Tecnología

Questo strumento open-source permette di mappare i pagamenti via bitcoin

Bitcoin non garantisce l’anonimato. Chiunque abbia seguito il dark web o il continuo sforzo di regolamentazione delle criptovalute dovrebbe saperlo. Se qualcuno riuscisse a collegare l’identità del proprietario a uno specifico portafogli virtuale—cosa molto fattibile—potrebbe seguire le altre transazioni nella blockchain pubblica e ricostruire gli spostamenti di denaro di quella persona.

Ora, alcuni ricercatori stanno per pubblicare un software open-source per raggruppare le transazioni bitcoin allo scopo di identificare quelle che riguardano la stessa entità o persona. Non rivela necessariamente l’identità dell’utente, ma di certo rivela alcuni dettagli sull’uso che fa dei propri soldi.

Videos by VICE

“Il nostro scopo, ovviamente, non è aiutare eventuali malintenzionati o le autorità”

“Il nostro obiettivo è vedere quante informazioni è possibile raccogliere sulle persone che utilizzano il network bitcoin e se sia possibile o meno identificare i vari portafogli che dovrebbero essere anonimi e indipendenti tra loro,” ha raccontato a Motherboard David Décary-Hétu, assistente presso la scuola di criminologia dell’università di Montréal. Insieme a Mathieu Lavoie, ricercatore e consulente per la sicurezza informatica di un grande istituto finanziario, David presenterà i risultati del proprio lavoro alla conferenza sull’hacking HOPE, più tardi in settimana.

Lavoie ha inizialmente rivelato BitCluster—questo il nome dello strumento software in questione, scritto in Python—alla conferenza NorthSec dell’anno scorso. Analizzando le transazioni tra indirizzi, il programma permette agli utenti di costruire un network di portafogli associati e scaricare i risultati come foglio di calcolo.

Uno screenshot tratto BitCluster che mostra una ricerca su un portafoglio associato a un negozio nel dark web.

“Invece di visualizzare i movimenti per indirizzo li si visualizza organizzati per entità,” ha spiegato Lavoie a Motherboard. L’entità potrebbe essere uno spacciatore, un truffatore o un normalissimo utente bitcoin. Décary-Hétu e Lavoie sveleranno proprio durante HOPE i risultati delle loro ricerche a proposito di alcuni venditori di ransomware e negozi del dark web.

In molti casi, gli autori di ransomware—le persone dietro quei particolari tipi di malware che prendono in ostaggio un computer rendendolo inservibile, fino al pagamento di un riscatto—forniscono alle vittime il proprio indirizzo bitcoin dove versare i soldi. In questo modo, i criminali possono tenere traccia di chi ha pagato o meno. Ma se gli autori poi versano tutti i riscatti su un unico portafoglio, “allora possiamo vedere esattamente quanto hanno guadagnato, perché possiamo mettere insieme i dati sulle transazioni, ordinandoli per data e ammontare; possiamo sapere chiaramente quando la prima vittima ha pagato, per esempio,” ha detto Décary-Hétu.

Per quanto riguarda i negozi sul dark web, invece, è possibile aggregare i dati dei portafogli che sono stati usati per pagare in ogni negozio—ovvero i soldi trattenuti dal sito fino a che il venditore non rispetta il suo impegno nell’accordo. La coppia di ricercatori è in possesso dei dati dell’originale Silk Road, ma anche di alcuni più recenti, riguardo siti perfettamente funzionanti e attivi, come AlphaBay e Nucleus. Usando queste informazioni è possibile vedere quante persone hanno pagato in un certo quadro di riferimento temporale, e l’ammontare medio delle transizioni.

Uno screenshot di BitCluster che mostra una ricerca su un portafoglio associato a un negozio nel dark web.

Alcune ricerche precedenti hanno provato a tenere traccia di questi dati basandosi sui singoli feedback lasciati dai clienti nei siti. “Utilizzando BitCluster possiamo confermare i dati già in nostro possesso o, in alcuni casi, addirittura correggerli,” ha spiegato Décary-Hétu.

BitCluster sarà open source, ma i ricercatori non hanno in programma di ospitare una versione a spese loro; servono un sacco di risorse computazioni, soprattutto quando si sta provando ad analizzare le transazioni associate con alcune entità molto grandi, come Mt. Gox, e così eventuali altri investigatori dovranno far girare il software per conto proprio.

Presumibilmente, i ricercatori non saranno gli unici a utilizzare BitCluster; è un software molto appetibile per le forze dell’ordine, tanto per cominciare.

“Il nostro scopo, ovviamente, non è aiutare gli eventuali malintenzionati o le autorità. È uno strumento per aiutare le persone a capire meglio cosa stia succedendo nel network bitcoin,” ha dichiarato Décary-Hétu.

Esistono, comunque, metodi per maneggiare i bitcoin in modo da rendere il compito di BitCluster molto più complesso. I tumbler, per esempio, inviano una quantità arbitraria di bitcoin a una selezione di indirizzi. BitCluster potrebbe, però, tracciare questi soldi se, in definitiva, convergessero tutti verso un unico account.

In ultima analisi, la tecnica più efficace per evitare di essere schedati da uno strumento del genere è non condividere mai il proprio indirizzo, ma creare portafogli usa e getta per ogni transizione. In questo modo, se anche uno o due portafogli fossero collegati sarebbero comunque indipendenti da qualsiasi altra transizione nella blockchain.

“Questo strumento ci permetterà di capire i movimenti di bitcoin quando le persone non li stanno usando correttamente,” ha concluso Décary-Hétu. “E diciamocelo: quasi tutti non li usano correttamente.”