آیا VPN ها از حریم خصوصی شما محافظت می کند؟

شبکه‌های خصوصی مجازی ( VPNs ) یکی از ابزارهای ذکر شده در زمینه حریم خصوصی در وب می‌باشند. در حالی که کاربردهای زیادی برای VPNs وجود دارد، تعداد رو به رشدی از ارائه دهندگان VPN وجود دارد که حفظ حریم خصوصی را تبلیغ می‌کنند. برای مثال سایت NordVPN می گوید : “از دسترسی امن و خصوصی به اینترنت با NordVPN لذت ببرید، فعالیت آنلاین خود را رمزگذاری کنید تا از اطلاعات خصوصی خود از هکرها و تبلیغ کنندگان تبلیغاتی محافظت کند.”

چطور دقیقا یک VPN از شما در این موارد “snoopy” محافظت می کند؟

زمانی که از یک شبکه خصوصی مجازی استفاده می‌کنید، در اصل شما از یک پروکسی برای ایجاد درخواست از طرف خود استفاده می‌کنید. با اتصال خصوصی VPN، اتصال شما پروکسی رمزگذاری شده است ، که باعث می‌شود کسی به ترافیک شما سرک بکشد تا مشخص کند که شما چه نوع پیامی را با سرور VPN مبادله کرده‌اید. به طور معمول، نقش سرور VPN این است که به جای اینکه مستقیما آن‌ها را انجام دهید ، درخواست‌های وب را از جانب شما ایجاد کند.

اجازه بدهید بگویم که می‌خواهم از MyDirtySecret.com دیدن کنم، اما من ” را نمی‌خواهم که بداند دارم از آن وب سایت بازدید می‌کنم؛ این یک راز کثیف است. معمولا، من باید یک درخواست از طریق ISP خود ایجاد کنم که می‌گوید: ” من از MyDirtySecret.com بازدید می‌کنم ” یا حداقل نشانی IP آن وب سایت. ISP من به راحتی می‌تواند این اطلاعات را ثبت کند و برای مثال، آن را بعدا به تبلیغ کنندگان بفروشد.

VPN به شما این اجازه را می‌دهد که یک پیغام رمزنگاری شده را به ارایه‌دهنده VPN بفرستید که می‌گوید: ” آیا می‌توانید داده‌های وب سایت را برای MyDirtySecret.com بیاورید و آن را برای من ارسال کنید ؟ ” ISP شما می‌داند که شما یک پیغام را به VPN خود ارسال کرده‌اید، اما به دلیل رمز نگاری آن‌ها نمی‌توانند محتوای پیام شما را بخوانند. ISP می تواند ببیند که تقاضای MyDirtySecret.com را درخواست کرده اما درخواست VPN را برای آن وب سایت با درخواست شما لزوما پیوند نمی دهد. این نمودار را در نظر بگیرید:

 

توجه داشته باشید که در هر دو مورد از این موارد زمان صرف سفر از طریق زیرساخت وب عمومی می‌شود – بسیاری از کاربران نگرانی خود را ابراز کرده‌اند ( و شواهدی ارایه داده‌اند ) که برخی از بخش‌های اصلی زیرساخت شامل ردیابی مدیریت و ابزارهای نظیر آن، که مقادیر انبوهی از داده‌های ترافیکی و فراداده را ذخیره می‌کنند . این فراداده، با ضرورت، آدرس IP شما را شامل می‌شود . در مثال اول، مهم نیست که آن گره‌های ورود به اینترنت در اینترنت هستند ، آن‌ها می‌توانند ببینند که شما داده‌ها را به MyDirtySecret ارسال می‌کنید، یا اینکه MyDirtySecret داده‌ها را به شما ارسال می‌کند.

