Ny studie avslöjar OpenVPN-fingeravtryck, vilket väcker integritetsproblem

Tabell över länkar

Abstrakt och 1 inledning

2 Bakgrund och relaterat arbete

3 utmaningar i verklig VPN-detektion

4 Motståndarmodell och implementering

5 Etik, integritet och ansvarsfullt offentliggörande

6 Identifiera funktioner för fingeravtryck och 6.1 Opcode-baserad fingeravtryck

6.2 ACK-baserad fingeravtryck

6.3 Aktiv serverfingeravtryck

6.4 Konstruera filter och prober

7 Finjustering för distribution och 7.1 ACK-fingeravtryckströsklar

7.2 Val av observationsfönster N

7.3 Effekter av paketförlust

7.4 Serverchurn för asynkron sondering

7.5 Probe UDP och obfuskerade OpenVPN-servrar

8 Verkliga installationsinställningar

9 Utvärdering och resultat och 9.1 Resultat för kontroll av VPN-flöden

9.2 Resultat för alla flöden

10 Diskussion och begränsningar

11 Slutsats

12 Bekräftelse och referenser

Bilaga

Abstrakt

VPN-antagande har sett en stadig tillväxt under det senaste decenniet på grund av ökad allmänhetens medvetenhet om integritets- och övervakningshot. Som svar försöker vissa regeringar begränsa VPN-åtkomst genom att identifiera anslutningar som använder "dual use" DPI-teknik. För att undersöka potentialen för VPN-blockering utvecklar vi mekanismer för att exakt ta fingeravtrycksanslutningar med OpenVPN, det mest populära protokollet för kommersiella VPN-tjänster. Vi identifierar tre fingeravtryck baserat på protokollfunktioner som bytemönster, paketstorlek och serversvar. Vi spelar rollen som en angripare som kontrollerar nätverket och designar ett tvåfas ramverk som utför passiv fingeravtryck och aktiv undersökning i sekvens. Vi utvärderar vårt ramverk i samarbete med en ISP för miljonanvändare och finner att vi identifierar över 85 % av OpenVPN-flöden med endast försumbara falska positiva resultat, vilket tyder på att OpenVPN-baserade tjänster effektivt kan blockeras med liten sidoskada. Även om vissa kommersiella VPN:er implementerar motåtgärder för att undvika upptäckt, identifierade vårt ramverk framgångsrikt anslutningar till 34 av 41 "obfuskerade" VPN-konfigurationer. Vi diskuterar konsekvenserna av VPN-fingeravtryckbarheten för olika hotmodeller och föreslår kortsiktiga försvar. På längre sikt uppmanar vi kommersiella VPN-leverantörer att vara mer transparenta om sina fördunklingsmetoder och att anta mer principiella motåtgärder för upptäckt, såsom de som utvecklats inom forskning om kringgående av censur.

1 Introduktion

Internetleverantörer, annonsörer och nationella regeringar stör, manipulerar och övervakar internettrafiken i allt större utsträckning [16, 22, 27, 47, 69]. Som ett resultat har antagandet av virtuella privata nätverk (VPN) vuxit snabbt, inte bara bland aktivister och journalister med ökade hotmodeller utan också bland genomsnittliga användare, som använder VPN av skäl som sträcker sig från att skydda sin integritet på opålitliga nätverk till att kringgå censur. Som ett färskt exempel, med antagandet av Hongkongs nya nationella säkerhetslag, observerade populära VPN-leverantörer en 120-faldig ökning av nedladdningar på grund av rädsla för eskalerande övervakning och censur [62].

Som svar på den växande populariteten för VPN: er försöker nu många internetleverantörer och regeringar spåra eller blockera VPN-trafik för att upprätthålla synlighet och kontroll över trafiken inom sina jurisdiktioner. Binxing Fang, designern av Great Firewall of China (GFW) sa att det finns ett "evigt krig" mellan brandväggen och VPN, och landet har beordrat ISP:er att rapportera och blockera personlig VPN-användning [60,61]. På senare tid har Ryssland och Indien föreslagit att blockera VPN-tjänster i sina länder, båda stämplar VPN som ett nationellt hot mot cybersäkerhet [44, 59]. Kommersiella internetleverantörer är också motiverade att spåra VPN-anslutningar. Till exempel, i början av 2021, började en stor internetleverantör i Sydafrika, Rain, Ltd., strypa VPN-anslutningar med över 90 procent för att upprätthålla begränsningar av servicekvalitet i sina dataplaner [64].

Internetleverantörer och censorer är kända för att använda en mängd enkla anti-VPN-tekniker, som att spåra anslutningar baserade på IP-rykte, blockera VPN-leverantörers (härifrån leverantören) webbplatser och anta lagar eller tjänstevillkor som förbjuder VPN-användning [46,53, 60]. Ändå är dessa metoder inte robusta; motiverade användare hittar sätt att få tillgång till VPN-tjänster trots dem. Men även mindre kraftfulla ISP:er och censorer har nu tillgång till teknologier som djuppaketinspektion (DPI) av bärarnivå, med vilken de kan implementera mer sofistikerade detekteringssätt baserade på protokollsemantik [43, 48].

