Νέα μελέτη αποκαλύπτει τη δυνατότητα δακτυλικών αποτυπωμάτων του OpenVPN, εγείροντας ανησυχίες για το απόρρητο

Πίνακας συνδέσμων

Περίληψη και 1 Εισαγωγή

2 Ιστορικό & Σχετικές εργασίες

3 Προκλήσεις στην Ανίχνευση VPN στον πραγματικό κόσμο

4 Μοντέλο και ανάπτυξη αντιπάλου

5 Δεοντολογία, Απόρρητο και Υπεύθυνη Αποκάλυψη

6 Προσδιορισμός χαρακτηριστικών με δυνατότητα δακτυλικών αποτυπωμάτων και 6.1 Δακτυλικό αποτύπωμα με βάση τον κώδικα Opcode

6.2 Δακτυλικά αποτυπώματα με βάση το ACK

6.3 Ενεργό δακτυλικό αποτύπωμα διακομιστή

6.4 Κατασκευή φίλτρων και ανιχνευτών

7 Βελτιστοποίηση για ανάπτυξη και 7.1 Όρια δακτυλικών αποτυπωμάτων ACK

7.2 Επιλογή παραθύρου παρατήρησης N

7.3 Επιπτώσεις της απώλειας πακέτων

7.4 Ανατροπή διακομιστή για ασύγχρονη ανίχνευση

7.5 Ανιχνεύστε UDP και ασαφείς διακομιστές OpenVPN

8 Ρύθμιση ανάπτυξης πραγματικού κόσμου

9 Αξιολόγηση & ευρήματα και 9.1 Αποτελέσματα για τον έλεγχο των ροών VPN

9.2 Αποτελέσματα για όλες τις ροές

10 Συζήτηση και μετριασμός

11 Συμπέρασμα

12 Αναγνώριση και Αναφορές

Παράρτημα

Περίληψη

Η υιοθέτηση VPN έχει σημειώσει σταθερή ανάπτυξη την τελευταία δεκαετία λόγω της αυξημένης ευαισθητοποίησης του κοινού σχετικά με τις απειλές της ιδιωτικής ζωής και της επιτήρησης. Σε απάντηση, ορισμένες κυβερνήσεις προσπαθούν να περιορίσουν την πρόσβαση VPN εντοπίζοντας συνδέσεις που χρησιμοποιούν τεχνολογία DPI «διπλής χρήσης». Για να διερευνήσουμε την πιθανότητα αποκλεισμού VPN, αναπτύσσουμε μηχανισμούς για ακριβή λήψη δακτυλικών αποτυπωμάτων συνδέσεων χρησιμοποιώντας το OpenVPN, το πιο δημοφιλές πρωτόκολλο για εμπορικές υπηρεσίες VPN. Εντοπίζουμε τρία δακτυλικά αποτυπώματα με βάση τα χαρακτηριστικά του πρωτοκόλλου, όπως το μοτίβο byte, το μέγεθος του πακέτου και την απόκριση διακομιστή. Παίζοντας το ρόλο ενός εισβολέα που ελέγχει το δίκτυο, σχεδιάζουμε ένα πλαίσιο δύο φάσεων που εκτελεί διαδοχικά παθητικό δακτυλικό αποτύπωμα και ενεργή ανίχνευση. Αξιολογούμε το πλαίσιο μας σε συνεργασία με έναν ISP εκατομμυρίων χρηστών και διαπιστώνουμε ότι εντοπίζουμε πάνω από το 85% των ροών OpenVPN με αμελητέα μόνο ψευδώς θετικά, υποδηλώνοντας ότι οι υπηρεσίες που βασίζονται στο OpenVPN μπορούν να αποκλειστούν αποτελεσματικά με μικρή παράπλευρη ζημία. Παρόλο που ορισμένα εμπορικά VPN εφαρμόζουν αντίμετρα για να αποφύγουν τον εντοπισμό, το πλαίσιο μας εντόπισε επιτυχώς συνδέσεις σε 34 από τις 41 διαμορφώσεις VPN που είχαν «συβολιστεί». Συζητάμε τις επιπτώσεις της δυνατότητας δακτυλικών αποτυπωμάτων VPN για διαφορετικά μοντέλα απειλών και προτείνουμε βραχυπρόθεσμες άμυνες. Μακροπρόθεσμα, παροτρύνουμε τους εμπορικούς παρόχους VPN να είναι πιο διαφανείς σχετικά με τις προσεγγίσεις συσκότισης και να υιοθετήσουν αντίμετρα ανίχνευσης πιο βασικών αρχών, όπως αυτά που αναπτύχθηκαν στην έρευνα για την καταστρατήγηση της λογοκρισίας.

