Defesa com prova de trabalho para serviços onion

 (blog.torproject.org)
2 pontos por GN⁺ 2023-08-26 | 1 comentários | Compartilhar no WhatsApp
  • Este artigo anuncia a introdução de um recurso de defesa com prova de trabalho (PoW) para serviços onion, com o objetivo de priorizar tráfego de rede verificado e impedir ataques de negação de serviço (DoS). Esse recurso faz parte da nova versão do Tor 0.4.8.
  • O mecanismo de defesa PoW permanece desativado em condições normais para manter a experiência do usuário fluida. No entanto, quando um serviço onion está sob estresse, ele passa a solicitar que as conexões de clientes de entrada realizem tarefas progressivamente mais complexas.
  • Os serviços onion priorizam essas conexões de acordo com o nível de esforço demonstrado pelo cliente. Espera-se que esse mecanismo de PoW torne ataques em larga escala caros e inviáveis, desestimulando atacantes e priorizando o tráfego legítimo.
  • A necessidade desse mecanismo decorre do design único dos serviços onion, que prioriza a privacidade do usuário ao ocultar endereços IP. Esse design tornou os serviços onion vulneráveis a ataques DoS, e os limites de taxa tradicionais baseados em IP eram uma proteção incompleta.
  • O mecanismo de PoW funciona como um sistema de tickets que fica desativado por padrão, mas se adapta ao estresse da rede para criar uma fila com prioridades. Antes de acessar um serviço onion, o cliente precisa resolver um pequeno quebra-cabeça para provar que realizou o "trabalho". Quanto mais difícil o quebra-cabeça, mais trabalho foi realizado, o que ajuda a demonstrar que o usuário é real e não um bot tentando invadir o serviço.
  • Se um atacante tentar inundar um serviço onion com requisições, a defesa PoW aumenta o esforço computacional necessário para acessar o site .onion. Esse sistema de tickets tem como objetivo desfavorecer atacantes que fazem um grande volume de tentativas de conexão a serviços onion.
  • Para usuários comuns, o esforço computacional adicional necessário para resolver os quebra-cabeças é suportável na maioria dos dispositivos. À medida que o tráfego de ataque aumenta, o esforço exigido também cresce, chegando a cerca de 1 minuto de tempo de processamento. Esse processo é invisível para o usuário, e esperar pela solução de PoW é semelhante a aguardar uma conexão de rede lenta.
  • A introdução da defesa PoW no Tor posiciona os serviços onion como um dos poucos protocolos de comunicação com proteção DoS incorporada. Se for adotada por sites importantes, ela promete reduzir os efeitos negativos de ataques direcionados à velocidade da rede, e a natureza dinâmica desse sistema ajuda a equilibrar a carga durante picos de tráfego, garantindo um acesso mais consistente e confiável aos serviços onion.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-08-26
Comentários do Hacker News
  • Este artigo discute uma proposta para implementar uma defesa por Proof-of-Work (PoW) para dificultar ataques contra serviços Onion.
  • Não se espera que a defesa por PoW consiga lidar com botnets de grande escala, mas ela pode ajudar na proteção contra ataques menores.
  • A proposta permite que usuários ainda consigam se conectar durante ataques DoS, desde que façam um esforço computacional.
  • O algoritmo de PoW escolhido para esta proposta é o equi-X.
  • A proposta introduz um sistema de "lances" em que clientes que dedicam mais esforço ao PoW recebem prioridade maior.
  • Alguns usuários se surpreendem por uma defesa desse tipo não ter sido implementada antes e questionam o possível impacto sobre o anonimato dos usuários.
  • A defesa por PoW pode reduzir a carga sobre os serviços que estão sendo proxyados e também sobre os próprios nós.
  • Alguns usuários sugerem que isso poderia eliminar a necessidade de uma CDN para proteção contra DDoS e que também poderia ser aplicado a outras áreas, como spam de e-mail e sites muito movimentados.
  • Surgem dúvidas sobre como a defesa por PoW lidaria com abusadores que obtêm novas identidades e continuam realizando DDoS.
  • São propostas soluções alternativas, como usar a rede como uma CDN ou vincular o PoW a assinaturas em sequência para permitir verificação em paralelo.
  • Há ceticismo quanto à afirmação de que existe apenas uma diferença de 6 vezes no tempo de resolução entre servidores avançados e celulares mais simples.
  • Alguns usuários acham que este é um bom uso de PoW e acreditam que isso pode limitar ataques DDoS ao ônus de apresentar prova.