Деанонимизация пользователей Bitcoin ¶
By: NI on 2016-08-15 12 ч.
Деанонимизация пользователей Bitcoin
С момента появления первой криптовалюты у многих людей выработалось мнение, что использование Bitcoin обеспечит полную анонимность платежей и не позволит никому узнать истинного отправителя «золотых монеток». Но так ли это? И да, и нет. Использование Bitcoin «в лоб», без вникания в суть работы сети и механики распростанения транзакции, может привести к полной деанонимизаци юзера. Читающим эту статью следует внимательно отнестись к каждому из рассматриваемых ниже пунктов и тогда вы сможете быть уверенными, что если следовать определенным несложным правилам, то третьим лицам будет крайне сложно установить вашу личность при совершении транзакций в сети Bitcoin.
Проблема IP
Наверное, самый легкий способ выявления отправителя транзакции – это сопоставление биткоин-адреса или ID транзакции c IP. Задача его сокрытия может показаться несложной, но тут всё зависит от того, какую степень анонимности вы хотите достичь. Например, по некоторым данным, более половины пользователей ТОР без труда деанонимизируются только лишь на основе информации, перехваченной с выходной ноды. Кроме того, существует возможность связывания выявленного IP и MAC-адреса компьютера, с которого совершались транзакции. То есть, если даже вы отправляете монетки с разных адресов кошелька, то вас все равно надежно идентифицируют. Даже если при этом вы находитесь за NAT, это не поможет.
Выход – использование виртуальной машины с установленным на ней кошельком Electrum, а не официальным botcoin-core. Плюс взаимодействие с внешним миром только через грамотно настроенный ТОР.
Bitcoin-миксеры и связаная с ними головная боль
Так как все транзакции в сети Bitcoin прозрачны и любой желающий может проследить, на какой адрес был произведен платеж, то возникает необходимость оборвать эту цепочку, которая связывает адреса отправителя и получателя. Наверное, первое, о чем подумает пользователь, который хочет сделать анонимную транзакцию — это прогнать свои монетки через так называемый миксер. Если вкратце, то именно биткоин миксер позволяет «отбелить» средства и оборвать связь между двумя адресами, смешав ваши биткоины с массой других. На выходе получаются монетки, которые были отправлены со случайного адреса, который никак не связан с изначальным адресом. Все было бы хорошо, если бы не одно «но» — информация о вашем истинном лице хранится на сервере миксера, и при сильном желании она может попасть не в те руки.
Проблема №1 – логи биткоин миксеров
Казалось бы, какие логи, Карл? Если на сайте миксера английским по белому написано “No logs at all”. Но все мы прекрасно понимаем, что эта фраза про отсутствие логов не значит ровным счетом ничего, надеяться на их отсутствие – это утешать самого себя.
По факту, единственный способ удостовериться в отсутствии логов – это получить полный доступ к серверам и базам данных миксера, и собственноручно все просмотреть. Но, сами понимаете, такой вариант для обычного пользователя из разряда фантастики. А вот как раз спецслужбы или другие уполномоченные организации\лица вполне могут осуществить это, к примеру, надавив на владельца биткоин миксера. Уж ему-то подставлять свой зад совсем не захочется ради ваших пары биткоинов, и с огромной долей вероятности логи будут слиты несколькими кликами мышки, что приведет к полнейшему деанону ваших транзакций.
Проблема №2 – корреляция транзакций
Второй момент, который может деанонимизировать пользователя биткоин миксера – это сопоставление всех транзакций в сети, который отвечают определенным параметрам.
К примеру, товарищ Х отправил 1 BTC на адрес биткоин миксера, через какое-то время на указанный товарищем Х адрес прилетает примерно 1 BTC, который уже никак не связан с адресом товарища Х. Но если мы откроем тот же blockchain.info, то сможем просмотреть информацию о всех транзакциях за последнее время, которые отвечают заданным фильтрам. То есть никто не мешает найти все адреса, с которых было отправлено порядка 1 BTC, и очень сильно сузить круг подозреваемых. А уж если знать комиссию биткоин миксера, то и вовсе можно высчитать точное количество биткоинов, которые должны получиться на выходе. Все, что остается – это найти все адреса, с которого была отправлена данная сумма (исключая адреса биткоин миксера, конечно). Но современные миксеры позволяют задать временную задержку и собственноручно выставленную комиссию, а также возможность указать несколько адресов приема «чистых» биткоинов, что может сильно затруднить процесс деанонимизации.
