Il Sybil Attack e i sistemi di reputazione Monday, Mar 26 2007
Grey Hat Blogs 9:38 pm
Tutti i grandi portali e i grandi servizi online che prevedono la possibilità per qualsiasi utente di inserire dei propri messaggi all’interno del loro archivio, fanno uso di complessi sistemi per stabilire la verità e la qualità dell’informazione inserita.
Per fare un esempio banale: ebay usa un sistema di gestione della reputazione basato sui feedback, che permette ai potenziali acquirenti di farsi un’idea sull’onestà di un venditore, basandosi sui commenti lasciati dagli altri acquirenti nelle precedenti transizioni.
Gran parte dei portali che basano i loro contenuti su sistemi di reputazione hanno un problema fondamentale: permettono all’utente di creare più identità.
Tramite questo problema è possibile creare più account allo scopo di raccogliere tramite inganni il consenso di una larga fetta della “popolazione” che fa parte di quel portale, in modo da incrementare la propria reputazione e sfruttare in seguito questa allo scopo di far passare alcuni messaggi come se fossero di alta qualità.
Questa tecnica è nota con il termine Sybil Attack, il cui nome che deriva da una serie televisiva molto nota in america Sybil (nonché dal libro da cui è stata tratta questa storia).
Dato che esistono molti servizi online che utilizzano la reputazione all’interno dei loro algoritmi, mi risulta difficile essere allo stesso stempo chiaro e quanto più generico possibile. Conviene, dunque, focalizzarsi su una sola tipologia di servizi in cui il sybil attack è usato con maggiore frequenza: i social sites.
Da del.icio.us a digg, da reddit a oknotizie, tutti i servizi di social bookmarking utilizzano la reputazione come sistema per individuare lo spam e catalogare i contenuti in base alla loro qualità.
Probabilmente mentre alcuni di questi servizi basa i propri algoritmi su sistemi che permettono di calcolare il consenso attorno ad un determinato contenuto, altri basano i propri algoritmi su sistemi per eleggere automaticamente dei leaders, ed altri ancora aggiungono a tutto questo anche dei sistemi per attribuire privilegi agli users in funzione della loro reputazione.
Per quanto possano essere diversi, tutti questi sistemi hanno ugualmente il punto debole di cui abbiamo parlato prima: la possibilità di creare più account per ogni persona e di non poter verificare con certezza assoluta che un account corrisponda ad una determinata persona.
Il secondo punto debole che allo stesso tempo è il punto di forza che gli permette di mantenere un alto livello di qualità con il minomo sforzo possibile è il non conoscere la verità o la qualità di un contenuto in base a valori fissi, ma in base a valori variabili per lo più stabiliti tramite la reputazione degli utenti che hanno approvato quel determinato contenuto.
Questo significa che la verità e la qualità sono oggetti manipolabili dall’utente che può decidere di modificarli in funzione delle proprie necessità.
Mi limito a scrivere questo post come input di studio per chi ha voglia di documentarsi, cosa che farò anch’io che come voi ho appena scoperto queste teorie.
Prossimamente mi ripropongo di continuare questo discorso analizzando il problema dei generali bizantini, ma prima preferirei essere sicuro di averlo ben capito io stesso, in tutte le sfumature e le possibili applicazioni.
Allo stesso tempo spero di riuscire a tradurre sia il pdf che vi ho linkato sia altri 3 documenti che vi linko a fine post.
Anzi spero che ci sia qualche anima buona che mi aiuti nella traduzione visto che per tradurre articoli di quelle dimensioni mi ci vogliono 100/200 euro cadauno, soldi che sono allo stesso tempo sia felice di spendere sia desideroso di risparmiare.
