شبکههای خصوصی مجازی ( VPNs ) یکی از ابزارهای ذکر شده در زمینه حریم خصوصی در وب میباشند. در حالی که کاربردهای زیادی برای VPNs وجود دارد، تعداد رو به رشدی از ارائه دهندگان VPN وجود دارد که حفظ حریم خصوصی را تبلیغ میکنند. برای مثال سایت NordVPN می گوید : “از دسترسی امن و خصوصی به اینترنت با NordVPN لذت ببرید، فعالیت آنلاین خود را رمزگذاری کنید تا از اطلاعات خصوصی خود از هکرها و تبلیغ کنندگان تبلیغاتی محافظت کند.”
چطور دقیقا یک VPN از شما در این موارد “snoopy” محافظت می کند؟
زمانی که از یک شبکه خصوصی مجازی استفاده میکنید، در اصل شما از یک پروکسی برای ایجاد درخواست از طرف خود استفاده میکنید. با اتصال خصوصی VPN، اتصال شما پروکسی رمزگذاری شده است ، که باعث میشود کسی به ترافیک شما سرک بکشد تا مشخص کند که شما چه نوع پیامی را با سرور VPN مبادله کردهاید. به طور معمول، نقش سرور VPN این است که به جای اینکه مستقیما آنها را انجام دهید ، درخواستهای وب را از جانب شما ایجاد کند.
اجازه بدهید بگویم که میخواهم از MyDirtySecret.com دیدن کنم، اما من ” را نمیخواهم که بداند دارم از آن وب سایت بازدید میکنم؛ این یک راز کثیف است. معمولا، من باید یک درخواست از طریق ISP خود ایجاد کنم که میگوید: ” من از MyDirtySecret.com بازدید میکنم ” یا حداقل نشانی IP آن وب سایت. ISP من به راحتی میتواند این اطلاعات را ثبت کند و برای مثال، آن را بعدا به تبلیغ کنندگان بفروشد.
VPN به شما این اجازه را میدهد که یک پیغام رمزنگاری شده را به ارایهدهنده VPN بفرستید که میگوید: ” آیا میتوانید دادههای وب سایت را برای MyDirtySecret.com بیاورید و آن را برای من ارسال کنید ؟ ” ISP شما میداند که شما یک پیغام را به VPN خود ارسال کردهاید، اما به دلیل رمز نگاری آنها نمیتوانند محتوای پیام شما را بخوانند. ISP می تواند ببیند که تقاضای MyDirtySecret.com را درخواست کرده اما درخواست VPN را برای آن وب سایت با درخواست شما لزوما پیوند نمی دهد. این نمودار را در نظر بگیرید:
توجه داشته باشید که در هر دو مورد از این موارد زمان صرف سفر از طریق زیرساخت وب عمومی میشود – بسیاری از کاربران نگرانی خود را ابراز کردهاند ( و شواهدی ارایه دادهاند ) که برخی از بخشهای اصلی زیرساخت شامل ردیابی مدیریت و ابزارهای نظیر آن، که مقادیر انبوهی از دادههای ترافیکی و فراداده را ذخیره میکنند . این فراداده، با ضرورت، آدرس IP شما را شامل میشود . در مثال اول، مهم نیست که آن گرههای ورود به اینترنت در اینترنت هستند ، آنها میتوانند ببینند که شما دادهها را به MyDirtySecret ارسال میکنید، یا اینکه MyDirtySecret دادهها را به شما ارسال میکند.
با این حال ، در مثال دوم، گرههایی که ترافیک شما را قبل از رسیدن به VPN ( به عنوان مثال ISP شما ) میبینند تنها میتواند نتیجه بگیرید که شما برای یک VPN پیام ارسال میکنید. Nodes که ترافیک شما را بعد از رسیدن به VPN مشاهده میکنند تنها میتوانند نتیجه بگیرند که VPN در ارتباط با MyDirtySecret است؛ داده بین VPN و MyDirtySecret.com تنها نشانی از VPN و یک سرور MyDirtySecret.com را دارد. این ادعا وجود دارد که به دلیل این که حریم خصوصی شما حفاظت شدهاست – آدرس IP شما در هیچ بسته به همراه آدرس IP MyDirtySecret ظاهر نمیشود، بنابراین راز شما ایمن است. یا این طور نیست ؟
مدل سازی تهدید: از کجا امن هستم؟
یکی از مهمترین مفاهیم امنیت نرمافزاری ، مدلسازی تهدید است. مدلسازی تهدید فرآیند پرسیدن سوالهایی مانند ” چه کسی را باید از خودم محافظت کنم ؟ من دقیقا چه چیزی را محافظت میکنم ؟ چگونه ممکن است دشمنان من از حمایتهای من دور باشند ؟ ” مدلسازی تهدید حیاتی است زیرا حقیقت این است که هیچ چیز از شما در مقابل همه چیز حفاظت نخواهد کرد . به احتمال زیاد جدیترین تهدیدها از سوی محتملترین بازیگران، بهترین کاری است که میتوانید انجام دهید؛ مانند بسیاری از چیزهای دیگر، امنیت سایبری دنیایی است که در آن تجارت و اولویت بندی قرار دارد. گلوله های نقره ای وجود ندارد.
بیایید به دو مدل تهدید کاملا متفاوتی نگاه کنیم.
سناریوی A: من درگیر فعالیتهای فتنه جویانه هستم، و متاسفم که NSA چیزی که من برای آن هستم را پیدا کند ، یا افرادی را که با آنها ارتباط دارم را شناسایی کند.
سناریوی B: نمی خوام ISP تاریخچه مرورگر مرا بداند چون گاهی اوقات من ویدئوهای خجالتآور را تماشا میکنم، و به ISP خود اعتماد نمیکنم که این راز را حفظ کند.
در سناریو A، یکی از پیشرفتهترین و قدرتمندترین سازمان اطلاعاتی آمریکا است. آنها به منابع باورنکردنی دسترسی دارند و به شدت انگیزه میگیرند که مرا بگیرند چون شغل آنها ( ظاهرا ) برای گرفتن افراد آشوبگر مثل من است. از آنها انتظار دارم از انواع ابزارها استفاده کنند، نسبت به اطلاعاتی که در مورد من میآموزند ، واکنش نشان دهند و هدایت را دنبال کنند. آنها میتوانند خانه مرا ضبط کنند، نظارت منفعل در گره های اصلی اینترنت داشته باشند، و اگر یاد بگیرند که با آنها ارتباط برقرار میکنم ، میتوانند شخص دیگر را ضبط کنند.
در سناریو B، این سازمان اطلاعاتی از لحاظ اقتصادی و فنآوری پیچیده است، اما آنها به طور قابلتوجهی انگیزه کمتری برای پیگیری هدایت و واکنش به رفتار متغیر من دارند. شاید ترجیح میدهند تاریخچه مرورگر مرا بدانند تا بتوانند آن را به تبلیغ کنندگان بفروشند، اما آنها هم پول مرا میگیرند و فرصتهای تجاری زیادی برای دنبال کردن دارند. جمعآوری دادههای من فقط ” میوه آویزان پایین ” برای ISP من است، و اگر آن میوه را بالاتر از درخت حرکت دهم، آنها به سمت یک درخت کوتاهتر حرکت خواهند کرد.
من ادعا میکنم که یک VPN به شما کمک میکند با سناریو B به شما کمک کند، اما در واقع ممکن است در سناریو A به شما آسیب برساند. یکی از دوستان من که یک مهندس امنیت نرمافزاری برای گوگل محسوب میشود، این روش را اینگونه بیان میکند : “NSA خواهان نظارت بر ترافیک است که نسبت بالای سیگنال به نویز برخوردار است، ” جایی که سیگنال در اینجا انتقال داده مربوط به فعالیت غیر قانونی است که انای به آن اهمیت میدهد. دوست من ادامه داد : ” اگر NSA تحت نظارت تمامی VPN هایی که خود را به عنوان حفظ حریم خصوصی تبلیغ میکنند نظارت نداشته باشد، صراحتا خواستار بازگشت دلارهای مالیاتی خود هستم .”
به سختی می توان تصور کرد که فرد بهتری برای فعالیت جنایی داشته باشد تا خدماتی که تبلیغ کند میتواند هویت شما را سالم نگه دارد. با استفاده از مجموعهای از ابزارهای آماری و wiretaps، عوامل قدرتمند مانند NSA میتوانند یک کلاس حمله به نام ” حمله همبستگی ” را اجرا کنند . در این نوع از حمله، NSA فراداده ها و خارج از VPN را پردازش میکند و از اطلاعاتی مثل اندازه و زمانبندی آن ترافیک استفاده میکند تا نتیجه دهد که این موارد به لینکهای ورودی VPN اشاره دارد یا نه – یا به آدرس IP مورد توجه به آدرسهای که توسط VPN داده میشود.
به عبارت دیگر، NSA متوجه شد که من از VPN درخواستی کرده ام و بعد از آن VPN چیزی از MyDirtySecret.com درخواست کرد. هومم، آنها فکر می کنند – من شرط می بندم که با دروغ این درخواست را انجام می دهد. این حملات به آمار، احتمال، الگوهای ترافیک متکی هستند و می توانند با شناخت رفتار VPN ها یا رفتار هدف، بهبود یابد.
VPNs، mixnets و Tor همگی به طور بالقوه حساس به این نوع حملات هستند. پیش از این ، اجرای این حملات در مقایسه با تور در مقیاس بسیار دشوار بود، اما روشهای یادگیری ماشین اخیر در رابطه با همبستگی ترافیک، سرپوش گذاشتن در استفاده از روشهای پیشین حمله به هنر را از بین بردهاست. من انتظار دارم که محققان ناشناس از تحقیقات در مورد استفاده از شبکههای Generative adversarial ( gans ) برای تولید ویدئوی تقلبی با کیفیت بالا ، استفاده کند. همچنین می توان از GAN ها برای ایجاد نسل بعدی ابزار ناشناس استفاده کرد که می توانند ناقص ترین نرم افزار حمله همپوشانی – مبارزه با آتش سوزی در مسابقه تسلیحات بی پایان که امنیت سایبری است.
خوشبختانه، اکثر ما هدف تحقیقات فعال توسط NSA نیستیم. در نتیجه، برای تعدادی از مدل های تهدید، یک VPN ممکن است یک ابزار عالی برای کمک به شما در جلوگیری از سرقت و جاسوسی توسط بازیگران بد مانند یک ISP یا همسایه بد شما باشد. از سوی دیگر، برای مدل سازی تهدید زمانی برای کشف آنچه شما در تلاش برای نگه داشتن خصوصی، و از آنها باید آن را خصوصی نگهداری شود ارزش دارد. VPN ها یک پاناسونیک نیستند، و با استفاده از یک در واقع ممکن است شما را به یک هدف ساده تر بسته به مدل تهدید شما تبدیل کند.
لینک : https://medium.com/datadriveninvestor/do-vpns-actually-protect-your-privacy-5f98a9cec90a
