атака Сивиллы

Атака на сетевые службы, осуществляемая с использованием нескольких поддельных удостоверений

Атака Сивиллы — это тип атаки на службу компьютерной сети , при которой злоумышленник подрывает систему репутации службы, создавая большое количество псевдонимных идентификаторов и используя их для получения непропорционально большого влияния. Она названа в честь предмета книги «Сивилла» , исследования случая женщины с диагнозом диссоциативное расстройство идентичности . ^[1] Название было предложено в 2002 году или ранее Брайаном Зиллом из Microsoft Research . ^[2] Термин псевдоспуфинг ранее был придуман Л. Детвейлером в списке рассылки Cypherpunks и использовался в литературе по одноранговым системам для того же класса атак до 2002 года, но этот термин не получил такого влияния, как «атака Сивиллы». ^[3]

Описание

Атака Сивиллы в компьютерной безопасности — это атака, при которой система репутации подрывается путем создания нескольких личностей. ^[4] Уязвимость системы репутации к атаке Сивиллы зависит от того, насколько дешево могут быть сгенерированы личности, в какой степени система репутации принимает входные данные от субъектов, не имеющих цепочки доверия, связывающей их с доверенным субъектом, и относится ли система репутации ко всем субъектам одинаково. По состоянию на 2012 год ^{[обновлять]}, доказательства показали, что крупномасштабные атаки Сивиллы могут быть выполнены очень дешевым и эффективным способом в существующих реалистичных системах, таких как BitTorrent Mainline DHT. ^{[5] [6]}

Сущность в одноранговой сети — это часть программного обеспечения , которая имеет доступ к локальным ресурсам. Сущность объявляет себя в одноранговой сети, представляя идентификатор . Одной сущности может соответствовать более одного идентификатора. Другими словами, сопоставление идентификаторов с сущностями осуществляется по принципу «многие к одному». Сущности в одноранговых сетях используют несколько идентификаторов для целей избыточности, совместного использования ресурсов, надежности и целостности. В одноранговых сетях идентификатор используется как абстракция, так что удаленная сущность может знать об идентификаторах, не обязательно зная соответствия идентификаторов локальным сущностям. По умолчанию каждая отдельная личность обычно считается соответствующей отдельной локальной сущности. В действительности, одной и той же локальной сущности может соответствовать множество идентификаторов.

Злоумышленник может представить несколько идентификаторов в одноранговой сети, чтобы выглядеть и функционировать как несколько отдельных узлов. Таким образом, злоумышленник может получить непропорциональный уровень контроля над сетью, например, влияя на результаты голосования.

В контексте (человеческих) онлайн-сообществ такие множественные личности иногда называют sockpuppets . Менее распространенный термин обратная атака Сивиллы использовался для описания атаки, в которой многие сущности появляются как одна личность. ^[7]

Пример

Известная атака Сивиллы в сочетании с атакой подтверждения трафика была запущена против анонимной сети Tor в течение нескольких месяцев в 2014 году. ^{[8] [9]}

Существуют и другие примеры атак Сивиллы, направленных против пользователей сети Tor. Сюда входят атаки по перезаписи адресов Bitcoin в 2020 году. Злоумышленник контролировал четверть всех выходных реле Tor и использовал SSL-стриппинг для понижения уровня защищенных соединений и перенаправления средств на кошелек злоумышленника, известного как BTCMITM20. ^{[10] [11] [12]}

Другим ярким примером является атака 2017–2021 годов, проведенная злоумышленником KAX17. Эта организация контролировала более 900 вредоносных серверов, в основном промежуточных, в попытке деанонимизировать пользователей Tor. ^{[13] [14]}

Профилактика

Известные подходы к предотвращению атак Сивиллы включают проверку личности, алгоритмы графа социального доверия, экономические затраты, проверку личности и защиту, специфичную для приложений .

