com vietne pieņēma privātuma atklāšanas lapu, kurā pirmo reizi tika izskaidrots, kā tās datu krātuve nonāk Chainalysis produktu līnijā.
“Mēs kopīgojam informāciju par blokķēdes informāciju un apmeklētāju informāciju ar citām mūsu ķēdes analīzes biznesa līnijām, lai palīdzētu mums nodrošināt un uzlabot šos pakalpojumus. Piemēram, citas Chainalysis biznesa līnijas var izmantot mūsu sniegto informāciju, lai labāk savienotu vienu Bitcoin maka adresi ar citu Bitcoin maka adresi," teikts 14. oktobra politikā.
"Mēs nesen pievienojām paziņojumu par konfidencialitāti, lai sniegtu vairāk informācijas par to, kā Chainalysis iekšēji izmanto informāciju, kas savākta no vietnes walletexplorer.com, lai palīdzētu uzlabot mūsu pakalpojumus," sacīja pārstāvis.
Nekā personīga?
Lai gan joprojām nav skaidrs, ko tieši dara CipherTrace meduspodi, šis vārds izsauc sistēmu, kas it kā dara vienu lietu, vienlaikus iedarbinot kaut ko citu. Maka īpašnieks, kas nodarbojas ar “medus podu”, noteikti neievēros pakalpojuma slēptos nolūkus.
Chainalysis, CipherTrace un Elliptic jau iepriekš ir paziņojuši, ka nemēģina saistīt personas ar makiem. Viņu uzdevums ir palīdzēt valdībām izmeklēt kriptovalūtu noziegumus un nodrošināt biržu atbilstību prasībām.
Personu izbraukšana nav šī vienādojuma daļa. Viņi saka, ka šie uzņēmumi vienkārši seko naudai.
“Mūsu nodrošinātā blokķēdes izlūkošana saista kriptovalūtu darījumus ar reālām vienībām, piemēram, biržām, tumšā tīkla tirgiem un sankcionētām vienībām,” CoinDesk pastāstīja Ari Redbords, TRM Labs juridisko un valdības lietu vadītājs.
"Šie izlūkdati ļauj brīdināt kriptovalūtu apmaiņu, ja, piemēram, tā apstrādā darījumu ar adresi, kas iepriekš ir izmantota terorisma finansēšanai," viņš teica. "Tas pats attiecas uz darījumiem, kas saistīti ar uzlaušanu, izpirkuma programmatūru, paklāju vilkšanu un citiem uzbrukumiem, kas kaitē kriptovalūtu investoriem un lietotājiem."
Taču "mēs darījumus neattiecinām uz privātpersonām," par TRM Labs sacīja Redbords.
Tāpat CipherTrace pārstāvis teica, ka tas "neattiecina maku datus uz privātpersonām, izņemot sankcijas subjektiem". Tas ir paveicis to produktīvi, vienā 2019. gada emuāra ierakstā lepojoties ar 72,000 4.5 Irānas IP adrešu attiecināšanu uz XNUMX miljoniem maku.
Tas, vai CipherTrace piešķir IP adreses citiem makiem, joprojām ir atklāts jautājums. Lielākie uzņēmumu pārstāvji apgalvo, ka viņi neuztur “personu identificējošu informāciju”, tikai “uzņēmumu identificējošu informāciju”.
“CipherTrace neuztur PII, mēs uzturam BII,” intervijā jūnijā sacīja CipherTrace izpilddirektors Deivs Dževans.
"Mēs saprotam, piemēram, kādas adreses pieder kādai biržai," viņš teica. “Taču mēs šajā adresē neizsekojam atsevišķu informāciju, ka tas esat jūs; tā nav mūsu darīšana. Mēs nevēlamies to darīt. Mēs sapratīsim, kur nauda ienāk, kur nauda iziet, un tad tas ir tiesu un tiesībsargājošo iestāžu ziņā,” darīt visu pārējo.
Kā atzīmēja O'Braiens, kiberdrošības pētnieks, šķiet, ka CipherTrace personiski identificējamas informācijas definīcija izslēdz IP adreses, kā arī fiziskās atrašanās vietas saskaņā ar vienu no paša uzņēmuma emuāra ziņām:
Avots: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/