1 Εισαγωγή

Οι ISP, οι διαφημιστές και οι εθνικές κυβερνήσεις διαταράσσουν, χειραγωγούν και παρακολουθούν ολοένα και περισσότερο την κυκλοφορία του Διαδικτύου [16, 22, 27, 47, 69]. Ως αποτέλεσμα, η υιοθέτηση εικονικού ιδιωτικού δικτύου (VPN) αυξάνεται ραγδαία, όχι μόνο μεταξύ ακτιβιστών και δημοσιογράφων με αυξημένα μοντέλα απειλών, αλλά και μεταξύ των μέσων χρηστών, που χρησιμοποιούν VPN για λόγους που κυμαίνονται από την προστασία του απορρήτου τους σε μη αξιόπιστα δίκτυα έως την παράκαμψη της λογοκρισίας. Ως πρόσφατο παράδειγμα, με την ψήφιση του νέου νόμου για την εθνική ασφάλεια του Χονγκ Κονγκ, δημοφιλείς πάροχοι VPN παρατήρησαν 120πλάσια αύξηση στις λήψεις λόγω φόβων κλιμάκωσης της παρακολούθησης και της λογοκρισίας [62].

Ως απάντηση στην αυξανόμενη δημοτικότητα των VPN, πολλοί πάροχοι υπηρεσιών Διαδικτύου και κυβερνήσεις επιδιώκουν τώρα να παρακολουθήσουν ή να αποκλείσουν την κυκλοφορία VPN προκειμένου να διατηρήσουν την ορατότητα και τον έλεγχο της κίνησης εντός των δικαιοδοσιών τους. Ο Binxing Fang, ο σχεδιαστής του Μεγάλου Τείχους προστασίας της Κίνας (GFW) είπε ότι υπάρχει ένας «αιώνιος πόλεμος» μεταξύ του Τείχους προστασίας και των VPN και η χώρα έχει διατάξει τους ISP να αναφέρουν και να αποκλείσουν την προσωπική χρήση VPN [60,61]. Πιο πρόσφατα, η Ρωσία και η Ινδία έχουν προτείνει τον αποκλεισμό των υπηρεσιών VPN στις χώρες τους, χαρακτηρίζοντας τα VPN ως εθνική απειλή για την ασφάλεια στον κυβερνοχώρο [44, 59]. Οι εμπορικοί πάροχοι υπηρεσιών διαδικτύου έχουν επίσης κίνητρα να παρακολουθούν τις συνδέσεις VPN. Για παράδειγμα, στις αρχές του 2021, ένας μεγάλος ISP στη Νότια Αφρική, η Rain, Ltd., άρχισε να περιορίζει τις συνδέσεις VPN κατά πάνω από 90 τοις εκατό, προκειμένου να επιβάλει περιορισμούς στην ποιότητα της υπηρεσίας στα σχέδια δεδομένων τους [64].

Οι ISP και οι λογοκριτές είναι γνωστό ότι χρησιμοποιούν μια ποικιλία απλών τεχνικών anti-VPN, όπως η παρακολούθηση συνδέσεων με βάση τη φήμη IP, ο αποκλεισμός ιστότοπων παρόχου VPN (παροχέας από εδώ και εξής) και η θέσπιση νόμων ή όρων υπηρεσίας που απαγορεύουν τη χρήση VPN [46,53, 60]. Ωστόσο, αυτές οι μέθοδοι δεν είναι ισχυρές. παρακινημένοι χρήστες βρίσκουν τρόπους πρόσβασης στις υπηρεσίες VPN, παρά τους αυτούς. Ωστόσο, ακόμη και λιγότερο ισχυροί ISP και λογοκριτές έχουν πλέον πρόσβαση σε τεχνολογίες όπως η επιθεώρηση πακέτων σε βαθύ φορέα (DPI) με την οποία μπορούν να εφαρμόσουν πιο εξελιγμένους τρόπους ανίχνευσης που βασίζονται στη σημασιολογία του πρωτοκόλλου [43, 48].

