האנוסים

ה-CipherTrace של מאסטרקארד השתמש ב-'Honeypots' כדי לאסוף את ארנק הקריפטו של אינטל

01/29/2022
חדשות Ethereum של ביטקוין

ב-3 במרץ 2020, ממש לפני שעת הצהריים בוושינגטון הבירה, סטיבן ראיין שלח למישהו במשרד האוצר האמריקאי מכתב תודה עם פרט מוזר.

סמנכ"ל התפעול ומייסד שותף של חברת חיפושי מטבעות קריפטוגרפיים CipherTrace, ריאן היה אחד מ-16 מנהלים שהשתתפו בפסגת התעשייה יום קודם לכן עם שר האוצר דאז, סטיבן מנוצ'ין. יחד עם הכרת התודה שלו על הפגישה, ריאן צירף חפיסת שקופיות שהציגה את האסטרטגיה של CipherTrace להעלמת ארנקי קריפטו. בין השיטות הללו: "סירי דבש".

מאמר זה הוא חלק מ- CoinDesk שבוע הפרטיות סדרה.

ההערה של ריאן הייתה חלק מאוסף של 250 עמודים של אימיילים של מנוצ'ין שהושגו על ידי CoinDesk באמצעות בקשה לחוק חופש המידע (FOIA). חלקים מסיפון השקופיות שלו דומים מאוד לחומרי הקידום הציבוריים של CipherTrace. גם אלה התייחסו ל"עציצי דבש" או ל"כסיסי כסף קריפטו" דומים מאז 2018 לפחות.

למה התכוונה CipherTrace במונחים אלה? קהילת אבטחת הסייבר משתמשת בביטוי "סיר דבש" כדי לתאר יעד פיתוי שאוסף מידע מודיעיני על תוקפים תמימים. במילים אחרות, מלכודת.

שקף ממצגת CipherTrace למשרד האוצר, 3 במרץ 2020.

CipherTrace, שענקית התשלומים מאסטרקארד רכשה בסתיו שעבר במחיר לא ידוע, היא חלק מתעשיית קוטג'ים שמנטרת את צומת הדרכים של 14 מיליארד דולר בשנה של מטבעות קריפטוגרפיים ופשע. סינון בין מיליוני עסקאות יומיות המתועדות בבלוקצ'יין, או בפנקסי חשבונות ציבוריים, חברות כמו Chainalysis, TRM Labs ו-Elliptic מחפשות דגלים אדומים ותנועות בלתי חוקיות, תוך תיוג של כתובות חשודות תוך כדי.

החברות מייחסות את השירותים שלהן כחיוניים לנורמליזציה של קריפטו ולסילוק פשע. המתנגדים דוחים את חברות המעקב הללו כעל שרשרת, למרות שהן עובדות בעיקר עם מידע ציבורי.

CipherTrace לא תהיה החברה הראשונה בנישה הזו שתציב מלכודות בתקווה ללכוד מידע שלא ניתן למצוא בשרשרת. Chainalysis, ספקית מעקב הקריפטו המובילה, מחזיקה במשך שנים באתר סייר ארנקים הלוכד את כתובות ה-IP של מבקרים ומקשר אותם לכתובות הבלוקצ'יין שהם חיפשו. החברה הכירה בנוהג זה רק באוקטובר, חודש לאחר ש-CoinDesk פרסם מאמר שהפנה אליו את תשומת הלב.

יותר מחצי תריסר ותיקי תעשיית מטבעות הקריפטו אמרו ל-CoinDesk שאין להם מושג למה הכוונה של CipherTrace ב"עציצי דבש". בהצהרה שמסרה ל-CoinDesk, החברה שבסיסה בלוס גאטוס, קליפורניה, נתנה את הגדרת אבטחת המחשב הבסיסית מבלי להסביר מה המשמעות של ניתוח הבלוקצ'יין.

תמונת מסך של אתר CipherTrace, 27 בינואר 2021

"'סיר כסף קריפטו' או 'דבש' הוא מונח אבטחה המתייחס למנגנון שיוצר מלכודת וירטואלית לפתות תוקפים פוטנציאליים", אמר CipherTrace, והוסיף כי המסמכים המזכירים את הטקטיקות הללו ישנים. "CipherTrace לא משתמשת יותר ב'כסיסי כסף קריפטו'", נכתב (למרות שהאתר של החברה הציג גם כסף וגם סירי דבש החל מיום חמישי).

CoinDesk שאל את CipherTrace: "האם החברה שלך אוספת נתוני כתובת IP למטרות קישורם לכתובות ארנק?"

