Атака Сивілли (англ. Sybil attack) — вид атаки, в якій репутаційна система підривається шляхом підробки ідентичності в одноранговій мережі. В результаті атаки жертва підключається тільки до вузлів, контрольованих зловмисником. Термін запропонований в 2002 співробітником Microsoft Research Брайаном Зілом. Назва вибрана на честь псевдоніма головної героїні книги-бестселера 1973 року [en]» про лікування дисоціативного розладу особистості. Незважаючи на те, що перекладах книги — першоджерела назви — використовується варіант Сивілла, також зустрічається використання транслітерації Сибілла. До 2002 року атаки того ж класу були відомі під терміном псевдоспуфінг, який увів Л. Детвейлер у списку розсилки шифропанків і використовувався в літературі про однорангові системи для одного класу атак до 2002 року, але цей термін не отримав такого розповсюдження, як «атака Сивілли».
Опис
В однорангових мережах, де жоден вузол не є надійним, кожен запит дублюється кільком одержувачам з тим, щоб не виявилося єдиного вузла, відповіді якого було б необхідно повністю довіряти. У той же час, користувачі мережі можуть мати декілька ідентифікаторів, які фізично належать до різних вузлів. Сумлінно ці ідентифікатори можна використовувати, щоб розділяти загальні ресурси або мати кілька їх копій. Останнє створить надмірність, яка дозволить перевіряти цілісність даних, прийнятих з мережі незалежно. Зворотною стороною такого підходу є те, що в якийсь момент всі доступні вузли, які повинні представляти різних одержувачів деякого запиту, можуть контролюватися одним і тим же користувачем. Таким чином, якщо цей користувач виявиться зловмисником, у нього в даному сеансі будуть всі можливості посередника, який невиправдано отримав повну довіру ініціатора сеансу. Чим більше ідентифікаторів належить зловмиснику, тим більше шансів, що наступний сеанс деякого користувача з p2p-мережею виявиться замкнутий на цих вузлах-псевдонімах. При цьому зловмиснику важливо, щоб новий ідентифікатор було досить легко створити.
В силу відсутності надійного центру, в одноранговій мережі є 2 способи визнати новий ідентифікатор: або отримати гарантії його сумлінності від інших вузлів, або самостійно перевірити його яким-небудь чином.
При прямій перевірці:
- Навіть якщо ресурси обмежені, зловмисник все одно може контролювати якесь число ідентифікаторів.
- Зловмисник може створювати ідентифікатори-псевдоніми знову і знову, якщо він не зобов'язаний підтверджувати володіння всіма ними одночасно.
При непрямій перевірці:
- Досить велике число підконтрольних ідентифікаторів дозволяє підробляти необмежену кількість нових.
- Зловмисник завжди зможе контролювати велику кількість ідентифікаторів, якщо він не зобов'язаний безперервно їх підтверджувати.
Із зростанням децентралізованої мережі зростає і кількість ідентифікаторів-псевдонімів. Стає недоцільно вимагати в кожного користувача підтверджувати володіння своїми ідентифікаторами одночасно і безперервно, оскільки це суттєво заважає масштабованості мережі. У 2012 році було показано, що широкомасштабні атаки можна проводити дешево і ефективно в існуючих системах, таких як BitTorrent Mainline DHT. Активна увага атаці Сивілли приділяється в рамках розробки автомобільних мереж vehicle-to-vehicle (v2v).
Інциденти
- 2014 рік — атака Сивілли тривалістю у п'ять місяців (з лютого по липень) проведена невідомими в рамках мережі Tor. Пізніше, розробники мережі створили програмний засіб, який дозволив виявити безліч вузлів-псевдонімів. Були розкриті схеми перезаписування адрес гаманців Bitcoin, перенаправлення на фішингові сайти, а також ряд вузлів, що застосовуються для дослідження можливості деанонімізації мережі.
Протидія
Пряма перевірка
Вважається, що єдиний прямий спосіб переконати учасника в тому, що два вузла належать до різних користувачів — це вирішення завдання, яке один користувач не може вирішити самостійно. При цьому враховується, що ресурси вузлів обмежені.
- Якщо врахувати обмеженість швидкості з'єднання, то учасник може надіслати широкомовний запит і приймати відповіді лише протягом обмеженого інтервалу часу.
- Якщо враховувати обмеженість ресурсів зберігання, учасник може зажадати від ідентифікаторів зберігати велику кількість унікальної інформації. Разом з тим, маючи при собі невелику витримку з цих даних, учасник зможе переконатися в тому, що з високою ймовірністю ці дані все ще зберігаються в цих вузлах.
