Žmonės visame pasaulyje naudoja komercinius tarpinius serverius, kad paslėptų savo tikrąją vietą ar tapatybę. Tai galima padaryti siekiant išspręsti įvairias problemas, įskaitant prieigą prie užblokuotos informacijos ar privatumo užtikrinimo.
Tačiau ar teisūs yra tokių tarpinių serverių tiekėjai, teigdami, kad jų serveriai yra tam tikroje šalyje? Tai iš esmės svarbus klausimas, nuo kurio atsakymo priklauso, ar tam tikra paslauga apskritai gali naudotis tie klientai, kuriems rūpi asmeninės informacijos apsauga.
Grupė amerikiečių mokslininkų iš Masačusetso, Carnegie Mellon ir Stony Brook universitetų paskelbė , kurio metu buvo patikrinta reali septynių populiarių tarpinių serverių tiekėjų serverių vieta. Parengėme trumpą pagrindinių rezultatų santrauką.
įvedimas
Tarpinių serverių operatoriai dažnai nepateikia jokios informacijos, kuri galėtų patvirtinti jų teiginių apie serverių vietas tikslumą. Duomenų bazės nuo IP iki vietos paprastai palaiko tokių įmonių reklaminius teiginius, tačiau yra daug įrodymų, kad šiose duomenų bazėse yra klaidų.
Tyrimo metu amerikiečių mokslininkai įvertino 2269 tarpinių serverių, kuriuos valdo septynios įgaliotosios įmonės ir yra iš viso 222 šalyse ir teritorijose, vietas. Analizė parodė, kad mažiausiai trečdalis visų serverių yra ne tose šalyse, apie kurias įmonės teigia savo rinkodaros medžiagoje. Vietoj to, jie yra pigaus ir patikimo prieglobos šalyse: Čekijoje, Vokietijoje, Nyderlanduose, JK ir JAV.
Serverio vietos analizė
Komerciniai VPN ir tarpinio serverio teikėjai gali turėti įtakos IP ir vietos duomenų bazių tikslumui – įmonės turi galimybę manipuliuoti, pavyzdžiui, vietos kodais maršrutizatorių pavadinimuose. Dėl to rinkodaros medžiagoje gali būti nurodoma daug vartotojams prieinamų vietų, o iš tikrųjų, siekiant sutaupyti pinigų ir padidinti patikimumą, serveriai fiziškai yra nedideliame skaičiuje šalių, nors IP-vietos duomenų bazės teigia priešingai.
Norėdami patikrinti tikrąją serverių vietą, mokslininkai naudojo aktyvų geografinės vietos nustatymo algoritmą. Jis buvo naudojamas vertinant paketo, siunčiamo į serverį ir kitus žinomus interneto pagrindinius kompiuterius, judėjimą pirmyn ir atgal.
Tuo pačiu metu tik mažiau nei 10% išbandytų tarpinių serverių reaguoja į ping ir dėl akivaizdžių priežasčių mokslininkai negalėjo paleisti jokios programinės įrangos matavimams pačiame serveryje. Jie turėjo galimybę siųsti paketus tik per tarpinį serverį, todėl kelionė pirmyn ir atgal į bet kurį erdvės tašką yra laiko, per kurį paketas nukeliauja nuo bandomojo pagrindinio kompiuterio iki tarpinio serverio ir iš įgaliotojo serverio į paskirties vietą, suma.
Tyrimo metu buvo sukurta specializuota programinė įranga, pagrįsta keturiais aktyviais geografinės vietos nustatymo algoritmais: CBG, Octant, Spotter ir hibridiniu Octant/Spotter. Sprendimo kodas „GitHub“.
Kadangi IP-vietos duomenų baze pasikliauti nebuvo įmanoma, eksperimentams tyrėjai naudojo RIPE Atlas inkarinių šeimininkų sąrašą – šios duomenų bazės informacija yra prieinama internete, nuolat atnaujinama, dokumentuose nurodytos vietos yra teisingos, be to, , sąrašo šeimininkai nuolat siunčia vieni kitiems ping signalus ir atnaujina duomenis apie kelionę pirmyn ir atgal viešoje duomenų bazėje.
Sukurta sprendimų mokslininkų, tai žiniatinklio programa, kuri užmezga saugų (HTTPS) TCP ryšį per neapsaugotą HTTP prievadą 80. Jei serveris neklauso šio prievado, po vienos užklausos jis suges, tačiau jei serveris klauso šiame prievade, tada naršyklė gaus SYN-ACK atsakymą su TLS ClientHello paketu. Tai suaktyvins protokolo klaidą ir naršyklė parodys klaidą, bet tik po antrojo kelionės pirmyn ir atgal.
Tokiu būdu žiniatinklio programa gali skirti vieną ar dvi keliones pirmyn ir atgal. Panaši paslauga buvo įdiegta kaip programa, paleista iš komandinės eilutės.
Nė vienas iš išbandytų paslaugų teikėjų neatskleidžia tikslios tarpinių serverių vietos. Geriausiu atveju minimi miestai, bet dažniausiai informacija tik apie šalį. Net ir paminėjus miestą, gali įvykti incidentų – pavyzdžiui, mokslininkai ištyrė vieno iš serverių, vadinamų usa.new-york-city.cfg, konfigūracijos failą, kuriame buvo instrukcijos, kaip prisijungti prie serverio, vadinamo chicago.vpn-provider. pavyzdys. Taigi, daugiau ar mažiau tiksliai, galite tik patvirtinti, kad serveris priklauso konkrečiai šaliai.
rezultatai
Remdamiesi bandymų, naudojant aktyvų geografinės vietos nustatymo algoritmą, rezultatais, mokslininkai sugebėjo patvirtinti 989 iš 2269 IP adresų vietą. 642 atveju to padaryti nepavyko, o tarpinių tarnybų patikinimu, 638 tikrai nėra toje šalyje, kurioje turėtų būti. Daugiau nei 400 šių klaidingų adresų iš tikrųjų yra tame pačiame žemyne, kaip ir deklaruota šalis.
Teisingi adresai yra šalyse, kurios dažniausiai naudojamos serveriams priglobti (spustelėkite paveikslėlį, kad atidarytumėte visu dydžiu)
Kiekviename iš septynių išbandytų paslaugų teikėjų buvo rasta įtartinų prieglobų. Tyrėjai prašė kompanijų komentarų, bet visi atsisakė bendrauti.
Šaltinis: www.habr.com