In landen waar internetcensuur en -toezicht overheidsbeleid zijn, is online beveiliging cruciaal voor risicogebruikers. Journalisten, activisten, politici en anderen met een prominente online aanwezigheid kunnen ernstige gevolgen ondervinden, zelfs voor de websites die ze bezoeken.

Virtuele privénetwerken, of VPN's, zijn ontworpen om de gegevens van gebruikers te beschermen tegen surveillance, maar of ze doen wat ze beweren, is van het grootste belang voor degenen wier leven kan afhangen van hun effectiviteit. Het vermogen van VPN's om gebruikers te beschermen inspireert ook het onderzoek van Jedidiah Crandall, een universitair hoofddocent computerwetenschappen aan de Arizona State University.

Crandall legt uit dat VPN's je internetprotocol, of IP-adres, verbergen door het te koppelen aan een andere server dan die van jou en het te laten lijken alsof je internet hebt buiten je normale netwerk om.

"VPN's zijn oorspronkelijk ontworpen om toegang te krijgen tot een beveiligd netwerk, maar bedrijven hebben ze hergebruikt, zodat je kunt ontsnappen aan een beperkende internetprovider die je niet vertrouwt en in plaats daarvan toegang krijgt tot een gratis en veilig netwerk", zegt Crandall. "Dus de manier waarop mensen tegenwoordig VPN's gebruiken, is een beetje achterlijk."

Crandall merkt op dat deze toegang nuttig is wanneer gebruikers zich zorgen maken dat hun browsegegevens worden gecontroleerd via hun internetprovider of ISP, of wanneer gebruikers zich in een land bevinden dat hun internetinhoud censureert.

Bronnen zoals OpenVPN, een toonaangevend wereldwijd bedrijf voor privénetwerken en cyberbeveiliging, en de meest populaire bron voor commerciële VPN-services, bieden toegang tot tools die snel en eenvoudig verbinding maken met privénetwerken en activa beschermen. Maar het onderzoek van Crandall is bedoeld om claims van privacy te ontkrachten en bloot te leggen of VPN's een vals gevoel van veiligheid voor hun gebruikers kunnen creëren.

"We stellen eigenlijk alleen fundamentele vragen zoals 'Als je VPN's op deze manier hergebruikt, hebben ze dan echt de beveiligingseigenschappen die mensen verwachten?'", zegt hij, terwijl hij herhaalt dat zijn werk gericht is op risicogebruikers die ernstige gevolgen ondervinden van censuur- en toezichtbeleid. "Het eerste deel van het onderzoek dat we deden, was kijken naar de VPN-tunnel zelf, een versleutelde tunnel tussen de VPN-server en de client, om te zien wat voor soort schade aanvallers vanaf daar kunnen aanrichten."

Om te ontdekken hoe aanvallen kunnen worden uitgevoerd, hebben Crandall en een groep onderzoekers een reeks aanvallen gesimuleerd vanaf twee potentiële dreigingspaden:client-side, of directe aanvallen op de apparaten van de gebruiker, en server-side, of aanvallen op de VPN-server waartoe toegang wordt het apparaat van de gebruiker. De groep heeft hun bevindingen gedetailleerd beschreven in een paper met de titel "Blind In/On-Path Attacks and Applications to VPNs."

Het team concludeerde dat verkeer vanuit de tunnel nog steeds op dezelfde manier kan worden aangevallen als wanneer er geen VPN wordt gebruikt, waarbij aanvallers verbindingen kunnen omleiden en malware kunnen aanbieden waarvan gebruikers denken dat een VPN hen beschermt.

Nu kijkend naar de dreiging van een aanval als mogelijk en niet alleen hypothetisch, werkte Crandall samen met een team van onderzoekers - waaronder experts van de University of Michigan en Merit Network - aan een paper met de titel "OpenVPN is Open voor VPN Fingerprinting" voor de 2022 USENIX Beveiligingssymposium.

Het onderzoek gaat in op hoe VPN-adoptie gestaag is gegroeid als gevolg van een groter publiek bewustzijn van privacy- en bewakingsbedreigingen en hoe sommige regeringen proberen de toegang te beperken door verbindingen te identificeren met behulp van deep packet-inspectie, of DPI, technologie, die vaak wordt gebruikt voor online afluisteren en censuur.

"Een groot deel van de eer gaat naar het team van de Universiteit van Michigan, dat dit onderzoek echt heeft geleid", zegt Crandall. "Een groot deel van dit werk is proberen de normen vast te stellen voor het samenbrengen van verschillende belanghebbenden, zodat iedereen, van de VPN-providers tot de gebruikers, dezelfde verwachtingen heeft. Maar we proberen ook te definiëren wat die verwachtingen zouden moeten zijn ."

"Voor mensen over de hele wereld kan er veel op het spel staan ​​wanneer VPN-aanbieders valse claims over hun diensten op de markt brengen. Ons onderzoek heeft aangetoond hoe op VPN gebaseerde diensten, waaronder diensten die hun VPN-dienst als 'onzichtbaar' of 'niet-blokkeerbaar' op de markt brengen, kunnen zijn effectief geblokkeerd met weinig nevenschade", zegt Ensafi, een assistent-professor elektrotechniek en informatica. "Jed is een van de toonaangevende onderzoekers op het gebied van internetcensuur die zich sinds 2005 richt op netwerkinterferentie, dus hij heeft een belangrijke rol gespeeld bij het vooruithelpen van dit onderzoek."