מניעת מתקפת סיביל ברשתות צמתים מבוזרות ורשתות ופנ מבוזרות

הבנת איום ה"סיביל" במערכות אקולוגיות מבוזרות

תהיתם פעם איך אדם אחד יכול להיראות כמו אלף אנשים שונים ברשת? זה לא רק תסריט לסרט מדע בדיוני; בעולם של רשתות מבוזרות, מדובר בכאב ראש אבטחתי עצום המכונה מתקפת סיביל (Sybil Attack).

האיום הזה, שנקרא על שם מקרה מפורסם של הפרעת זהות דיסוציאטיבית, עוסק כולו בגורם עוין אחד שמקים כמות אדירה של צמתים (Nodes) מזויפים כדי להטביע את קולם של המשתמשים הישרים. דמיינו שאתם מנסים לנהל הצבעה הוגנת בעיירה קטנה, אבל אדם אחד מופיע עם 50 כובעים שונים ושפמים מודבקים, וטוען שהוא 50 אזרחים שונים. זהו פחות או יותר מה שקורה ברשת עמית לעמית (P2P) בזמן אירוע סיביל.

במבנה מבוזר סטנדרטי, אנחנו בדרך כלל יוצאים מנקודת הנחה ש"צומת אחד שווה קול אחד" או יחידת השפעה אחת. אך מכיוון שאין משרד פנים מרכזי או רשות דרכונים שתבדוק תעודות זהות, תוקף יכול להשתמש במחשב בודד כדי ליצור אלפי זהויות דיגיטליות בדויות. לפי Imperva, הדבר מאפשר להם להשיג רוב בהצבעות מול משתמשים לגיטימיים ואפילו לסרב להעביר בלוקים של נתונים.

• זהויות מזויפות: התוקף יוצר "צמתי סיביל" שנראים לגיטימיים לשאר הרשת.
• השפעה על הרשת: על ידי שליטה ברוב הצמתים, הם יכולים לעורר "מתקפת 51%" – מצב שבו לתוקף יש יותר ממחצית מכוח הרשת, מה שמאפשר לו לבטל עסקאות או לחסום משתמשים אחרים מלבצע פעולות.
• ניצול משאבים: הצמתים המזויפים הללו עלולים לסתום את רוחב הפס, ולהפוך את האינטרנט המבוזר לאיטי ומלא בתקלות עבור כל השאר.

ג'ון ר. דוסר, שהיה הראשון שחקר זאת לעומק במסגרת מחקר במיקרוסופט, חילק את המתקפות הללו לשני סוגים. מתקפה ישירה מתרחשת כאשר הצמתים המזויפים מתקשרים ישירות עם הצמתים הישרים – זוהי שיטה נועזת ומהירה. מתקפה עקיפה היא חמקמקה יותר; התוקף משתמש בצמתי "פרוקסי" (מתווכים) כדי להסתיר את השפעתו.

זהו מצב מסוכן במיוחד עבור שירותים כמו VPN מבוזר (dVPN) או שיתוף קבצים ב-P2P. אם האקר שולט גם בנקודת הכניסה וגם בנקודת היציאה של החיבור שלכם באמצעות זהויות מזויפות מרובות, הפרטיות שלכם למעשה אבודה.

בכנות, אם לא נפתור את הדרך שבה אנו מאמתים מי "אמיתי" מבלי לפגוע באנונימיות, הרשתות הללו לעולם לא יהיו בטוחות באמת. בהמשך, נבחן כיצד אנו מתחילים להילחם חזרה בהמונים המזויפים הללו.

מדוע רשתות dVPN ו-DePIN פגיעות לתקיפות

למעשה, כשחושבים על זה, המצב די אבסורדי. אנחנו בונים רשתות גלובליות עצומות כמו dVPN (רשת פרטית וירטואלית מבוזרת) ו-DePIN (תשתית פיזית מבוזרת) כדי להפקיע את הכוח מידי התאגידים הגדולים, אך אותה מדיניות של "דלת פתוחה" היא בדיוק מה שפורצים אוהבים. אם כל אחד יכול להצטרף, אז כל אחד — כולל רשת בוטים (Botnet) עם עשרת אלפים זהויות מזויפות — יכול להצטרף גם כן.