با این حال ، در مثال دوم، گره‌هایی که ترافیک شما را قبل از رسیدن به VPN ( به عنوان مثال ISP شما ) می‌بینند تنها می‌تواند نتیجه بگیرید که شما برای یک VPN پیام ارسال می‌کنید. Nodes که ترافیک شما را بعد از رسیدن به VPN مشاهده می‌کنند تنها می‌توانند نتیجه بگیرند که VPN در ارتباط با MyDirtySecret است؛ داده بین VPN و MyDirtySecret.com تنها نشانی از VPN و یک سرور MyDirtySecret.com را دارد. این ادعا وجود دارد که به دلیل این که حریم خصوصی شما حفاظت شده‌است – آدرس IP شما در هیچ بسته به همراه آدرس IP MyDirtySecret ظاهر نمی‌شود، بنابراین راز شما ایمن است. یا این طور نیست ؟
مدل سازی تهدید: از کجا امن هستم؟
یکی از مهم‌ترین مفاهیم امنیت نرم‌افزاری ، مدل‌سازی تهدید است. مدل‌سازی تهدید فرآیند پرسیدن سوال‌هایی مانند ” چه کسی را باید از خودم محافظت کنم ؟ من دقیقا چه چیزی را محافظت می‌کنم ؟ چگونه ممکن است دشمنان من از حمایت‌های من دور باشند ؟ ” مدل‌سازی تهدید حیاتی است زیرا حقیقت این است که هیچ چیز از شما در مقابل همه چیز حفاظت نخواهد کرد . به احتمال زیاد جدی‌ترین تهدیدها از سوی محتمل‌ترین بازیگران، بهترین کاری است که می‌توانید انجام دهید؛ مانند بسیاری از چیزهای دیگر، امنیت سایبری دنیایی است که در آن تجارت و اولویت بندی قرار دارد. گلوله های نقره ای وجود ندارد.
بیایید به دو مدل تهدید کاملا متفاوتی نگاه کنیم.
سناریوی A: من درگیر فعالیت‌های فتنه جویانه هستم، و متاسفم که NSA چیزی که من برای آن هستم را پیدا کند ، یا افرادی را که با آن‌ها ارتباط دارم را شناسایی کند.
سناریوی B:  نمی خوام ISP  تاریخچه مرورگر مرا بداند چون گاهی اوقات من ویدئوهای خجالت‌آور را تماشا می‌کنم، و به ISP خود اعتماد نمی‌کنم که این راز را حفظ کند.
در سناریو A، یکی از پیشرفته‌ترین و قدرتمندترین سازمان‌ اطلاعاتی آمریکا است. آن‌ها به منابع باورنکردنی دسترسی دارند و به شدت انگیزه می‌گیرند که مرا بگیرند چون شغل آن‌ها ( ظاهرا ) برای گرفتن افراد آشوبگر مثل من است. از آن‌ها انتظار دارم از انواع ابزارها استفاده کنند، نسبت به اطلاعاتی که در مورد من می‌آموزند ، واکنش نشان دهند و هدایت را دنبال کنند. آن‌ها می‌توانند خانه مرا ضبط کنند، نظارت منفعل در گره های اصلی اینترنت داشته باشند، و اگر یاد بگیرند که با آن‌ها ارتباط برقرار می‌کنم ، می‌توانند شخص دیگر را ضبط کنند.
در سناریو B، این سازمان اطلاعاتی از لحاظ اقتصادی و فن‌آوری پیچیده است، اما آن‌ها به طور قابل‌توجهی انگیزه کمتری برای پی‌گیری هدایت و واکنش به رفتار متغیر من دارند. شاید ترجیح می‌دهند تاریخچه مرورگر مرا بدانند تا بتوانند آن را به تبلیغ کنندگان بفروشند، اما آن‌ها هم پول مرا می‌گیرند و فرصت‌های تجاری زیادی برای دنبال کردن دارند. جمع‌آوری داده‌های من فقط ” میوه آویزان پایین ” برای ISP من است، و اگر آن میوه را بالاتر از درخت حرکت دهم، آن‌ها به سمت یک درخت کوتاه‌تر حرکت خواهند کرد.