נציג של CipherTrace מסר בתגובה: "כחברה ממוקדת פרטיות, CipherTrace לא ממפה נתוני IP לאנשים פרטיים."

היא לא ענתה על השאלה של CoinDesk האם CipherTrace ממפה כתובות IP לארנקים. CoinDesk שאלה פעם שנייה אם CipherTrace ממפה כתובות IP לכתובות ארנק. CipherTrace לא הגיב.

כלוב כזה "הוא נושא שכיח במרחב הפרטיות, כשאנחנו מדברים על מזהי רשת כמו כתובות IP.", אמר שון אובריאן, חוקר אבטחת סייבר. "חברות מנסות להרחיק את עצמן ממה שהיית מכנה באופן מסורתי מידע אישי מזהה על ידי כך שכתובות IP הן משהו אחר. למעשה, הם שימושיים להפליא לזיהוי משקי בית, עסקים ויחידים."

לדוגמה, "אם אתה צריך לחקור עסקת ביטקוין הקשורה לחשוד בפשע סייבר, כתובות IP הן בדיוק סוג המידע שאתה מחפש", אמר אובריאן. "המקרים המוקדמים ביותר של אכיפת חוק ואינטרנט תלויים בכתובות IP כראיה, מסיבה טובה. והם מועילים להטריד ולעקוב אחר אנשים בדיוק כמו להעמיד אותם לדין".

בעקבות הכסף

חברות מעקב הן כבר מזמן כוח מרכזי, אם כי לא מוכר, במצעד המוסדי של קריפטו. כשהם נלחמים נגד התפיסה שביטקוין הוא בעיקר כלי פיננסי פלילי, הם מנתחים את הנתונים כדי לאתר את הנתח הזעום שהוא למעשה.

Chainalysis העריכה לאחרונה כי 0.15% מעסקאות הקריפטו בשנת 2021 היו בלתי חוקיות - ללא ספק האחוז הקטן ביותר שרשם. (ארנקים "לא חוקיים" צברו בשנה שעברה סכום שיא של 14 מיליארד דולר, נתון פרדוקסלי לכאורה ש-Chainalysis ייחס לצמיחה המשגשגת של הקריפטו.)

CipherTrace אומרת שהמשימה שלה היא "להצמיח את כלכלת מטבעות הקריפטו על ידי הפיכתה לאמין על ידי ממשלות, בטוח לאימוץ המוני והגנה על מוסדות פיננסיים מפני סיכוני הלבנת קריפטו".

נלקח מהמצגת המשותפת עם משרד האוצר, סביר להניח שהתיאור הזה יהיה משותף לכל חברה מתחרה. זה נכנס ללב החששות של המלעיזים. מקסימליסטים של פרטיות מאמינים שטבעו השקוף באופן קיצוני אך בדוי של ביטקוין צריך לזרום ללא תלות במדינה, והם רואים בעבודת החברות הללו בגידה באידיאל הזה.

"זו סוג של פלישה לפרטיות של משתמשים, כמו שאתה עלול להתלונן על חברות ניתוח אינטרנט מרכזיות שאוספות כתובות IP ומכניסות עוגיות למחשבים של אנשים ועוקבות אחריהם מאתר לאתר", אמר ג'ון לייט, קריפטו ותיק. מחנך, סופר, פודקאסר ומארגן אירועים.

ניתוח על-שרשרת הוא, בבסיסו, מרוץ ייחוס.

בחוגי אבטחת סייבר, ייחוס פירושו זיהוי מבצעי פריצה. בהקשר של קריפטו, זה מתייחס ספציפית לתרגול של sleuths blockchain של קישור כתובות ארנק בדוי לשחקנים שניתן לזהות. שחקנים אלו יכולים להיות בורסות קריפטו מורשות או אפוטרופוסים, תוקפי תוכנות כופר, שווקי Darknet או אנשים או ישויות שהוטלו עליה סנקציות.

לדוגמה: כל מי שיש לו חיבור לאינטרנט יכול לראות כי, למשל, ארנק abc123 העביר 0.5 BTC ל-zxy987; מידע זה די חסר תועלת בפני עצמו. אבל מסד נתונים של מעקב עשוי לתעד שהמשרד האמריקאי לבקרת נכסים זרים זיהה את zxy987 כשייך לאל מלחמה אפריקאי שאושר עליו. או שזה יכול להראות שהביטקוין של abc123 נגנב מבורסה.

זה מידע בעל ערך לבורסות שרוצות להפסיק פעילות בלתי חוקית, למשתמשים שרוצים לשמור על המטבעות שלהם נקיים, לממשלות שרוצות לעקוב אחר הכסף. זה מתחבר באמצעות ייחוס קפדני.