I det här dokumentet utforskar vi konsekvenserna av DPI för VPN-detektering och -blockering genom att studera fingeravtryckbarheten hos OpenVPN (det mest populära protokollet för kommersiella VPN-tjänster [6]) ur perspektivet av en kontradiktorisk ISP. Vi försöker svara på två forskningsfrågor: (1) kan internetleverantörer och regeringar identifiera trafikflöden som OpenVPN-anslutningar i realtid? och (2) kan de göra det i stor skala utan att ådra sig betydande sidoskador från falska positiva? Att besvara dessa frågor kräver mer än bara att identifiera sårbarheter i fingeravtryck; även om det är utmanande, måste vi demonstrera praktiska bedrifter under begränsningarna av hur ISP:er och nationalstatscensorer fungerar i den verkliga världen.

Vi bygger ett detektionsramverk som är inspirerat av arkitekturen i den stora brandväggen [1,11,71], bestående av filter- och proberkomponenter. Ett filter utför passiv filtrering över passerande nätverkstrafik i realtid, och utnyttjar protokollegenheter som vi identifierade i OpenVPNs handskakningsstadium. Efter att ett flöde flaggats av ett filter skickas destinationsadressen

till en Prober som utför aktiv sondering som bekräftelse. Genom att skicka prober noggrant utformade för att framkalla protokollspecifika beteenden, kan Prober identifiera en OpenVPN-server med hjälp av sidokanaler även om servern möjliggör OpenVPNs valfria försvar mot aktiv sondering. Vårt tvåfasramverk kan behandla trafik i ISP-skala med linjehastighet med en extremt låg falsk positiv frekvens.

Förutom kärna eller "vanilj" OpenVPN inkluderar vi även kommersiella "obfuskerade" VPN-tjänster i denna studie. Som svar på ökande störningar från Internetleverantörer och censorer har obfuskerade VPN-tjänster börjat få dragkraft, särskilt från användare i länder med hård censur eller lagar mot personlig användning av VPN. Obfuskerade VPN-tjänster, vars operatörer ofta framhåller dem som "osynliga" och "oblockerbara" [5, 49, 54], använder vanligtvis OpenVPN med ett extra fördunklingslager för att undvika upptäckt [2, 66].

Tillsammans med Merit (en medelstor regional ISP som betjänar en befolkning på 1 miljon användare) distribuerar vi vårt ramverk på en monitorserver som observerar 20 Gbps in- och utgående trafik speglad från en större Merit -närvaropunkt. (Se § 5 för etiska överväganden.) Vi använder PF_RING [38] i nollkopieringsläge för snabb paketbehandling med parallelliserade filter. I våra tester kan vi identifiera 1718 av 2000 flöden som kommer från en kontrollklientmaskin som finns inom nätverket, vilket motsvarar 39 av 40 unika "vanilj" OpenVPN-konfigurationer.

Mer slående är att vi också framgångsrikt identifierar över två tredjedelar av obfuskerade OpenVPN-flöden. Åtta av de 10 bästa leverantörerna erbjuder obfuskerade tjänster, men alla flaggas av vårt filter. Trots leverantörers höga påståenden om oobserverbarhet (som "... även din internetleverantör kan inte säga att du använder ett VPN" [49]), finner vi att de flesta implementeringar av obfuskerade tjänster liknar OpenVPN maskerad med den enkla XOR-patchen [36], vilket är lätt att ta med fingeravtryck. Brist på slumpmässig utfyllnad vid obfuskeringsskiktet och samlokalisering med vanilla OpenVPN-servrar gör också de obfuskerade tjänsterna mer sårbara för upptäckt.

Under en vanlig dag analyserar vår enserverinstallation 15 TB trafik och 2 miljarder flöden. Under en åtta dagar lång utvärdering flaggade vårt ramverk 3 638 flöden som OpenVPN-anslutningar. Bland dessa kan vi hitta bevis som stöder våra detektionsresultat för 3 245 flöden, vilket tyder på en övre gräns för falsk-positiv frekvens som är tre storleksordningar lägre än tidigare ML-baserade metoder [3, 14, 26].

Vi drar slutsatsen att spårning och blockering av användningen av OpenVPN, även med de flesta aktuella fördunklingsmetoder, är okomplicerat och inom räckhåll för alla ISP eller nätverksoperatörer, såväl som nationsmotståndare. Till skillnad från kringgående verktyg som Tor eller Refraction Networking [8, 74], som använder sofistikerade strategier för att undvika upptäckt, har robusta obfuskeringstekniker varit påfallande frånvarande från OpenVPN och det bredare VPN-ekosystemet. För genomsnittsanvändare betyder detta att de kan bli utsatta för blockering eller strypning från internetleverantörer, men för högprofilerade, känsliga användare kan denna fingeravtrycksbarhet leda till uppföljande attacker som syftar till att äventyra säkerheten för OpenVPN-tunnlar [40, 51]. Vi varnar användare med förhöjda hotmodeller att inte förvänta sig att deras VPN-användning kommer att vara oobserverbar, även när de är anslutna till obfuskerade tjänster. Även om vi föreslår flera kortsiktiga försvar för fingeravtrycksutnyttjorna som beskrivs i denna artikel, fruktar vi att på lång sikt är ett katt-och-mus-spel liknande det mellan Great Firewall och Tor nära förestående i VPN-ekosystemet som väl. Vi uppmanar VPN-utvecklare och -leverantörer att utveckla, standardisera och anta robusta, välvaliderade fördunklingsstrategier och att anpassa dem i takt med att hoten från motståndarna fortsätter att utvecklas.