Nei paesi in cui la censura e la sorveglianza di Internet sono politiche del governo, la sicurezza online è fondamentale per gli utenti a rischio. Giornalisti, attivisti, politici e altri con un'importante presenza online possono affrontare gravi conseguenze anche per i siti Web che navigano.

Le reti private virtuali, o VPN, sono progettate per mantenere i dati degli utenti protetti dalla sorveglianza, ma se fanno ciò che affermano è della massima importanza per coloro la cui vita può dipendere dalla loro efficacia. La capacità delle VPN di proteggere gli utenti ispira anche la ricerca di Jedidiah Crandall, professore associato di informatica presso l'Arizona State University.

Crandall spiega che le VPN nascondono il tuo protocollo Internet, o indirizzo IP, collegandolo a un server diverso dal tuo e facendo sembrare che tu stia accedendo a Internet al di fuori della tua rete normale.

"Le VPN sono state originariamente progettate per entrare in una rete sicura, ma le aziende le hanno riproposte in modo da poter sfuggire a un provider di servizi Internet restrittivo di cui non ti fidi e accedere a uno gratuito e sicuro", afferma Crandall. "Quindi, il modo in cui le persone usano le VPN oggi è un po' al contrario."

Crandall osserva che questo accesso è utile quando gli utenti sono preoccupati che i loro dati di navigazione vengano monitorati tramite il loro provider di servizi Internet o ISP, o quando gli utenti si trovano in un paese che censura i loro contenuti Internet.

Risorse come OpenVPN, una delle principali società globali di reti private e sicurezza informatica, e la risorsa più popolare per i servizi VPN commerciali, vantano l'accesso a strumenti che si connettono rapidamente e facilmente alle reti private e salvaguardano le risorse. Ma la ricerca di Crandall mira a sfatare le affermazioni sulla privacy ed esporre se le VPN possono creare un falso senso di sicurezza per i loro utenti.

"Stiamo davvero solo ponendo domande fondamentali come 'Quando riutilizzi le VPN in questo modo, hanno davvero le proprietà di sicurezza che le persone si aspettano?'", afferma, ribadendo l'attenzione del suo lavoro sugli utenti a rischio che devono affrontare gravi conseguenze da politiche di censura e sorveglianza. "La prima parte della ricerca che abbiamo fatto è stata esaminare il tunnel VPN stesso, che è un tunnel crittografato tra il server VPN e il client, per vedere che tipo di danno possono fare gli aggressori da lì."

Per scoprire come possono essere effettuati gli attacchi, Crandall e un gruppo di ricercatori hanno simulato una serie di attacchi da due potenziali percorsi di minaccia:lato client o attacchi diretti ai dispositivi dell'utente e lato server o attacchi al server VPN a cui accede il dispositivo dell'utente. Il gruppo ha dettagliato i risultati in un documento intitolato "Attacchi ciechi in/on-path e applicazioni alle VPN".

Il team ha concluso che il traffico può ancora essere attaccato dal tunnel come se non venisse utilizzata una VPN, con gli aggressori in grado di reindirizzare le connessioni e servire malware da cui gli utenti ritengono che una VPN li protegga.

Ora esaminando la minaccia di un attacco come possibile e non solo ipotetica, Crandall ha collaborato con un team di ricercatori, inclusi esperti dell'Università del Michigan e Merit Network, su un documento intitolato "OpenVPN is Open to VPN Fingerprinting" per USENIX 2022 Simposio sulla sicurezza.

La ricerca affronta il modo in cui l'adozione della VPN ha registrato una crescita costante a causa della maggiore consapevolezza pubblica delle minacce alla privacy e alla sorveglianza e come alcuni governi stanno tentando di limitare l'accesso identificando le connessioni utilizzando la tecnologia di ispezione approfondita dei pacchetti, o DPI, comunemente utilizzata per intercettazioni online e censura.

"Gran parte del merito va al team dell'Università del Michigan, che ha davvero guidato questa ricerca", afferma Crandall. "Gran parte di questo lavoro sta cercando di stabilire gli standard su come riunire diversi stakeholder in modo che tutti, dai provider VPN agli utenti, abbiano le stesse aspettative. Ma stiamo anche cercando di definire quali dovrebbero essere tali aspettative ."

"Per le persone in tutto il mondo, può esserci molto in gioco quando i provider VPN commercializzano false affermazioni sui loro servizi. La nostra ricerca ha mostrato come i servizi basati su VPN, inclusi quelli che commercializzano il loro servizio VPN come "invisibile" o "non bloccabile" possono essere efficacemente bloccato con pochi danni collaterali", afferma Ensafi, assistente professore di ingegneria elettrica e informatica. "Jed è uno dei principali ricercatori sulla censura di Internet che si è concentrato sull'interferenza della rete dal 2005, quindi è stato determinante nel portare avanti questa ricerca".