Проверка личности

Методы проверки могут использоваться для предотвращения атак Сивиллы и отклонения маскирующихся враждебных сущностей. Локальная сущность может принять удаленную идентификацию на основе центрального органа, который обеспечивает соответствие один к одному между личностью и сущностью и может даже обеспечить обратный поиск. Идентификация может быть проверена как напрямую, так и косвенно. При прямой проверке локальная сущность запрашивает центральный орган для проверки удаленных идентичностей. При косвенной проверке локальная сущность полагается на уже принятые идентичности, которые, в свою очередь, подтверждают действительность рассматриваемой удаленной идентичности.

Практические сетевые приложения и службы часто используют различные прокси-серверы идентификации для достижения ограниченной устойчивости к атакам Сивиллы, такие как проверка телефонного номера , проверка кредитной карты или даже на основе IP-адреса клиента. Эти методы имеют ограничения, заключающиеся в том, что обычно можно получить несколько таких прокси-серверов идентификации за определенную плату — или даже получить много за небольшую плату с помощью таких методов, как подмена SMS или подмена IP-адреса . Использование таких прокси-серверов идентификации также может исключить тех, у кого нет готового доступа к требуемому прокси-серверу идентификации: например, тех, у кого нет собственного мобильного телефона или кредитной карты, или пользователей, находящихся за трансляцией сетевых адресов операторского класса , которые делят свои IP-адреса со многими другими.

Методы проверки на основе идентификации обычно обеспечивают подотчетность за счет анонимности , что может быть нежелательным компромиссом, особенно на онлайн-форумах, которые хотят разрешить свободный от цензуры обмен информацией и открытое обсуждение деликатных тем. Центр проверки может попытаться сохранить анонимность пользователей, отказавшись выполнять обратные поиски, но этот подход делает центр проверки главной целью для атаки. Протоколы, использующие пороговую криптографию, могут потенциально распределить роль такого центра проверки между несколькими серверами, защищая анонимность пользователей, даже если один или ограниченное количество серверов проверки скомпрометированы. ^[15]

Графики социального доверия

Методы предотвращения Sybil, основанные на характеристиках связности социальных графов, также могут ограничивать степень ущерба, который может быть нанесен данным атакующим Sybil, сохраняя при этом анонимность. Примерами таких методов предотвращения являются SybilGuard, ^[16] SybilLimit, ^[17] Advogato Trust Metric , ^[18] SybilRank, ^[19] и метрика на основе разреженности для идентификации кластеров Sybil в распределенной системе репутации на основе P2P. ^[20]

Эти методы не могут полностью предотвратить атаки Сивиллы и могут быть уязвимы для широко распространенных мелкомасштабных атак Сивиллы. Кроме того, неясно, будут ли реальные онлайновые социальные сети удовлетворять предположениям о доверии или связности, которые предполагают эти алгоритмы. ^[21]

Экономические издержки

В качестве альтернативы, введение экономических издержек в качестве искусственных барьеров для входа может быть использовано для того, чтобы сделать атаки Сивиллы более дорогими. Например, доказательство работы требует от пользователя доказать, что он затратил определенное количество вычислительных усилий для решения криптографической головоломки. В Bitcoin и связанных с ним криптовалютах без разрешения майнеры соревнуются за добавление блоков в блокчейн и получают вознаграждение примерно пропорционально количеству вычислительных усилий, которые они вкладывают в определенный период времени. Инвестиции в другие ресурсы, такие как хранилище или доля в существующей криптовалюте, могут аналогичным образом использоваться для введения экономических издержек.

Проверка личности

В качестве альтернативы проверке личности, которая пытается поддерживать строгое правило распределения «один на человека», орган проверки может использовать какой-либо механизм, отличный от знания реальной личности пользователя, например, проверку физического присутствия неопознанного человека в определенном месте и времени, как на вечеринке под псевдонимом ^[22] , чтобы обеспечить соответствие один к одному между онлайн-личностями и реальными пользователями. Такие подходы к доказательству личности были предложены в качестве основы для блокчейнов без разрешения и криптовалют , в которых каждый участник-человек будет обладать ровно одним голосом в консенсусе . ^{[23] [24]} Было предложено множество подходов к доказательству личности, некоторые из которых имеют развернутые реализации, хотя многие проблемы с удобством использования и безопасностью остаются. ^[25]

