I modi poco noti in cui Ethereum rivela i dati sulla posizione degli utenti

"La gente T si rende conto di quante informazioni siano di dominio pubblico."

Si tratta di Peter Szilagyi, uno sviluppatore CORE Ethereum che gestisce il client software Geth, il quale si riferisce al fatto che è stata prestata poca attenzione al livello di rete sottostante della blockchain, in cui le informazioni sono talvolta esposte in modi complessi e imprevedibili.

In effetti, c'è consapevolezza delle implicazioni di tale esposizione, e ciò ha dato origine a unaccelerazione in corso nella ricerca su come oscurare meglio i dati degli utenti a livello di applicazione, che si basa sulla blockchain Ethereum , un sistema trasparente che pubblica dati su contratti intelligenti e transazioni.

In un'intervista, Szilagyi ha descritto i componenti peer-to-peer alla base della seconda blockchain più grande al mondo per capitalizzazione di mercato come una "cosa di magia nera".

Questo stato di cose è stato evidenziato durante il suo discorso alla conferenza annuale degli sviluppatori, Devcon4, tenutasi a Praga la scorsa settimana. Szilágyi ha descritto in dettaglio una serie di preoccupazioni che potrebbero causare la fuga di metadati degli utenti nel tempo e, nel peggiore dei casi, fornire la base per una mappa globale accurata delle posizioni degli utenti Ethereum .

Nel suo intervento di venerdì scorso, Szilagyi si è concentrato su due modi in cui ciò potrebbe avvenire, concentrandosi in particolare su siti web come il famoso blockchain explorer, Etherscan, e sui "light client" come le app per dispositivi mobili o basate su browser.

"Quando le persone abbandonano i nodi completi rinunciano a determinate garanzie e vorrei solo evidenziare quali potenziali problemi potrebbero sorgere", ha detto Szilagyi a CoinDesk.

Szilagyi ha iniziato a riscontrare i problemi in seguito alla sua ricerca di un progetto parallelo: un'alternativa a Facebook che sia decentralizzata e privata di default. Come risultato della ricerca, Szilagyi ha affermato che le fughe di metadati rendono difficile interagire in modo anonimo con gli altri.

"T abbiamo questo in Ethereum", ha spiegato Szilagyi. "Il motivo per cui queste fughe di notizie hanno iniziato a darmi fastidio è a causa di quel progetto".

Parlando venerdì, Szilágyi ha detto che molti dei problemi sono così profondamente radicati che è difficile risolverli senza correre il rischio di rompere le applicazioni che girano su Ethereum. Tuttavia, lo sviluppatore ha descritto metodi che potrebbero alleviare il rischio per gli utenti.

"La maggior parte delle persone che lavorano nel settore blockchain ed Ethereum vogliono costruire in cima, mentre alla base c'è un team che fa il lavoro sporco", ha detto a CoinDesk, aggiungendo:

"Non è che siano problemi irrisolvibili, ma qualcuno deve capire che esistono."

'Strani inseguitori'

Durante il suo intervento al Devcon, Szilágyi ha analizzato i vari modi in cui le informazioni sensibili degli utenti possono essere esposte interagendo con Ethereum. Prendendo l'esempio di Etherscan, Szilagyi ha affermato che una particolare combinazione viene rivelata al sito Web quando gli utenti vi accedono, ovvero un LINK tra l'indirizzo IP di un utente e il suo indirizzo Ethereum .

E questo è degno di nota perché, in quanto numero identificativo univoco del computer, l'indirizzo IP rivela i dati sulla posizione dell'utente.

Queste informazioni vengono poi condivise con Google Analytics ed Etherscan. Inoltre, lo strumento di commento sottostante di Etherscan, un popolare componente aggiuntivo per i commenti dei siti Web denominato Disqus, riceve anche queste informazioni e condivide ulteriormente tale attività con i suoi partner.

"Disqus rivela effettivamente la mappatura degli indirizzi IP-ethereum su Facebook, Twitter e Google Plus", ha affermato Szilagyi.

Disqus ha 11 di queste integrazioni in totale, come YouTube, Vimeo e altri servizi, a cui vengono fornite anche queste informazioni. Lo strumento contiene anche altri "tracker strani", ha spiegato Szilágyi, tra cui piattaforme di intelligenza artificiale e marketplace di dati.

E questo è degno di nota perché T ha impatto solo su Etherscan, ma su qualsiasi applicazione decentralizzata (dapp) che utilizzi gli stessi strumenti.

"Questo è un problema perché sostanzialmente stai associando la mappatura del tuo indirizzo IP a quello Ethereum e la stai rivelando a un sacco di servizi", ha continuato Szilagyi.

Etherscan ha preso misure per rimuovere queste funzionalità, ha detto Szilagyi. Attualmente, utilizza Google Analytics, ma il team dietro di esso sta cercando di rimuovere quell'aspetto dal sito web. Dopo aver fatto affidamento su una società pubblicitaria esterna, Etherscan sta prendendo misure per internalizzare anche la rete pubblicitaria.

Ma secondo Szilagyi, altre dapp interessate potrebbero non essere così proattive come Etherscan nell'affrontare le fughe di notizie.

Come ha spiegato:

"Riusciamo a far risolvere il problema con Etherscan, ma possiamo far risolvere il problema con il numero casuale di dapp 2.000? Probabilmente no. Quindi anche gli utenti devono proteggersi."