Вывод – миксер не дает абсолютных гарантий анонимности, но хорош при использовании совместно с другими методами, которые мы рассмотрим ниже.
Анонимность при покупке биткоинов – миф или реальность?
Так как Bitcoin пока еще не захватил мир, то для приобретения монеток приходится платить вполне себе реальными деньгами. В большинстве случаев люди покупают биткоины через биржу либо различные обменники, расплачиваясь кредитной картой либо с помощью электронных денег, что само по себе может свести на нет все попытки сохранить инкогнито. Конечно, кредитку можно оформить на дропа, а электронный кошелек завести на несуществующего человека, но если уж за вами начали гоняться спецслужбы, то вряд ли это будет для них сильной преградой.
Естественно, простым пользователям никак не узнать, ведет ли логи биржа или обменник, но с огромной долей вероятности ответ будет положительный. И если случится официальный запрос со стороны спецслужб на предоставление логов, то эти данные будут беспощадно слиты.
Что же делать?
Единственным «непробиваемым» вариантом в таком случае будет покупка биткоинов за наличные. Продавец не знает вас, вы не знаете продавца – идеальная схема, без участия кредиток и интернета, который, как известно, помнит все. Есть множество сервисов, которые позволяют найти продавца биткоинов в нужном регионе, а также целая масса локальных сайтов\форумов, где можно найти нужных продавцов. То же самое касается и продажи биткоинов – найти нужного покупателя не составит особого труда. Но личные встречи могут подойти далеко не всем, по понятным причинам.
Подводные камни онлайн кошельков
Проблемой онлайн кошельков, ровно как и проблемой миксеров, является доверие своих данных и средств конкретно одному человеку или компании, что совсем противоречит идеи децентрализации. При использовании онлайн кошелька, владельцы этого сервиса могут при необходимости предоставить IP захода в кошелек, а как максимум вообще изъять ваши средства.
Чтобы избежать «засветки» своего IP (пусть даже и скрытого за VPN’ом), стоит использовать Tor. При этом сам онлайн кошелек должен находиться внутри сети Tor, в зоне onion. Это позволит затерять себя в толпе других пользователей Tor, а также исключит возможность кражи своих средств на выходной ноде Tor’а. К примеру, тот же blockchain имеет onion-зеркало.
Чуть-чуть о Tor’е
Особо хочу обратить ваше внимание на опасность использование Tor’а с непроверенными выходными нодами. Не секрет, что поднять эту ноду может любой желающий, а дальше просто сидеть и снифать трафик. Но это лишь полбеды – гораздо опаснее ноды, владельцы которых проводят Man-in-the-Middle-атаку, и не просто логируют, а еще и модифицируют проходящий через нее трафик. Таким образом можно протроянить невнимательного пользователя, или же вообще украсть данные биткоин кошелька (если он находится во «внешнем» интернете). Сказать, что подхватив вредоносное ПО, вы вмиг теряет всю свою анонимность – это ничего не сказать. И кто его знает, кому в таком случае вы попались – любопытному «хацкеру» или же агенту спецслужб.
Защититься от этого можно, подняв собственный выходной ретранслятор, или же используя Tor исключительно как средство доступа к даркнету и к скрытым сервисам внутри сети Tor.
В заключение хотелось бы сказать, что хоть биткоин и флагман, но на текущий момент он технологически безнадежно отстал. Как средство для хранения ваших сбережений в виде «цифрового золота» он подходит, а для совершения частых и анонимных платежей – не совсем. Сейчас есть гораздо более удобные в пользовании криптовалюты, дающие несравнимо более высокую степень анонимности платежей и защищенности транзакций. Но это тема для другого разговора 
уровень. 