Специфические средства защиты приложений

Ряд распределенных протоколов были разработаны с учетом защиты от атак Сивиллы. SumUp ^[26] и DSybil ^[27] — это устойчивые к атакам Сивиллы алгоритмы для рекомендаций и голосования по онлайн-контенту. Whānau — это устойчивый к атакам Сивиллы распределенный алгоритм хэш-таблицы. ^[28] Реализация Kademlia в I2P также имеет положения для смягчения атак Сивиллы. ^[29]

Смотрите также

• Астротурфинг
• Вброс бюллетеней
• Социальный бот
• Кукольный театр

Ссылки

1. Линн Нири (20 октября 2011 г.). Настоящая «Сибилла» признает, что множественные личности были поддельными. NPR. Получено 8 февраля 2017 г.
2. Douceur, John R (2002). «Атака Сивиллы». Peer-to-Peer Systems . Lecture Notes in Computer Science. Vol. 2429. pp. 251–60. doi :10.1007/3-540-45748-8_24. ISBN 978-3-540-44179-3.
3. Орам, Эндрю (2001). Peer-to-peer: использование преимуществ прорывной технологии . "O'Reilly Media, Inc.". ISBN 978-0-596-00110-0.
4. Трифа, Зиед; Кемакхем, Махер (2014). «Узлы Сивиллы как стратегия смягчения последствий атаки Сивиллы». Procedia Computer Science . 32 : 1135–40. doi : 10.1016/j.procs.2014.05.544 .
5. Ван, Лян; Кангашаржу, Юсси (2012). «Реальные атаки Сивиллы в BitTorrent mainline DHT». Глобальная конференция по коммуникациям IEEE 2012 (GLOBECOM) . стр. 826–32. doi :10.1109/GLOCOM.2012.6503215. ISBN 978-1-4673-0921-9. S2CID  9958359.
6. Ван, Лян; Кангашаржу, Юсси (2013). «Измерение крупномасштабных распределенных систем: случай BitTorrent Mainline DHT». Труды IEEE P2P 2013. стр. 1–10. doi :10.1109/P2P.2013.6688697. ISBN 978-1-4799-0515-7. S2CID  5659252.
7. Ауэрбах, Бенедикт; Чакраборти, Суврадип; Кляйн, Карен; Паскуаль-Перес, Гильермо; Пьетшак, Кшиштоф; Вальтер, Майкл; Йео, Мишель (2021). «Атаки обратной Сивиллы в автоматизированном отслеживании контактов». Темы криптологии – CT-RSA 2021. Cham: Springer International Publishing. стр. 399–421. doi :10.1007/978-3-030-75539-3_17. ISBN 978-3-030-75538-6. ISSN  0302-9743. S2CID  220274872.
8. Рекомендации по безопасности Tor: атака с подтверждением трафика «relay early» Tor Project, 30 июля 2014 г.
9. Дэн Гудин (31 июля 2014 г.). Активная атака на сеть Tor пыталась демаскировать пользователей в течение пяти месяцев.
10. Cimpanu, Catalin (3 декабря 2021 г.). «Таинственный злоумышленник управляет сотнями вредоносных ретрансляторов Tor». The Record . Получено 7 декабря 2021 г. . ... большинство злоумышленников, управляющих вредоносными ретрансляторами Tor, как правило, сосредоточены на запуске точек выхода, что позволяет им изменять трафик пользователя. Например, злоумышленник, которого Nusenu отслеживал как BTCMITM20, управлял тысячами вредоносных выходных узлов Tor, чтобы подменять адреса кошельков Bitcoin внутри веб-трафика и перехватывать платежи пользователей.
11. Cimpanu, Catalin (9 мая 2021 г.). «Тысячи выходных узлов Tor атаковали пользователей криптовалюты за последний год». The Record . Получено 7 декабря 2021 г. . Более 16 месяцев было замечено, что злоумышленник добавляет вредоносные серверы в сеть Tor с целью перехвата трафика и выполнения атак с использованием SSL-стриппинга на пользователей, посещающих сайты, связанные с криптовалютой.
12. isabela (14 августа 2020 г.). «Рекомендации по безопасности Tor: выход из ретрансляторов, работающих с sslstrip в мае и июне 2020 г.». Блог Tor . Получено 7 декабря 2021 г.
13. Cimpanu, Catalin (3 декабря 2021 г.). «Таинственный злоумышленник управляет сотнями вредоносных ретрансляторов Tor». The Record . Получено 7 декабря 2021 г. Группируя эти серверы под эгидой KAX17, Нусену говорит, что этот злоумышленник постоянно добавлял серверы... в промышленных количествах, эксплуатируя сотни серверов в любой момент времени.
