16/05/19
Это короткое напоминание о том, что информация, которой вы делитесь с блок-эксплорерами, требует особого внимания. Соединение с ними через Tor может оказаться недостаточным в случае с некоторыми моделями угрозы. Они могут и не быть вредоносными, но вы даёте им возможность собрать информацию о вас. Вместо этого рекомендуется запустить свой собственный узел и рассмотреть возможность использования собственного блок-эксплорера.
https://xmrchain.net
https://exploremonero.com
Стенограмма эпизода:
Джастин: Привет всем и добро пожаловать на очередной эпизод Breaking Monero! Сегодня будет по-настоящему короткий эпизод, посвящённый основам безопасного использования блокчейн-эксплореров. В седьмом эпизоде мы уже говорили об удалённых узлах и некоторых моментах, которые необходимо учитывать при их использовании. Но многие забывают о своём сетевом соединении, когда пользуются блокчейн-эксплорерами. Поэтому, когда люди хотят посмотреть на транзакцию, которая была отправлена ими или подтверждена остальной частью сети, они часто не думают о том, каковы могут быть последствия их действий. Итак, сегодня с вами я, Джастин, и Саранг, и мы вкратце напомним вам о тех сетевых ограничениях, с которыми вы сталкиваетесь, когда взаимодействуете с блокчейн-эксплорером. Я поделюсь с вами одним снимком, чтобы продемонстрировать некоторые из этих эксплореров. Возьмём, к примеру, xmrchain.net, являющийся одним из наиболее часто используемых блокчейн-эксплореров Monero. Выглядит он, может, и не так привлекательно, но на нём вы найдёте всю необходимую информацию. Допустим, вы захотите найти информацию о пяти ваших транзакциях, проведёте поиск, чтобы найти их. Шансы довольно высоки, так как я ищу информацию о транзакции, с которой непосредственно связан. В данном случае, конечно, это была буквально первая из появившихся, и я никак не связан с ней, но если вы продолжите и сделаете всё сами, особенно, если вы занимались именно поиском транзакций, поиском пяти ваших собственных транзакций за определённый промежуток времени, этот веб-сайт довольно хорошо сможет установить связь между ними. Но для начала веб-сайт получает мой IP-адрес, и веб-сайту также известно, что конкретно с этого IP-адреса человек искал эти транзакции, совершённые за этот временной период. Таким образом, у них, как ни у кого другого в сети, имеется представление о моей связи с этими выходами. Подобным образом существуют прекрасные сайты сбора и предварительной обработки данных для xmrchain.net, такие как ExploreMonero.com, при помощи которых вы с лёгкостью можете верифицировать свои транзакции. То есть вы можете сказать: «Я отправил Monero», - и ввести сюда подробную информацию, и это действительно удобно и хорошо с этой точки зрения, но просто нужно понять, что если вы говорите о том, что получили Monero, и даёте подробную информацию о таком получении, то этот веб-сайт будут иметь очень сильные основания, чтобы подозревать вашу связь с транзакцией, по которой вами был сделан запрос. Он сможет связать данные с вашим IP и с тем IP-адресом, с которого вы будете делать запрос несколько раз, допустим, о пяти транзакциях, и высока вероятность, что ExploreMonero предположит, что вы связаны со всеми этими пятью транзакциями. Это просто напоминание о том, что когда вы используете блокчейн-эксплореры, вы раскрываете большой объём информации, и многие люди, в спешке пытающиеся получить информацию о своих транзакциях, часто забывают об этом в процессе. Я передаю слово Сарангу, который расскажет, что делать, если вы хотите получить информацию из блокчейн-эксплорера, но не хотите раскрывать свою информацию, или как использовать блокчейн-эксплорер, чтобы лучше защитить свои сетевые метаданные.
Саранг: Да, для начала мы не хотим сказать, что конкретно эти блокчейн-эксплореры фактически занимаются отслеживанием или каким-то другим образом пытаются зарегистрировать эту информацию. Это просто напоминание о том, что независимо от того, чем вы занимаетесь в сети интернет, получающий сервер узнает ваш IP, будет он вашим или нет, используете ли вы маршрутизацию или что-то в этом роде, подробности вашего запроса будут известны. И этот случай — не исключение. Но, безусловно, многие пользуются Monero и пытаются это делать максимально анонимно. Так что важно помнить об этом. В некоторых случаях вы можете воспользоваться Tor, например, чтобы направить ваш трафик по какому-то другому маршруту, чтобы скрыть ваш IP от получающего сервера. Вы можете воспользоваться сервисом VPN, которому доверяете, вы можете использовать его для определённых запросов. В этом случае, конечно, вы просто доверяете знание вашего IP-адреса и некоторой другой информации по вашему запросу провайдеру VPN, так что всё зависит от вашего доверия к нему. Но, как уже сказал Джастин, даже при использовании некоторых таких решений, например, если я использую маршрутизацию через VPN, я попадаю на xmrchain.net или другой блокчейн-эксплорер и делаю запрос по пяти или десяти различным транзакциям, и если всё это происходит в быстрой последовательности, и IP, который они видят, остаётся одним и тем же, лицо или организация, которая администрирует блокчейн-эксплорер, может связать между собой эти транзакции, даже если у них не будет определённой информации, которая свяжет транзакции непосредственно со мной, так как я изменяю маршрут моего трафика. Опять же, я не говорю о том, что эти сайты занимаются именно такими вещами, но важно помнить о том, что они могут делать это. Если вы хотите сделать множество запросов, единственное, что вы можете, так это попытаться по возможности использовать разные сессии браузера с различных IP. В зависимости от ситуации и ваших сетевых настроек объём информации, которая будет раскрыта получающему серверу, уменьшится. Наилучшим решением, как и в случае с множеством других вещей, было бы создание своего локального узла. Если у вас есть свой локальный узел, у вас имеется полная синхронизированная копия блокчейна, вы получаете информацию о новых блоках и транзакциях по мере их поступления, и вы можете запрашивать эти данные локально. Если вы доверяете собственному узлу и собственному компьютеру, что, как мы надеемся, так и есть, то всё у вас будет хорошо. Такая информация не будет раскрыта. Также полезно знать, что даже если вы не хотите использовать решения с поддержкой командной строки или определённые локальные кошельки, которые работают вместе с вашим собственным узлом, полезно знать исходный код этих блокчейн-эксплореров, который обычно выложен в свободный доступ. Таким образом, вы всегда сможете запустить свой собственный локальный сетевой блокчейн-эксплорер, который будет подсоединяться к вашему узлу и запрашивать у него информацию. Если вы предпочитаете определённый вид эксплорера и имеете доступ к исходному коду, вы можете запустить собственный узел и иметь те же функции, к которым привыкли, но информация при этом не будет утекать куда-либо ещё.
Джастин: Хорошо, спасибо, Саранг. Это было наше напоминание о том, что блокчейн-эксплореры не являются исключением, когда речь заходит об утечке сетевых метаданных, и в рамках этого небольшого эпизода мы хотели поделиться с вами этой информацией на случай, если ваша модель угрозы предполагает возникновение таких ситуаций, и, возможно, вам лучше делать локальные запросы, а не доверять это кому-то другому вместо себя. Хорошо, это всё на сегодня, Саранг. Спасибо тем, кто смотрел наш эпизод Breaking Monero, берегите себя!