בהמשך לבעיית האימות שהוזכרה קודם לכן, רשתות dVPN מתמודדות עם תמריצים כלכליים ספציפיים שהופכים אותן למטרה מועדפת. למה שמישהו יטרח בכלל? התשובה פשוטה: תגמולים. רוב רשתות ה-DePIN משתמשות במודל של כריית רוחב פס (Bandwidth Mining) כדי לתמרץ משתמשים לשתף את יתרת הגלישה שלהם.

• ריקון מאגר התגמולים: בשוק של רוחב פס, צמתי סיביל (Sybil Nodes) יכולים "לזייף" פעילות כדי לשאוב תגמולי טוקנים שנועדו למשתמשים אמיתיים.
• נתונים פיקטיביים: תוקפים יכולים להציף את הרשת בדיווחי תעבורה כוזבים, מה שגורם לכלכלת ה-P2P להיראות בריאה (או עמוסה) בהרבה מכפי שהיא באמת, וכל זאת רק כדי לנפח את הרווחים האישיים שלהם.
• מניפולציה של השוק: על ידי שליטה בחלק נכבד מ"היצע" הרשת, גורם עוין בודד יכול לשבש את מנגנון התמחור של השוק כולו.

העסק הופך למפחיד באמת כשמדברים על פרטיות בפועל. כשאתם משתמשים ב-VPN מבוסס פרטיות, אתם סומכים על כך שהנתונים שלכם מדלגים בין צמתים עצמאיים. אבל מה קורה אם כל אותם צמתים "עצמאיים" שייכים למעשה לאותו אדם?

על פי Hacken, אם תוקף משיג דומיננטיות מספקת ברשת, הוא יכול להתחיל לצנזר תעבורה ספציפית או, גרוע מכך, לחשוף את זהות המשתמשים. אם האקר שולט גם בנקודת הכניסה של הנתונים שלכם וגם בנקודת היציאה מהרשת, הסשן ה"אנונימי" שלכם הופך עבורו לספר פתוח.

וזה לא רק עניין תיאורטי. כבר בשנת 2014, רשת Tor — שהיא למעשה "הסבתא" של כל כלי הפרטיות מסוג P2P — ספגה מתקפת סיביל מאסיבית שבה גורם כלשהו הפעיל למעלה מ-110 ממסרים (Relays) רק כדי לנסות ולחשוף את זהות המשתמשים. בשורה התחתונה, מדובר במשחק תמידי של חתול ועכבר.

אסטרטגיות התגוננות ברשתות מבוזרות

אז איך אנחנו באמת עוצרים את "רוחות הרפאים" הדיגיטליות הללו מלהשתלט על המערכת? זה דבר אחד לדעת שמתרחשת מתקפת סיביל (Sybil Attack), אבל זה סיפור אחר לגמרי לבנות "סלקטור" לרשת שלא יהרוס את כל המהות של היותה מבוזרת.

אחד הטריקים הישנים ביותר בספר הוא פשוט לבקש תעודת זהות. אבל בעולם ה-Web3, זו נחשבת כמעט למילה גסה. לפי מחקרם של ניטיש באלאצ'נדראן וסוגאטה סניאל (2012), אימות זהות מתחלק בדרך כלל לשני סוגים: ישיר ועקיף. אימות ישיר קורה כאשר רשות מרכזית בודקת אתכם, בעוד שאימות עקיף מבוסס יותר על "ערבות". בעיקרון, אם שלושה צמתים (Nodes) מהימנים מעידים שאתם בסדר, הרשת מאפשרת לכם להיכנס.

אם אנחנו לא יכולים לבדוק תעודות זהות, אנחנו יכולים לפחות לבדוק ארנקים. כאן נכנסים לתמונה מנגנונים כמו הוכחת החזקה (Proof of Stake - PoS) וסטייקינג (Staking). הרעיון פשוט: להפוך את ההתנהגות הזדונית ליקרה מאוד.