Σε αυτό το άρθρο, διερευνούμε τις επιπτώσεις του DPI για τον εντοπισμό και τον αποκλεισμό VPN, μελετώντας τη δυνατότητα δακτυλικών αποτυπωμάτων του OpenVPN (το πιο δημοφιλές πρωτόκολλο για εμπορικές υπηρεσίες VPN [6]) από την οπτική γωνία ενός αντιπάλου ISP. Επιδιώκουμε να απαντήσουμε σε δύο ερευνητικά ερωτήματα: (1) μπορούν οι ISP και οι κυβερνήσεις να προσδιορίσουν τις ροές κυκλοφορίας ως συνδέσεις OpenVPN σε πραγματικό χρόνο; και (2) μπορούν να το κάνουν σε κλίμακα χωρίς να υποστούν σημαντική παράπλευρη ζημία από ψευδώς θετικά; Η απάντηση σε αυτές τις ερωτήσεις απαιτεί περισσότερα από τον απλό εντοπισμό τρωτών σημείων στα δακτυλικά αποτυπώματα. Αν και είναι δύσκολο, πρέπει να επιδείξουμε πρακτικά πλεονεκτήματα υπό τους περιορισμούς του τρόπου με τον οποίο λειτουργούν οι ISP και οι λογοκριτές εθνικών κρατών στον πραγματικό κόσμο.

Κατασκευάζουμε ένα πλαίσιο ανίχνευσης που είναι εμπνευσμένο από την αρχιτεκτονική του Great Firewall [1,11,71], που αποτελείται από στοιχεία Filter και Prober. Ένα φίλτρο εκτελεί παθητικό φιλτράρισμα πάνω από την κίνηση δικτύου που διέρχεται σε πραγματικό χρόνο, εκμεταλλευόμενος ιδιορρυθμίες πρωτοκόλλου που εντοπίσαμε στο στάδιο χειραψίας του OpenVPN. Αφού επισημανθεί μια ροή από ένα φίλτρο, μεταβιβάζεται η διεύθυνση προορισμού

σε έναν ανιχνευτή που εκτελεί ενεργή ανίχνευση ως επιβεβαίωση. Αποστέλλοντας ανιχνευτές που έχουν σχεδιαστεί προσεκτικά για να προκαλούν συμπεριφορές ειδικές για το πρωτόκολλο, το Prober είναι σε θέση να αναγνωρίσει έναν διακομιστή OpenVPN χρησιμοποιώντας πλευρικά κανάλια, ακόμα κι αν ο διακομιστής ενεργοποιήσει την προαιρετική άμυνα του OpenVPN έναντι της ενεργού ανίχνευσης. Το πλαίσιο δύο φάσεων μας είναι σε θέση να επεξεργάζεται κίνηση σε κλίμακα ISP με ταχύτητα γραμμής με εξαιρετικά χαμηλό ποσοστό ψευδώς θετικών.

Εκτός από το βασικό ή «βανίλια» OpenVPN, περιλαμβάνουμε επίσης εμπορικές «συστημένες» υπηρεσίες VPN σε αυτήν τη μελέτη. Ως απάντηση στην αυξανόμενη παρέμβαση από παρόχους υπηρεσιών Internet και λογοκριτές, οι ασαφείς υπηρεσίες VPN έχουν αρχίσει να κερδίζουν έλξη, ειδικά από χρήστες σε χώρες με έντονη λογοκρισία ή νόμους κατά της προσωπικής χρήσης των VPN. Οι ασαφείς υπηρεσίες VPN, των οποίων οι χειριστές συχνά τις διαφημίζουν ως «αόρατες» και «αποκλείδες» [5, 49, 54], συνήθως χρησιμοποιούν το OpenVPN με ένα πρόσθετο επίπεδο συσκότισης για να αποφύγουν τον εντοπισμό [2, 66].

Σε συνεργασία με το Merit (έναν περιφερειακό ISP μεσαίου μεγέθους που εξυπηρετεί πληθυσμό 1 εκατομμυρίου χρηστών), αναπτύσσουμε το πλαίσιο μας σε έναν διακομιστή παρακολούθησης που παρατηρεί 20 Gbps κίνησης εισόδου και εξόδου που αντικατοπτρίζεται από ένα σημαντικό σημείο παρουσίας Merit . (Ανατρέξτε στην § 5 για ηθικούς λόγους.) Χρησιμοποιούμε το PF_RING [38] σε λειτουργία μηδενικής αντιγραφής για γρήγορη επεξεργασία πακέτων από παραλληλισμένα φίλτρα. Στις δοκιμές μας, είμαστε σε θέση να αναγνωρίσουμε 1718 από τις 2000 ροές που προέρχονται από μια μηχανή-πελάτη ελέγχου που βρίσκεται εντός του δικτύου, που αντιστοιχούν σε 39 από τις 40 μοναδικές διαμορφώσεις OpenVPN «βανίλια».

