Маловідомі способи Ethereum розкриває дані про місцезнаходження користувача

«Люди T усвідомлюють, скільки інформації є у ​​відкритому доступі».

Це Пітер Сілагі, розробник CORE Ethereum , який керує клієнтом програмного забезпечення Geth, посилаючись на той факт, що мало уваги приділено мережевому рівню, що лежить в основі блокчейну, де інформація іноді розкривається складним і непередбачуваним способом.

Дійсно, є усвідомлення наслідків такого впливу, і це породило постійне прискорення у дослідженні того, як краще приховати дані користувача на рівні програми, яка розташована на вершині блокчейну Ethereum , прозорої системи, яка публікує дані смарт-контрактів і транзакцій.

В інтерв’ю Сілагі описав однорангові компоненти, які лежать в основі другого за величиною блокчейну в світі за ринковою капіталізацією, як «справу чорної магії».

Цей стан справ було підкреслено під час його виступу на щорічній конференції розробників Devcon4 у Празі минулого тижня. Szilágyi детально розповів про низку проблем, які можуть спричинити витік метаданих користувачів з часом – і, за найгіршого сценарію, створити основу для точної глобальної карти місцеположень користувачів Ethereum .

Під час розмови минулої п’ятниці Сілагі зосередився на двох способах, як це може статися, зосередившись на таких веб-сайтах, як популярний блокчейн-провідник, Etherscan, і «легких клієнтах», таких як мобільні або веб-додатки.

«Коли люди відходять від повних вузлів, вони відмовляються від певних гарантій, і я просто хочу підкреслити, які потенційні проблеми можуть виникнути», — сказав Сілагії CoinDesk.

Сілагі почав стикатися з проблемами після того, як зайнявся побічним проектом: альтернативою Facebook, децентралізованою та приватною за замовчуванням. У результаті дослідження Сілагії сказав, що витік метаданих ускладнює анонімну взаємодію з іншими.

«У нас цього T в Ethereum», — пояснив Сілагії. «Причина, чому ці витоки почали мене турбувати, полягає в тому проекті».

Виступаючи в п’ятницю, Сілагі сказав, що багато проблем настільки глибоко вкорінені, що їх важко вирішити, не ризикуючи зламати програми, які працюють поверх Ethereum. Тим не менш, розробник докладно описав методи, які можуть зменшити ризик для користувачів.

«Більшість людей у ​​блокчейні та Ethereum хочуть будувати на вершині, тоді як внизу є команда, яка виконує брудну роботу», — сказав він CoinDesk, додавши:

«Це не те, що це нерозв’язні проблеми, але хтось має зрозуміти, що вони існують».

"Дивні трекери"

Під час свого виступу Devcon Сіладжі поділився різними способами, якими конфіденційна інформація користувача може бути розкрита під час взаємодії з Ethereum. Беручи приклад Etherscan, Szilagyi сказав, що конкретна комбінація розкривається веб-сайту, коли користувачі заходять до нього, а саме, LINK між IP-адресою користувача та його адресою Ethereum .

І це примітно, оскільки, як унікальний ідентифікаційний номер комп’ютера, IP-адреса розкриває дані про місцезнаходження користувача.

Потім ця інформація передається в Google Analytics і Etherscan. Крім того, базовий інструмент Etherscan для коментарів – популярний додаток для коментарів на веб-сайті під назвою Disqus – також отримує цю інформацію та надалі ділиться цією діяльністю зі своїми партнерами.

«Disqus фактично розкриває відображення IP-адреси Ethereum у Facebook, Twitter і Google Plus», — сказав Сілагії.

Disqus має загалом 11 таких інтеграцій, як-от YouTube, Vimeo та інші сервіси, яким також надається ця інформація. Інструмент також містить інші «дивні трекери», пояснив Сіладжі, включаючи платформи штучного інтелекту та ринки даних.

І це примітно, оскільки це впливає T лише на Etherscan, а й на будь-яку децентралізовану програму (dapp), яка використовує ті самі інструменти.

«Це проблема, тому що ви, по суті, пов’язуєте свою IP-адресу з відображенням адреси Ethereum і відкриваєте це для цілого ряду служб», — продовжив Сілагії.

Etherscan вжив заходів для усунення цих функцій, сказав Сіладжі. Наразі він використовує Google Analytics, але команда, що стоїть за ним, намагається видалити цей аспект із веб-сайту. Покладаючись на зовнішню рекламну компанію, Etherscan також вживає заходів для інтерналізації рекламної мережі.

Але інші прикладні програми, які постраждали, можуть бути не такими проактивними, як Etherscan, у вирішенні витоків, за словами Сілагії.

Як він пояснив:

«Ми запросили Etherscan, щоб це виправити, але чи можемо ми отримати випадковий номер dapp 2000, щоб це виправити? Ймовірно, ні. Тож користувачі також повинні захистити себе».

Та сама інформація – IP-адреса Ethereum – передається, коли користувачі також отримують доступ до інших сервісів, продовжив Сіладжі, таких як Infura, MetaMask і MyCryptoWallet.

Протокол Цікаве

Szilagyi запропонував деякі інші шляхи вирішення цієї дилеми, включаючи використання мережі Tor для приховування IP-адрес і браузера Brave для блокування онлайн-трекерів.

Але, за словами розробника, є й інші, більш тонкі способи, за допомогою яких доступ до Ethereum також може розкрити конфіденційну інформацію. Беручи приклад легких клієнтів – спрощеного способу доступу користувачів Ethereum до мережі з низьким об’ємом пам’яті – Сілагі сказав, що в мережі є два види активності, які добре відстежуються.

Перший — це так званий «протокол Цікаве ».

Коли легкі клієнти підключаються до мережі Ethereum , також розкривається IP-адреса. Оскільки легкі клієнти постійно підключаються знову з часом, протокол Цікаве показує точну карту розташування користувача.

«Кожного разу, коли я підключаюся до мережі, я насправді відкриваю мережі, що ця машина, яка минулого тижня була в Берліні, цього тижня була в Празі», — сказав Сілагії.

Ці дані про місцезнаходження є загальнодоступними, тому теоретично будь-хто може просканувати мережу, щоб побудувати дуже точну глобальну карту місцеположень користувачів Ethereum .

«Якщо ви бажаєте робити це, наприклад, щодня, просто спробуйте сканувати мережу щодня, тоді насправді ви зможете створити надзвичайно точну історію того, куди кожен окремий вузол Ethereum рухався протягом певного часу», — сказав Сілагії.

Крім того, ключовим фактором роботи легких клієнтів є те, як програмне забезпечення мінімізує активність шляхом підключення до адрес, пов’язаних з користувачем. Але хоча цей підхід зменшує пропускну здатність, затримку та трафік, вплив полягає в тому, що зв’язки IP-адреси та адреси відображаються в мережі явно.

«Легкі сервери зможуть статистично відобразити, що ця конкретна IP-адреса зацікавлена ​​в ONE конкретній адресі», — сказав Сілагії.

Подібно до протоколу Цікаве , ця інформація може бути легко доступною. І, на жаль, підключення через Tor фактично зашкодить надійності легкого клієнта.

«Тепер ми T світової карти рухомих IP-адрес, тепер у нас є світова карта рухомих адрес Ethereum », — сказав Сілагії, додавши:

«І знову ж таки, подібно до протоколу Цікаве Ethereum , це може зробити публічно кожен».

Найкраща практика

На жаль, за словами Сілагії, немає простого вирішення багатьох із цих проблем, оскільки деякі з них є невід’ємними для роботи легких клієнтів і дослідників. Але, виступаючи перед аудиторією в п’ятницю, розробник мав точні рекомендації, якими надалі ділитися з користувачами та розробниками Ethereum .

Зокрема, Сілагі розбив три способи, за допомогою яких цю інформацію можна краще приховати в найближчій перспективі.

По-перше, він стверджував, що користувачі повинні запускати повні вузли. Хоча повні вузли потребують більше апаратного забезпечення, вони означають, що ви можете зберігати всі дані локально та мати доступ до цих даних, не взаємодіючи ні з ким іншим. Крім того, оскільки повні вузли перевіряють правильність основного стану ethereum, запуск повного вузла також має переваги безпеки.

«Хоч людям T подобаються повні вузли, повні вузли насправді є найкращими анонімайзерами в екосистемі Ethereum », — сказав Сілагі.

По-друге, Szilagyi стверджував, що розробники повинні звернути увагу на роботу, яка була виконана шляхом анонімізації мережевих рівнів, таких як браузер Tor і I2P, для дослідження того, як краще приховувати витоки метаданих на рівні мережі.

«Політика конфіденційності на Ethereum погана, справді, дуже погана. Але це T означає, що це завдання неможливо вирішити», — сказав він. «Було 20 років досліджень, спрямованих на те, як це зробити належним чином, тож давайте принаймні спробуємо Навчання на їхніх результатах і спробуємо це виправити».

Нарешті, Сілагі закликав розробників не звинувачувати користувачів у поганій практиці Політика конфіденційності під час взаємодії з Ethereum. Він також зазначив, що багато користувачів можуть не знати про існування таких опцій, як браузер Tor.

Таким чином, Szilagy сказав: «Це начебто залежить від нас, як розробників програм і платформ, щоб це зрозуміти та виправити».

Маючи це на увазі, Сілагі закінчив на ноті застереження. Вказуючи на Facebook як приклад, розробник сказав, що якщо характеристики захисту конфіденційності T вбудовані на початку, такий підхід може мати наслідки в майбутньому.

«Я T думаю, що Facebook був створений, щоб збирати дані користувачів, він T був створений, щоб зловживати виборами, це просто сталося», — сказав Сілагі, підсумувавши:

«Ми T хочемо виправляти це, щоб захистити користувачів не лише від зовнішніх атак – я вважаю, що дуже важливо також підкреслити, що ми також хочемо захистити користувачів від самих себе».

Зображення Devcon через архіви CoinDesk