- Якщо використовувати обмеженість обчислювальних ресурсів, то учасник може зажадати від кожного ідентифікатора вирішувати унікальну, обчислювально складну задачу.
Непряма перевірка
Можна заощадити власні ресурси, якщо делегувати завдання валідації вузлів іншим учасникам. Крім того, при такому підході додатковим аргументом на користь успішного проходження валідації стане число перевірок, успішно пройдених вузлом до цього. Чаян Банерджі запропонував схему непрямої перевірки вузла, що складається з двох стадій. На першій стадії результат перевірки — ступінь довіри сайту, що перевіряється — повідомляють найближчі вузли, що дозволяє не відправляти дані. Одержані значення порівнюються із результатами аналогічної перевірки кількома іншими, випадково вибраними віддаленими вузлами. У переважній більшості випадків, це дозволяє виявити вузли-псевдоніми, які брали участь у перевірці на першому етапі.
Плата за реєстрацію
Якщо цінні активи знаходяться в обігу в децентралізованій мережі, можна вимагати плату за кожен створений ідентифікатор. В такому випадку, зловмиснику доведеться співвідносити вартість огранізації атаки з очікуваною вигодою. Зрозуміло, в такій схемі організація повторної атаки нічого не буде коштувати зловмисникові. Цього недоліку можна уникнути, якщо вимагати оплати регулярно.
Соціальні графи
Методи профілактики, засновані на характеристиці зв'язності соціальних графів, можуть обмежити ступінь шкоди від атаки Сивілли, не позбавляючи учасників мережі анонімності. Дані методи не можуть повністю запобігти атаці і вони особливо вразливі до широко поширених атак невеликого масштабу. Тим не менш, цими методами користуються Hyves Trust Metric і SybilGuard.
Gate Keeper
Кандидат комп'ютерних наук Нгуєн Тран запропонував децентралізований протокол Gate Keeper, який виробляє стійку до атаки Сивілли перевірку вузлів, засновану на механізмі соціальної мережі. Протокол дозволяє найбільш чесним вузлам контролювати число вузлів, здатних здійснити атаку. Автор протоколу виходить з припущення, що вузли-псевдоніми розташовані поруч. Тоді, якщо розподілити право голосу між віддаленими вузлами, буде дуже малоймовірно, що зловмисник контролює більшість вузлів, які підтверджують валідацію. Протокол використовує поняття 'рівня', засноване на відстані між вузлами. Нехай обмежене число голосів спочатку порівну розподіляється між вузлами одного рівня, вони залишають собі один голос, потім голоси відправляється на наступний рівень. Так продовжується до тих пір, поки не закінчаться голоси, або рівні (на наступному рівні не буде вузлів без голосу). На перший погляд, в даній ситуації не так просто розподілити голоси між сумлінними вузлами (при більш детальному аналізі їх буде лише близько 60 %). Також залишається ймовірність того, що велика частка голосів на перших ітераціях потрапить до зловмисника, який буде використовувати їх на свою користь. Тому в протоколі випадковим чином вибирається декілька віддалених вузлів — первинних джерел голосів .
Доказ виконання роботи
Вважається, що консенсус Накамото за рахунок прив'язки ідентифікатора до реальних обчислювальних потужностей, повністю зводить нанівець можливість атаки. Однак, така схема також має свої недоліки, у першу чергу через невиправдані енерговитрати. Пропонувалося використовувати випадкові ідентифікатори, за право розпоряджатися якими учасники мережі змагаються. При цьому отриманим ідентифікатором можна розпоряджатися лише обмежений час, після чого учаснику доводиться шукати новий .
Примітки
- Trifa, Zied; Khemakhem, Maher (2014). Sybil Nodes as a Mitigation Strategy Against Sybil Attack. Procedia Computer Science. 32: 1135—40. doi:10.1016/j.procs.2014.05.544.
- Douceur, John R (2002). The Sybil Attack. Peer-to-Peer Systems. Lecture Notes in Computer Science. Т. 2429. с. 251–60. doi:10.1007/3-540-45748-8_24. ISBN .
- Lynn Neary (20 October 2011). Real 'Sybil' Admits Multiple Personalities Were Fake [ 15 червня 2019 у Wayback Machine.]. NPR. Retrieved 8 February 2017.
- Oram, Andrew (2001). Peer-to-peer: harnessing the benefits of a disruptive technology.
- Oram, Andrew (2001). Peer-to-peer: harnessing the benefits of a disruptive technology.
- Banerjee, Chayan (2014). Sybil node detection in peer-to-peer networks using indirect validation. IEEE INDICON.
