¿Es posible identificar a un usuario VPN encontrando relaciones en el tráfico?

Esto depende de si está preocupado por ser condenado o por tratar con una causa probable (en los EE. UU.).

Supongamos que estás en casa. Usted inicia su VPN y se conecta a su proveedor de VPN externo. Si estoy monitoreando el tráfico saliente (desde su casa), sé que acaba de conectarse a una determinada dirección IP y que la dirección IP es un proveedor de VPN. Todo lo que está dentro de la carga útil del paquete está encriptado.

Luego, mientras está en casa, decide revisar su correo electrónico. Resulta que estoy monitoreando el tráfico saliente del proveedor de VPN (que no está cifrado). Lo grabo todo usando snort y ejecuto Wireshark contra la salida. Veo una conexión a su dirección de correo electrónico y un correo electrónico escrito. Esto puede ser protegido por SSL si es webmail. Si es un correo electrónico normal, es probable que sea texto simple. Si no es texto simple, puedo intentar interceptarlo en el receptor. El correo electrónico no tiene importancia legal (es decir, no lo está utilizando para planificar algo ilegal). Sin embargo, tomo nota del hecho de que confunde el uso de su, allí, y están. También notaré algunos modismos que te gusta usar.

Durante el curso del monitoreo del tráfico saliente, veo que su cuenta escribe varios correos electrónicos. Noto patrones de faltas de ortografía, y más figuras del habla. Los colecciono durante un mes o dos.

Luego puse los artículos que noté en Wireshark. Agrego varias cosas que se sabe que dices. Cada vez que se produce una falta de ortografía o el uso de una expresión idiomática (que usted usa) se encuentra en el contenido de CUALQUIER paquete que sale del servicio VPN que usa, lo veo.

Dado otro mes o dos tengo muchos puntos de datos. Algunos son sitios a los que fuiste, otros no. Lo primero que hago es eliminar todos los puntos de datos que salieron del proveedor de servicios VPN mientras NO estabas en línea (es decir, no te vi en línea desde casa, recuerda que comencé a monitorear esa conexión).

Luego miro el tráfico restante y veo si tengo puntos de clúster. Muchos temas recurrentes. El mismo tema sobre un sobre. Lo comparo con su tráfico no cifrado y su correo electrónico.

No he aplicado suficientes filtros para aislarlo del ruido (personas que usan los mismos modismos / errores ortográficos que usted), pero tendría un buen caso para una causa probable. Si tengo suficientes puntos de referencia, es como una huella digital.

Esencialmente, estoy aplicando un análisis bayesiano a un corpus de trabajo para decir algo sobre la probabilidad de que crea que un ejemplar sea un miembro del conjunto construido por mi sospechoso. La colección de obras que compararía con la que proviene de cualquier trabajo que el sospechoso haya reconocido públicamente es su responsabilidad. Ese análisis es bien conocido (y también hay un sitio completo de estadísticas de StackExchange).

Te dejaré responder, ¿qué obtendré en este momento?

Bueno, esto es muy posible con el datamining, trabajé en un proyecto relacionado con el proyecto de minería Reality del MIT.

En el proyecto de minería de la realidad, las personas intentaban encontrar relaciones en el comportamiento de las personas. Una vez que tenga una línea de base del comportamiento recurrente o típico de un usuario, puede identificarlo con cierta certeza y esto sin tener en cuenta a quién pertenece el dispositivo o qué número está usando.

Pudimos ver solo una serie de factores (no puedo revelar cuáles en particular, pero al menos usamos los que están presentes en el proyecto de realidad minera), con una certeza del 95% de que la persona X es probablemente John Doe.

Ahora, este principio se puede aplicar a cualquier tipo de información donde se pueda analizar el comportamiento de las personas. Esto significa que probablemente podamos aplicarlo también cuando se está conectando desde una VPN.

Datamining se usa más de lo que crees.

