Ново проучване разкрива възможността за пръстови отпечатъци на OpenVPN, което поражда опасения за поверителността

Таблица с връзки

Резюме и 1 въведение

2 Предистория и свързана работа

3 предизвикателства при откриването на VPN в реалния свят

4 Модел на противника и внедряване

5 Етика, поверителност и отговорно разкриване

6 Идентифициране на функции за пръстов отпечатък и 6.1 Базиран на код на операция пръстов отпечатък

6.2 ACK-базиран пръстов отпечатък

6.3 Отпечатване на активен сървър

6.4 Конструиране на филтри и сонди

7 Фина настройка за внедряване и 7.1 Прагове за пръстов отпечатък на ACK

7.2 Избор на прозорец за наблюдение N

7.3 Ефекти от загуба на пакети

7.4 Премахване на сървъра за асинхронно проучване

7.5 Проучете UDP и обфусцирани OpenVPN сървъри

8 Настройка за внедряване в реалния свят

9 Оценка и констатации и 9.1 Резултати за контролни VPN потоци

9.2 Резултати за всички потоци

10 Обсъждане и смекчаващи мерки

11 Заключение

12 Благодарности и препратки

Приложение

Резюме

Възприемането на VPN бележи стабилен растеж през последното десетилетие поради повишената обществена осведоменост относно заплахите за неприкосновеност на личния живот и наблюдение. В отговор някои правителства се опитват да ограничат достъпа до VPN чрез идентифициране на връзки с помощта на DPI технология с „двойна употреба“. За да проучим потенциала за блокиране на VPN, ние разработваме механизми за прецизно отпечатване на връзки с помощта на OpenVPN, най-популярният протокол за комерсиални VPN услуги. Ние идентифицираме три пръстови отпечатъка въз основа на характеристики на протокола като байтов модел, размер на пакета и отговор на сървъра. Играейки ролята на нападател, който контролира мрежата, ние проектираме двуфазна рамка, която извършва пасивно отпечатване и активно сондиране последователно. Ние оценяваме нашата рамка в партньорство с интернет доставчик с милиони потребители и откриваме, че идентифицираме над 85% от OpenVPN потоците само с незначителни фалшиви положителни резултати, което предполага, че услугите, базирани на OpenVPN, могат да бъдат ефективно блокирани с малки съпътстващи щети. Въпреки че някои комерсиални VPN прилагат контрамерки за избягване на откриване, нашата рамка успешно идентифицира връзки към 34 от 41 „скрити“ VPN конфигурации. Ние обсъждаме последиците от възможността за пръстови отпечатъци на VPN за различни модели на заплахи и предлагаме краткосрочни защити. В по-дългосрочен план ние призоваваме комерсиалните VPN доставчици да бъдат по-прозрачни по отношение на своите подходи за обфускация и да приемат по-принципни контрамерки за откриване, като тези, разработени в изследванията за заобикаляне на цензурата.

1 Въведение

Интернет доставчиците, рекламодателите и националните правителства все повече нарушават, манипулират и наблюдават интернет трафика [16, 22, 27, 47, 69]. В резултат на това възприемането на виртуална частна мрежа (VPN) нараства бързо не само сред активисти и журналисти с модели на повишена заплаха, но и сред средните потребители, които използват VPN по причини, вариращи от защита на поверителността им в ненадеждни мрежи до заобикаляне на цензурата. Като скорошен пример, с приемането на новия закон за националната сигурност на Хонконг, популярни доставчици на VPN наблюдават 120-кратно увеличение на изтеглянията поради опасения от ескалиране на наблюдението и цензурата [62].

В отговор на нарастващата популярност на VPN, множество интернет доставчици и правителства сега се стремят да проследяват или блокират VPN трафик, за да поддържат видимост и контрол върху трафика в рамките на своите юрисдикции. Binxing Fang, дизайнерът на Великата защитна стена на Китай (GFW), каза, че има „вечна война“ между защитната стена и VPN и страната е наредила на интернет доставчиците да докладват и блокират личното използване на VPN [60,61]. Съвсем наскоро Русия и Индия предложиха да блокират VPN услуги в своите страни, като и двете обозначават VPN като национална заплаха за киберсигурността [44, 59]. Търговските интернет доставчици също са мотивирани да проследяват VPN връзки. Например в началото на 2021 г. голям интернет доставчик в Южна Африка, Rain, Ltd., започна да ограничава VPN връзките с над 90 процента, за да наложи ограничения за качеството на услугата в своите планове за данни [64].

Известно е, че доставчиците на интернет услуги и цензорите използват различни прости анти-VPN техники, като проследяване на връзки въз основа на IP репутация, блокиране на уебсайтове на VPN доставчик (доставчик оттук нататък) и въвеждане на закони или условия за услуга, забраняващи използването на VPN [46,53, 60]. И все пак, тези методи не са стабилни; мотивираните потребители намират начини за достъп до VPN услуги въпреки тях. Въпреки това дори по-малко мощните интернет доставчици и цензори вече имат достъп до технологии като дълбока инспекция на пакети от операторски клас (DPI), с които могат да прилагат по-сложни режими на откриване въз основа на семантиката на протокола [43, 48].

