Новае даследаванне раскрывае магчымасць адбіткаў пальцаў OpenVPN, што выклікае занепакоенасць прыватнасцю

Табліца спасылак

Анатацыя і 1 Уводзіны

2 Перадумовы і звязаная з імі праца

3 Праблемы ў рэальным свеце выяўлення VPN

4 Мадэль праціўніка і разгортванне

5 Этыка, прыватнасць і адказнае раскрыццё інфармацыі

6 Ідэнтыфікацыя функцый адбіткаў пальцаў і 6.1 Адбіткі пальцаў на аснове кода аперацыі

6.2 Адбіткі пальцаў на аснове ACK

6.3 Адбіткі пальцаў актыўнага сервера

6.4 Стварэнне фільтраў і датчыкаў

7 Дакладная налада для разгортвання і 7.1 Парогавыя значэнні адбіткаў пальцаў ACK

7.2 Выбар акна назірання N

7.3 Наступствы страты пакетаў

7.4 Адток сервера для асінхроннага зандзіравання

7.5 Праверце UDP і заблытаныя серверы OpenVPN

8 Налада разгортвання ў рэальным свеце

9 Ацэнка і вынікі і 9.1 Вынікі для кіравання патокамі VPN

9.2 Вынікі для ўсіх патокаў

10 Абмеркаванне і змякчэнне

11 Заключэнне

12 Падзякі і спіс літаратуры

дадатак

Анатацыя

За апошняе дзесяцігоддзе прыняцце VPN стабільна расце з-за павелічэння дасведчанасці грамадскасці аб пагрозах прыватнасці і сачэнні. У адказ некаторыя ўрады спрабуюць абмежаваць доступ да VPN шляхам ідэнтыфікацыі злучэнняў з дапамогай тэхналогіі DPI «падвойнага прызначэння». Каб даследаваць магчымасць блакіроўкі VPN, мы распрацоўваем механізмы для дакладнай распрацоўкі адбіткаў пальцаў злучэнняў з дапамогай OpenVPN, самага папулярнага пратаколу для камерцыйных службаў VPN. Мы ідэнтыфікуем тры адбіткі пальцаў на аснове такіх функцый пратаколу, як шаблон байтаў, памер пакета і адказ сервера. Гуляючы ролю зламысніка, які кантралюе сетку, мы распрацоўваем двухфазную структуру, якая паслядоўна выконвае пасіўную дактыласкапію і актыўнае зандаванне. Мы ацэньваем нашу структуру ў партнёрстве з інтэрнэт-правайдэрам з мільёнамі карыстальнікаў і выяўляем, што больш за 85% патокаў OpenVPN маюць толькі нязначныя ілжывыя спрацоўванні, што сведчыць аб тым, што паслугі на аснове OpenVPN могуць быць эфектыўна заблакіраваны з невялікім пабочным уронам. Нягледзячы на тое, што некаторыя камерцыйныя сеткі VPN прымяняюць контрмеры, каб пазбегнуць выяўлення, наша структура паспяхова ідэнтыфікавала падключэнні да 34 з 41 «заблытаных» канфігурацый VPN. Мы абмяркоўваем наступствы адбіткаў пальцаў VPN для розных мадэляў пагроз і прапануем кароткатэрміновыя сродкі абароны. У доўгатэрміновай перспектыве мы заклікаем камерцыйных пастаўшчыкоў VPN быць больш празрыстымі ў дачыненні да сваіх падыходаў да абфускацыі і прыняць больш прынцыповыя контрмеры выяўлення, такія як тыя, якія былі распрацаваны ў даследаванні абыходу цэнзуры.

1 Уводзіны

Інтэрнэт-правайдэры, рэкламадаўцы і нацыянальныя ўрады ўсё часцей парушаюць, маніпулююць і кантралююць інтэрнэт-трафік [16, 22, 27, 47, 69]. У выніку прыняцце віртуальнай прыватнай сеткі (VPN) імкліва расце не толькі сярод актывістаў і журналістаў з мадэлямі павышанай пагрозы, але і сярод звычайных карыстальнікаў, якія выкарыстоўваюць VPN па розных прычынах - ад абароны сваёй прыватнасці ў ненадзейных сетках да абыходу цэнзуры. У якасці нядаўняга прыкладу, з прыняццем новага закона аб нацыянальнай бяспецы ў Ганконгу, папулярныя пастаўшчыкі VPN назіралі 120-разовы ўсплёск загрузак з-за боязі эскалацыі сачэння і цэнзуры [62].

