Category: Сетевой уровень

Интернет-ресурс «Может, вам повезёт?» уже неоднократно говорил о преимуществах использования туннелей VPN — от пресловутого «обхода блокировок» до защиты от перехвата обмена ключей государственными «фильтрами». Тем не менее, абсолютное большинство «решений» VPN имеют один жирный «минус» — и, что самое главное, не всегда явно заметный.

Начнем с основ. Все виды коммуникаций в интернете, будь то зашифрованные, или, что редко встречается, открытые, имеют метаданные — размер, IP-адрес отправителя, IP-адрес и сетевой «порт» получателя, время. Эти данные видны всегда, и, что самое главное, всем, даже если само содержание было последовательно зашифрованно тремя разными шифрами. Даже без «углубления» это позволяет получить приблизительное представление о содержимом, а также об участниках такой «транзакции».

VPN, как и многие другие технологии подобного толка, исключением из «правил» не являются. Отправляемый через зашифрованный туннель интернет-трафик имеет все тот же «набор» метаданных, который можно анализировать точно также, как и любой другой зашифрованный трафик.

Происходит это через устройства в привилегированной сетевой позиции (простейший пример из вступления — государственные «фильтры»). С помощью алгоритмов машинного обучения сравниваются интервалы отправки пакетов интернет-трафика, и их размер, частота, порядок, и прочие характеристики с уже известными значениями для популярных сервисов/сайтов.

Процентаж точности такого анализа равняется приблизительно 70%, что позволяет получить более чем приемлемое представление о посещаемых через криптографически «непробиваемый» туннель ресурсах.

Противодействовать подобному анализу можно путём изменения тех самых характеристик, на которые опирается машинное обучение — искусственно увеличивать размер пакетов, проводить манипуляции с интервалами их отправки, и тому подобное. Тем не менее, подобные «меры противодействия» отсутствуют в подавляющем большинстве решений, — с единственным исключением для DAITA, которое разрабатывает и активно применяет коммерческий VPN-провайдер Mullvad.

Большинство современных законодательных актов, так или иначе затрагивающих «надзор» за содержанием интернет-коммуникаций, требуют нарушения фундаментальных «правил», по которым «работает» интернет. «Отечественный» пример — закон об административной ответственности за «поиск экстремистских материалов».

Так как шифрование HTTPS (TLS) не позволяет любым «третьим сторонам» просовывать свой «нос» в содержание трафика, применять подобные законы на «практике» крайне сложно.

Для «переноса» подобных инициатив из мира «сферического коня в ваккуме» необходимо «подорвать» данный «слой». Наиболее уязвимая часть соединения HTTPS — обмен ключей, а не данные, передаваемые после него. Именно с помощью «перехвата» обмена ключей можно различные «органы» обеспечивают для своих «носов» необходимый доступ.

С появлением устройств глубокой фильтрации трафика (DPI) данная «задача» стала масштабируемой. Кроме возможности заблокировать адреса какого-либо VPN-провайдера или сайт с пресловутым «опасным контентом», данные «коробки» также могут быть использованы для «перехвата», вмешательства, и прочих атак на интернет-трафик.

В случае с государственными «фильтрами», их можно легко «обратить» во враждебную «сторону», которая, в отличии от гражданской «коробки», имеет привилегированную позицию. Так как «начинка» подобных устройств часто носит определённый уровень секретности, никто не может сказать, когда этот «фильтр» блокирует сайт с условной порнографией, а когда перехватывает обмен ключей дипломатических устройств.

Интернет-провайдера же «напрягать» попросту незачем — достаточно дать указание «коробке», которая стоит на его узлах связи, и получить все необходимые «манипуляции».