Quindi si accettano collaborazioni e/o proposte di sconti 
Come promesso prima aggiungo qui i link di approfondimento che ritengo utili:
Trackback URI
Questo blog è parte del network
March 28th, 2007 at 7:29 am
Invece ho visto il link che hai messo: “promuovi questo articolo su OK”. Purtroppo non serve quasi a nulla perché dopo il primo, il pezzo è già stato proposto. Non c’è la possibilità di mettere un link o un pulsante “vota l’articolo su OK”… allora sì…
saluti
gc
March 28th, 2007 at 11:11 am
@Gennaro:
Lo so, ma so anche che antirez sta lavorando al javascript per implementare ciò che dici su oknotizie (per ora non c’è un modo legale per farlo..avevo fatto un sistema mio e ho chiesto il permesso a gero per usarlo, ma a quanto ho saputo non si può fare
)
Il secondo motivo per cui oknotizie è lì è il fatto che vorrei vederlo crescere. Non abbiamo un buon social italiano e dato che conosco e stimo le persone che stanno dietro ad oknotizie vorrei che diventasse un’ottima risorsa
cosa che attualmente è solo in parte.
April 24th, 2007 at 12:51 pm
Ciao,
mi sembra estremamente interessante questo tuo post. Apre molti filoni di discussione. Leggo gli articoli e se riesco provo a tradurli. Non sono un eccelso traduttore ma potrei aiutarti.
Ciao,
Tiziano
April 24th, 2007 at 2:33 pm
@Tiziano:
ti ringrazio della tua offerta..non ti dico che la voglio rifiutare, ma diciamo che ho già “trovato” una soluzione..ti rimando alla mia sezione traduzioni.
May 15th, 2007 at 4:27 pm
Ciao sto facendo una tesi sugli attacchi al peer to peer e il sybil attack è uno di essi. Volevo sapere se erano state apportate traduzioni ai documenti che hai proposto e in tal caso se vi era la possibilità di reperirli.
Grazie dlel’attenzione
!
May 15th, 2007 at 11:41 pm
@Sergio:
Le traduzioni non sono ancora state effettuate. Però spero di poter pubblicare qualcosa al più presto.
Se vuoi contattarmi su msn il mio contatto è: il mio nickname + hotmail.com
In questo modo possiamo anche discutere mi piacerebbe approfondire l’argomento e d’altra parte se posso anch’io essere d’aiuto ti aiuto volentieri
August 6th, 2007 at 3:00 pm
Guarda, io mi ero fatto l’anno scorso una bella lista di siti che facevano le traduzioni in varie lingue. A ognuno di loro avevo chiesto un preventivo così da sapere alla fine a chi affidare il lavoro. Se vuoi te la posso mandare, certo non è aggiornatissima ma pur sempre utile, se consideri che dal primo all’ultimo, la tariffa triplica!!!
August 31st, 2007 at 12:56 pm
[…] Settimo punto (aggiungo io), guadagnate con i banner che inevitabilmente qualcuno dei 2000 utenti cliccherà prima di abbandonare il vostro sito. Se pensate che la cosa sia scandalosa o immorale, leggetevi I Bought Votes on Digg, nel quale è illustrato, con dovizia di particolari, come acquistare voti per finire nella prima pagina di Digg. Si, perchè esiste da tempo un sito (User/Submitter) che permette agli user di guadagnare 50 centesimi di dollaro per ogni 3 storie “diggate”, e ai submitter di comprare voti per fare emergere il proprio articolo in DiggForse è possibile arginare questo tipo di hack modificando gli algoritmi in modo da conteggiare gli utenti con più voti positivi, negativi e il rapporto fra i 2, nonchè la “distanza” fra un voto e l’altro, o inserendovi l’obbligo di aprire le notizie prima di votarle. Oppure, come riportato in un reply del post di OkNOtizie, rassegnarsi all’idea che certe cose possono esistere, e che nessun algoritmo, per quanto complicato, le può evitare. P.S.: sull’argomento ha appena detto la sua anche kerouac3001 crowdhacking, digg, oknotizieCondividi Postato alle 22:03 di Martedì, 27 Marzo 2007 | Commenti RSS […]
January 30th, 2008 at 1:37 pm
Ti posso fare qualche traduzione diciamo due articoli al mese a titolo gratuito mandameli sul mio e mail specialmente se parlano di manipolazione e SEO defence , ciao.