Блокчейн и псевдоанонимность: как третьи стороны отслеживают криптотранзакции



Тема транзакций криптовалюты в Интернете всегда была бурно обсуждаемой еще с момента появления Биткойна.На сегодняшний день многие уважаемые фирмы и корпорации уже высказали свое мнение в пользу применения виртуальных монет в торговле. Общеизвестно, что все пользователи криптовалюты ценят ее за один немаловажный фактор - финансовую конфиденциальность. Тем не менее мы часто слышим об отслеживании транзакций на некоторых онлайн-платформах.

Одним из ключевых компонентов криптовалюты является ее анонимность в Интернете. Это также является одним из главных пунктов критики. Многие эксперты из разных социальных и экономических экосистем выступают против криптоиндустрии, так как она стала местом слияния наркоторговцев, киберпреступников и террористов.

Чтобы решить эту проблему, правительства разных стран предпринимают меры, направленные на отслеживание «движения» цифровых валют.

Несмотря на сложившееся у общественности представление о том, что криптовалюты были созданы для обеспечения анонимности, властям все же удалось взять под свой контроль данный сектор. Это стало возможно благодаря тому факту, что виртуальные монеты по сути являются псевдоанонимными, что отчетливо видно при рассмотрении возможностей привязки транзакций к адресам фиксированных кошельков.

Модель атаки

Давайте рассмотрим аспект участия третьих лиц в отслеживании транзакций криптовалюты. Понять это явление можно через призму фактической модели атаки третьей стороны, которая связывает продавцов и платежные системы с трекерами.

В идеале, блок-схема электронной коммерции на основе криптографии включает в себя продавца, обработчика платежей, конечного пользователя и трекеры.

Продавцы обозначают веб-сайты, на которых размещаются покупатели, иначе именуемые пользователями в этом контексте.

Большинство продавцов зависят от работы платежных систем, таких как Coinbase. Целью таких процессоров является управление логистикой, связанной с криптообработкой.

На практике, когда пользователь совершает покупку с использованием криптовалюты, обработчик платежей получает транзакцию, а затем зачисляет на счет продавца сумму, эквивалентную фиатной валюте.

Трекеры - это сторонние элементы, локализованные на веб-страницах. Они работают «как тень» и могут отслеживать функции пользователей, например, в рекламных акциях или веб-аналитике. Проще говоря, третьи стороны отслеживают крипто-транзакции через записи в цепочке создания стоимости информации.

Обычные действия пользователя, такие как вход и выход с сайтов, выполнение платежных процессов и выбор нужных товаров, предоставляют лазейки - которые используются третьими сторонами - для отслеживания путей крипто-транзакций.

Разумеется, масштаб знаний о действиях пользователей определяет степень влияния третьих лиц на отслеживание транзакций криптовалюты.

Вы можете спросить - на какие типы информации ориентируются сторонние лица?

Во-первых, третьи стороны могут узнать временные метки платежей, которые относятся к приблизительным периодам их проведения.

Временные метки обычно размещаются на сетевых ресурсах продавцов и являются обычным явлением для сайтов, которые используют процессы оформления платежей в своей транзакционной системе. Платежные адреса обозначают пункты назначения, связанные с виртуальными валютами. Платежные системы генерируют адреса, которые являются специальными для различных транзакций. Утечки, которые происходят в информационном потоке, позволяют третьим сторонам отслеживать крипто-транзакции через такие платежные адреса.

Вероятность отслеживания пути транзакции становится реальной в том случае, когда третья сторона может связать онлайн-пользователя с конкретными транзакциями блокчейна.

Кроме того, цены, устанавливаемые веб-сайтами продавцов, могут предоставлять сторонним трекерам точки входа для отслеживания крипто-транзакций.

Третьи стороны могут получить доступ к информации о детализированных ценах, связанных с действиями пользователей.

Помимо знания цены товаров, добавленных в корзину, сторонние лица могут принимать во внимание стоимость доставки, которая является частью оформления заказа.

Формы атак: активные и пассивные

Используя аналогию сторонних атак, необходимо изучить различные методы, используемые третьими сторонами при отслеживании транзакций криптовалюты.

Во-первых, пассивные атаки происходят всякий раз, когда информация о транзакции «невинно» получена третьими лицами в ходе обычной транзакции.

