Est-il possible d'identifier un utilisateur VPN en trouvant des relations dans le trafic?
Si j'utilise le service VPN pour protéger mon identité, mon trafic peut-il être utilisé pour identifier tout mon trafic?
Par exemple, si j'accède à deux services:
- Certains services A, où je ne laisse aucune information d'identification.
- Mon compte e-mail personnel.
Quelqu'un peut-il trouver une relation entre (1) et (2), de sorte qu'il puisse dire que les deux sont accessibles par la même personne.
Naïvement, je penserais que c'est impossible et quelqu'un serait tout au plus en mesure de dire que j'utilise un fournisseur VPN pour accéder à mes e-mails, sans le savoir (1).
Mais peut-être que mon ordinateur, mon navigateur ou autre chose laisse une sorte de signature dans les données, ce qui permettrait à quelqu'un de trouver une relation?
Cela dépend si vous vous inquiétez d'être condamné ou de rechercher une cause probable (aux États-Unis).
Supposons que vous soyez chez vous. Vous démarrez votre VPN et vous connectez à votre fournisseur VPN hors site. Si je surveille le trafic sortant (depuis votre maison), je sais que vous venez de vous connecter à une certaine adresse IP et que l'adresse IP est un fournisseur VPN. Tout à l'intérieur de la charge utile du paquet est crypté.
Vous décidez alors, à la maison, de vérifier votre courrier électronique. Il se trouve que je surveille le trafic sortant du fournisseur VPN (qui n'est pas chiffré). J'enregistre tout cela à l'aide de snort et exécute Wireshark sur la sortie. Je vois une connexion à votre adresse e-mail et un e-mail écrit. Cela peut être protégé par SSL s'il s'agit d'un webmail. S'il s'agit d'un e-mail normal, il s'agit probablement de texte brut. Si ce n'est pas du texte brut, je peux essayer de l'intercepter au niveau du récepteur. L'e-mail n'a aucune signification juridique (c'est-à-dire que vous ne l'utilisez pas pour planifier quelque chose d'illégal). Cependant, je prends note du fait que vous confondez l'utilisation de leur, là, et ils sont. Je remarquerai également quelques idiomes que vous aimez utiliser.
Au cours de la surveillance du trafic sortant, je vois votre compte écrire plusieurs e-mails. Je note des schémas d'orthographe et plus de figures de style. Je les collecte sur une période d'un mois ou deux.
J'ai ensuite mis les éléments que je remarque dans Wireshark. J'ajoute plusieurs choses que vous savez dire. Chaque fois qu'une faute d'orthographe se produit ou que l'utilisation d'un idiome (que vous utilisez) se trouve dans le contenu de TOUT paquet sortant du service VPN que vous utilisez, je le vois.
Compte tenu d'un mois ou deux, j'ai beaucoup de points de données. Certains sont des sites que vous avez consultés, d'autres non. La première chose que je fais est d'éliminer tous les points de données qui ont quitté le fournisseur de services VPN alors que vous n'étiez PAS en ligne (c'est-à-dire que je ne vous ai pas vu en ligne depuis la maison, rappelez-vous que j'ai commencé par surveiller cette connexion).
Ensuite, je regarde le trafic restant et vois si j'ai des points de cluster. Beaucoup de thèmes récurrents. Même sujet sur plus d'un. Je compare cela à votre trafic non chiffré et à votre courrier électronique.
Je n'ai pas appliqué suffisamment de filtres pour vous isoler du bruit (personnes qui utilisent les mêmes idiomes/fautes d'orthographe que vous), mais j'aurais un bon cas pour une cause probable. Si j'ai suffisamment de repères, c'est comme une empreinte digitale.
Essentiellement, j'applique une analyse bayésienne à un corpus de travaux, pour énoncer quelque chose sur la probabilité que je crois qu'un exemplaire soit un membre de l'ensemble construit par mon suspect. La collection d'œuvres à laquelle je comparerais provient de toute œuvre dont le suspect a publiquement reconnu sa responsabilité. Cette analyse est bien connue (et il existe également un site complet de statistiques StackExchange).
Je vous laisse répondre, qu'est-ce que je proposerais à ce stade?
Et bien c'est très possible avec le datamining, j'ai travaillé sur un projet lié au MIT Reality mining project.