У адказ на рост папулярнасці VPN шматлікія інтэрнэт-правайдэры і ўрады зараз імкнуцца адсочваць або блакаваць трафік VPN, каб падтрымліваць бачнасць і кантраляваць трафік у межах сваёй юрысдыкцыі. Binxing Fang, дызайнер Вялікага кітайскага брандмаўэра (GFW), сказаў, што існуе «вечная вайна» паміж брандмаўэрам і віртуальнымі прыватнымі сеткамі, і краіна загадала інтэрнэт-правайдэрам паведамляць і блакаваць асабістае выкарыстанне VPN [60,61]. Зусім нядаўна Расія і Індыя прапанавалі заблакаваць паслугі VPN у сваіх краінах, абедзве назвалі VPN нацыянальнай пагрозай кібербяспецы [44, 59]. Камерцыйныя інтэрнэт-правайдэры таксама матываваныя адсочваць злучэнні VPN. Напрыклад, у пачатку 2021 года буйны інтэрнэт-правайдэр у Паўднёвай Афрыцы, Rain, Ltd., пачаў абмежаваць VPN-злучэнні больш чым на 90 працэнтаў, каб забяспечыць выкананне абмежаванняў якасці абслугоўвання ў сваіх планах перадачы дадзеных [64].

Вядома, што інтэрнэт-правайдэры і цэнзары выкарыстоўваюць мноства простых метадаў барацьбы з VPN, такіх як адсочванне злучэнняў на аснове рэпутацыі IP, блакіроўка вэб-сайтаў пастаўшчыкоў VPN (правайдэраў) і прыняцце законаў або ўмоў абслугоўвання, якія забараняюць выкарыстанне VPN [46,53, 60]. Тым не менш, гэтыя метады не з'яўляюцца надзейнымі; матываваныя карыстальнікі знаходзяць спосабы доступу да паслуг VPN, нягледзячы на іх. Тым не менш, нават менш магутныя інтэрнэт-правайдэры і цэнзары цяпер маюць доступ да такіх тэхналогій, як глыбокая праверка пакетаў аператарскага ўзроўню (DPI), з дапамогай якіх яны могуць рэалізаваць больш складаныя рэжымы выяўлення на аснове семантыкі пратаколу [43, 48].

У гэтым артыкуле мы даследуем наступствы DPI для выяўлення і блакіроўкі VPN шляхам вывучэння магчымасці адбіткаў пальцаў OpenVPN (самы папулярны пратакол для камерцыйных паслуг VPN [6]) з пункту гледжання спаборніцкага інтэрнэт-правайдэра. Мы імкнемся адказаць на два даследчыя пытанні: (1) ці могуць правайдэры і ўрады ідэнтыфікаваць патокі трафіку як злучэнні OpenVPN у рэжыме рэальнага часу? і (2) ці могуць яны зрабіць гэта ў маштабе, не прычыняючы значнай пабочнай шкоды ад ілжывых спрацоўванняў? Каб адказаць на гэтыя пытанні, патрабуецца больш, чым проста выяўленне ўразлівасцяў дактыласкапіі; хоць гэта і складана, але нам трэба прадэманстраваць практычныя дзеянні з улікам таго, як інтэрнэт-правайдэры і цэнзары нацыянальнай дзяржавы працуюць у рэальным свеце.

Мы ствараем структуру выяўлення, натхнёную архітэктурай Вялікага брандмаўэра [1,11,71], якая складаецца з кампанентаў Filter і Prober. Фільтр выконвае пасіўную фільтрацыю перадачы сеткавага трафіку ў рэжыме рэальнага часу, выкарыстоўваючы асаблівасці пратаколу, якія мы выявілі на этапе рукапаціскання OpenVPN. Пасля таго, як паток пазначаны фільтрам, перадаецца адрас прызначэння

да Prober, які выконвае актыўнае зандаванне ў якасці пацверджання. Адпраўляючы запыты, старанна распрацаваныя для выяўлення спецыфічных для пратаколу паводзінаў, Prober можа ідэнтыфікаваць сервер OpenVPN з дапамогай бакавых каналаў, нават калі сервер уключае дадатковую абарону OpenVPN ад актыўнага зандзіравання. Наша двухфазная структура здольная апрацоўваць трафік у маштабе інтэрнэт-правайдэра на лінейнай хуткасці з надзвычай нізкім узроўнем ілжывых спрацоўванняў.

