Людзі па ўсім свеце выкарыстоўваюць камерцыйныя проксі для таго, каб схаваць сваё сапраўднае месцазнаходжанне ці асобу. Гэта можа рабіцца для рашэння розных задач, у тым ліку доступ да заблакаванай інфармацыі або забеспячэнне прыватнасці.
Але наколькі карэктныя правайдэры такіх проксі, калі заяўляюць аб тым, што іх серверы размешчаны ў вызначанай краіне? Гэта прынцыпова важнае пытанне, ад адказу на якое залежыць ці можна наогул карыстацца вызначаным сэрвісам тым кліентам, хто заклапочаны абаронай асабістай інфармацыі.
Група амерыканскіх навукоўцаў з універсітэтаў Масачусэтса, Carnegie Mellon і Stony Brook апублікавала , Падчас якога правяралі рэальнае размяшчэнне сервераў семярых папулярных проксі-правайдэраў. Мы падрыхтавалі кароткі пераказ асноўных вынікаў.
Увядзенне
Аператары проксі часта не падаю ніякай інфармацыі, якая магла б пацвердзіць дакладнасць іх заяў аб размяшчэнні сервераў. Базы дадзеных IP-to-location звычайна пацвярджаюць рэкламныя тэзы такіх кампаній, аднак існуе вялікая колькасць сведчанняў памылак у гэтых базах.
У ходзе даследавання амерыканскія навукоўцы ацанілі размяшчэнне 2269 проксі-сервераў, якія знаходзяцца пад кіраваннем семярых проксі-кампаній і размешчаных у агульнай складанасці ў 222 краінах і тэрыторыях. Аналіз паказаў, што прынамсі траціна ўсіх сервераў не знаходзіцца ў тых краінах, пра якія заяўляюць кампаніі ў сваіх маркетынгавых матэрыялах. Замест гэтага яны размяшчаюцца ў краінах з танным і надзейным хостынгам: у Чэхіі, Нямеччыне, Нідэрландах, Вялікабрытаніі і ЗША.
Аналіз размяшчэння сервераў
Камерцыйныя правайдэры VPN і проксі могуць уплываць на дакладнасць баз дадзеных IP-to-location - у кампаній ёсць магчымасць маніпуляцый, напрыклад, кодамі лакацый у назвах роўтэраў. У выніку маркетынгавыя матэрыялы могуць заяўляць аб вялікай колькасці даступных карыстачам лакацый, тады як у рэальнасці для эканоміі і падвышэнні надзейнасці працы, серверы фізічна знаходзяцца ў невялікай колькасці краін, хоць і IP-to-location базы кажуць аб зваротным.
Для праверкі рэальнага месцазнаходжання сервераў даследнікі выкарыстоўвалі алгарытм актыўнай геолокации. З яго дапамогай ацэньваўся roundtrip пакета, адпраўленага ў бок сервера і на іншыя вядомыя хасты ў інтэрнэце.
Пры гэтым, толькі менш за 10% пратэставаных проксі адказваюць на пінг, а запусціць які-небудзь софт для вымярэнняў на самым серверы па зразумелым чынніку навукоўцы не маглі. У іх была толькі магчымасць адпраўкі пакетаў праз проксі, так што roundtrip да любой кропкі ў прасторы ўяўляе сабой суму часу, за які пакет дойдзе ад тэставага хаста да проксі і ад проксі да адрасата.
У ходзе даследавання быў распрацаваны спецыялізаваны софт на аснове чатырох алгарытмаў актыўнай геолокации: CBG, Octant, Spotter і гібрыдны Octant / Spotter. Код рашэння на GitHub.
Паколькі пакласціся на IP-to-location базы дадзеных было нельга, для эксперыментаў даследнікі выкарысталі спіс якарных хастоў RIPE Atlas – інфармацыя ў гэтай базе даступная анлайн, стала абнаўляецца, а задакументаваныя лакацыі карэктныя, больш за тое, хасты са спісу стала адпраўляюць адзін аднаму сігналы пінгу і абнаўляюць дадзеныя па roundtrip у публічнай базе.
Распрацаванае навукоўцамі рашэннямі ўяўляе сабой вэб-прыкладанне, якое ўсталёўвае абароненыя (HTTPS) TCP-злучэнні па неабароненым порце HTTP 80. Калі сервер не слухае гэты порт, то пасля аднаго запыту адбудзецца збой, аднак калі сервер слухае гэты порт, то браўзэр атрымае SYN- ACK адказ з пакетам TLS ClientHello. Гэта справакуе памылку пратаколу, і браўзэр адлюструе памылку, але толькі пасля другога roundtrip.
Такім чынам, вэб-дадатак можа замерыць час аднаго ці двух roundtrip. Аналагічны сэрвіс быў рэалізаваны ў выглядзе праграмы, якая запускаецца з каманднага радка.
Ніводны з пратэставаных правайдэраў не называе дакладнае месцазнаходжанне сваіх проксі-сервераў. У лепшым выпадку згадваюцца гарады, але часцей за ўсё ёсць інфармацыя толькі аб краіне. Нават калі горад згадваецца, могуць адбывацца казусы - напрыклад, даследнікі вывучалі канфігурацыйны файл аднаго з сервераў пад назовам usa.new-york-city.cfg, у якім утрымоўваліся інструкцыі для падлучэння да сервера пад назовам chicago.vpn-provider.example. Так што больш-менш дакладна можна пацвердзіць толькі прыналежнасць сервера да канкрэтнай краіны.
Вынікі
Па выніках тэстаў з дапамогай алгарытму актыўнай геолокации, даследнікам атрымалася пацвердзіць месцазнаходжанне 989 з 2269 IP-адрасоў. У выпадку 642 зрабіць гэтага не ўдалося, а 638 сапраўды знаходзяцца не ў той краіне, дзе яны павінны быць паводле запэўненняў проксі-сэрвісаў. Больш за 400 з такіх фальшывых адрасоў у рэальнасці знаходзяцца на адным кантыненце з заяўленай краінай.
Карэктныя адрасы знаходзяцца ў краінах, якія часцей за ўсё выкарыстоўваюцца для размяшчэння сервераў (па кліку карцінка адкрыецца ў поўным памеры)
Падазроныя хасты былі знойдзены ў кожнага з семярых пратэставаных правайдэраў. Даследнікі запыталі каментары ў кампаній, але ўсе яны адмовіліся ад зносін.
Крыніца: habr.com