• סלאשינג (Slashing): אם צומת נתפס כשהוא פועל בצורה חשודה – כמו הפלת חבילות מידע (Packets) או דיווח שקרי על נתונים – הרשת "קוצצת" לו את הסטייק. הוא פשוט מאבד את הכסף שלו.
• פרוטוקולי הוכחת רוחב פס (Bandwidth Proof Protocols): פרויקטי DePIN מסוימים דורשים מכם להוכיח שיש לכם חומרה אמיתית. אי אפשר פשוט לסמלץ אלף צמתים על מחשב נייד אחד אם הרשת דורשת "פינג" (Ping) במהירות גבוהה מכל אחד מהם בנפרד.

דרך נוספת להשיב מלחמה היא בחינת ה"צורה" שבה הצמתים מתחברים זה לזה. כאן נכנס לתמונה מחקר כמו SybilDefender. מדובר במנגנון הגנה המשתמש ב"הליכות אקראיות" (Random Walks) על גרף הרשת. הנחת העבודה היא שצמתים ישרים מחוברים היטב זה לזה, בעוד שצמתי סיביל מחוברים לשאר העולם רק דרך מספר מצומצם של קישורי "גשר" שיצר התוקף.

במקום להסתכל רק על זהויות בודדות, עלינו לבחון את ה"צורה" המבנית והמתמטית של הרשת כדי לקבוע אם היא בריאה. זה מוביל אותנו לשיטות מתקדמות יותר למיפוי הקשרים הללו.

הגנות טופולוגיות מתקדמות

הרגשתם פעם שאתם מנסים למצוא מחט בערימה של שחת, אבל המחט כל הזמן משנה את הצורה שלה? זה בדיוק מה שמרגישים כשמנסים לאתר אשכולות של מתקפת סיביל (Sybil clusters) באמצעות מתמטיקה בסיסית בלבד. זו הסיבה שאנחנו חייבים לבחון את ה"צורה" של הרשת עצמה.

הדבר המעניין במשתמשים ישרים הוא שהם בדרך כלל יוצרים קבוצה בעלת "ערבוב מהיר" (fast-mixing) – כלומר, הם מתחברים זה לזה ברשת הדוקה וצפויה. תוקפים, לעומת זאת, נותרים תקועים מאחורי "גשר צר", פשוט כי זה קשה מאוד להוליך שולל כמות גדולה של אנשים אמיתיים כדי שיוסיפו בוט לרשימת החברים שלהם.

• ניתוח קישוריות: אלגוריתמים מחפשים חלקים בגרף שמהווים "צוואר בקבוק". אם קבוצה עצומה של צמתים מתקשרת עם שאר העולם רק דרך חשבון אחד או שניים, זוהי נורת אזהרה אדומה בוהקת.
• SybilLimit ו-SybilGuard: כלים אלו משתמשים ב"מסלולים אקראיים" כדי לבדוק אם נתיב מסוים נשאר בתוך מעגל מהימן או נודד לפינה אפלה ומבודדת של הרשת.
• אתגרי קנה מידה (Scalability): בניגוד למודלים תיאורטיים שבהם כולם חברים של כולם, רשתות בעולם האמיתי הן כאוטיות. התנהגות חברתית מקוונת לא תמיד מצייתת לכלל המושלם של "סמוך על חבריך", ולכן אנחנו חייבים להשתמש במתמטיקה אגרסיבית יותר.

כפי שצוין קודם לכן, מערכת ה-SybilDefender מבצעת את ה"צעידות" הללו כדי לראות היכן הן מסתיימות. אם 2,000 צעידות מצומת מסוים ממשיכות להסתובב סביב אותם חמישים חשבונות, רוב הסיכויים שמצאתם התקפת סיביל. מחקר משנת 2012 של וואי וואי וחוקרים מקולג' ויליאם ומרי הוכיח ששיטה זו יכולה להיות מדויקת בהרבה משיטות ישנות, אפילו ברשתות עם מיליוני משתמשים. היא למעשה מאתרת את ה"מבוי הסתום" שבו התוקף מסתתר.