В противном случае активные атаки, которые происходят в большинстве случаев, носят в основном намеренный характер и направлены на извлечение транзакционной информации из веб-страниц для, как упоминалось ранее, аналитических и рекламных целей.

December 29, 2018
by @obmenbtcru
0
28

SOLID - децентрализация интернета, защита данных и виртуальные паспорта. Google будет против.



Виртуальная война за анонимность и приватное посещение сети вышла далеко за пределы даркнета. После того, как Mozilla объявила о тестировании безопасного браузера Firefox Nightly, парни из Apple похвастались рядом новых защитных функций в последнем обновлении iOS 12, а в Google и вовсе планируют отменить URL-адреса и перевести свой браузер Сhrome на “революционную” систему шифрования веб-страниц. Но дальше всех пошел отец интернета Тим Бернерс-Ли.

Чего Тим Бернерс-Ли хотел тридцать лет назад, когда был программистом в CERN? Он хотел создать гипертекстовую систему общения и обмена данными, такую систему, у которой нет центра и вертикальных отношений подчинения, а все участники общаются напрямую и имеют равные права. Тогда, тридцать лет назад, он еще не был ни сэром, ни почетным профессором шестнадцати университетов, а был программистом и идеалистом, верящим, что новый мир возможен. Он и сейчас в это верит.

Сэр Тим Бернерс-Ли хочет вернуть интернет к его началам и основам, которые придумывал и продумывал в CERN в начале девяностых. Интернет должен снова стать децентрализованным. Для многих, может быть, это покажется странным, но он уже стал децентрализованным. В Сети есть острова и области сплошной децентрализации: TOR, ZeroNet, браузер Beaker, позволяющий создавать децентрализованные сайты и ходить по ним. В мире существует огромная тяга к децентрализации, которая является лучшим обеспечением свободы, потому что децентрализованную сеть невозможно убить или подвергнуть цензуре. Она жива, пока в ней есть хотя бы один компьютер.

Именно поэтому создатель протоколов WorldWideWeb, URI, URL, HTTP, HTML представил новый проект с открытым исходным кодом под названием Solid, главная цель которого - децентрализация интернета, защита данных пользователей и возврат контроля над ними.

Тим Бернерс-Ли вместе со стартапом Inrupt из Массачусетского технологического института, хотят предоставить пользователям возможность решать куда будет отправляться их информация, кто сможет ее видеть и какие приложения получат доступ к ней. ПО Solid можно будет интегрировать во все веб-страницы и онлайн-дополнения.

Согласно описанию проекта, Solid должен помочь в разработке новых децентрализованных сайтов, работающих на данных, которые полностью принадлежат пользователям.

«Solid меняет текущую модель, где пользователи должны передавать персональные данные цифровым гигантам в обмен на услуги. Как мы все уже поняли, это не в наших интересах. С помощью Solid мы усовершенствуем интернет, чтобы восстановить баланс, наделив каждого возможностью полностью контролировать данные, персональные или нет», - пояснил ученый.

Пользователи получат своего рода виртуальный паспорт (WebID) и смогут сами решать, каким приложениям предоставлять доступ. Пока Solid - всего лишь фреймворк, но в перспективе авторы проекта намерены предоставить возможность «частным лицам, разработчикам и компаниям использовать новые способы создания инновационных, надежных и полезных приложений и сервисов».

Бернерс-Ли планирует начать поиски дополнительного венчурного финансирования и расширить штат работников. Он пока не ставит перед собой цель заработать миллиарды долларов. Человека, отдавшего Всемирную паутину за бесплатно, никогда не мотивировали деньги. Но его планы все же могут повлиять на деятельность предприятий, которые зарабатывают миллионы долларов за счет владения данными. Однако отдадут ли гиганты интернета принадлежащую им власть без боя?Отвечая на этот вопрос, Бернерс-Ли достаточно лаконичен: «А мы и не ведем переговоров с Facebook и Google о том, стоит ли нам внедрять технологии, которые полностью изменят то, на чем строятся их бизнес-модели. Мы не спрашиваем у них разрешения».

Сейчас, создание онлайн-сервисов на Solid ограничено как в функциях, так и в масштабе. Но, если вспомнить с чего начинался концепт интернета у своих истоков, и чем он стал в итоге, - можно предположить, что у Тима Бернерса-Ли есть все шансы произвести еще одну информационную революцию. Анонимную. Возможно, Solid - это возвращение к идеалам прошлого, которые должны стать будущим.