Dans le projet de réalité minière, les gens essayaient de trouver des relations dans le comportement des gens. Une fois que vous avez une base de référence du comportement récurrent ou typique d'un utilisateur, vous pouvez l'identifier avec une certaine certitude et cela sans regarder à qui appartient l'appareil ou quel numéro il utilise.
Nous avons pu, en examinant simplement un certain nombre de facteurs (je ne peux pas divulguer lesquels en particulier, mais nous avons au moins utilisé ceux présents dans le projet de minage de réalité), avec une certitude de 95% que la personne X est probablement John Doe .
Maintenant, ce principe peut être appliqué à tout type d'information où vous pouvez analyser le comportement des gens. Cela signifie que nous pouvons probablement l'appliquer également lorsque vous vous connectez à partir d'un VPN.
Le datamining est plus utilisé que vous ne le pensez.
Vous pouvez également dire des choses sur l'utilisation d'un certain navigateur. Maintenant, il y avait aussi un projet ( https://panopticlick.eff.org/ ) où une analyse a été effectuée sur ce que le navigateur révèle sur lui-même. C'était aussi un cas assez unique par personne. (plugins, données d'agent utilisateur, ...) L'analyse du comportement est une grosse affaire de nos jours et probablement l'une des choses les plus effrayantes du marché :)
Sûr. Il existe de nombreuses façons pour que quelqu'un puisse établir une telle connexion entre vos deux comptes.
Une façon simple: ils vous envoient un e-mail HTML avec un lien ou une image en ligne, qui est hébergé sur le même service d'hébergement de domaine A. Lorsque vous cliquez sur le lien ou chargez l'image en ligne, votre navigateur se connecte au domaine A. Si vous avez visité service A récemment, votre navigateur peut encore avoir un cookie de session pour votre session avec le service A. Alors maintenant, le service A apprend la connexion entre votre adresse e-mail et votre compte sur le service A. Pour en savoir plus sur les "bogues Web".
Il est difficile de prévenir ces types de liens d'identité. Selon le niveau d'anonymat requis, la manière la plus simple peut être la suivante: lorsque vous souhaitez utiliser le service A, démarrez dans un LiveCD exécutant Tor et accédez au service A. Pendant l'exécution de Tor, utilisez uniquement le service A, rien d'autre. Pendant le démarrage de votre système d'exploitation normal, n'accédez jamais au service A. Cela garde votre "vie secrète" et votre "vie publique" séparées.
Je me demande vraiment à quel point les VPN sont sécurisés. Même si votre fournisseur VPN ne vous connecte pas, vos fournisseurs DNS et FAI peuvent toujours vous suivre. Je n'utiliserais certainement pas Hidemyass. Septembre 2001, le FBI a arrêté Cody Kretsinger, un membre principal de LulzSec pour avoir piraté le site Web de Sony Pictures . Le fournisseur de VPN basé à Londres Hide My Ass (HMA) semble avoir joué un rôle essentiel dans l'arrestation de Kretsinger. Il ne faut pas trop d'imagination pour voir que les VPN peuvent également être utilisés pour des activités illégales, des violations de droits d'auteur et du piratage par exemple. Tous les fournisseurs de VPN le savent et, bien que leurs conditions générales stipulent toujours que leurs services ne doivent pas être utilisés pour des activités illégales, ils tirent une partie de leurs revenus des utilisateurs qui se sont inscrits à cette fin, ce que tous les fournisseurs de VPN connaissent. . Si un fournisseur n'enregistre pas votre adresse IP et n'enregistre pas votre activité lors de l'utilisation de son système, comment pourrait-il enquêter sur quoi que ce soit? Même s'ils vous disent qu'ils ne garderont pas de journaux, pouvez-vous vraiment leur faire confiance? Je ne pense pas que l'utilisation du service VPN pour protéger votre identité va fonctionner.
Oui, c'est très possible.
Un VPN peut masquer votre "vraie" adresse IP, par exemple quelqu'un qui surveille un essaim bittorrent devrait envoyer un avis à votre fournisseur VPN, au lieu de votre véritable FAI.
