Reti Peer-to-Peer: Attacchi e Contromisure

Difesa

Dato che un attacco DDoS può essere facilmente scambiato con un uti-

lizzo pesante della macchina, il primo problema sta nel saperli rilevare. Gli

attacchi DDoS di riflessione sono estremamente difficili da bloccare a causa

del numero e delle enormi diversità di macchine che un utente maligno può

implicare nell’attacco (potenzialmente qualsiasi macchina può essere trasfor-

mata in uno zombie).

Inoltre, dato che l’aggressore è spesso indirettamente coinvolto (dato che

attacca attraverso gli zombie), è spesso impossibile identificare la sorgente

dell’attacco. A causa di questi fattori, non esiste alcuna soluzione generale

per bloccare attacchi DoS.

Una tecnica largamente utilizzata per impedire attacchi DoS è il pricing.

16 2. Attacchi generali alle reti peer-to-peer

L’host, prima di continuare le computazioni richieste, invierà ai richiedenti

dei rompicapo da risolvere, assicurandosi cosı̀ che i client passino comunque

attraverso un calcolo costoso.

Figura 2.2: Rappresentazione del pricing

Gli attacchi DoS sono molto efficienti quando l’aggressore consuma la

maggior parte delle risorse della sua vittima investendone pochissime da so-

lo. Proprio per questo motivo se prima di ogni tentativo di inondazione viene

richiesto all’aggressore di risolvere un rompicapo, diventa più difficile avviare

un attacco DoS efficace. Il pricing può essere modificato in modo che quando

l’host percepisce di essere sotto attacco, utilizza rompicapo più cari e quin-

di riduce l’effetto dell’attacco. Benché questo metodo sia efficace contro un

piccolo numero di aggressori simultanei, solitamente non riesce contro attac-

chi molto distribuiti. Altri svantaggi sono che alcuni client legittimi, come

dispositivi mobili, potrebbero percepire i rompicapo troppo duramente e/o

sprecherebbero la potenza della batteria a loro limitata.

2.2 Attacco MitM - Man in the Middle

L’attacco Man-in-the-Middle è un attacco nel quale l’aggressore è in gra-

do di leggere, inserire o modificare a piacere, messaggi tra due parti senza

che nessuna delle due sia in grado di sapere se il collegamento sia stato com-

promesso. Finché l’aggressore rimane passivo, tale attacco non può essree

reso identificabile. Questo permette all’aggressore di ricevere tutte le comu-

2.2 Attacco MitM - Man in the Middle 17

nicazioni fra i due nodi finchè desidera. Dopo avere raccolto informazioni

sufficienti (se necessario), un aggressore può scegliere di diventare più attivo.

In questo caso, può modificare messaggi dato che egli li invia, ma può anche

inserire messaggi falsi all’uno o all’altro nodo. Attraverso questo meccani-

smo, l’aggressore può assumere l’identità di un nodo (o di entrambi). Inoltre,

poichè l’aggressore può influire sulla prospettiva che l’uno o l’altro nodo ha

della rete, egli può falsificare una nuova (falsa) identità e simulare messaggi

da essa (e ricevere messaggi inviatigli). Questo particolare attacco può essere

eseguito al livello di rete di comunicazione. In tal caso l’aggressore può ve-

dere tutte le comunicazioni del livello inferiore fra i due nodi e poichè questo

livello è sotto il livello P2P, l’aggressore non ha alcun problema a falsificare

qualsiasi genere di messaggio P2P a suo piacimento.

Figura 2.3: Esempio di attacco MitM:

Come nell’attacco DoS, è molto probabile che un attacco MitM avvenga

in una rete P2P. Per attaccare il livello di rete, con MitM, l’aggressore deve

trovare un modo per mettersi nella via tra due nodi (che possono essere

un’attività complessa). Tuttavia, mettersi tra due nodi a livello della rete

P2P, solitamente non è un problema. Tutti i sistemi P2P che non hanno alcun

controllo sul posizionamento del nodo nell’ID space (Pastry, Chord, ecc),

sono estremamente vulnerabili a questo livello di attacco. Un aggressore può

mettersi nella rete ovunque egli desidera. Questo permette un attacco molto

18 2. Attacchi generali alle reti peer-to-peer

deterministico e mirato (come evitare un nodo specifico, dal raggiungimento

di un altro nodo specifico).

Difesa

Il metodo principale per difendersi da attacchi MitM è renderli il più pos-

sibile senza valore. Senza qualche classe di nodo importante (come un’auto-

rità certificata, un server di indicizzazione o un supernodo (che controlla un

cluster)) un attacco MitM si riduce a compromettere l’integrità di due nodi

nella rete. Un tale attacco non è una minaccia all’intera rete finché la tolle-

ranza ai guasti della rete stessa può gestire la perdita dei tre nodi implicati

(due peer e un aggressore).

Molte reti utilizzano supernodi o autorità certificate, come strumenti per evi-

tare altre forme di attacco. Anche per quelle reti che sono prive di questi

punti centrali, l’attacco MitM potrebbe essere fatto su una scala più gran-

de (Eclipse, come vedremo più avanti). Questo è sufficiente per autorizzare

qualche forma di protezione da questo attacco.

Il sistema più utilizzato per la prevenzione delle informazioni è l’utilizzo di

firme digitali. Queste firme sono basate su crittografia a chiave pubblica e

permettono di verificare l’integrità di una documento/richiesta/messaggio.

Tale tecnologia è stata utilizzata in posta elettronica per molti anni, per

fornire l’autenticazione di un messaggio. Questo stesso metodo può essere

utilizzato per rilevare se un messaggio in una rete P2P è stato modificato.