December 19, 2018
by @obmenbtcru
0
16

Конфиденциальный поисковик DuckDuckGo увеличил суточную аудиторию. И достиг 30 миллионов ежесуточных запросов.



Анонимный интернет-поисковик DuckDuckGo объявил о достижении количества 30 миллионов ежесуточных запросов. Эта цифра выросла на 50% меньше чем за год. Сервису, позиционирующему себя как приватную альтернативу Google, понадобилось семь лет, чтобы подобраться к первым 10 миллионам, и еще два года, чтобы удвоить число обращений.

По словам основателя DuckDuckGo Габриеля Вайнберга, поисковик испытал особенный скачок роста в последние два месяца. "Мы растем повсюду, хотя чуть больше в США за последние несколько месяцев", — сказал он. При этом 30 миллионов обращений за день — капля в океане в сравнении с Google, но для анонимного поисковика весьма достойно.

Обзор DuckDuckGo

DuckDuckGo — это гибридный поисковик, главные черты которого — классный поиск, отсутствие поискового спама и щепетильное отношение к анонимности. DuckDuckGo не следит за пользователями. Ищет по открытому интернету, но не ищет по скрытым сетям. И что самое главное, он ищет по материалам, исключенным из выдачи Яндекса, а таких привеликое множество.

Создатель поисковика заявляет: «DuckDuckGo не собирает никакую личную информацию пользователей и не делится ей. Вот и вся наша политика конфиденциальности». По адресу duckduckgo.com/privacy.html можно найти настоящий манифест, в красках повествующий об истории поиска в целом и о том, почему сбор данных о пользователях — это очень и очень плохо.

Спам и реклама в привычных поисковика клирнета ограничивают свободу человека и ограждают его от новых идей и важных новостей. Как воспринимать такой расклад каждый решает для себя сам. Отсутствие слежки — далеко не единственная причина, чтобы перейти на DuckDuckGo

Bangs подскажет

Например – Bangs. Сделать поиск по YouTube или Wikipedia можно набрав два дополнительных символа. Если добавить к запросу !yt или !w (так называемые !bangs), то пользователь будет перенаправлен на соответсвующий сайт. !bangs запоминаются очень легко. Но если вы точно не помните какой-то их них, то введите в строку поиска восклицательный знак и первую букву. DuckDuckGo вам подскажет.

Одним словом, DuckDuckGo — своеобразная оппозиция Google и всем коммерческим поисковикам в целом, которая просто не могла рано или поздно не появиться.

December 19, 2018
by @obmenbtcru
0
9

VPN-приложения представляют угрозу приватности. Или как китайцы обмениваются нашими данными



Китайцы давно научились делать абсолютно все. Подделку от оригинала уже не отличить. Можно и дальше закрывать на это глаза и спонсировать находчивую нацию, но сегодня вопрос касается нашей с вами приватности и безопасности. Более половины популярных бесплатных VPN-приложений имеют связь с Китаем, где интернет жестко контролируется.

60 % VPN-приложений в Google Play Store и Apple App Store созданы китайскими разработчиками или принадлежат владельцам из Китая. Об этом сообщается в опубликованном на днях отчете компании Metric Labs.

В ходе исследования специалисты изучили первую двадцатку 20 бесплатных VPN-приложений из поисковой выдачи Google Play Store и Apple App Store в США и Великобритании. У 17 из 30 приложений (10 приложений были в обоих магазинах) исследователи обнаружили юридическую связь с Китаем – они либо были зарегистрированы в КНР, либо принадлежали китайским владельцам.

Дешево и сердито

У большинства проанализированных приложений практически отсутствует юридически закрепленная защита приватности и поддержка пользователей. У 86% сервисов политики конфиденциальности являются «неприемлемыми». К примеру, в некоторых не уточняется, регистрируется ли трафик, а некоторые сформулированы лишь в общих чертах даже без упоминания слова VPN.

В ряде приложений политика конфиденциальности и вовсе отсутствует. Более того, в пользовательских соглашениях нескольких приложений прописано, что они обмениваются данными с третьими сторонами, отслеживают пользователей и отправляют данные в Китай.

