Sybil saldırısı, bilgisayar ağ hizmetine yönelik, bir saldırganın çok sayıda takma isimli kimlik oluşturarak hizmetin prestij sistemini alt üst ettiği ve orantısız derecede büyük bir tesir elde etmek için bunları kullandığı bir atak tipidir. İsmini, dissosiyatif kimlik bozukluğu teşhisi konan bir bayanın olay çalışması olan Sybil kitabının konusundan almıştır.
Sybil Hücum (Sybil Attack) Nedir?
Bilgisayar güvenliğindeki Sybil saldırısı, birden fazla kimlik oluşturarak bir prestij sisteminin alt üst edildiği bir akındır. Bir prestij sisteminin bir Sybil saldırısına karşı savunmasızlığı, kimliklerin ne kadar ucuza üretilebileceğine, prestij sisteminin onları muteber bir varlığa bağlayan bir itimat zincirine sahip olmayan varlıklardan gelen girdileri kabul etme derecesine ve prestijin olup olmadığına bağlıdır. Sistem tüm varlıklara tıpkı halde davranır. 2012 itibariyle araştırma sonuçları sonucunda elde edilen ispatlar, büyük ölçekli Sybil akınlarının BitTorrent Mainline DHT üzere mevcut gerçekçi sistemlerde çok ucuz ve verimli bir biçimde gerçekleştirilebileceğini gösterdi.
Eşler ortası ağdaki bir varlık, lokal kaynaklara erişimi olan bir yazılım modülüdür. Bir varlık, bir kimlik sunarak eşler ortası ağda kendini tanıtır. Birden fazla kimlik, tek bir varlığa karşılık gelebilir. Öteki bir deyişle, kimliklerin varlıklara eşlenmesi çoka birdir. Eşler ortası ağlardaki varlıklar, fazlalık, kaynak paylaşımı, güvenilirlik ve bütünlük emeliyle birden çok kimlik kullanır. Eşler ortası ağlarda, kimlik bir soyutlama olarak kullanılır, böylelikle uzak bir varlık, kimliklerin lokal varlıklara karşılık gelmesini mecburî olarak bilmeden kimliklerin farkında olabilir. Varsayılan olarak, her farklı kimliğin çoklukla başka bir mahallî varlığa karşılık geldiği varsayılır. Gerçekte, birçok kimlik birebir lokal varlığa karşılık gelebilir.
Bir düşman, birden çok farklı node olarak görünmek ve fonksiyon görmek için eşler ortası bir ağa birden çok kimlik sunabilir. Böylelikle, örneğin oylama sonuçlarını etkileyerek, rakip ağ üzerinde orantısız bir denetim seviyesi elde edebilir.
Çevrimiçi (insan) toplulukları bağlamında , bu tıp çoklu kimlikler bazen çorap kuklaları olarak bilinir.
Sybil Taarruz Örnekleri
2014’te birkaç ay boyunca Tor anonimlik ağına karşı bir trafik doğrulama hücumuyla kontaklı kayda kıymet bir Sybil saldırısı başlatıldı.
Buna 2020 Bitcoin adresi tekrar yazma hücumları da dahildir. Saldırgan, tüm Tor çıkış rölelerinin dörtte birini denetim etti ve inançlı irtibatların düzeyini düşürmek ve BTCMITM20 olarak bilinen tehdit aktörünün cüzdanına para yönlendirmek için SSL tekniğini kullandı.
Bir öteki dikkate bedel örnek, tehdit aktörü KAX17 tarafından yürütülen 2017-2021 taarruzudur. Bu varlık, Tor kullanıcılarını anonimleştirme teşebbüsünde, başta orta noktalar olmak üzere 900’den fazla makus gayeli sunucuyu denetim etti.
Sybil Taarruzlar Nasıl Önlenir?
Sybil ataklarını önlemeye yönelik bilinen yaklaşımlar ortasında kimlik doğrulama, toplumsal itimat grafiği algoritmaları yahut ekonomik maliyetler ile birlikte kişilik doğrulama ve uygulamaya özel savunmalar bulunur.
Kimlik
Doğrulama teknikleri, Sybil hücumlarını önlemek ve maskelenen düşman varlıkları ortadan kaldırmak için kullanılabilir. Mahallî bir varlık, bir kimlik ile bir varlık ortasında teğe bir yazışma sağlayan ve hatta geriye yanlışsız arama sağlayabilen merkezi bir otoriteye dayalı uzak bir kimliği kabul edebilir. Bir kimlik direkt yahut dolaylı olarak doğrulanabilir. Direkt doğrulamada lokal varlık, uzak kimlikleri doğrulamak için merkezi otoriteyi sorgular. Dolaylı doğrulamada lokal varlık, kelam konusu uzak kimliğin geçerliliğine kefil olan evvelce kabul edilmiş kimliklere güvenir.
