Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Tor ottimizza il software di routing Onion per respingere gli attacchi DDoS • The Register
Tor, che sta per The Onion Router, ha resistito a una massiccia tempesta di negazione del servizio distribuito (DDoS) da giugno dello scorso anno fino a maggio.
Anche se l’attacco si è attenuato, l’abuso DoS rimane un problema persistente, che riduce le prestazioni del servizio anti-censura e lascia molti preoccupati per la sua sicurezza.
L'Onion Routing di Tor è una tecnologia per la privacy che risale a due decenni fa. Fondamentalmente funziona inoltrando il tuo traffico Internet attraverso un labirinto mutevole di nodi in modo che, con un intelligente incapsulamento della crittografia, un intercettatore di rete, ad esempio, avrà difficoltà o non sarà in grado di discernere il tuo vero indirizzo IP pubblico, che potrebbe essere utilizzato per identificare e collegare specificamente a te qualsiasi attività online osservata. Si applicano avvertenze.
Il progetto rimane un obiettivo per i governi e un vantaggio per coloro che vogliono comunicare in privato. Coloro che utilizzano Tor possono accedere agli indirizzi .onion tramite Tor Browser, il che è buono ma non perfetto.
(Tor può essere utilizzato per accedere a servizi non Onion sull'Internet pubblica, ma questo articolo riguarda la difesa dagli attacchi DDoS che interrompono l'accesso ai siti .onion.)
Per contrastare futuri attacchi DDoS debilitanti, gli sviluppatori Tor hanno lavorato su una difesa proposta per la prima volta nell'aprile 2020. È appena arrivata nella versione Tor 0.4.8.4 e si basa su un meccanismo sviluppato nel 1992 da Moni Naor e Cynthia Dwork come difesa contro DoS e spam ma reso famoso per la dissolutezza energetica da Bitcoin: prova del lavoro.
In sostanza, ai clienti che tentano di accedere ai servizi .onion potrebbe essere chiesto di completare piccoli test di prova. Se ti connetti come utente legittimo, non dovresti notare nulla. Se stai cercando di martellare la rete di nodi del progetto con molte connessioni ripetute, le sfide della prova di lavoro potrebbero ostacolare i tuoi tentativi.
"Se mai speriamo di avere servizi Onion globali veramente raggiungibili, dobbiamo rendere più difficile per gli aggressori sovraccaricare il servizio con richieste di presentazione," spiegano i contributori di Tor George Kadianakis, Mike Perry, David Goulet e Tevador nella descrizione del progetto . "Questa proposta raggiunge questo obiettivo consentendo ai servizi Onion di specificare uno schema dinamico opzionale di prova del lavoro a cui i suoi clienti devono partecipare se vogliono essere serviti."
Il software aggiornato, utilizzato per eseguire i nodi Tor, ora supporta una sfida di prova chiamata EquiX. Progettato da Tevador, che ha sviluppato l'algoritmo proof-of-work di Monero, è "un puzzle client compatibile con la CPU con verifica rapida e dimensioni ridotte della soluzione (16 byte)".
Sembra che questo calcolo non andrà verso il cryptomining, che alcuni potrebbero considerare un'opportunità di entrate perdute e altri potrebbero accogliere come una necessità etica.
In un post sul blog, Pavel Zoneff, direttore delle comunicazioni per The Tor Project, ha spiegato che il modo in cui i servizi .onion sono stati progettati per garantire la privacy oscurando gli indirizzi IP degli utenti li rende vulnerabili agli attacchi DoS ostacolando anche la limitazione della velocità basata su IP.
Il puzzle proof-of-work di Tor ha per impostazione predefinita uno sforzo pari a zero ed è progettato per aumentare man mano che lo stress della rete aumenta, tenendo conto del feedback di client e server.
Prima di accedere ad un servizio Onion è necessario risolvere un piccolo enigma, dimostrando che del 'lavoro' è stato svolto dal cliente
"Prima di accedere a un servizio Onion, è necessario risolvere un piccolo enigma, dimostrando che del 'lavoro' è stato svolto dal cliente", ha affermato Zoneff. "Più il puzzle è difficile, più lavoro viene svolto, dimostrando che l'utente è autentico e non un bot che cerca di inondare il servizio. In definitiva, il meccanismo di prova del lavoro blocca gli aggressori dando agli utenti reali la possibilità di raggiungere la loro destinazione."
La speranza è che imporre richieste computazionali sempre più elevate agli aggressori scoraggerà gli abusi consentendo al contempo il proseguimento del traffico legittimo, anche se alcuni utenti legittimi potrebbero notare una differenza. Secondo Zoneff, gli utenti che inviano solo poche richieste di rete subiranno un piccolo ritardo, dell'ordine di cinque millisecondi per dispositivi più veloci e fino a 30 millisecondi su hardware più lento.