- Aksah Wanjari (2015). A Survey and Analysis of Sybil Attack in Peer to Peer Network [ 15 серпня 2017 у Wayback Machine.].
- Douceur, John R. (2002). (PDF). International workshop on Peer-To-Peer Systems. Архів оригіналу (PDF) за 10 березня 2016. Процитовано 19 грудня 2017.
- Wang, Liang; Kangasharju, Jussi (2012). . IEEE GLOBECOM. Архів оригіналу за 10 серпня 2014. Процитовано 19 Декабря 2017.
- Wang, Liang; Kangasharju, Jussi (2013). (PDF). IEEE Peer-to-Peer. Архів оригіналу (PDF) за 12 травня 2014. Процитовано 19 грудня 2017.
- Tor security advisory: «relay early» traffic confirmation attack [ 5 вересня 2017 у Wayback Machine.].
- Muhammad Saad Naveed, M Hasan Islma (2015). Detection of Sybil Attacks in Vehicular Ad Hoc Networks [ 13 серпня 2017 у Wayback Machine.].
- Dan Goodin. Active attack on Tor network tried to decloak users for five months [ 18 лютого 2017 у Wayback Machine.].
Посилання
- Active attack on Tor network tried to decloak users for five months [ 27 травня 2018 у Wayback Machine.]
- Detection of Sybil Attacks in Vehicular Ad Hoc Networks [ 13 серпня 2017 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Ataka Sivilli angl Sybil attack vid ataki v yakij reputacijna sistema pidrivayetsya shlyahom pidrobki identichnosti v odnorangovij merezhi V rezultati ataki zhertva pidklyuchayetsya tilki do vuzliv kontrolovanih zlovmisnikom Termin zaproponovanij v 2002 spivrobitnikom Microsoft Research Brajanom Zilom Nazva vibrana na chest psevdonima golovnoyi geroyini knigi bestselera 1973 roku en pro likuvannya disociativnogo rozladu osobistosti Nezvazhayuchi na te sho perekladah knigi pershodzherela nazvi vikoristovuyetsya variant Sivilla takozh zustrichayetsya vikoristannya transliteraciyi Sibilla Do 2002 roku ataki togo zh klasu buli vidomi pid terminom psevdospufing yakij uviv L Detvejler u spisku rozsilki shifropankiv i vikoristovuvavsya v literaturi pro odnorangovi sistemi dlya odnogo klasu atak do 2002 roku ale cej termin ne otrimav takogo rozpovsyudzhennya yak ataka Sivilli OpisV odnorangovih merezhah de zhoden vuzol ne ye nadijnim kozhen zapit dublyuyetsya kilkom oderzhuvacham z tim shob ne viyavilosya yedinogo vuzla vidpovidi yakogo bulo b neobhidno povnistyu doviryati U toj zhe chas koristuvachi merezhi mozhut mati dekilka identifikatoriv yaki fizichno nalezhat do riznih vuzliv Sumlinno ci identifikatori mozhna vikoristovuvati shob rozdilyati zagalni resursi abo mati kilka yih kopij Ostannye stvorit nadmirnist yaka dozvolit pereviryati cilisnist danih prijnyatih z merezhi nezalezhno Zvorotnoyu storonoyu takogo pidhodu ye te sho v yakijs moment vsi dostupni vuzli yaki povinni predstavlyati riznih oderzhuvachiv deyakogo zapitu mozhut kontrolyuvatisya odnim i tim zhe koristuvachem Takim chinom yaksho cej koristuvach viyavitsya zlovmisnikom u nogo v danomu seansi budut vsi mozhlivosti poserednika yakij nevipravdano otrimav povnu doviru iniciatora seansu Chim bilshe identifikatoriv nalezhit zlovmisniku tim bilshe shansiv sho nastupnij seans deyakogo koristuvacha z p2p merezheyu viyavitsya zamknutij na cih vuzlah psevdonimah Pri comu zlovmisniku vazhlivo shob novij identifikator bulo dosit legko stvoriti V silu vidsutnosti nadijnogo centru v odnorangovij merezhi ye 2 sposobi viznati novij identifikator abo otrimati garantiyi jogo sumlinnosti vid inshih vuzliv abo samostijno pereviriti jogo yakim nebud chinom Pri pryamij perevirci Navit yaksho resursi obmezheni zlovmisnik vse odno mozhe kontrolyuvati yakes chislo identifikatoriv Zlovmisnik mozhe stvoryuvati identifikatori psevdonimi znovu i znovu yaksho vin ne zobov yazanij pidtverdzhuvati volodinnya vsima nimi odnochasno