Το πιο εντυπωσιακό είναι ότι προσδιορίζουμε επίσης με επιτυχία πάνω από τα δύο τρίτα των συγκεχυμένων ροών OpenVPN. Οκτώ από τους 10 κορυφαίους παρόχους προσφέρουν ασαφείς υπηρεσίες, ωστόσο όλοι τους επισημαίνονται από το Φίλτρο μας. Παρά τους ισχυρούς ισχυρισμούς μη παρατηρησιμότητας των παρόχων (όπως «... ακόμη και ο πάροχος Διαδικτύου σας δεν μπορεί να πει ότι χρησιμοποιείτε VPN» [49]), βρίσκουμε ότι οι περισσότερες υλοποιήσεις συγκεχυμένων υπηρεσιών μοιάζουν με το OpenVPN που καλύπτονται με το απλό XOR-Patch [36], το οποίο είναι εύκολα αποτυπώσιμο. Η έλλειψη τυχαίας συμπλήρωσης στο επίπεδο συσκότισης και η συντοποθεσία με διακομιστές βανίλια OpenVPN καθιστούν επίσης τις ασαφείς υπηρεσίες πιο ευάλωτες στον εντοπισμό.

Σε μια τυπική ημέρα, η εγκατάσταση ενός διακομιστή αναλύει 15 TB επισκεψιμότητας και 2 δισεκατομμύρια ροές. Σε μια αξιολόγηση οκτώ ημερών, το πλαίσιο μας επισήμανε 3.638 ροές ως συνδέσεις OpenVPN. Μεταξύ αυτών, είμαστε σε θέση να βρούμε στοιχεία που υποστηρίζουν τα αποτελέσματα ανίχνευσης για 3.245 ροές, υποδηλώνοντας ένα ποσοστό ψευδώς θετικών άνω ορίων τρεις τάξεις μεγέθους χαμηλότερο από τις προηγούμενες προσεγγίσεις που βασίζονται σε ML [3, 14, 26].

Συμπεραίνουμε ότι η παρακολούθηση και ο αποκλεισμός της χρήσης του OpenVPN, ακόμη και με τις περισσότερες τρέχουσες μεθόδους συσκότισης, είναι απλή και προσιτή σε οποιονδήποτε ISP ή χειριστή δικτύου, καθώς και σε αντιπάλους εθνικών κρατών. Σε αντίθεση με τα εργαλεία παράκαμψης όπως το Tor ή το Refraction Networking [8, 74], τα οποία χρησιμοποιούν εξελιγμένες στρατηγικές για την αποφυγή ανίχνευσης, οι ισχυρές τεχνικές συσκότισης απουσιάζουν εμφανώς από το OpenVPN και το ευρύτερο οικοσύστημα VPN. Για τους μέσους χρήστες, αυτό σημαίνει ότι ενδέχεται να αντιμετωπίσουν αποκλεισμό ή περιορισμό από τους ISP, αλλά για υψηλού προφίλ, ευαίσθητους χρήστες, αυτή η δυνατότητα δακτυλικών αποτυπωμάτων μπορεί να οδηγήσει σε επιθέσεις παρακολούθησης που στοχεύουν να θέσουν σε κίνδυνο την ασφάλεια των σηράγγων OpenVPN [40, 51]. Προειδοποιούμε τους χρήστες με μοντέλα αυξημένων απειλών να μην περιμένουν ότι η χρήση VPN τους δεν θα είναι παρατηρήσιμη, ακόμη και όταν συνδέονται σε ασαφείς υπηρεσίες. Ενώ προτείνουμε αρκετές βραχυπρόθεσμες άμυνες για τα κατορθώματα δακτυλικών αποτυπωμάτων που περιγράφονται σε αυτό το έγγραφο, φοβόμαστε ότι, μακροπρόθεσμα, ένα παιχνίδι γάτας με ποντίκι παρόμοιο με αυτό μεταξύ του Great Firewall και του Tor είναι επικείμενο στο οικοσύστημα VPN καθώς Λοιπόν. Παρακαλούμε τους προγραμματιστές και τους παρόχους VPN να αναπτύξουν, να τυποποιήσουν και να υιοθετήσουν ισχυρές, καλά επικυρωμένες στρατηγικές συσκότισης και να τις προσαρμόσουν καθώς οι απειλές που θέτουν οι αντίπαλοι συνεχίζουν να εξελίσσονται.