Colleghiamo semplicemente una firma digitale alla fine del nostro messaggio

e il nodo ricevente (o qualsiasi nodo nel frattempo) sarà in grado di verifi-

care che il messaggio è inalterato ed è infatti provenuto da una determinata

sorgente.

Dopo avere evitato la modifica di messaggi e l’inserimento di messaggi falsi,

ora abbiamo bisogno di impedire all’aggressore di essere in grado di leggere

i messaggi. La soluzione è utilizzare ancora la crittografia a chiave pubblica.

Assieme all’attaccatura della firma, il nodo che spedisce può anche critto-

grafare il messaggio con la chiave pubblica dei nodi di destinazione: quindi

2.3 Worm e loro propagazione 19

facendo ciò è improbabile che qualsiasi nodo diverso dalla destinazione legga

il contenuto del messaggio.

Per concludere diciamo che sebbene nelle reti P2P non esistano autorità di

fiducia centrale non è possibile identificare un attacco MitM. I nodi non han-

no alcuna informazione sui loro vicini e non hanno alcun modo di collegarsi a

loro con la certezza che siano nodi benigni. Fortunatamente, dato che gli at-

tacchi MitM sono prevalentemente inutili in reti P2P, queste non sono notizie

molto allarmanti. Più avanti vedremo una forma di attacco MitM eseguito

su larga scala (denominato Eclipse) il quale presenta pericoli estremamente

significativi.

2.3 Worm e loro propagazione

Un worm P2P è un verme che fa a uso di un sistema P2P per estendersi da

una macchina a un’altra. I sistemi P2P sono diventati una delle applicazioni

killer di Internet e, come tali, sono uno dei fattori principali per la grande

crescita della popolazione di utenti a banda larga. Mentre le applicazioni

P2P vengono utilizzate in un modo attualmente discutibile, esse diventeranno

sempre più diffuse per la distribuzione di contenuto legale. Inoltre le analisi

del traffico nella rete hanno visualizzato che una grande maggioranza del

volume di traffico è generata da applicazioni P2P. Quindi, le applicazioni P2P

hanno un valore strategico importante per operatori di rete. Di conseguenza,

la sfida per proteggere i sistemi P2P è importante per due cause:

• evitare attacchi su un’applicazione di valore;

• evitare anche la propagazione di worm in generale.

Infatti, i worm sono una minaccia a tutti i clienti ISP come pure all’infra-

struttura di rete a causa delle azioni nocive che essi possono eseguire (come

furto di carta di credito, attacchi DoS, furto di informazioni e cosı̀ via).

I worm P2P possono essere potenzialmente più veloci e più furtivi degli altri

tipi di worm. Questo è dovuto a tre principali fattori:

20 2. Attacchi generali alle reti peer-to-peer

• In primo luogo, gli utenti di una rete P2P devono eseguire l’appli-

cazione sul loro terminale. Mentre essi possono utilizzare varie ver-

sioni/implementazioni del’applicazione, l’esperienza pratica visualizza

che la maggior parte degli utenti esegue lo stesso software. Cosı̀, una

vulnerabilità in questo software potrebbe permettere potenzialmente a

un worm di infettare milioni di host (per esempio nella rete eMule ci

sono più di 10 milioni utenti collegati contemporaneamente).

• Secondo, facendo uso della topologia overlay del sistema P2P, i worm

P2P non perdono tempo sondando indirizzi IP inutilizzati.

• In terzo luogo, essi non generano alti tassi di collegamenti non riusciti

e possono mescolarsi nelle normali strutture di traffico della rete P2P.

Göldi e Hiestand [7] hanno mostrato che i sistemi di rilevazione basati

sull’analisi delle scansioni dei worm non distinguono la normale attività

di rete di un client P2P da un worm.

Secondo la sua strategia di propagazione, un worm P2P può appartenere

a una delle seguenti due classi:

1. Analisi topologica basata sui worm P2P: in questo caso, il worm

utilizza informazioni sui vicini della vittima per estendersi attraverso

il sistema P2P. Questo può aumentare significativamente la velocità

del worm, poichè il verme non perde tempo nella ricerca di vittime.

Per migliorare l’efficienza della scansione topologica di questa classe di

worm P2P può essere utilizzata una hitlist. In tal caso gli indirizzi dei

peer nel sistema P2P sono raccolti prima che il worm sia avviato, il che

consentirà al worm di guadagnare più tempo all’inizio del contatto. Una

volta che un host è infettato, parteciperà a infettare gli host subordinati

dell’hitlist, fino a quando non ci sarà nessuna altra macchina a colpire

questa lista. Attualmente, non è ancora mai stata vista su Internet

nessuna analisi topologica basata sui worm.

2.3 Worm e loro propagazione 21

2. Worm P2P passivi: essi corrispondono alla classe di worm P2P esi-

stente. In questo caso, il worm non cerca destinazioni ma le attese.

Infatti, il worm risiede nella cartella condivisa della macchina infetta-

ta, sotto numerosi nomi. Quando un altro peer scarica uno di quei file,

il worm si diffonde in questo host e quando l’utente esegue il file, il

worm duplica se stesso sotto numerosi nomi interessanti nella cartella

condivisa della nuova vittima e attende per altre vittime e cosı̀ via.

Figura 2.4: Esempio di adiffusione di un worm

2.3.1 Modellazione

La modellazione dei worm è utile per capire come elementi particolari

possono incidere sulla loro diffusione. Inoltre aiuta nello studiare l’effic