Pri nepryamij perevirci Dosit velike chislo pidkontrolnih identifikatoriv dozvolyaye pidroblyati neobmezhenu kilkist novih Zlovmisnik zavzhdi zmozhe kontrolyuvati veliku kilkist identifikatoriv yaksho vin ne zobov yazanij bezperervno yih pidtverdzhuvati Iz zrostannyam decentralizovanoyi merezhi zrostaye i kilkist identifikatoriv psevdonimiv Staye nedocilno vimagati v kozhnogo koristuvacha pidtverdzhuvati volodinnya svoyimi identifikatorami odnochasno i bezperervno oskilki ce suttyevo zavazhaye masshtabovanosti merezhi U 2012 roci bulo pokazano sho shirokomasshtabni ataki mozhna provoditi deshevo i efektivno v isnuyuchih sistemah takih yak BitTorrent Mainline DHT Aktivna uvaga ataci Sivilli pridilyayetsya v ramkah rozrobki avtomobilnih merezh vehicle to vehicle v2v Incidenti2014 rik ataka Sivilli trivalistyu u p yat misyaciv z lyutogo po lipen provedena nevidomimi v ramkah merezhi Tor Piznishe rozrobniki merezhi stvorili programnij zasib yakij dozvoliv viyaviti bezlich vuzliv psevdonimiv Buli rozkriti shemi perezapisuvannya adres gamanciv Bitcoin perenapravlennya na fishingovi sajti a takozh ryad vuzliv sho zastosovuyutsya dlya doslidzhennya mozhlivosti deanonimizaciyi merezhi ProtidiyaPryama perevirka Vvazhayetsya sho yedinij pryamij sposib perekonati uchasnika v tomu sho dva vuzla nalezhat do riznih koristuvachiv ce virishennya zavdannya yake odin koristuvach ne mozhe virishiti samostijno Pri comu vrahovuyetsya sho resursi vuzliv obmezheni Yaksho vrahuvati obmezhenist shvidkosti z yednannya to uchasnik mozhe nadislati shirokomovnij zapit i prijmati vidpovidi lishe protyagom obmezhenogo intervalu chasu Yaksho vrahovuvati obmezhenist resursiv zberigannya uchasnik mozhe zazhadati vid identifikatoriv zberigati veliku kilkist unikalnoyi informaciyi Razom z tim mayuchi pri sobi neveliku vitrimku z cih danih uchasnik zmozhe perekonatisya v tomu sho z visokoyu jmovirnistyu ci dani vse she zberigayutsya v cih vuzlah Yaksho vikoristovuvati obmezhenist obchislyuvalnih resursiv to uchasnik mozhe zazhadati vid kozhnogo identifikatora virishuvati unikalnu obchislyuvalno skladnu zadachu Nepryama perevirka Mozhna zaoshaditi vlasni resursi yaksho deleguvati zavdannya validaciyi vuzliv inshim uchasnikam Krim togo pri takomu pidhodi dodatkovim argumentom na korist uspishnogo prohodzhennya validaciyi stane chislo perevirok uspishno projdenih vuzlom do cogo Chayan Banerdzhi zaproponuvav shemu nepryamoyi perevirki vuzla sho skladayetsya z dvoh stadij Na pershij stadiyi rezultat perevirki stupin doviri sajtu sho pereviryayetsya povidomlyayut najblizhchi vuzli sho dozvolyaye ne vidpravlyati dani Oderzhani znachennya porivnyuyutsya iz rezultatami analogichnoyi perevirki kilkoma inshimi vipadkovo vibranimi viddalenimi vuzlami U perevazhnij bilshosti vipadkiv ce dozvolyaye viyaviti vuzli psevdonimi yaki brali uchast u perevirci na pershomu etapi Plata za reyestraciyu Yaksho cinni aktivi znahodyatsya v obigu v decentralizovanij merezhi mozhna vimagati platu za kozhen stvorenij identifikator V takomu vipadku zlovmisniku dovedetsya spivvidnositi vartist ogranizaciyi ataki z ochikuvanoyu vigodoyu Zrozumilo v takij shemi organizaciya povtornoyi ataki nichogo ne bude koshtuvati zlovmisnikovi Cogo nedoliku mozhna uniknuti yaksho vimagati oplati regulyarno Socialni grafi Metodi profilaktiki zasnovani na harakteristici zv yaznosti socialnih grafiv mozhut obmezhiti stupin shkodi vid ataki Sivilli ne pozbavlyayuchi uchasnikiv merezhi anonimnosti Dani metodi ne mozhut povnistyu zapobigti ataci i voni osoblivo vrazlivi do shiroko poshirenih atak nevelikogo masshtabu Tim ne mensh cimi metodami koristuyutsya Hyves Trust Metric i