ראיתי את זה קורה בפועל במערכות VPN מבוססות צמתים (node-based VPN). אם ספק שירות מזהה 500 צמתים חדשים שצצים פתאום ומדברים רק אחד עם השני, הוא משתמש בטכניקות של "זיהוי קהילה" (community detection) כדי לקטוע את אותו "גשר" לפני שהצמתים הללו יצליחו לשבש את הקונצנזוס ברשת.

העתיד של רשתות VPN עמידות בפני צנזורה

אז הקדשנו זמן רב לדיון באופן שבו צמתים מזויפים עלולים להחריב רשת, אבל לאן כל זה באמת הולך? המציאות היא שבניית VPN עמיד באמת בפני צנזורה כבר לא מסתכמת רק בהצפנה טובה יותר; מדובר ביצירת רשת שהיא פשוט "כבדה" מדי מכדי שרמאי יוכל לתמרן אותה.

אבטחה גנרית פשוט לא מספקת כשמתמודדים עם VPN מבוסס בלוקצ'יין. יש צורך במשהו מותאם יותר. פרוטוקולים ספציפיים כמו Kademlia נכנסים לשימוש מכיוון שהם מקשים באופן טבעי על תוקף להציף את המערכת. Kademlia היא "טבלת גיבוב מבוזרת" (DHT) המשתמשת בניתוב מבוסס XOR. למעשה, היא משתמשת במרחק מתמטי ספציפי כדי לארגן צמתים, מה שמקשה מאוד על תוקף "למקם" את הצמתים המזויפים שלו בצורה אסטרטגית ברשת מבלי להחזיק במזהי צמתים ספציפיים שקשה מאוד לייצר.

• עמידות DHT: שימוש ב-Kademlia מסייע להבטיח שגם אם חלק מהצמתים הם "סיבילים" (Sybils), הנתונים יישארו נגישים מכיוון שהתוקף לא יכול לחזות בקלות היכן המידע יאוחסן.
• פרטיות מול שלמות: זוהי הליכה על חבל דק. המשתמש רוצה להישאר אנונימי, אך הרשת חייבת לדעת שמדובר בבן אנוש אמיתי.
• גישה רב-שכבתית: ראיתי פרויקטים שמנסים להסתמך על פתרון אחד בלבד, והם תמיד נכווים. חייבים שילוב של "סטייקינג" (Staking) יחד עם בדיקות טופולוגיות.

ביקורת על מערכי ההגנה

איך נדע אם ה"מאבטחים" האלה באמת עושים את עבודתם? אנחנו לא יכולים פשוט לסמוך על המילה של המפתחים.

• ביקורות צד שלישי: חברות אבטחה מתמחות כיום ב"ביקורות עמידות לסיביל", שבהן הן מנסות להפעיל רשתות בוטים כדי לראות אם הרשת מצליחה לזהות אותן.
• בדיקות עומס אוטומטיות: פרויקטי dVPN רבים מריצים כעת בדיקות בסגנון "Chaos Monkey", שבהן הם מציפים בכוונה את רשתות הבדיקה שלהם בצמתים מזויפים כדי למדוד את מידת הירידה בביצועים.
• מדדים פתוחים: רשתות אמיתיות צריכות להציג נתונים כמו "גיל הצומת" ו"צפיפות חיבורים", כדי שהמשתמשים יוכלו לראות אם הרשת מורכבת משחקנים ישרים לטווח ארוך או מרשתות בוטים שצצו בן לילה.

בכנות, העתיד של חופש האינטרנט תלוי בכך שרשתות ה-DePIN הללו יעשו סדר בכל הנוגע לעמידות בפני התקפות סיביל. אם אנחנו לא יכולים לסמוך על הצמתים, אנחנו לא יכולים לסמוך על הפרטיות. בסופו של יום, מעקב אחר מגמות אבטחת סייבר בתחום כריית רוחב הפס הוא עבודה במשרה מלאה. אבל אם נעשה את זה נכון, אנחנו מסתכלים על רשת מבוזרת שאף אחד לא יכול להשבית.