VPN может быть одним из интернет-инструментов, но часто этого недостаточно для удовлетворения всех потребностей конфиденциальности

VPN может быть одним из интернет-инструментов, но часто этого недостаточно для удовлетворения всех потребностей конфиденциальности

Каждый день тысячи людей обращаются к VPN, чтобы обеспечить свою конфиденциальность и безопасность, живя и работая в Интернете. Серия недавних исследований в Мичиганском университете поставила под вопрос, насколько точными могут быть эти ожидания.


Виртуальные частные сети или VPN позволяют пользователям создавать «туннели» через свою сеть с целью сокрытия действий и личных данных и создания безопасных подключений к другим местам в Интернете. Казалось бы, это идеальный инструмент для уклонения от слежки или безопасного доступа к заблокированному контенту, но новые исследования показывают, что зависимость от VPN может подвергать пользователей большему наблюдению, чем они думают.


За последние два года исследователи UM выполнили ряд исследовательских проектов в рамках усилия, которое они назвали VPNalyzer , чтобы выявить проблемы, включая критические недостатки в популярных в настоящее время коммерческих VPN, способность поставщиков сетевых услуг и правительств выявлять и блокировать использование VPN, а также проблемы в обучении пользователей и пробелы в понимании между пользователями VPN и провайдерами VPN


Исследовательская группа под руководством доцента компьютерных наук и инженерии Рои Энсафи и докторанта Ритики Рамеш специализируется на сетевых измерениях, безопасности, конфиденциальности, а также на качественных и количественных методах исследования.


Во-первых, усилия исследователей были сосредоточены вокруг проекта по созданию инструмента VPNalyzer, призванного обеспечить строгость, масштабируемость и автоматизацию исследования экосистемы VPN. Они протестировали 80 популярных провайдеров VPN с помощью VPNalyzer и обнаружили ранее не зарегистрированные уязвимости, включая утечки DNS и IPv6, утечки данных во время сбоя туннеля и многое другое, что привело к тому, что они направили 29 ответственных раскрытий провайдерам VPN.


VPNalyzer начал с обзора безопасности VPN в сотрудничестве с Consumer Reports в 2021 году. Команда Consumer Reports использовала VPNalyzer в рамках своих усилий по созданию основанных на данных и надежных рекомендаций для своих миллионов пользователей. Их работа была процитирована в следующих статьях, написанных Consumer Reports: Следует ли вам использовать VPN? и тестирование VPN выявляет плохие методы обеспечения конфиденциальности и безопасности, гиперболические заявления. Данные этой работы с Consumer Reports также уже приводились членами Конгресса, чтобы призвать FTC усилить защиту пользователей VPN. Более того, первая статья исследователей по этому проекту стала крупнейшим на сегодняшний день исследованием потребительских VPN и заняла первое место в конкурсе прикладных исследований CSAW '22 Cybersecurity, который проходил в Нью-Йоркском университете в ноябре 2022 года.


Команда UM также сотрудничала с исследователями из Университета штата Аризона во главе с доцентом Джедом Крэндаллом из Мичиганского университета информационных и технологических служб и ученым-исследователем Михалисом Каллицисом из Merit Network, чтобы продемонстрировать, насколько легко сетевым провайдерам и цензорам обнаруживать использование OpenVPN, самый популярный и широко используемый протокол VPN. В этой работе они подробно описали метод проверки анонимности VPN и точного определения или «отпечатка пальца» более 85% потоков OpenVPN в интернет-провайдере с миллионом пользователей с незначительным количеством ложных срабатываний.


«Мы пришли к выводу, что отслеживание и блокирование использования OpenVPN, даже с использованием большинства современных контрмер VPN, является простым и доступным для любого интернет-провайдера или сетевого оператора», — написала команда в своей статье.


Виртуальные частные сети обычно обещают защиту личных данных, возможность защитить запланированные политические действия и возможность обойти цензуру и геоблокировку. Выявленная исследователями уязвимость ставит их всех под сомнение. Работа заняла первое место в конкурсе USENIX/Meta Internet Defense Prize на 31-м симпозиуме по безопасности USENIX.


«VPN может быть одним из инструментов в наборе инструментов интернет-пользователя, но часто его недостаточно в качестве единственного решения для всех потребностей конфиденциальности», — говорит Рамеш.


Не менее ценными, по словам исследователей, являются выводы, полученные в ходе обширных опросов пользователей и поставщиков услуг. С их последним количественным и качественным исследовательским документом, который был принят для презентации на USENIX Security 2023 в августе, они углубляют понимание коммерческой экосистемы VPN и иллюстрируют ключевые проблемы и области, вызывающие озабоченность, чтобы помочь защитникам безопасности и конфиденциальности, таким как Electronic Frontier. Фонд и Центр демократии и технологий, технологи и сами провайдеры VPN концентрируют свои усилия.


На основе своего исследования 1252 пользователей и девяти провайдеров VPN они также представляют практические рекомендации для экосистемы VPN, включая приоритетное обучение пользователей, надзор за рекламой и маркетингом, связанным с VPN, скоординированные усилия по привлечению внимания к ошибочной экосистеме рекомендаций VPN и правила для сдерживания злонамеренных действий. маркетинговые тактики, которые приводят к ложным ментальным моделям и ложным ожиданиям пользователей.


Ensafi, Crandall и Kallitsis намерены продвигать исследования экосистемы VPN и переосмысливать основы технологий туннелирования с точки зрения безопасности, конфиденциальности и удобства использования.


«Люди во всем мире используют VPN в надежде защитить свою конфиденциальность и обеспечить безопасность», — говорит Энсафи. «Мы хотим, чтобы они знали, что им не следует полагать, что сегодняшние VPN — это полный ответ».