Un nuevo estudio revela la posibilidad de que OpenVPN sea objeto de huellas dactilares, lo que genera inquietudes sobre la privacidad

Tabla de enlaces

Resumen y 1 Introducción

2 Antecedentes y trabajos relacionados

3 desafíos en la detección de VPN en el mundo real

4. Modelo y despliegue del adversario

5 Ética, privacidad y divulgación responsable

6 Identificación de características que permiten la identificación de huellas dactilares y 6.1 Identificación de huellas dactilares basada en códigos de operación

6.2 Huella digital basada en ACK

6.3 Huellas digitales del servidor activo

6.4 Construcción de filtros y sondas

7 Ajustes para la implementación y 7.1 Umbrales de huellas dactilares ACK

7.2 Elección de la ventana de observación N

7.3 Efectos de la pérdida de paquetes

7.4 Rotación de servidores para sondeo asincrónico

7.5 Sonda UDP y servidores OpenVPN ofuscados

8 Configuración de implementación en el mundo real

9 Evaluación y hallazgos y 9.1 Resultados para flujos de control de VPN

9.2 Resultados para todos los flujos

10 Discusión y mitigaciones

11 Conclusión

12 Agradecimientos y referencias

Apéndice

Abstracto

La adopción de VPN ha experimentado un crecimiento constante durante la última década debido a una mayor conciencia pública sobre las amenazas a la privacidad y la vigilancia. En respuesta, algunos gobiernos están intentando restringir el acceso a VPN mediante la identificación de conexiones mediante tecnología DPI de “doble uso”. Para investigar el potencial de bloqueo de VPN, desarrollamos mecanismos para identificar con precisión las conexiones mediante OpenVPN, el protocolo más popular para servicios VPN comerciales. Identificamos tres huellas digitales en función de las características del protocolo, como el patrón de bytes, el tamaño del paquete y la respuesta del servidor. En el papel de un atacante que controla la red, diseñamos un marco de dos fases que realiza la identificación pasiva y el sondeo activo en secuencia. Evaluamos nuestro marco en asociación con un ISP con un millón de usuarios y descubrimos que identificamos más del 85 % de los flujos de OpenVPN con solo falsos positivos insignificantes, lo que sugiere que los servicios basados en OpenVPN se pueden bloquear de manera efectiva con poco daño colateral. Aunque algunas VPN comerciales implementan contramedidas para evitar la detección, nuestro marco identificó con éxito las conexiones a 34 de las 41 configuraciones de VPN “ofuscadas”. Analizamos las implicaciones de la identificación de las VPN para diferentes modelos de amenazas y proponemos defensas a corto plazo. A largo plazo, instamos a los proveedores de VPN comerciales a ser más transparentes en cuanto a sus estrategias de ofuscación y a adoptar contramedidas de detección más basadas en principios, como las desarrolladas en la investigación sobre la elusión de la censura.

1 Introducción

Los proveedores de servicios de Internet, los anunciantes y los gobiernos nacionales están alterando, manipulando y monitoreando cada vez más el tráfico de Internet [16, 22, 27, 47, 69]. Como resultado, la adopción de redes privadas virtuales (VPN) ha estado creciendo rápidamente, no solo entre activistas y periodistas con modelos de amenaza acentuados, sino también entre los usuarios promedio, que utilizan VPN por razones que van desde proteger su privacidad en redes no confiables hasta eludir la censura. Como ejemplo reciente, con la aprobación de la nueva ley de seguridad nacional de Hong Kong, los proveedores populares de VPN observaron un aumento de 120 veces en las descargas debido a los temores de una creciente vigilancia y censura [62].

En respuesta a la creciente popularidad de las VPN, numerosos ISP y gobiernos ahora buscan rastrear o bloquear el tráfico de VPN para mantener la visibilidad y el control sobre el tráfico dentro de sus jurisdicciones. Binxing Fang, el diseñador del Gran Cortafuegos de China (GFW), dijo que existe una "guerra eterna" entre el Cortafuegos y las VPN, y el país ha ordenado a los ISP que informen y bloqueen el uso personal de VPN [60,61]. Más recientemente, Rusia e India han propuesto bloquear los servicios de VPN en sus países, ambos etiquetando a las VPN como una amenaza de ciberseguridad nacional [44, 59]. Los ISP comerciales también están motivados para rastrear las conexiones VPN. Por ejemplo, a principios de 2021, un gran ISP en Sudáfrica, Rain, Ltd., comenzó a limitar las conexiones VPN en más del 90 por ciento para hacer cumplir las restricciones de calidad de servicio en sus planes de datos [64].

Se sabe que los ISP y los censores emplean una variedad de técnicas anti-VPN simples, como rastrear conexiones basadas en reputación de IP, bloquear sitios web de proveedores de VPN (proveedor de aquí en adelante) y promulgar leyes o términos de servicio que prohíban el uso de VPN [46,53,60]. Sin embargo, estos métodos no son robustos; los usuarios motivados encuentran formas de acceder a los servicios VPN a pesar de ellos. Sin embargo, incluso los ISP y censores menos poderosos ahora tienen acceso a tecnologías como la inspección profunda de paquetes (DPI) de nivel de operador con la que pueden implementar modos de detección más sofisticados basados en la semántica de protocolo [43, 48].