עם פוטנציאל של חוזי חקירה של מיליוני דולרים, לחברות האלה יש צורך חריף לכרות נתוני ייחוס חדשים. CipherTrace, למשל, השיגה 20 חוזים עם סוכנויות פדרליות, בשווי של עד 3.5 מיליון דולר, מאז 2018, האחרון היה משרת עד מומחה, על פי רישומים ציבוריים.

נתוני חוזה של CipherTrace

בתעשייה שמתגמלת בוני מערכי ייחוס ניואנסים ומפורטים - ובתחום שבו פושעים רעבים למודיעין שיעזור להם להימלט מתשומת לב - השמירה על רוטב הסודי הייחוס חשובה ביותר, אמרו שני מתרגלים ותיקים.

עם זאת, באימייל שלו למשרד האוצר, ריאן הציע טעימה "מהאופן שבו משיגים ייחוס מטבעות קריפטוגרפיים". עציצי דבש נרשמו כאחת האסטרטגיות ה"אקטיביות" בסיפון השקופיות.

Chainalysis: אס ייחוס בלוקצ'יין

המתחרה הגדולה ביותר של CipherTrace החלה להפעיל טכניקה חדשה משלה שלוש שנים לפני כן.

Chainalysis, שנוסדה ב-2014 ומוערכת ביוני ב-4.2 מיליארד דולר, היא הכהונה הגדולה של תעשיית המעקב. היא צברה עשרות מיליוני דולרים בחוזים פדרליים למכירת תוכנה שממחישה את הפעילות ברשת. בעוד שכל אחד עם חיבור לאינטרנט יכול לנפות בעצמו רשומות בלוקצ'יין ציבוריות, תזדקק לעזרה קטנה כדי להבין מה תמצא במורד חור הארנב.

אבל האקס העסקי האמיתי של הנותב הוא מערך הייחוס שלו, אמרו שלושה מקורבים בתעשייה. אף חברה אחרת לא צברה שלל נתוני ארנק מפורטים כמו Chainalysis, אמרו המקורות.

זה בין השאר בגלל שלאף נותב אחר יש טביעת רגל עסקית כה מסיבית. Chainalysis מספקת תוכנת מעקב ל-500 "ספקי שירותי נכסים וירטואליים", או VASP, כפי שמכנים אותם הרגולטורים. זו מערכת יחסים מועילה הדדית. העסקים מקבלים כלי תאימות קריפטו רבי עוצמה, ו-Chainalysis מוסיפה את כתובות הארנק שלהם למסד הנתונים הגלובלי שלה. עם זאת, זה לא מבקש מלקוחות מידע על הלקוחות שלהם.

"אנחנו לא יכולים לדבר בשם כל הספקים האחרים. ייתכן שספקים אחרים עשויים לבקש מידע נוסף. אבל Chainalysis עוסקת רק בנתוני עסקאות ברמת השירות", הסבירה החברה בפוסט בבלוג משנת 2019. במילים אחרות, הוא מזהה רק עסקים שהוא יודע ששולטים בארנקים, לא אנשים.

אבל זה לא היה כל הסיפור, ולקוחות Chainalysis, ומידע ציבורי על ארנקים, לא היו מקורות המידע היחידים של החברה.

במצגת שקופיות ללא תאריך עבור המשטרה האיטלקית שהודלפה בספטמבר, צוות מכירות של Chainalysis תיאר כיצד הרשת העצומה של החברה של צמתי ארנק ביטקוין ו-Electrum לוכדת נתוני משתמש יקרי ערך כגון כתובות IP מארנקים מחוברים. זה עזר לחוקרים לעקוב אחר מובילים פליליים משמעותיים, נכתב במצגת.

תוכנת "Rumker" של Chainalysis מקטלגת כתובות IP שהנותב קישר לאשכולות עסקאות ביטקוין. מס הכנסה חתם על חוזה רומקר בשווי של עד 235,458 דולר ביולי.

מצגת השקופיות גם שפכה אור חדש על walletexplorer.com, סייר בלוקים פופולרי של ביטקוין המנוהל על ידי Chainalysis מאז 2015. לפי המסמכים, ש-CoinDesk אימתה שהם אותנטיים, האתר "מגרד" את כתובות ה-IP של משתמשים חשודים, ומקשר את טביעת הרגל שלהם באינטרנט עם שלהם. כתובת הארנק. מערך נתונים זה סיפק "לידים משמעותיים" עבור אכיפת החוק.

"זה אף פעם לא היה סוד ש-Chainalysis החזיקה והפעילה את walletexplorer.com. מאז 2015 יש הצהרה בתחתית עמוד הבית כי מחבר האתר עובד ב-Chainalysis כאנליסט ומתכנת", אמר דובר החברה ל-CoinDesk.