Почти у половины исследованных приложений политики конфиденциальности размещены в текстовых файлах на Pastebin, серверах AWS или IP-адресах без указания доменного имени. У 64% сервисов отсутствует сайт, а работа осуществляется непосредственно из магазина приложений.

December 17, 2018
by @obmenbtcru
0
8

Анонимность и шифрование. Обзор почтового сервиса Tutanota


Сегодня не нужно быть шпионом, преступником или агентом секретной службы, чтобы заботиться о своей безопасности в сети. Для нашей анонимности мы используем даркнет, но обычный интернет невозможно полностью исключить из обихода. Для работы или личных целей мы пользуемся социальными сетями и почтой. Поэтому, выбирая ящик в клирнете, стоит рассмотреть его политику конфиденциальности.

Сервис с запоминающимся и смешным названием Tutanota. На латинском языке, это довольно серьезное словосочетание. Тuta nota в переводе означает «безопасное сообщение». Почта осуществляет зашифрованную передачу сообщений, что снижает риск утечки, и, главное, позволяет регистрацию без привязки телефонного номера. Это очень важно, так как по телефонному номеру легко установить личность пользователя. Давайте разберем подробнее этот сервис. Почтовая служба tutanota.com действует с 2011-го года и сегодня особенно стала популярна в кругах, озабоченных безопасностью в интернете.

Итак, мы имеем интерфейс на русском языке, быструю и простую регистрацию и бесплатный тариф, правда, в этой версии продукта всего 1 Гб хранилища. Также есть приложения для Android и iOS. Почта не поддерживает работу по IMAP, а в плане безопасности — это плюс. Есть возможность развернуть сервер на своём домене.

Почтовый ящик имеет простую навигацию, минималистический дизайн и не обладает красочным интерфейсом. Но не это здесь главное. Как и в любом почтовом сервисе, здесь есть стандартное распределение писем по папкам: Входящие, Черновики, Отправленные, Корзина, Архив и Спам. При создании нового письма или ответе на полученное, вы также найдёте все стандартные функции: пересылку, скрытых адресатов и прочее. Ещё можно прикреплять файлы к письмам.

Сервера находятся в Германии. Безопасная почта имеет открытый исходный код, поэтому любой, кто понимает язык программирования, может просмотреть его.

Вся ваша переписка зашифровывается локально, и хранится на серверах уже в шифрованном виде, а это означает, что даже владельцы Tutanota не имеют возможности прочесть ее.

Шифруются не только письма, но и тема, а также вложения, это принципиальное основное отличие Tutanota от других почтовых сервисов. Кроме того, в момент отправки электронного письма программа автоматически удаляет IP-адрес, делая вас анонимом.

Отправить письмо в другой почтовый сервис можно двумя способами: защищённым и нет. Поговорим о защищенном способе. Для отправки таких писем вам нужно обменяться с получателем уникальным паролем, которым будет зашифрована вся ваша переписка. Это можно сделать через любой сторонний сервис или устно. После первой отправки письма и ввода пароля получателем, ключ шифрования сохраняется в вашей адресной книге и про него можно забыть. Вся почта автоматически будет шифроваться.

Такие письма нельзя просмотреть в стандартных почтовых клиентах. Получателю придёт ссылка, по которой он сможет получить доступ к письму в браузере компьютера или смартфона.

Из недостатков мы уже упомянули маленький объём хранилища, который доступен в бесплатной версии продукта. Также Tutanota не поддерживает облачных хранилищ и не имеет двухфакторной аутентификации.

В целом это довольно неплохой сервис. Анонимность Tutanota заметна уже на этапе регистрации, где от вас не требуется никаких личных данных. IP-адреса не хранятся сервисом и обрезаются при отправке писем. Таким образом, ваше местоположение постоянно скрыто. За премиум-возможности можно заплатить анонимной валютой Bitcoin. Конечно, сервис ведёт технические логи для обработки ошибок. Но они хранятся 14 дней и не содержат никакой личной информации о пользователе.

