среда, 11 апреля 2018 г.

Ядовитый контент в блокчейн-системах, часть 2


(Окончание, см. http://rusrim.blogspot.ru/2018/04/1_10.html )

При изучении биткойновского блокчейна, среди 16.12 мегабайт произвольных элементов контента были выявлены примеры большинства возможных типов нежелательного контента, о которых авторы упоминали:
Нарушения авторских прав:

Мы обнаружили 7 файлов, публикующих интеллектуальную собственность и демонстрирующих потенциал использования Биткойна для способствования нарушениям авторских прав. В блокчейне зафиксированы текст книги, копия оригинальной статьи о Биткойне и два коротких текстовых документа. Кроме того, мы обнаружили два утекших криптографических ключа: один закрытый ключ RSA и один секретный ключ фирменной прошивки. Наконец, в блокчейне лежит программное обеспечение для взлома защиты от копирования DVD-дисков.

Вредоносные программы

В блокчейне Биткойна примеров настоящего вредоносного программного обеспечения мы не обнаружили. Однако в записи об одной нестандартной транзакции содержится не являющийся сам по себе вредоносным межсайтовый скриптовый детектор. Исследователь проблем безопасности ввел в блокчейн этот небольшой фрагмент кода, который, в случае его обработки онлайн-парсером (программой синтаксического анализа – Н.Х.) блокчейна, уведомляет автора об этой уязвимости. Такого рода вредоносный код может стать угрозой для пользователей, поскольку большинство сайтов, предлагающих услуги онлайн-парсера блокчейна, также предлагают поддержку учетных записей Биткойна.

Нарушения неприкосновенности частной жизни (защиты персональных данных)

Пользователи сохраняют в блокчейне память о незабываемых моментах личной жизни. Мы извлекли шесть изображений, связанных со свадьбами, и одно изображение, показывающее группу людей, идентифицированных их онлайн-псевдонимами. Кроме того, 609 транзакций содержат записи бесед в публичном онлайн-чате, электронные письма и сообщения в форуме, в которых обсуждается Биткойн, в том числе такие темы, как отмывание денег.

Сохранение в биткойне протоколов общения в чате может, например, привести к безвозвратной утечке персональных данных отдельных пользователей. Кроме того, третьи стороны могут распространить эту информацию без ведома или согласия затронутых пользователей. В частности, мы обнаружили, по крайней мере, два случая незаконного распространения чужих персональных данных (doxing), т.е. полного раскрытия личной информации другого человека. Эти данные включают телефонные номера, адреса, банковские счета, пароли и многочисленные онлайн-реквизиты. В последнее время такие юрисдикции, как Европейский союз, начали наказывать за такие серьезные нарушения неприкосновенности частной жизни, в том числе за незаконное распространение чужих персональных данных. Опять же, проведение таких атак посредством блокчейна усугубляет проблему из-за их неизменности.

Политически чувствительный контент

Блокчейн уже использовался разоблачителями (whistleblower) в качестве устойчивого к цензуре постоянное хранилища утекшей информации. Мы нашли резервные копии данных, переданных Викиликс Меннингом, а также онлайн-новости о «про-демократических» демонстрациях в Гонконге в 2014 году.

Незаконный и запрещённый контент

Блокчейн Биткойна содержит не менее восьми файлов с сексуальным контентом. Если пять файлов всего лишь показывают, описывают или ссылаются на умеренно порнографическое содержание, то остальные три файла, с нашей точки зрения, будут рассматриваться как нежелательные почти во всех юрисдикциях. Два из них представляют собой резервные копии списков ссылок на детскую порнографию, содержащие 274 ссылки на сайты, 142 из которых относятся к скрытым сервисам Tor. Оставшийся объект - это изображение, показывающее умеренно обнажённую молодую женщину. В интернет-форуме утверждается, что это детская порнография, хотя это утверждение не может быть проверено (по этическим соображениям, мы воздержались от предоставления ссылки). Примечательно, что два откровенных изображения были обнаружены только благодаря нашему детектору подозрительных транзакций, то есть для их ввода известные службы не использовались.
По аналогии с «удобной» для властей способностью найти детскую порнографию на компьютерах тех, кого они желают привлечь к ответственности за иные преступления, ходит теория о том, что некие правительства специально закладывают в биткойновский блокчейн подобный контент с тем, чтобы создать удобный повод для подавления криптовалюты. В этом контексте можно интерпретировать известное предупреждение Интерпола (см. https://www.interpol.int/News-and-media/News/2015/N2015-033 - о риске внедрения в блокчейны запрещённого контент, в т.ч детской порнографии – Н.Х.). Такие идеи идеально вписываются в либертарианскую, антиправительственную философию, лежащую в основе основной части пропаганды криптовалют.

Службы коллективного доступа к контенту вне блокчейна имеют более широкий спектр методов для обработки нежелательного контента:
«Компромисс между допущением использования открытых систем для распространения данных и риском распространения нежелательного или даже нелегального контента уже известен на примере одноранговых (peer-to-peer) сетей. Протоколы обмена файлами в одноранговых сетях обычно ограничивают распространение нежелательного публичного контента, отслеживая репутацию предлагающих файлы пользователей или присваивая репутацию самим файлам. В этом случае пользователи могут отклонить нежелательный контент или контент из недоверенных источников.

