Les développeurs de Tor recherchent des « jetons anonymes » pour stopper les piratages et les attaques par déni de service

Le navigateur axé sur la confidentialité Tor (The Onion Router) étudie des moyens par lesquels les « jetons anonymes » pourraient contrer les attaques par déni de service (DoS) – un problème urgent pour le réseau.

Tor aété soumisaux attaques DoS, dégradant ses performances. Bien que Tor ait mis en œuvre des correctifs techniques, la nature du réseau et l'anonymat du trafic le rendent particulièrement vulnérable aux attaques DoS.

En août, Tor a introduit l'idée deen utilisant des jetons anonymespour contrer de telles attaques, en leur permettant de différencier le « bon » du « mauvais » trafic, et d’éviter de mettre en œuvre des comptes utilisateurs, que la plupart des sites et réseaux utilisent pour identifier le trafic et les mauvais acteurs.

Lors du discours « State of the Onion » de la semaine dernière, lorsque l’équipe Tor a fait le point sur les projets et prévu de nouveaux développements pour 2021, l’équipe a renforcé son intérêt pour le développement de ces jetons anonymes.

« La mémoire est une chose incroyable », a déclaré George Kadianakis, développeur de l'équipe Tor Network. « Elle nous permet de découvrir le monde, de nous souvenir des endroits que nous avons visités et des bons plats que nous avons mangés. »

C'est aussi particulièrement important dans notre vie numérique. Chez Tor, nous T de notion de mémoire. Le réseau Tor ne KEEP pas trace de ses clients, n'utilise pas de cookies ni rien d'autre, et nous oublions chaque requête entrante et sortante. Tor est donc sans mémoire. Il est sans état. Et cela pose certains problèmes.

Une attaque DoS est ONEun de ces problèmes.

Qu'est-ce qu'une attaque DoS ?

Une attaque DoS perturbe un site Web en initiant des milliers de connexions vers celui-ci, en le submergeant et en provoquant son plantage.

Tor est particulièrement vulnérable à de telles attaques en raison de l'importance qu'il accorde à l'anonymat. Alors qu'un réseau classique associe votre identité à un compte, par exemple, Tor ne le fait pas ; il ne dispose donc T d'un moyen efficace de différencier le trafic malveillant du trafic non malveillant.

Le processus de navigation sur le réseau Tor pour sécuriser une connexion entre un serveur et un utilisateur distant nécessite également un travail intensif de la part d'une unité centrale de traitement (CPU), qui peut atteindre un état où elle est au maximum et incapable d'accepter un nouveau trafic, une fonctionnalité exploitée par les attaques DoS.

Sur le même sujet : Le projet Tor lance un programme d'adhésion pour stimuler l'agilité et les fonds

« Les attaques exploitent la nature asymétrique inhérente du protocole de rendez-vous du service Onion, ce qui en fait un problème difficile à combattre », peut-on lire dans un article.article qui examine les solutions aux attaques DoS..

« Pendant le protocole de rendez-vous, un client malveillant peut envoyer un petit message au service, tandis que celui-ci doit accomplir un travail considérable et coûteux pour y réagir », peut-on lire dans le message. « Cette asymétrie expose le protocole aux attaques par déni de service, et la nature anonyme de notre réseau rend extrêmement difficile le filtrage des clients malveillants. »

Comment les jetons anonymes pourraient aider

Plutôt que d'implémenter des comptes ou des cookies, deux éléments qui compromettraient la mission de Tor, Kadianakis a proposé des jetons pouvant être inclus dans la Request de trafic d'un utilisateur. Ces jetons permettraient aux sites web accessibles via le réseau Tor de « prioriser intelligemment les requêtes auxquelles ils répondent ».

« Nous pourrions utiliser des jetons anonymes. Les jetons font partie d'Internet et utilisent des blockchains et d'autres protocoles comme le Politique de confidentialité Pass de Cloudflare », a expliqué Kadianakis lors de la présentation. « C'est un peu comme un billet de train. En possédant un billet, vous pouvez prouver que vous avez fait des efforts pour l'obtenir, mais il n'est T lié à votre identité. Ainsi, si vous le laissez tomber par terre et que quelqu'un le ramasse, il ne peut pas se faire passer pour vous et ne sait T qui vous êtes. »

Le scénario qu'il a imaginé est ONE où le service Onion pourrait émettre ces jetons et les remettre aux clients ayant déjà démontré leur fiabilité (selon des modalités encore à déterminer). Ces clients de confiance transmettraient ensuite leurs jetons au service Onion lors de leur connexion, obtenant ainsi un service avant un utilisateur non fiable (par exemple, un attaquant potentiel).

Sur le même sujet : « Mercenaires numériques » : pourquoi les entreprises d'analyse de la blockchain inquiètent les défenseurs de la Politique de confidentialité

Kadianakis a déclaré que les jetons pourraient également être utilisés pour concevoir un système de noms sécurisé afin que les gens puissent enregistrer des noms pour leur propre usage avec des billets, ce qui pourrait aider à encourager les activités du public.