SybilGuard Gate Keeper Kandidat komp yuternih nauk Nguyen Tran zaproponuvav decentralizovanij protokol Gate Keeper yakij viroblyaye stijku do ataki Sivilli perevirku vuzliv zasnovanu na mehanizmi socialnoyi merezhi Protokol dozvolyaye najbilsh chesnim vuzlam kontrolyuvati chislo vuzliv zdatnih zdijsniti ataku Avtor protokolu vihodit z pripushennya sho vuzli psevdonimi roztashovani poruch Todi yaksho rozpodiliti pravo golosu mizh viddalenimi vuzlami bude duzhe malojmovirno sho zlovmisnik kontrolyuye bilshist vuzliv yaki pidtverdzhuyut validaciyu Protokol vikoristovuye ponyattya rivnya zasnovane na vidstani mizh vuzlami Nehaj obmezhene chislo golosiv spochatku porivnu rozpodilyayetsya mizh vuzlami odnogo rivnya voni zalishayut sobi odin golos potim golosi vidpravlyayetsya na nastupnij riven Tak prodovzhuyetsya do tih pir poki ne zakinchatsya golosi abo rivni na nastupnomu rivni ne bude vuzliv bez golosu Na pershij poglyad v danij situaciyi ne tak prosto rozpodiliti golosi mizh sumlinnimi vuzlami pri bilsh detalnomu analizi yih bude lishe blizko 60 Takozh zalishayetsya jmovirnist togo sho velika chastka golosiv na pershih iteraciyah potrapit do zlovmisnika yakij bude vikoristovuvati yih na svoyu korist Tomu v protokoli vipadkovim chinom vibirayetsya dekilka viddalenih vuzliv pervinnih dzherel golosiv Dokaz vikonannya roboti Vvazhayetsya sho konsensus Nakamoto za rahunok priv yazki identifikatora do realnih obchislyuvalnih potuzhnostej povnistyu zvodit nanivec mozhlivist ataki Odnak taka shema takozh maye svoyi nedoliki u pershu chergu cherez nevipravdani energovitrati Proponuvalosya vikoristovuvati vipadkovi identifikatori za pravo rozporyadzhatisya yakimi uchasniki merezhi zmagayutsya Pri comu otrimanim identifikatorom mozhna rozporyadzhatisya lishe obmezhenij chas pislya chogo uchasniku dovoditsya shukati novij PrimitkiTrifa Zied Khemakhem Maher 2014 Sybil Nodes as a Mitigation Strategy Against Sybil Attack Procedia Computer Science 32 1135 40 doi 10 1016 j procs 2014 05 544 Douceur John R 2002 The Sybil Attack Peer to Peer Systems Lecture Notes in Computer Science T 2429 s 251 60 doi 10 1007 3 540 45748 8 24 ISBN 978 3 540 44179 3 Lynn Neary 20 October 2011 Real Sybil Admits Multiple Personalities Were Fake 15 chervnya 2019 u Wayback Machine NPR Retrieved 8 February 2017 Oram Andrew 2001 Peer to peer harnessing the benefits of a disruptive technology Oram Andrew 2001 Peer to peer harnessing the benefits of a disruptive technology Banerjee Chayan 2014 Sybil node detection in peer to peer networks using indirect validation IEEE INDICON Nguyen Tran CV 6 lipnya 2017 u Wayback Machine Aksah Wanjari 2015 A Survey and Analysis of Sybil Attack in Peer to Peer Network 15 serpnya 2017 u Wayback Machine Douceur John R 2002 PDF International workshop on Peer To Peer Systems Arhiv originalu PDF za 10 bereznya 2016 Procitovano 19 grudnya 2017 Wang Liang Kangasharju Jussi 2012 IEEE GLOBECOM Arhiv originalu za 10 serpnya 2014 Procitovano 19 Dekabrya 2017 Wang Liang Kangasharju Jussi 2013 PDF IEEE Peer to Peer Arhiv originalu PDF za 12 travnya 2014 Procitovano 19 grudnya 2017 Tor security advisory relay early traffic confirmation attack 5 veresnya 2017 u Wayback Machine Muhammad Saad Naveed M Hasan Islma 2015 Detection of Sybil Attacks in Vehicular Ad Hoc Networks 13 serpnya 2017 u Wayback Machine Dan Goodin Active attack on Tor network tried to decloak users for five months 18 lyutogo 2017 u Wayback Machine PosilannyaActive attack on Tor network tried to decloak users for five months 27 travnya 2018 u Wayback Machine Detection of Sybil Attacks in Vehicular Ad Hoc Networks 13 serpnya 2017 u Wayback Machine