Mense regoor die wêreld gebruik kommersiële gevolmagtigdes om hul ware ligging of identiteit weg te steek. Dit kan gedoen word om verskeie probleme op te los, insluitend toegang tot geblokkeerde inligting of om privaatheid te verseker.
Maar hoe korrek is die verskaffers van sulke gevolmagtigdes as hulle beweer dat hul bedieners in 'n sekere land geleë is? Dit is 'n fundamenteel belangrike vraag, waarvan die antwoord bepaal of 'n sekere diens hoegenaamd gebruik kan word deur daardie kliënte wat bekommerd is oor die beskerming van persoonlike inligting.
’n Groep Amerikaanse wetenskaplikes van die universiteite van Massachusetts, Carnegie Mellon en Stony Brook het gepubliseer , waartydens die werklike ligging van die bedieners van sewe gewilde instaanbedienerverskaffers nagegaan is. Ons het 'n kort opsomming van die hoofresultate voorberei.
Inleiding
Volmagoperateurs verskaf dikwels geen inligting wat die akkuraatheid van hul aansprake oor bedienerliggings kan bevestig nie. IP-tot-ligging-databasisse ondersteun gewoonlik die advertensie-eise van sulke maatskappye, maar daar is genoeg bewyse van foute in hierdie databasisse.
Tydens die studie het Amerikaanse wetenskaplikes die liggings beoordeel van 2269 222 instaanbedieners wat deur sewe volmagmaatskappye bedryf word en in altesaam XNUMX lande en gebiede geleë is. Die ontleding het getoon dat ten minste 'n derde van alle bedieners nie in die lande geleë is wat maatskappye in hul bemarkingsmateriaal eis nie. In plaas daarvan is hulle geleë in lande met goedkoop en betroubare hosting: die Tsjeggiese Republiek, Duitsland, Nederland, die Verenigde Koninkryk en die VSA.
Bedienerligginganalise
Kommersiële VPN- en proxy-verskaffers kan die akkuraatheid van IP-tot-ligging-databasisse beïnvloed – maatskappye het die vermoë om byvoorbeeld liggingkodes in routername te manipuleer. Gevolglik kan bemarkingsmateriaal 'n groot aantal liggings wat aan gebruikers beskikbaar is, eis, terwyl bedieners in werklikheid, om geld te bespaar en betroubaarheid te verbeter, fisies in 'n klein aantal lande geleë is, hoewel IP-tot-plek databasisse die teendeel sê.
Om die werklike ligging van die bedieners na te gaan, het die navorsers 'n aktiewe geoliggingalgoritme gebruik. Dit is gebruik om die terugreis van 'n pakkie wat na die bediener en ander bekende gashere op die internet gestuur is, te evalueer.
Terselfdertyd reageer net minder as 10% van die getoetsde gevolmagtigdes op ping, en om ooglopende redes kon wetenskaplikes geen sagteware vir metings op die bediener self gebruik nie. Hulle het net die vermoë gehad om pakkies deur 'n instaanbediener te stuur, so 'n terugreis na enige punt in die ruimte is die som van die tyd wat dit 'n pakkie neem om van die toetsgasheer na die instaanbediener en van die instaanbediener na die bestemming te reis.
Tydens die navorsing is gespesialiseerde sagteware ontwikkel gebaseer op vier aktiewe geoliggingalgoritmes: CBG, Octant, Spotter en hibriede Octant/Spotter. Oplossing kode op GitHub.
Aangesien dit onmoontlik was om op die IP-tot-ligging-databasis staat te maak, het die navorsers vir die eksperimente die RIPE Atlas-lys van ankergashere gebruik - die inligting in hierdie databasis is aanlyn beskikbaar, word voortdurend opgedateer, en die gedokumenteerde liggings is boonop korrek , stuur die gashere van die lys voortdurend ping-seine na mekaar en werk data op heen en weer in die publieke databasis op.
Ontwikkel deur oplossingswetenskaplikes, is dit 'n webtoepassing wat veilige (HTTPS) TCP-verbindings tot stand bring oor die onversekerde HTTP-poort 80. As die bediener nie op hierdie poort luister nie, sal dit egter na een versoek misluk as die bediener luister op hierdie poort, dan sal die blaaier 'n SYN-ACK-antwoord met TLS ClientHello-pakkie ontvang. Dit sal 'n protokolfout veroorsaak en die blaaier sal die fout vertoon, maar eers na die tweede terugreis.
Op hierdie manier kan 'n webtoepassing een of twee heen- en terugreise tyd. 'n Soortgelyke diens is geïmplementeer as 'n program wat vanaf die opdragreël van stapel gestuur is.
Nie een van die getoetste verskaffers maak die presiese ligging van hul instaanbedieners bekend nie. Ten beste word stede genoem, maar meestal is daar slegs inligting oor die land. Selfs wanneer 'n stad genoem word, kan voorvalle voorkom - navorsers het byvoorbeeld die konfigurasielêer van een van die bedieners genaamd usa.new-york-city.cfg ondersoek, wat instruksies bevat het om aan 'n bediener genaamd chicago.vpn-provider te koppel. voorbeeld. Dus, min of meer akkuraat, kan u slegs bevestig dat die bediener aan 'n spesifieke land behoort.
Bevindinge
Op grond van die resultate van toetse met behulp van 'n aktiewe geolocation-algoritme, kon die navorsers die ligging van 989 uit 2269 IP-adresse bevestig. In die geval van 642 kon dit nie gedoen word nie, en 638 is beslis nie in die land waar hulle behoort te wees nie, volgens die versekering van die volmagdienste. Meer as 400 van hierdie vals adresse is eintlik op dieselfde kontinent as die verklaarde land geleë.
Die korrekte adresse is geleë in die lande wat die meeste gebruik word om bedieners te huisves (klik op die prentjie om in volle grootte oop te maak)
Verdagte gashere is gevind by elk van die sewe verskaffers wat getoets is. Die navorsers het kommentaar van die maatskappye gesoek, maar almal het geweier om te kommunikeer.
Bron: will.com