Pratik ağ uygulamaları ve hizmetleri, hudutlu Sybil taarruz direnci elde etmek için ekseriyetle telefon numarası doğrulaması, kredi kartı doğrulaması ve hatta bir istemcinin IP adresine dayalı olarak çeşitli kimlik proxy’leri kullanır. Bu yolların sınırlamaları vardır; bu çeşit kimlik proxy’lerini makul bir maliyet karşılığında elde etmek yahut hatta SMS sahtekarlığı yahut IP adresi sahtekarlığı üzere teknikler aracılığıyla düşük maliyetle elde etmek ekseriyetle mümkündür. Bu cins kimlik proxy’lerinin kullanımı, gerekli kimlik proxy’sine hazır erişimi olmayanları da hariç tutabilir: örneğin, kendi cep telefonu yahut kredi kartı olmayanlar yahut ardında bulunan kullanıcılar…
Kimliğe dayalı doğrulama teknikleri çoklukla anonimlik değerine hesap verebilirlik sağlar; bu, bilhassa sansürsüz bilgi alışverişine ve hassas bahislerin açık bir halde tartışılmasına müsaade vermek isteyen çevrimiçi forumlarda istenmeyen bir takas olabilir. Bir doğrulama yetkilisi, geriye yanlışsız arama yapmayı reddederek kullanıcıların anonimliğini müdafaaya çalışabilir, fakat bu yaklaşım, doğrulama yetkilisini atak için birincil maksat haline getirir. Eşik kriptografisi kullanan protokoller, potansiyel olarak bu türlü bir doğrulama yetkilisinin rolünü birden çok sunucu ortasında dağıtabilir ve bir yahut sonlu sayıda doğrulama sunucusu tehlikeye girse bile kullanıcıların anonimliğini koruyabilir.
Sosyal İnanç Grafikleri
Sosyal grafiklerin bağlanabilirlik özelliklerine dayalı Sybil tedbire teknikleri, anonimliği korurken makul bir Sybil saldırganının neden olabileceği hasarın boyutunu da sınırlayabilir. Bu cins tedbire tekniklerinin örnekleri ortasında SybilGuard, SybilLimit, Advogato Trust Metric, SybilRank ve dağıtılmış bir P2P tabanlı prestij sisteminde Sybil kümelerini tanımlamak için seyreklik tabanlı metrik yer alır.
Bu teknikler, Sybil akınlarını büsbütün engelleyemez ve yaygın küçük ölçekli Sybil taarruzlarına karşı savunmasız olabilir. Ayrıyeten, gerçek dünyadaki çevrimiçi toplumsal ağların, bu algoritmaların varsaydığı itimat yahut ilişki varsayımlarını karşılayıp karşılamadığı da net değildir.
Alternatif olarak, girişe yapay mahzurlar olarak ekonomik maliyetler dayatmak, Sybil taarruzlarını daha değerli hale getirmek için kullanılabilir. Örneğin, çalışma ispatı, bir kullanıcının kriptografik bir bulmacayı çözmek için belli bir ölçüde hesaplama eforu harcadığını kanıtlamasını gerektirir. Bitcoin ve ilgili müsaadesiz kripto para ünitelerinde, madenciler bir blokzincirine bloklar eklemek için rekabet eder ve kabaca muhakkak bir vakit diliminde yatırdıkları hesaplama uğraşı ölçüsüyle orantılı olarak mükafatlar kazanır. Mevcut kripto para ünitesindeki depolama yahut pay üzere başka kaynaklara yapılan yatırımlar da misal formda ekonomik maliyetler empoze etmek için kullanılabilir.
Kişilik Doğrulaması
Katı bir “kişi başına bir” tahsis kuralını sürdürmeye çalışan kimlik doğrulamaya bir alternatif olarak, bir doğrulama yetkilisi, bir kullanıcının gerçek kimliğinin bilgisi dışında birtakım düzenekler kullanabilir. Bu cins kişilik ispatı yaklaşımları, her insan iştirakçinin fikir birliğinde tam olarak bir oy kullanacağı müsaadesiz blokzincirleri ve kripto para üniteleri için bir temel olarak önerilmiştir. Birçok kullanılabilirlik ve güvenlik sorunu devam etse de kişiliğin kanıtlanmasına yönelik çeşitli yaklaşımlar önerilmiştir.
Uygulamaya Mahsus Savunmalar
Sybil hücum muhafazası düşünülerek bir dizi dağıtılmış protokol tasarlanmıştır. SumUp ve DSybil, çevrimiçi içerik tavsiyesi ve oylama için Sybil’e dirençli algoritmalardır. Whanau, Sybil’e sağlam dağıtılmış bir karma tablo algoritmasıdır. I2P’nin Kademlia uygulamasında Sybil taarruzlarını hafifletmek için kararlar de vardır.
Loading...
