È assolutamente possibile.
Attacchi di analisi del traffico
Anche se una VPN è onesta sulla sua affermazione di non registrare, il loro ISP a monte registra certamente. Sarebbe inaudito per loro di non farlo. Per una VPN (a differenza di Tor), l'ingresso e l'uscita passano attraverso lo stesso ISP, consentendo attacchi di analisi del traffico banali. Ho spiegato un po 'di questo in questa risposta . Prendi la seguente serie di eventi, con l'ISP che è l'ISP upstream della VPN (o un proxy):
- ISP vede
203.0.113.42
inviare 253 byte di dati a t + 0.
- ISP vede che il server proxy invia una richiesta di 253 byte a
example.com/foo.html
a t + 1.
- ISP vede
example.com
inviare una risposta a 90146 byte a t + 2.
- ISP vede
203.0.113.42
ricevere una risposta di 90146 byte a t + 3.
Da questo, diventa banale rendersi conto che 203.9.113.42
è connesso a example.com/foo.html
. Questo è un tipo di attacco di analisi del traffico, in particolare un attacco di correlazione del traffico. Praticamente tutti gli ISP mantengono questo tipo di informazioni tramite NetFlow e sistemi ubiquitari simili.
Problemi dello stack di rete
C'è un altro problema con una VPN. Devi rendertene conto che il termine Virtual Private Network è ora più un termine di marketing. Le VPN non sono mai state progettate pensando all'anonimato. Il "privato" in VPN si riferisce agli indirizzi privati riservati IANA specificati in RFC 1918 . Non significa "diritto alla privacy" o qualcosa di simile. Tutto ciò per cui è progettato è connettere due sistemi ed esporli l'un l'altro come interfacce di rete virtuali con indirizzi IP (privati) locali. Questo ha diversi problemi:
- Il tuo stack di rete è "esposto", quindi una vulnerabilità nel tuo kernel potrebbe essere sfruttabile.
- Per lo stesso motivo, il fingerprinting TCP / IP può identificarti in modo univoco, evan dietro una VPN .
- Sei costretto a utilizzare lo stesso NAT di un gran numero di utenti non fidati, consentendo loro di attaccarti indirettamente, a volte permettendo loro di scoprire cose come il tuo nome host.
Visualizzazione del problema
È utile vedere come funziona tutto questo, visivamente, sotto forma di diagramma. La linea singola rappresenta il traffico sotto l'IP di casa e la doppia linea rappresenta il traffico con un IP diverso. Un attacco di correlazione del traffico implica la correlazione dell'attività (tempistiche e dimensioni) di entrambi i tipi di traffico.
Come funziona una connessione semplice:
Client ----[Client ISP]----+
|
Server <---[Server ISP]----+
Come funziona una VPN:
Client ----[Client ISP]---[ ]----> VPN
[VPN ISP] |
Server <===[Server ISP]===[ ]=======+
Come funziona Tor:
Client ----[Client ISP]---[ ]--> Node1
[Node1 ISP] |
+======[ ]======+
|
+======[ ]==> Node2
[Node2 ISP] |
+======[ ]======+
|
+======[ ]==> Node3
[Node3 ISP] |
Server <===[Server ISP]===[ ]======+
In questo diagramma è possibile vedere in che modo l'ISP della VPN è in grado di correlare banalmente le due connessioni, rispetto a un mixnet come Tor in cui l'ISP di ogni nodo deve collaborare per avere la possibilità di deanonizzare qualcuno. Questo non è impossibile, e un avversario che può vedere una parte significativa di Internet in un dato momento può essere in grado di tirarlo fuori una certa percentuale del tempo. È molto difficile da fare, tuttavia, e il protocollo Tor include una serie di funzionalità (sia implementate che in sviluppo attivo) per renderlo ancora più difficile di quanto non sia già.
Un'altra cosa importante da ricordare è che Tor cambierà periodicamente i nodi che usa. Sebbene il primo nodo rimanga lo stesso per evitare i cosiddetti attacchi Sybil, gli altri due cambieranno al massimo ogni 10 minuti, o ogni volta che viene visitato un dominio diverso. Questo riduce la possibilità che il nodo finale veda troppo traffico nel tempo. Le VPN, d'altra parte, saranno naturalmente bersagli statici.
Che cosa significa tutto
- L'uso di una VPN (o proxy) non ti protegge dall'ISP della VPN che rivela i suoi registri, anche se il servizio VPN è completamente onesto sulla loro politica di non registrazione.
- Lo stack di rete è esposto e visibile a qualsiasi server di terze parti a cui ci si connette, consentendo potenziali sfruttamenti e impronte digitali TCP / IP.
- Le reti di anonimato come Tor forniscono un certo livello di protezione dalla correlazione del traffico e nascondono il tuo stack di rete, anche se come tutti i sistemi, non è perfetto.
Se hai bisogno di anonimato, dovresti usare Tor senza VPN, a meno che non sia necessario un VPN per bypassare un firewall che Tor non può bypassare, altrimenti sarebbe superfluo.