December 14, 2018
by @obmenbtcru
0
19

Bulletproofs – новое слово в безопасности криптовалютных транзакций



Monero (XMR) – криптовалюта, известная всем своей повышенной анонимностью транзакций, буквально недавно стала еще и первой криптовалютой, внедрившей в свою систему уникальную технологию, получившую название Bulletproofs (пуленепробиваемая система). Принятие данной технологии сделала Monero еще более безопасной в плане транзакций. Bulletproofs - это новый вид неинтерактивного протокола доказательств отсутствия осведомленности. Этот новый протокол доказа́тельств с нулевым разглашением (англ. Zero-knowledge proof) не требует надежной настройки, в отличие от других протоколов, таких как zk-SNARKS, используемых в криптоакретах, таких как Zcash. Сообщалось, что разработчики других криптоконверсий, таких как Litecoin, заявили о возможности внедрения в свою работу Bulletproofs.

Сами разработчики Monero задействовали Bulletproofs 18 октября 2018 года. Средний размер конфиденциальных транзакций в сети упал на 80%, от среднего размера конфиденциальной транзакции 18,5 килобайт до среднего размера конфиденциальной транзакции всего в 3 килобайта. Размеры транзакций - это не единственное, что было уменьшено с помощью новой технологии Monero - средняя комиссия за транзакции также резко упала. Исследователи обсудили, как можно было бы уменьшить набор продуктов неизменного результата транзакций (UTO) или неизрасходованных транзакций выводов выходов (UTXO) для биткоинов в 10 раз, в случае реализации конфиденциальных транзакций и Bulletproofs. Внедрение такой технологии сократило бы размер набора UTXO примерно с 160 гигабайт до 17 гигабайт.

Изобретение технологии Bulletproofs было впервые представлено в декабре прошлого года, когда был опубликован доклад под названием «Bulletproofs: простые доказательства для конфиденциальных транзакций и многое другое», в котором описывалась новая технология. Технология Bulletproofs была изобретена Джонатаном Бутлом из Лондонского университетского колледжа и Бенедикт Бунц из Стэнфордского университета при помощи технологий, ранее разработанных Джонатаном Бутле. Бенедикт Бунц в одном из интервью рассказала, что в теории «пуленепробиваемая криптография» существует с 1970-х годов, но только благодаря новым технологиям ее стало возможно использовать в реальности.

По словам разработчика Саранга Нётера, «Раздутый блокчейн стал проблемой для Monero». Однако, похоже, Bulletproofs сделала Monero намного более эффективной. Саранг Нётер был одним из разработчиков Monero, который помог реализовать «пуленепробиваемые» технологии. «Мы в восторге от этого. Часть причин, по которым мы делаем обновления – возможность обезопасить себя, и я думаю, что это действительно огромный шаг вперед », - сказал Саранг Нётер. Хотя Bulletproofs технически улучшают предполагаемую конфиденциальность транзакций, их реализация сама по себе является лишь частью того, что делает Monero более приватным.

Функции конфиденциальности Monero в основном зависят от трех основных технологий, включая скрытые адреса, кольцевые подписи и кольцевые конфиденциальные транзакции, также известные как RingCT. RingCT в свою очередь скрывает количество Monero, передаваемого в транзакции. Bulletproofs делает транзакцию RingCT более эффективной. До внедрения Bulletproofs Monero использовала технологию под названием Zero Knowledge Proofs или ZKRP. Доказательства нулевого уровня осведомленности были медленными и создавали долгосрочные доказательства. Bulletproofs, в свою очередь, не были первым не интерактивным протоколом отсутствия доказательств, который разработчики Monero рассматривали при внедрении для своей криптовалюты, ориентированной на конфиденциальность. Ранее общественности был представлен иной протокол проверки знаний, известный как «Прозрачные аргументы знаний о нулевом знании» или zk-STARKS, который в то время изучали разработчики исследовательских лабораторий Monero. Подобно Bulletproofs, zk-STARKS не требует надежной настройки. Однако в своем отчете о Bulletproofs исследователи объясняют, что zk-STARKS создает ряд доказательств, которые на практике больше, чем другие предлагаемые решения.

Новая версия Monero включает в себя другие обновления, помимо реализации Bulletproofs, такие, как увеличение размера обязательного кольца. Это увеличение призвано помочь увеличить анонимность и сделать Monero менее уязвимым для кибератак. Новая версия Monero также включает в себя еще одно обновление, которое улучшает алгоритм интеллектуального анализа данных. Данное изменение предназначено для предотвращения добычи Monero с использованием ASIC.

December 13, 2018
by @obmenbtcru
0
4
Show more