من ادعا می‌کنم که یک VPN به شما کمک می‌کند با سناریو B به شما کمک کند، اما در واقع ممکن است در سناریو A به شما آسیب برساند. یکی از دوستان من که یک مهندس امنیت نرم‌افزاری برای گوگل محسوب می‌شود، این روش را اینگونه بیان می‌کند : “NSA خواهان نظارت بر ترافیک است که نسبت بالای سیگنال به نویز برخوردار است، ” جایی که سیگنال در اینجا انتقال داده مربوط به فعالیت غیر قانونی است که ان‌ای به آن اهمیت می‌دهد. دوست من ادامه داد : ” اگر NSA تحت نظارت تمامی VPN هایی که خود را به عنوان حفظ حریم خصوصی تبلیغ می‌کنند نظارت نداشته باشد، صراحتا خواستار بازگشت دلارهای مالیاتی خود هستم .”
به سختی می توان تصور کرد که فرد بهتری برای فعالیت جنایی داشته باشد تا خدماتی که تبلیغ کند می‌تواند هویت شما را سالم نگه دارد. با استفاده از مجموعه‌ای از ابزارهای آماری و wiretaps، عوامل قدرتمند مانند NSA می‌توانند یک کلاس حمله به نام ” حمله همبستگی ” را اجرا کنند . در این نوع از حمله، NSA فراداده ها و خارج از VPN را پردازش می‌کند و از اطلاعاتی مثل اندازه و زمان‌بندی آن ترافیک استفاده می‌کند تا نتیجه دهد که این موارد به لینک‌های ورودی VPN اشاره دارد  یا نه – یا به آدرس IP مورد توجه به آدرس‌های که توسط VPN داده می‌شود.
به عبارت دیگر، NSA متوجه شد که من از VPN درخواستی کرده ام و بعد از آن VPN چیزی از MyDirtySecret.com درخواست کرد. هومم، آنها فکر می کنند – من شرط می بندم که با دروغ این درخواست را انجام می دهد. این حملات به آمار، احتمال، الگوهای ترافیک متکی هستند و می توانند با شناخت رفتار VPN ها یا رفتار هدف، بهبود یابد.
VPNs، mixnets و Tor همگی به طور بالقوه حساس به این نوع حملات هستند. پیش از این ، اجرای این حملات در مقایسه با تور در مقیاس بسیار دشوار بود، اما روش‌های یادگیری ماشین اخیر در رابطه با همبستگی ترافیک، سرپوش گذاشتن در استفاده از روش‌های پیشین حمله به هنر را از بین برده‌است. من انتظار دارم که محققان ناشناس از تحقیقات در مورد استفاده از شبکه‌های Generative adversarial ( gans ) برای تولید ویدئوی تقلبی با کیفیت بالا ، استفاده کند. همچنین می توان از GAN ها برای ایجاد نسل بعدی ابزار ناشناس استفاده کرد که می توانند ناقص ترین نرم افزار حمله همپوشانی – مبارزه با آتش سوزی در مسابقه تسلیحات بی پایان که امنیت سایبری است.
خوشبختانه، اکثر ما هدف تحقیقات فعال توسط NSA نیستیم. در نتیجه، برای تعدادی از مدل های تهدید، یک VPN ممکن است یک ابزار عالی برای کمک به شما در جلوگیری از سرقت و جاسوسی توسط بازیگران بد مانند یک ISP یا همسایه بد شما باشد. از سوی دیگر، برای مدل سازی تهدید زمانی برای کشف آنچه شما در تلاش برای نگه داشتن خصوصی، و از آنها باید آن را خصوصی نگهداری شود ارزش دارد. VPN ها یک پاناسونیک نیستند، و با استفاده از یک در واقع ممکن است شما را به یک هدف ساده تر بسته به مدل تهدید شما تبدیل کند.
لینک : https://medium.com/datadriveninvestor/do-vpns-actually-protect-your-privacy-5f98a9cec90a

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *