Mae pobl ledled y byd yn defnyddio dirprwyon masnachol i guddio eu gwir leoliad neu hunaniaeth. Gellir gwneud hyn i ddatrys problemau amrywiol, gan gynnwys cyrchu gwybodaeth sydd wedi'i blocio neu sicrhau preifatrwydd.
Ond pa mor gywir yw darparwyr dirprwyon o'r fath pan fyddant yn honni bod eu gweinyddwyr wedi'u lleoli mewn gwlad benodol? Mae hwn yn gwestiwn sylfaenol bwysig, a'r ateb iddo sy'n pennu a ellir defnyddio gwasanaeth penodol o gwbl gan y cleientiaid hynny sy'n pryderu am ddiogelu gwybodaeth bersonol.
Cyhoeddodd grΕ΅p o wyddonwyr Americanaidd o brifysgolion Massachusetts, Carnegie Mellon a Stony Brook , pan wiriwyd lleoliad gwirioneddol gweinyddwyr saith darparwr dirprwy poblogaidd. Rydym wedi paratoi crynodeb byr o'r prif ganlyniadau.
Cyflwyniad
Yn aml nid yw gweithredwyr dirprwyol yn darparu unrhyw wybodaeth a allai gadarnhau cywirdeb eu honiadau am leoliadau gweinydd. Mae cronfeydd data IP-i-leoliad fel arfer yn cefnogi honiadau hysbysebu cwmnΓ―au o'r fath, ond mae digon o dystiolaeth o wallau yn y cronfeydd data hyn.
Yn ystod yr astudiaeth, asesodd gwyddonwyr Americanaidd leoliadau 2269 o weinyddion dirprwyol a weithredir gan saith cwmni dirprwy ac sydd wedi'u lleoli mewn cyfanswm o 222 o wledydd a thiriogaethau. Dangosodd y dadansoddiad nad yw o leiaf traean o'r holl weinyddion wedi'u lleoli yn y gwledydd y mae cwmnΓ―au'n honni yn eu deunyddiau marchnata. Yn lle hynny, maent wedi'u lleoli mewn gwledydd sydd Γ’ llety rhad a dibynadwy: y Weriniaeth Tsiec, yr Almaen, yr Iseldiroedd, y DU ac UDA.
Dadansoddiad Lleoliad Gweinydd
Gall darparwyr VPN masnachol a dirprwy ddylanwadu ar gywirdeb cronfeydd data IP-i-leoliad - mae gan gwmnΓ―au'r gallu i drin, er enghraifft, codau lleoliad mewn enwau llwybryddion. O ganlyniad, gall deunyddiau marchnata hawlio nifer fawr o leoliadau sydd ar gael i ddefnyddwyr, tra mewn gwirionedd, er mwyn arbed arian a gwella dibynadwyedd, mae gweinyddwyr wedi'u lleoli'n gorfforol mewn nifer fach o wledydd, er bod cronfeydd data IP-i-leoliad yn dweud y gwrthwyneb.
I wirio lleoliad gwirioneddol y gweinyddwyr, defnyddiodd yr ymchwilwyr algorithm geolocation gweithredol. Fe'i defnyddiwyd i werthuso taith gron pecyn a anfonwyd at y gweinydd a gwesteiwyr hysbys eraill ar y Rhyngrwyd.
Ar yr un pryd, dim ond llai na 10% o'r dirprwyon a brofwyd sy'n ymateb i ping, ac am resymau amlwg, ni allai gwyddonwyr redeg unrhyw feddalwedd ar gyfer mesuriadau ar y gweinydd ei hun. Dim ond trwy ddirprwy oedd ganddynt y gallu i anfon pecynnau, felly taith gron i unrhyw bwynt yn y gofod yw swm yr amser y mae'n ei gymryd i becyn deithio o'r gwesteiwr prawf i'r dirprwy ac o'r dirprwy i'r cyrchfan.
Yn ystod yr ymchwil, datblygwyd meddalwedd arbenigol yn seiliedig ar bedwar algorithm geoleoli gweithredol: CBG, Octant, Spotter ac Octant/Spotter hybrid. Cod datrysiad ar GitHub.
Gan ei bod yn amhosibl dibynnu ar y gronfa ddata IP-i-leoliad, ar gyfer yr arbrofion defnyddiodd yr ymchwilwyr restr RIPE Atlas o westeion angori - mae'r wybodaeth yn y gronfa ddata hon ar gael ar-lein, yn cael ei diweddaru'n gyson, ac mae'r lleoliadau dogfenedig yn gywir, ar ben hynny , Mae'r gwesteiwyr o'r rhestr yn anfon signalau ping at ei gilydd yn gyson ac yn diweddaru data ar roundtrip yn y gronfa ddata gyhoeddus.
Wedi'i ddatblygu gan wyddonwyr datrysiadau, mae'n gymhwysiad gwe sy'n sefydlu cysylltiadau TCP diogel (HTTPS) dros y porthladd HTTP heb ei ddiogelu 80. Os nad yw'r gweinydd yn gwrando ar y porth hwn, yna bydd yn methu ar Γ΄l un cais, fodd bynnag, os yw'r gweinydd yn gwrando ar y porthladd hwn, yna bydd y porwr yn derbyn ymateb SYN- ACK gyda phecyn TLS ClientHello. Bydd hyn yn sbarduno gwall protocol a bydd y porwr yn dangos y gwall, ond dim ond ar Γ΄l yr ail daith gron.
Fel hyn, gall cymhwysiad gwe amseru un neu ddau o deithiau crwn. Gweithredwyd gwasanaeth tebyg fel rhaglen a lansiwyd o'r llinell orchymyn.
Nid yw'r un o'r darparwyr a brofwyd yn datgelu union leoliad eu gweinyddwyr dirprwyol. Ar y gorau, sonnir am ddinasoedd, ond yn fwyaf aml dim ond gwybodaeth am y wlad sydd. Hyd yn oed pan sonnir am ddinas, gall digwyddiadau ddigwydd - er enghraifft, archwiliodd ymchwilwyr ffeil ffurfweddu un o'r gweinyddwyr o'r enw usa.new-york-city.cfg, a oedd yn cynnwys cyfarwyddiadau ar gyfer cysylltu Γ’ gweinydd o'r enw chicago.vpn-provider. enghraifft. Felly, fwy neu lai yn gywir, dim ond i chi allu cadarnhau bod y gweinydd yn perthyn i wlad benodol.
Canfyddiadau
Yn seiliedig ar ganlyniadau profion gan ddefnyddio algorithm geolocation gweithredol, roedd yr ymchwilwyr yn gallu cadarnhau lleoliad 989 allan o 2269 o gyfeiriadau IP. Yn achos 642, ni ellid gwneud hyn, ac yn bendant nid yw 638 yn y wlad lle y dylent fod, yn Γ΄l sicrwydd y gwasanaethau dirprwy. Mae mwy na 400 o'r cyfeiriadau ffug hyn mewn gwirionedd wedi'u lleoli ar yr un cyfandir Γ’'r wlad ddatganedig.
Mae'r cyfeiriadau cywir wedi'u lleoli yn y gwledydd a ddefnyddir amlaf i gynnal gweinyddwyr (cliciwch ar y llun i agor mewn maint llawn)
Canfuwyd gwesteiwyr amheus ar bob un o'r saith darparwr a brofwyd. Gofynnodd yr ymchwilwyr am sylwadau gan y cwmnΓ―au, ond gwrthododd pawb gyfathrebu.
Ffynhonnell: hab.com