סוד גלוי, אולי, אבל בקושי ספר פתוח. Chainalysis רק לעתים נדירות הביאה את תשומת הלב לעובדה ש-walletexplorer.com משדר נתוני משתמשים לקווי העסקים האחרים שלו.

שבועות לאחר ש-CoinDesk דיווח ב-walletexplorer.com, האתר אימץ דף גילוי פרטיות המפרט, בפעם הראשונה, כיצד מאגר הנתונים שלו פונה אל קו המוצרים של Chainalysis.

"אנו חולקים מידע בלוקצ'יין ומידע מבקרים עם קווי העסקים האחרים שלנו ב-Chainalysis כדי לעזור לנו לספק ולשפר את השירותים הללו. לדוגמה, קווי עסקים אחרים של Chainalysis עשויים להיות מסוגלים להשתמש במידע שאנו מספקים כדי לחבר בצורה טובה יותר כתובת אחת של ארנק ביטקוין לכתובת אחרת של ארנק ביטקוין", נכתב במדיניות מ-14 באוקטובר.

"לאחרונה הוספנו הודעת פרטיות כדי לספק מידע נוסף על האופן שבו Chainalysis משתמשת באופן פנימי במידע שנאסף מאתר walletexplorer.com כדי לעזור לשפר את השירותים שלנו", אמר הדובר.

לא אישי?

למרות שלא ברור בדיוק מה עושים עציצי הדבש של CipherTrace, המילה מעוררת מערכת שמתיימרת לעשות דבר אחד תוך כדי הפעלת משהו אחר. בעל ארנק שמתעסק עם "סיר דבש" יתעלם מבחינה הגדרה מהמניעים הנסתרים של השירות.

Chainalysis, CipherTrace ו-Elliptic כולן הצהירו בעבר שהם לא מבקשים לקשור אנשים לארנקים. העסק שלהם הוא לעזור לממשלות לחקור פשעי קריפטו ולשמור על ציות לבורסות.

אנשים בטיול הם לא חלק מהמשוואה הזו. החברות האלה פשוט עוקבות אחרי הכסף, הם אומרים.

"מודיעין הבלוקצ'יין שאנו מספקים מקשר בין עסקאות קריפטו לגופים אמיתיים כמו בורסות, שוקי Darknet וגופים עם סנקציות", אמר ל-CoinDesk ארי רדבורד, ראש לענייני משפט וממשל עבור TRM Labs.

"המודיעין הזה מאפשר לבורסת קריפטו לקבל התראה אם, למשל, היא מעבדת עסקה הכוללת כתובת ששימשה בעבר למימון טרור", אמר. "אותו דבר חל על עסקאות המעורבות בפריצות, תוכנות כופר, משיכת שטיחים והתקפות אחרות הפוגעות למשקיעי קריפטו ולמשתמשים."

אבל "אנחנו לא מייחסים עסקאות ליחידים", אמר רדבורד על TRM Labs.

באופן דומה, נציגה של CipherTrace אמר שהיא "אינה מייחסת נתוני ארנק לאנשים פרטיים, למעט ישויות המוטלות על סנקציות". היא עשתה זאת בשפע, כשהיא מתגאה בפוסט אחד בבלוג משנת 2019 שייחס 72,000 כתובות IP איראניות ל-4.5 מיליון ארנקים.

האם CipherTrace מייחס כתובות IP לארנקים אחרים נותרה שאלה פתוחה. אנשי החברה המובילים אומרים שהם לא שומרים על "מידע מזהה אישי", רק "מידע מזהה עסקי".

"CipherTrace לא שומר על PII, אנחנו שומרים על BII" אמר מנכ"ל CipherTrace, דייב ג'וואנס, בראיון ביוני.

"אנחנו מבינים, למשל, אילו כתובות שייכות לאיזה בורסה", אמר. "אבל אנחנו לא עוקבים אחר מידע בודד על כך שזה אתה בכתובת הזו; זה לא ענייננו. אנחנו לא רוצים לעשות את זה. אנחנו נבין איפה הכסף נכנס, איפה הכסף יוצא ואז זה תלוי בבתי המשפט ואכיפת החוק", לעשות את השאר.

כפי שציין אובריאן, חוקר אבטחת הסייבר, נראה כי ההגדרה של CipherTrace למידע אישי מזהה אינו כולל כתובות IP - יחד עם מיקומים פיזיים, לפי אחד מהפוסטים של החברה עצמה בבלוג:

(אתר CipherTrace)

מקור: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/