I länder där internetcensur och övervakning är regeringens policy, är onlinesäkerhet avgörande för användare i riskzonen. Journalister, aktivister, politiker och andra med en framträdande onlinenärvaro kan möta svåra konsekvenser för även de webbplatser de surfar på.

Virtuella privata nätverk, eller VPN, är designade för att hålla användarnas data skyddade från övervakning, men om de gör vad de hävdar är av yttersta vikt för dem vars liv kan bero på deras effektivitet. VPN:s förmåga att skydda användare inspirerar också forskningen av Jedidiah Crandall, docent i datavetenskap vid Arizona State University.

Crandall förklarar att VPN:er döljer ditt internetprotokoll, eller IP-adress, genom att länka den till en annan server än din egen och få det att verka som om du ansluter till internet utanför ditt vanliga nätverk.

"VPN:er designades ursprungligen för att komma in i ett säkert nätverk, men företag har ändrat dem så att du kan undkomma en restriktiv internetleverantör som du inte litar på och få tillgång till en gratis och säker istället", säger Crandall. "Så, sättet som människor använder VPN idag är lite bakvänt."

Crandall noterar att denna åtkomst är användbar när användare är oroliga över att deras webbläsardata övervakas av deras internetleverantör eller ISP, eller när användare befinner sig i ett land som censurerar deras internetinnehåll.

Resurser som OpenVPN, ett ledande globalt privat nätverks- och cybersäkerhetsföretag, och den mest populära resursen för kommersiella VPN-tjänster, har tillgång till verktyg som snabbt och enkelt ansluter till privata nätverk och skyddar tillgångar. Men Crandalls forskning syftar till att avslöja påståenden om integritet och avslöja om VPN kan skapa en falsk känsla av säkerhet för sina användare.

"Vi ställer egentligen bara grundläggande frågor som "När du återanvänder VPN på det här sättet, har de egentligen de säkerhetsegenskaper som folk förväntar sig?", säger han och upprepar sitt arbetes fokus på riskanvändare som möter allvarliga konsekvenser från censur och övervakningspolitik. "Den första delen av forskningen vi gjorde var att titta på själva VPN-tunneln, som är en krypterad tunnel mellan VPN-servern och klienten, för att se vilken typ av skada angripare kan göra därifrån."

För att upptäcka hur attacker kan göras simulerade Crandall och en grupp forskare en serie attacker från två potentiella hotvägar:klientsidan eller direkta attacker på användarens enheter och serversidan eller attacker på VPN-servern som nås av användarens enhet. Gruppen beskrev sina resultat i en artikel med titeln "Blind In/On-Path Attacks and Applications to VPNs."

Teamet drog slutsatsen att trafik fortfarande kan attackeras från tunneln på samma sätt som om ett VPN inte användes, med angripare som kan omdirigera anslutningar och servera skadlig programvara som användare tror att ett VPN skyddar dem från.

När han nu tittar på hotet om en attack som möjligt och inte bara hypotetiskt, samarbetade Crandall med ett team av forskare – inklusive experter från University of Michigan och Merit Network – på ett papper med titeln "OpenVPN is Open to VPN Fingerprinting" för 2022 USENIX Säkerhetssymposium.

Forskningen tar upp hur VPN-antagandet har sett en stadig tillväxt på grund av ökad allmänhetens medvetenhet om integritets- och övervakningshot och hur vissa regeringar försöker begränsa åtkomsten genom att identifiera anslutningar med hjälp av djuppaketinspektion, eller DPI-teknik, som vanligtvis används för onlineavlyssning och censur.

"Mycket av äran går till teamet vid University of Michigan, som verkligen stod i spetsen för denna forskning," säger Crandall. "En stor del av detta arbete är att försöka sätta standarder för hur man sammanför olika intressenter så att alla, från VPN-leverantörerna till användarna, har samma förväntningar. Men vi försöker också definiera vad dessa förväntningar ska vara. ."

"För människor runt om i världen kan det stå mycket på spel när VPN-leverantörer marknadsför med falska påståenden om sina tjänster. Vår forskning avslöjade hur VPN-baserade tjänster, inklusive sådana som marknadsför sin VPN-tjänst som "osynliga" eller "avblockerbara" kan vara effektivt blockerad med lite sidoskador", säger Ensafi, biträdande professor i elektroteknik och datavetenskap. "Jed är en av de ledande internetcensurforskarna som har fokuserat på nätverksinterferens sedan 2005, så han har varit avgörande för att föra denna forskning framåt."