« Le caractère anonyme de notre réseau rend difficile le tri entre les bons et les mauvais clients. Il n'y a pas ONE' attaquant unique, mais plutôt un défi permanent », explique Isabela Bagueros, directrice exécutive du projet Tor.

« C'est pourquoi nous nous concentrons sur l'étude de méthodes permettant de limiter le débit ou de réduire la capacité des clients à établir un grand nombre de connexions à un service Onion sans violer la Politique de confidentialité d'un client ou d'un service », a-t-elle déclaré.

Les utilisateurs peuvent également utiliser leurs jetons pour acquérirponts privéset des nœuds de sortie, qui pourraient potentiellement renforcer la sécurité. Les ponts privés permettent aux utilisateurs d'accéder au réseau Tor là où les censeurs ont bloqué l'accès aux relais Tor publics en bloquant leurs adresses IP. Ils disposent d'un ensemble de ponts privés non accessibles au public ; ceux-ci peuvent être distribués petit à petit aux clients afin d'empêcher le dénombrement et le blocage des adresses IP par les censeurs.

Les jetons peuvent aider à résoudre un piratage de Crypto

Les « relais » sont un autre vecteur d'attaque utilisé par les pirates. Ils acheminent le trafic et masquent les adresses IP traçables et identifiables, le relais de sortie étant le dernier ONE de connexion des utilisateurs à un site.

Comme CoinDesk signalé en août, un pirate informatique utilisait sa position de « relais de sortie majeur » pour lancer des attaques sophistiquées de type « personne du milieu », privant les sites web de leur cryptage et lui donnant un accès total et illimité au trafic transitant par ses serveurs. Le pirate informatique utilisait cet accès pour voler des cryptomonnaies.

Lorsqu'on lui a demandé quel impact les jetons pourraient avoir sur l'atténuation d'une telle attaque, Bagueros a déclaré qu'une approche basée sur les jetons pourrait améliorer la convivialité d'une manière qui rendrait les attaques de phishing comme celle-ci irréalisables, mais tout dépend de l'intégration.

Sur le même sujet :Start9 Labs propose un serveur privé à domicile. Et ça marche.

« Une autre approche de ce problème, que nous adoptons déjà, consiste à renforcer l'écosystème des services onion et à encourager davantage de services et de sites à utiliser les onions, car les services onion n'utilisent pas de nœuds de sortie et contournent donc complètement ce type d'attaque », a-t-elle déclaré dans un e-mail à CoinDesk.

Pour les sorties et la sécurité des sorties, le projet Tor étudie les moyens de créer un ensemble fiable de relais de sortie avec des opérateurs connus et vérifiés, afin de réduire l'incidence des attaques liées à l'utilisation des sorties, a déclaré Bagueros.

Nous envisageons également d'exiger des jetons émis par captcha pour utiliser ces sorties. Ainsi, ces sorties devraient être moins utilisées pour le scraping automatisé et le spam, ce qui devrait réduire le taux de bannissement de leurs adresses IP et, de manière générale, améliorer leur réputation », a-t-elle déclaré.

L'équipe recherche toujours des jetons et n'a pas de calendrier de développement.

Preuve de travail

Une autre approche présentée dans l’article de blog original est un système de preuve de travail pour acquérir des jetons.

Les services Onion peuvent demander au client de résoudre un puzzle de preuve de travail avant d’être autorisé à se connecter.

« Avec le bon algorithme de preuve de travail et la bonne difficulté du puzzle, cela peut rendre impossible pour un attaquant de submerger le service, tout en le rendant accessible aux clients normaux avec seulement un petit délai », peut-on lire dans le message.

Dans le cas d'attaques DDoS, Kadianakis a déclaré que Tor pourrait utiliser des jetons de preuve de travail créés par les clients eux-mêmes et envoyés directement au service.

Sur le même sujet : Comment un hacker a lancé un réseau décentralisé pour traquer la censure sur Internet

« La preuve de travail est un moyen que nous étudions pour rendre plus coûteuse la consommation massive de ressources de service pour les clients », a déclaré Bagueros. « Nous étudions également… un jeton qui indique la quantité de travail dépensée de manière compacte, sans impact sur la Politique de confidentialité. »

Tor n'a pas encore trouvé de blockchain axée sur la confidentialité qu'il considère comme suffisante pour cela, mais il garde espoir qu'elle en trouvera une .

Concernant les autres moyens d'obtenir ces jetons, Tor propose plusieurs options, comme permettre aux sites connectés d'en attribuer aux utilisateurs de confiance ou de les distribuer à chaque don effectué. Tor réfléchit également aux avantages supplémentaires que pourraient offrir les jetons, à leur interaction et à la forme que pourraient prendre les portefeuilles, notamment l'intégration d'un portefeuille au navigateur Tor.

Il n’y a actuellement aucune discussion sur la monétisation des jetons.