14. Паганини, Пьерлуиджи (3 декабря 2021 г.). «Злоумышленник KAX17 пытается деанонимизировать пользователей Tor, управляя тысячами мошеннических ретрансляторов». Кибербезопасность . Получено 7 декабря 2021 г. Большинство серверов-ретрансляторов Tor, созданных злоумышленником KAX17, располагались в центрах обработки данных по всему миру и в первую очередь были настроены как точки входа и промежуточные точки.
15. Джон Махесваран; Дэниел Джековиц; Эннан Чжай; Дэвид Айзек Волински; Брайан Форд (9 марта 2016 г.). Создание криптографических учетных данных, сохраняющих конфиденциальность, на основе федеративных сетевых удостоверений (PDF) . 6-я конференция ACM по безопасности и конфиденциальности данных и приложений (CODASPY).
16. Ю, Хайфэн; Камински, Майкл; Гиббонс, Филлип Б.; Флаксман, Абрахам (2006). SybilGuard: защита от атак Сивиллы через социальные сети . Конференция 2006 года по приложениям, технологиям, архитектурам и протоколам для компьютерных коммуникаций - SIGCOMM '06. стр. 267–78. doi :10.1145/1159913.1159945. ISBN 978-1-59593-308-9.
17. SybilLimit: Почти оптимальная защита социальных сетей от атак Сивиллы. Симпозиум IEEE по безопасности и конфиденциальности. 19 мая 2008 г. doi :10.1109/SP.2008.13.
18. O'Whielacronx, Zooko . "Levien's attack-resistant trust metric". <p2p-hackers at lists.zooko.com> . gmane.org. Архивировано из оригинала 7 июля 2014 г. Получено 10 февраля 2012 г.
19. Цао, Цян; Сиривианос, Майкл; Ян, Сяовэй; Прегейру, Тиаго (25–27 апреля 2012 г.). Помощь в обнаружении поддельных аккаунтов в крупномасштабных социальных онлайн-сервисах. Проектирование и реализация сетевых систем USENIX.
20. Курве, Адитья; Кесидис, Джордж (2011). «Обнаружение Сивиллы с помощью мониторинга распределенных разреженных разрезов». Международная конференция IEEE по коммуникациям (ICC) 2011 г. стр. 1–6. doi :10.1109/icc.2011.5963402. ISBN 978-1-61284-232-5. S2CID  5082605.
21. Бимал Вишванат; Энсли Пост; Кришна Фани Гуммади; Алан Э. Мислов (август 2010 г.). «Анализ защиты Сивиллы на основе социальных сетей». ACM SIGCOMM Computer Communication Review . 40 (4): 363–374. doi :10.1145/1851275.1851226.
22. Форд, Брайан; Штраус, Якоб (1 апреля 2008 г.). Оффлайновый фонд для онлайн-ответственных псевдонимов. 1-й семинар по системам социальных сетей - SocialNets '08. стр. 31–6. doi :10.1145/1435497.1435503. ISBN 978-1-60558-124-8.
23. Мария Борге; Элефтериос Кокорис-Когиас; Филипп Йованович; Линус Гассер; Николас Гейлли; Брайан Форд (29 апреля 2017 г.). Доказательство личности: повторная демократизация криптовалют без разрешения. Безопасность и конфиденциальность IEEE в блокчейне (IEEE S&B). doi :10.1109/EuroSPW.2017.46.
24. Форд, Брайан (декабрь 2020 г.). «Технологизация демократии или демократизация технологий? Взгляд на потенциалы и проблемы с точки зрения многоуровневой архитектуры». В Люси Бернхольц; Элен Ландемор; Роб Райх (ред.). Цифровые технологии и демократическая теория. Издательство Чикагского университета. ISBN 978-0-226-74857-3.
25. Дивья Сиддарт; Сергей Ивлиев; Сантьяго Сири; Паула Берман (13 октября 2020 г.). «Кто наблюдает за стражами? Обзор субъективных подходов к устойчивости к Сивилле в протоколах доказательства личности | класс cs.CR». arXiv : 2008.05300 [cs.CR].
26. Нгуен Тран; Бонан Мин; Джиньян Ли; Лакшминараянан Субраманиан (22 апреля 2009 г.). Голосование за устойчивый онлайн-контент Sybil (PDF) . NSDI '09: 6-й симпозиум USENIX по проектированию и внедрению сетевых систем.
27. Хайфэн Юй; Чэньвэй Ши; Майкл Камински; Филипп Б. Гиббонс; Фэн Сяо (19 мая 2009 г.). DSybil: Оптимальная устойчивость к атакам Сивиллы для систем рекомендаций. 30-й симпозиум IEEE по безопасности и конфиденциальности. doi :10.1109/SP.2009.26.
28. Крис Лесневски-Лаас; М. Франс Каашук (28 апреля 2010 г.). Whānau: Распределенная хэш-таблица, защищенная от атак Сивиллы (PDF) . 7-й симпозиум USENIX по проектированию и внедрению сетевых систем (NSDI).
29. «Сетевая база данных — I2P».