Vous avez toujours une adresse IP à l'extrémité VPN. Si vous visitez le service A et votre fournisseur de messagerie personnel, ils verront la même adresse IP. S'ils partagent des données (ou qu'un tiers tel que le gouvernement obtient des données des deux), le service A peut associer les visites de cette adresse IP à votre adresse e-mail. Cela fonctionne de la même manière avec et sans le VPN.
Sauf s'ils font NAT. Mais cela aurait tendance à casser le bittorrent. Ils ne le feront donc pas.
Si vous utilisez plutôt TOR, vous obtiendrez quelque chose d'équivalent à NAT - car plusieurs clients TOR utilisent le même nœud de sortie. Il est censé changer les nœuds de sortie toutes les dix minutes. Et ils sont sérieux au sujet de le problème de confidentialité côté navigateur également; il existe une extension TorButton pratique pour Firefox (et un ensemble téléchargeable des deux).
Il y a de fortes chances qu'ils ne trouvent pas la connexion entre ces 2 comptes, si vous vraiment ne laissez aucune marque de fin en utilisant la 1ère méthode.
Cependant, le site Web peut savoir que vous êtes derrière le proxy. Il est également très subjectif et dépend beaucoup de la configuration VPN et également si l'IP du VPN a déjà été repérée et signalée. Cela pourrait être facilement déterminé en le vérifiant via quelques listes de détection de proxy, telles que https://www.fraudlabs.com/demoip2proxy.aspx , etc. Vérifiez quelques-uns pour obtenir le résultat exact, car différents fournisseurs ont une liste de données différente.
De plus, essayez de ne pas utiliser le courrier électronique pour communiquer, car il peut être facilement retracé à l'aide de l'en-tête du courrier électronique.
Cela dépend vraiment de votre fournisseur VPN.
Par exemple, la grande majorité conserve des journaux des IP attribuées à quel utilisateur - donc ce n'est vraiment pas différent de se connecter à votre FAI, mis à part le fait que l'ordinateur vers le chemin de trafic des fournisseurs VPN est crypté. Si, par exemple, IP aaa.bbb.ccc.ddd était responsable d'actions illégales, une ordonnance du tribunal pourrait récupérer les journaux du VPN, vérifiez qu'il vous a été enregistré, ainsi que toutes les autres informations qu'ils consignent sur vos habitudes de circulation.
Maintenant, certains prétendent qu'ils ne détiennent pas de journaux, et utilisent peut-être des fonctionnalités telles que les adresses IP partagées pour rendre cela plus difficile, et donnent à chaque utilisateur sur l'IP partagée un déni plausible qu'ils étaient la partie responsable du trafic au moment de l'incident. Cela rend beaucoup plus difficile le suivi de votre trafic, puis retombe sur une analyse secondaire telle que celle fournie par Everett.
Donc, dans un monde où les fournisseurs de VPN ne mentent pas au sujet de leur journalisation, il est possible de rester relativement anonyme (n'oubliez pas que la méthode d'Everett ne recueille que des choses qui vous sont propres, si je parcourais simplement un site et n'interagissais pas, ce n'est pas identifiables via cette méthode). Dire que je ne lui ferais certainement pas confiance au point de faire quelque chose de méchant. Par exemple - http://www.informationweek.com/security/privacy/lulzsec-suspect-learns-even-hidemyasscom/231602248
Qu'en est-il de ce scénario..1. connectez-vous à un starbucks de café Internet, connectez-vous via hopspot shield en tant que vpn ... 2. ouvrez le navigateur tor de l'intérieur de votre véritable partition cryptée. Maintenant, engagez le téléchargement de votre client bittorent sur votre véritable partition cryptée cryptée.
Mais le principal problème que je vois avec les VPN payants et les entreprises comme Webroot anonymizer est que tout ce qu'ils auront votre nom et votre adresse lorsque vous les paierez par carte de crédit. Alors, comment cela sera-t-il anonyme? De toute évidence, ils soumettront à toute assignation fédérale vos informations et vos journaux.
Les vpns clairement gratuits comme hotspot free ne sauront pas qui vous êtes si vous avez téléchargé depuis un cybercafé et êtes allé dans un autre café pour le configurer et l'utiliser.
Tant que vous payez en espèces, comment le sauraient-ils? … Après tout, si cela pouvait être retracé, ce serait l'ISP et l'IP du cybercafé qui apparaîtraient.