В тази статия ние изследваме последиците от DPI за откриване и блокиране на VPN чрез изучаване на възможността за пръстови отпечатъци на OpenVPN (най-популярният протокол за комерсиални VPN услуги [6]) от гледна точка на противников интернет доставчик. Ние се стремим да отговорим на два изследователски въпроса: (1) могат ли интернет доставчиците и правителствата да идентифицират потоците от трафик като OpenVPN връзки в реално време? и (2) могат ли да направят това в мащаб, без да понесат значителни съпътстващи щети от фалшиви положителни резултати? Отговорът на тези въпроси изисква повече от просто идентифициране на уязвимостите на пръстовите отпечатъци; въпреки че е предизвикателство, ние трябва да демонстрираме практически експлоатации при ограниченията на начина, по който доставчиците на интернет услуги и цензорите на националните държави работят в реалния свят.

Ние изграждаме рамка за откриване, която е вдъхновена от архитектурата на Великата защитна стена [1,11,71], състояща се от компоненти Filter и Prober. Филтърът извършва пасивно филтриране върху преминаващия мрежов трафик в реално време, като използва странностите на протокола, които идентифицирахме в етапа на ръкостискане на OpenVPN. След като потокът бъде маркиран от филтър, адресът на местоназначение се предава

към Prober, който извършва активно сондиране като потвърждение. Чрез изпращане на проби, внимателно проектирани да предизвикат поведение, специфично за протокола, Prober е в състояние да идентифицира OpenVPN сървър, използвайки странични канали, дори ако сървърът активира опционалната защита на OpenVPN срещу активно сондиране. Нашата двуфазна рамка е в състояние да обработва трафик от мащаба на ISP при скорост на линията с изключително нисък процент на фалшиви положителни резултати.

В допълнение към основните или „ванилни“ OpenVPN, ние също така включваме комерсиални „скрити“ VPN услуги в това проучване. В отговор на нарастващата намеса от страна на доставчици на интернет услуги и цензори, прикритите VPN услуги започнаха да набират популярност, особено от потребители в държави с тежка цензура или закони срещу личното използване на VPN. Обфусцираните VPN услуги, чиито оператори често ги рекламират като „невидими“ и „неблокируеми“ [5, 49, 54], обикновено използват OpenVPN с допълнителен слой за обфускация, за да избегнат откриване [2, 66].

В партньорство с Merit (среден регионален интернет доставчик, който обслужва население от 1 милион потребители), ние внедряваме нашата рамка на сървър за наблюдение, който наблюдава 20 Gbps входящ и изходящ трафик, огледален от основна точка на присъствие на Merit . (Вижте § 5 за етични съображения.) Ние използваме PF_RING [38] в режим на нулево копиране за бърза обработка на пакети от паралелизирани филтри. В нашите тестове ние сме в състояние да идентифицираме 1718 от 2000 потока, произхождащи от контролна клиентска машина, намираща се в мрежата, съответстващи на 39 от 40 уникални „ванилни“ OpenVPN конфигурации.

По-удивително е, че ние също така успешно идентифицираме над две трети от обфусцираните OpenVPN потоци. Осем от първите 10 доставчици предлагат прикрити услуги, но всички те са маркирани от нашия филтър. Въпреки високите твърдения на доставчиците за ненаблюдаемост (като „...дори вашият интернет доставчик не може да разбере, че използвате VPN“ [49]), намираме, че повечето реализации на обфусцирани услуги приличат на OpenVPN, маскиран с простия XOR-Patch [36], който лесно може да бъде разпечатан с пръстови отпечатъци. Липсата на случайни подложки в слоя за обфусциране и съвместното разполагане с ванилни OpenVPN сървъри също правят обфусцираните услуги по-уязвими за откриване.

В един типичен ден нашата настройка с един сървър анализира 15 TB трафик и 2 милиарда потока. В рамките на осемдневна оценка нашата рамка маркира 3638 потока като OpenVPN връзки. Сред тях можем да намерим доказателства, които подкрепят нашите резултати от откриване за 3245 потока, което предполага горна граница на фалшиво положителен процент с три порядъка по-нисък от предишните подходи, базирани на ML [3, 14, 26].

Ние заключаваме, че проследяването и блокирането на използването на OpenVPN, дори и с най-актуалните методи за обфускация, е лесно и в обсега на всеки ISP или мрежов оператор, както и на противниците на националната държава. За разлика от инструменти за заобикаляне като Tor или Refraction Networking [8, 74], които използват усъвършенствани стратегии за избягване на откриване, стабилните техники за обфускация очевидно отсъстват от OpenVPN и по-широката VPN екосистема. За обикновените потребители това означава, че те може да се сблъскат с блокиране или ограничаване от ISP, но за високопоставени, чувствителни потребители тази възможност за пръстови отпечатъци може да доведе до последващи атаки, които имат за цел да компрометират сигурността на OpenVPN тунелите [40, 51]. Предупреждаваме потребителите с модели на повишена заплаха да не очакват, че тяхното използване на VPN ще бъде ненаблюдаемо, дори когато са свързани към обфусцирани услуги. Въпреки че предлагаме няколко краткосрочни защити за подвизите с пръстови отпечатъци, описани в този документ, се опасяваме, че в дългосрочен план игра на котка и мишка, подобна на тази между Великата защитна стена и Tor, е неизбежна в VPN екосистемата, тъй като добре. Ние умоляваме разработчиците и доставчиците на VPN да разработят, стандартизират и приемат стабилни, добре валидирани стратегии за затъмняване и да ги адаптират, тъй като заплахите, породени от противници, продължават да се развиват.