Внешние ссылки

• Querci, Daniele; Hailes, Stephen (2010). «Атаки Сивиллы против мобильных пользователей: друзья и враги на помощь». Труды IEEE INFOCOM 2010 г. С. 1–5. CiteSeerX  10.1.1.360.8730 . doi :10.1109/INFCOM.2010.5462218. ISBN 978-1-4244-5836-3. S2CID  2451937.
• Bazzi, Rida A; Konjevod, Goran (2006). «Об установлении различных идентичностей в оверлейных сетях». Distributed Computing . 19 (4): 267–87. doi :10.1007/s00446-006-0012-y. S2CID  2723075.
• Lesniewski-Laas, Chris (2008). "A Sybil-proof one-hop DHT". Труды 1-го семинара по системам социальных сетей - SocialNets '08 . стр. 19–24. doi :10.1145/1435497.1435501. ISBN 978-1-60558-124-8. S2CID  5793502.
• Ньюсом, Джеймс; Ши, Элейн ; Сонг, Дон; Перриг, Адриан (2004). "Атака Сивиллы в сенсорных сетях". Труды третьего международного симпозиума по обработке информации в сенсорных сетях - IPSN'04 . С. 259–68. doi :10.1145/984622.984660. ISBN 978-1-58113-846-7. S2CID  12451248.
• Обзор решений для атаки Сивиллы
• О формировании сети: атаки Сивиллы и системы репутации
• Сеньор, Жан-Марк; Грей, Алан; Дженсен, Кристиан Дамсгаард (2005). «Передача доверия: поощрение саморекомендаций без атаки Сивиллы». Управление доверием . Конспект лекций по информатике. Том 3477. С. 321–37. CiteSeerX  10.1.1.391.5003 . doi :10.1007/11429760_22. ISBN 978-3-540-26042-4.
• Обзор методов безопасности DHT Гвидо Урданеты, Гийома Пьера и Мартена ван Стена. Обзоры ACM Computing, 2009.
• Эксперимент по слабости алгоритмов репутации, используемых в профессиональных социальных сетях: случай Naymz Марко Лаццари. Труды Международной конференции IADIS e-Society 2010.