У дадатак да асноўных або «ванільных» OpenVPN, мы таксама ўключаем у гэта даследаванне камерцыйныя «заблытаныя» VPN-сэрвісы. У адказ на павелічэнне ўмяшання з боку інтэрнэт-правайдэраў і цэнзараў, заблытаныя паслугі VPN пачалі набіраць абароты, асабліва сярод карыстальнікаў у краінах з жорсткай цэнзурай або законамі, якія забараняюць асабістае выкарыстанне VPN. Заблытаныя паслугі VPN, аператары якіх часта рэкламуюць іх як «нябачныя» і «неблакіраваныя» [5, 49, 54], звычайна выкарыстоўваюць OpenVPN з дадатковым узроўнем абфускацыі, каб пазбегнуць выяўлення [2, 66].

У партнёрстве з Merit (рэгіянальным інтэрнэт-правайдэрам сярэдняга памеру, які абслугоўвае 1 мільён карыстальнікаў), мы разгортваем нашу структуру на серверы маніторынгу, які назірае за ўваходным і выходным трафікам 20 Гбіт/с, адлюстраваным з асноўнай кропкі прысутнасці Merit . (Звярніцеся да § 5 па этычных меркаваннях.) Мы выкарыстоўваем PF_RING [38] у рэжыме нулявога капіравання для хуткай апрацоўкі пакетаў паралелізаванымі фільтрамі. У нашых тэстах мы можам ідэнтыфікаваць 1718 з 2000 патокаў, якія ідуць ад кіруючай кліенцкай машыны, якая знаходзіцца ў сетцы, што адпавядае 39 з 40 унікальных канфігурацый OpenVPN.

Што яшчэ больш дзіўна, мы таксама паспяхова ідэнтыфікуем больш за дзве траціны заблытаных патокаў OpenVPN. Восем з 10 лепшых пастаўшчыкоў прапануюць заблытаныя паслугі, але ўсе яны пазначаны нашым фільтрам. Нягледзячы на высокія заявы правайдэраў аб неназіральнасці (напрыклад, «...нават ваш інтэрнэт-правайдэр не можа сказаць, што вы выкарыстоўваеце VPN» [49]), мы лічым, што большасць рэалізацый заблытаных сэрвісаў нагадваюць OpenVPN, замаскіраваны простым XOR-Patch [36], на якім лёгка здымаюцца адбіткі пальцаў. Адсутнасць выпадковых запаўненняў на ўзроўні абфускацыі і сумеснае размяшчэнне з ванільнымі серверамі OpenVPN таксама робяць заблытаныя службы больш уразлівымі для выяўлення.

У звычайны дзень наша ўстаноўка з адным серверам аналізуе 15 ТБ трафіку і 2 мільярды патокаў. За васьмідзённую ацэнку наша структура пазначыла 3638 патокаў як злучэнні OpenVPN. Сярод іх мы можам знайсці доказы, якія пацвярджаюць нашы вынікі выяўлення для 3245 патокаў, мяркуючы, што верхняя мяжа ілжывададатных вынікаў на тры парадкі ніжэй, чым у папярэдніх падыходаў на аснове ML [3, 14, 26].

Мы прыходзім да высновы, што адсочванне і блакіроўка выкарыстання OpenVPN, нават з выкарыстаннем большасці сучасных метадаў абфускацыі, простая і даступная любому інтэрнэт-правайдэру або аператару сеткі, а таксама праціўнікам з нацыянальных дзяржаў. У адрозненне ад інструментаў абходу, такіх як Tor або Refraction Networking [8, 74], якія выкарыстоўваюць складаныя стратэгіі, каб пазбегнуць выяўлення, надзейныя метады абфускацыі відавочна адсутнічаюць у OpenVPN і больш шырокай экасістэме VPN. Для звычайных карыстальнікаў гэта азначае, што яны могуць сутыкнуцца з блакіроўкай або рэгуляваннем з боку правайдэраў, але для высокапастаўленых, адчувальных карыстальнікаў такая магчымасць адбіткаў пальцаў можа прывесці да наступных нападаў, накіраваных на пагрозу бяспецы тунэляў OpenVPN [40, 51]. Мы папярэджваем карыстальнікаў з мадэлямі павышанай пагрозы не чакаць, што іх выкарыстанне VPN будзе неназіраным, нават калі яны падключаны да заблытаных сэрвісаў. Нягледзячы на тое, што мы прапануем некалькі кароткатэрміновых сродкаў абароны эксплойтаў дактыласкапіі, апісаных у гэтым артыкуле, мы асцерагаемся, што ў доўгатэрміновай перспектыве гульня ў кошкі-мышкі, падобная на гульню паміж Вялікім брандмаўэрам і Tor, непазбежная ў экасістэме VPN, паколькі добра. Мы просім распрацоўшчыкаў і пастаўшчыкоў VPN распрацоўваць, стандартызаваць і прымаць надзейныя, правераныя стратэгіі абфускацыі і адаптаваць іх па меры павелічэння пагроз з боку праціўнікаў.