En este artículo, exploramos las implicaciones de DPI para la detección y el bloqueo de VPN mediante el estudio de la capacidad de identificación de OpenVPN (el protocolo más popular para servicios VPN comerciales [6]) desde la perspectiva de un ISP adversario. Buscamos responder dos preguntas de investigación: (1) ¿pueden los ISP y los gobiernos identificar flujos de tráfico como conexiones OpenVPN en tiempo real? y (2) ¿pueden hacerlo a gran escala sin incurrir en daños colaterales significativos por falsos positivos? Responder a estas preguntas requiere más que simplemente identificar vulnerabilidades de identificación; aunque es un desafío, necesitamos demostrar exploits prácticos bajo las limitaciones de cómo operan los ISP y los censores de los estados-nación en el mundo real.

Creamos un marco de detección inspirado en la arquitectura del Gran Cortafuegos [1,11,71], que consta de componentes de filtro y sonda. Un filtro realiza un filtrado pasivo sobre el tráfico de red que pasa en tiempo real, aprovechando las peculiaridades del protocolo que identificamos en la etapa de enlace de OpenVPN. Después de que un filtro marca un flujo, se pasa la dirección de destino.

a un Prober que realiza un sondeo activo como confirmación. Al enviar sondas cuidadosamente diseñadas para obtener comportamientos específicos del protocolo, el Prober puede identificar un servidor OpenVPN mediante canales secundarios incluso si el servidor habilita la defensa opcional de OpenVPN contra el sondeo activo. Nuestro marco de dos fases es capaz de procesar tráfico a escala de ISP a velocidad de línea con una tasa de falsos positivos extremadamente baja.

Además del OpenVPN básico o “vanilla”, también incluimos en este estudio servicios VPN comerciales “ofuscados”. En respuesta a la creciente interferencia de los ISP y los censores, los servicios VPN ofuscados han comenzado a ganar terreno, especialmente entre los usuarios de países con una fuerte censura o leyes contra el uso personal de las VPN. Los servicios VPN ofuscados, cuyos operadores a menudo los promocionan como “invisibles” e “imbloqueables” [5, 49, 54], suelen utilizar OpenVPN con una capa de ofuscación adicional para evitar su detección [2, 66].

En asociación con Merit (un ISP regional de tamaño mediano que brinda servicio a una población de 1 millón de usuarios), implementamos nuestro marco en un servidor de monitoreo que observa 20 Gbps de tráfico de entrada y salida reflejado desde un importante punto de presencia de Merit . (Consulte el § 5 para conocer las consideraciones éticas). Usamos PF_RING [38] en modo de copia cero para el procesamiento rápido de paquetes mediante filtros paralelizados. En nuestras pruebas, podemos identificar 1718 de 2000 flujos que se originan desde una máquina cliente de control que reside dentro de la red, lo que corresponde a 39 de 40 configuraciones únicas de OpenVPN "vanilla".

Más sorprendente aún es que también identificamos con éxito más de dos tercios de los flujos ofuscados de OpenVPN. Ocho de los 10 principales proveedores ofrecen servicios ofuscados, pero todos ellos están marcados por nuestro Filtro. A pesar de las elevadas afirmaciones de los proveedores sobre la inobservabilidad (como “... ni siquiera su proveedor de Internet puede saber que está usando una VPN” [49]), encontramos que la mayoría de las implementaciones de servicios ofuscados se parecen a OpenVPN enmascarado con el simple XOR-Patch [36], que es fácilmente identificable. La falta de relleno aleatorio en la capa de ofuscación y la ubicación conjunta con servidores OpenVPN tradicionales también hacen que los servicios ofuscados sean más vulnerables a la detección.

En un día típico, nuestra configuración de servidor único analiza 15 TB de tráfico y 2 mil millones de flujos. Durante una evaluación de ocho días, nuestro marco marcó 3638 flujos como conexiones OpenVPN. Entre estos, pudimos encontrar evidencia que respalda nuestros resultados de detección para 3245 flujos, lo que sugiere una tasa de falsos positivos de límite superior tres órdenes de magnitud menor que los enfoques anteriores basados en ML [3, 14, 26].

Concluimos que rastrear y bloquear el uso de OpenVPN, incluso con la mayoría de los métodos de ofuscación actuales, es sencillo y está al alcance de cualquier ISP u operador de red, así como de los adversarios de los estados nacionales. A diferencia de las herramientas de elusión como Tor o Refraction Networking [8, 74], que emplean estrategias sofisticadas para evitar la detección, las técnicas de ofuscación robustas han estado notoriamente ausentes de OpenVPN y el ecosistema VPN más amplio. Para los usuarios promedio, esto significa que pueden enfrentar bloqueos o limitaciones por parte de los ISP, pero para los usuarios sensibles de alto perfil, esta capacidad de identificación puede conducir a ataques de seguimiento que apuntan a comprometer la seguridad de los túneles OpenVPN [40, 51]. Advertimos a los usuarios con modelos de amenaza elevados que no esperen que su uso de VPN sea inobservable, incluso cuando estén conectados a servicios ofuscados. Si bien proponemos varias defensas a corto plazo para los ataques de detección de huellas digitales descritos en este artículo, tememos que, a largo plazo, también sea inminente un juego del gato y el ratón similar al que se produjo entre el Gran Cortafuegos y Tor en el ecosistema de las VPN. Imploramos a los desarrolladores y proveedores de VPN que desarrollen, estandaricen y adopten estrategias de ofuscación sólidas y bien validadas y que las adapten a medida que las amenazas planteadas por los adversarios sigan evolucionando.