По контрасту, распределенные хранилища контента обычно прибегают к шифрованию личных файлов, прежде чем передать их другим участникам сети. Сохраняя только зашифрованные файлы, пользователи могут правдоподобно отрицать факт обладания контентом других лиц и, таким образом, могут незаметным образом хранить его на своем жестком диске.

К сожалению, эти механизмы защиты не применимы в случае блокчейна, поскольку контент не может быть удален после добавления в блокчейн, а использование шифрования не может быть надежно обеспечено.»
Вся суть такого публичного блокчейна, как Биткойн, заключается в том, что он устраняет необходимость доверять какому-либо центральному органу, заменяя его доверием к консенсусу на основе мощностей для майнинга (майнинг – выполнение работы по подтверждению корректности новых блоков цепочки, которая искусственно делается трудоёмкой, состязательной и оплачиваемой – Н.Х.). Однако если у майнеров есть возможность подтверждать блоки, содержащие нефинансовые данные, то все, кто хранит копию блокчейна, вынуждены доверять тому, что источники нефинансовых данных не подвергнут их риску. Поскольку все методы включения нефинансовых данных в блокчейн Биткойна требуют оплаты в биткойнах, то источник виден в блокчейне и потенциально впоследствии может быть де-анонимизирован. Но даже де-анонимизация и наказание злоумышленника не приведет к удалению нежелательного контента и к смягчению риска для других участников системы.

Данная проблема существует для любого неизменного публичного распределенного реестра, который допускает включение произвольных данных. На прошлой неделе она стала ещё более насущной:
«После принятия в среду на этой неделе обоими палатами Конгресса США законопроекта о предоставлении возможности штатам и жертвам бороться с онлайн-торговлей людьми с целью их сексуальной эксплуатации (Allow States and Victims to Fight Online Sex Trafficking Act, FOSTA), система Craigslist полностью удалила раздел «Знакомства», а Reddit удалил некоторые взаимосвязанных подфорумов на своём сайте – вероятно, опасаясь судебных исков в будущем.»
Еще более насущными являются последствия принятия нового закона Евросоюза о защите персональных данных (General Data Protection Regulation. GDPR). Дэвид Мейер (David Meyer) пишет в своей статье «Технология блокчейна находится на курсе, ведущем к столкновению с европейским законодательством о защите персональных данных» (см. https://thenextweb.com/syndication/2018/03/26/blockchain-collision-course-eu-privacy-law/ , русский перевод здесь: https://rusrim.blogspot.ru/2018/03/blog-post_21.html - Н.Х.) следующее:
«Европейский закон GDPR, который вступит в силу через несколько месяцев, говорит о том, что при многих обстоятельствах люди должны иметь возможность потребовать исправления или удаления их персональных данных.

... Поскольку санкции за неисполнение GDPR включают штрафы в размере до 20 миллионов евро или до 4% процента от глобального оборота, многие компании могут обнаружить, что ультра-популярная сейчас тенденция к использованию блокчейна для них куда менее приемлема, чем им первоначально казалось.

... Изменение данных «просто не работает в блокчейне», - утверждает Джон Мэтьюз (John Mathews), финансовый директор проекта Bitnation, целью которого является предоставление услуг управления идентификационными данными на основе блокчейна, а также хранение документов.»
Но зачем волноваться? Ведь ради блокчейна Евросоюз просто придётся выбросить GDPR в корзину и начать сначала! :)
«С точки зрения блокчейна, закон GDPR уже морально устарел», - отметил Мэтьюз. «Законодательно-нормативное регулирование всегда догоняет технологии. Закон GDPR был разработан на основе предположения о том, что у вас есть централизованные службы, контролирующие права доступа к данным пользователя, - прямая противоположность тому, что происходит в блокчейн-решениях без ограничений на доступ.»

Ютта Штайнер (Jutta Steiner), основатель стартапа Parity.io, который развивает децентрализованные технологии и бывшего руководителя службы безопасности в Фонде Эфириума (Ethereum Foundation) согласна с Мэтьюзом в том, что «GDPR нуждается в соответствующем пересмотре».

«С точки зрения практика, мне кажется, что закон был разработан в попытке реализовать определенную точку зрения на то, как мир должен был бы быть, без учёта того, как технологии работают на самом деле», - говорит Штайнер.

... «Не думаю, что законодатели будут настолько упрямыми, что откажутся подстраивать законодательство ... В какой-то момент они увидят, что другие страны начнут использовать эту технологию, а Европа оказывается в невыгодном положении». 
Значит, всё в порядке! Граждане Евросоюза научатся любить «мусор на входе, мусор на выходе», потому что иначе они не смогут использовать блокчейн!

Дэвид Розенталь (David Rosenthal)

Источник: DSHR's Blog
https://blog.dshr.org/2018/03/bad-blockchain-content.html

Комментариев нет:

Отправить комментарий