Le stesse informazioni, ovvero l'indirizzo IP-ethereum, vengono condivise anche quando gli utenti accedono ad altri servizi, ha continuato Szilágyi, come Infura, MetaMask e MyCryptoWallet.

Protocollo Da scoprire

Szilagyi ha proposto altre soluzioni per aggirare questo dilemma, tra cui l'uso della rete Tor per nascondere gli indirizzi IP e del browser Brave per bloccare i tracker online.

Ma ci sono altri modi più sottili in cui l'accesso a Ethereum può esporre anche informazioni sensibili, secondo lo sviluppatore. Prendendo l'esempio dei light client, il modo ridotto e poco ingombrante per gli utenti Ethereum di accedere alla rete, Szilagyi ha detto che ci sono due tipi di attività sulla rete che sono altamente tracciabili.

Il primo è quello che viene chiamato "protocollo Da scoprire ".

Quando i light client si collegano alla rete Ethereum , viene anche rivelato l'IP. Poiché i light client si riconnettono continuamente nel tempo, il protocollo Da scoprire rivela una mappa accurata della posizione dell'utente.

"Ogni volta che mi collego alla rete, in realtà sto rivelando alla rete che questa macchina che la settimana scorsa si trovava a Berlino, questa settimana era a Praga", ha affermato Szilagyi.

Questi dati sulla posizione sono pubblici, quindi, in teoria, chiunque può scansionare la rete per creare una mappa globale estremamente accurata delle posizioni degli utenti Ethereum .

"Se si è disposti a farlo, ad esempio, ogni giorno, provando semplicemente a scansionare la rete ogni giorno, allora si può effettivamente creare una cronologia estremamente accurata di dove ogni singolo nodo Ethereum si è mosso nel tempo", ha affermato Szilagyi.

Inoltre, la chiave del funzionamento dei light client è il modo in cui il software riduce al minimo l'attività connettendosi agli indirizzi associati a un utente. Ma mentre questo approccio riduce la larghezza di banda, la latenza e il traffico, l'impatto è che le relazioni tra IP e indirizzo vengono rese esplicite sulla rete.

"I server leggeri saranno in grado di mappare statisticamente se questo particolare indirizzo IP è interessato a ONE indirizzo specifico", ha affermato Szilagyi.

Similmente al protocollo Da scoprire , queste informazioni possono essere facilmente accessibili. E sfortunatamente, la connessione tramite Tor danneggerà effettivamente l'affidabilità del client leggero.

"Adesso non abbiamo T una mappa mondiale degli IP in movimento, ma una mappa mondiale degli indirizzi Ethereum in movimento", ha affermato Szilagyi, aggiungendo:

"E ancora una volta, in modo simile al protocollo Da scoprire Ethereum , questo può essere fatto pubblicamente da chiunque."

Le migliori pratiche

Sfortunatamente, secondo Szilagyi, non esiste una soluzione semplice per molti di questi problemi, poiché alcuni sono inerenti al funzionamento dei light client e degli explorer. Tuttavia, parlando al pubblico venerdì, lo sviluppatore ha fornito raccomandazioni precise da condividere con gli utenti e gli sviluppatori Ethereum per il futuro.

Nello specifico, Szilagyi ha individuato tre modi in cui queste informazioni possono essere meglio nascoste nel breve termine.

In primo luogo, ha sostenuto che gli utenti dovrebbero eseguire nodi completi. Sebbene richiedano più hardware, i nodi completi consentono di archiviare tutti i dati localmente e di accedervi senza interagire con nessun altro. Inoltre, poiché i nodi completi verificano che lo stato sottostante di ethereum sia corretto, l'esecuzione di un nodo completo comporta anche vantaggi in termini di sicurezza.

"Sebbene alla gente T piacciano i full node, in realtà sono i migliori anonimizzatori nell'ecosistema Ethereum ", ha affermato Szilagyi.

In secondo luogo, Szilagyi ha sostenuto che gli sviluppatori dovrebbero prendere spunto dal lavoro svolto per rendere anonimi i livelli di rete, come il browser Tor e I2P, per studiare come nascondere meglio le fughe di metadati a livello di rete.

"La Privacy su Ethereum è pessima, davvero, davvero pessima. Ma questo T significa che sia un compito impossibile da risolvere", ha detto. "Ci sono stati 20 anni di ricerca su come farlo correttamente, quindi proviamo almeno a Imparare dai loro risultati e a provare a risolvere il problema".

Infine, Szilagy ha esortato gli sviluppatori a non incolpare gli utenti per le cattive pratiche Privacy quando interagiscono con Ethereum. Ha anche notato che molti utenti potrebbero non essere a conoscenza dell'esistenza di opzioni come il browser Tor.

Szilagy ha quindi affermato: "In quanto sviluppatori di dapp e piattaforme, spetta a noi capirlo e risolverlo".

Con questo in mente, Szilagy ha concluso con una nota di cautela. Indicando Facebook come esempio, lo sviluppatore ha affermato che quando le caratteristiche di applicazione della privacy T sono incorporate all'inizio, tale approccio potrebbe avere ripercussioni in futuro.

"T credo che Facebook sia stato creato per raccogliere dati degli utenti, T è stato creato per abusare delle elezioni, è successo e basta", ha detto Szilagy, concludendo:

"T vogliamo risolvere il problema solo per proteggere gli utenti dagli attacchi esterni. Penso che sia davvero importante sottolineare che vogliamo proteggere gli utenti anche da noi stessi".

Immagine Devcon tramite gli archivi CoinDesk