También dices cosas sobre el uso de un determinado navegador. Ahora también había un proyecto ( enlace ) donde se realizó un análisis sobre lo que el navegador revela sobre sí mismo. Esto también fue un poco único por persona. (complementos, datos del agente de usuario, ...) El análisis de comportamiento es un gran negocio en estos días y probablemente sea una de las cosas más aterradoras que hay :)

Claro. Hay muchas maneras en que alguien podría establecer una conexión de este tipo entre sus dos cuentas.

Una forma sencilla: le envían un correo electrónico HTML con un enlace o imagen en línea, que está alojado en el mismo servicio de alojamiento de dominios A. Cuando hace clic en el enlace o carga la imagen en línea, su navegador se conecta al dominio A. Si He visitado el servicio A recientemente, es posible que su navegador aún tenga una cookie de sesión para su sesión con el servicio A. Así que ahora el servicio A aprende la conexión entre su dirección de correo electrónico y su cuenta en el servicio A. Lea más sobre "errores web".

La prevención de este tipo de vínculos de identidad es un desafío. Dependiendo del nivel de anonimato requerido, la forma más sencilla puede ser la siguiente: cuando quiera usar el servicio A, inicie un LiveCD ejecutando Tor y acceda al servicio A. Mientras ejecuta Tor, use solo el servicio A, nada más. Mientras inicia con su sistema operativo normal, nunca acceda al servicio A. Esto mantiene su "vida secreta" y su "vida pública" por separado.

Es probable que no encuentren la conexión entre estas 2 cuentas, si realmente no deja ninguna marca al final con el primer método.

Sin embargo, el sitio web puede saber que está detrás del proxy. También es muy subjetivo y depende en gran medida de la configuración de la VPN y también si la IP de la VPN ya estaba siendo detectada y marcada. Esto podría determinarse fácilmente revisándolo a través de una lista de detección de proxy, como enlace , y así sucesivamente. Marque algunos para obtener el resultado exacto, ya que diferentes proveedores tienen diferentes listas de datos.

Además, trate de no usar el correo electrónico para comunicarse, ya que se puede rastrear fácilmente usando el encabezado del correo electrónico.

Realmente cuestiono qué tan seguras son las VPN. Incluso si su proveedor de VPN no lo registra, su DNS, los proveedores de ISP aún pueden rastrearlo. Ciertamente no usaría Hidemyass. Sep 2001, el FBI arrestó a Cody Kretsinger, un miembro central de LulzSec por piratear el sitio web de Sony Pictures . El proveedor de VPN con sede en Londres Hide My Ass (HMA) parece haber desempeñado un papel vital en el arresto de Kretsinger. No hace falta mucha imaginación para ver que las VPN también se pueden usar para actividades ilegales, violaciones de derechos de autor y piratería, por ejemplo. Todos los proveedores de VPN lo saben y, si bien sus términos y condiciones siempre establecen que sus servicios no deben utilizarse para actividades ilegales, obtienen una parte de sus ingresos de los usuarios que se registraron solo para ese propósito, algo que todos los proveedores de VPN conocen. . Si un proveedor no registra su dirección IP y no registra su actividad mientras usa su sistema, ¿cómo podrían investigar algo? Incluso si te dicen que no llevarán registros, ¿puedes realmente confiar en ellos? Simplemente no creo que el uso del servicio VPN para proteger su identidad vaya a funcionar.

Sí, es muy posible.

Una VPN puede ocultar su dirección IP "real", por ejemplo, por ejemplo. alguien que esté monitoreando un enjambre bittorrent tendría que enviar un aviso a su proveedor de VPN, en lugar de a su ISP real.

Todavía tienes una dirección IP al final de la VPN. Si visita el servicio A y su proveedor de correo electrónico personal, verán la misma dirección IP. Si comparten datos (o un tercero, como el gobierno obtiene datos de ambos), el servicio A puede asociar las visitas de esta dirección IP con su dirección de correo electrónico. Esto funciona de la misma manera con y sin la VPN.

A menos que hagan NAT. Pero eso tendería a romper el bittorrent. Así que no lo harán.

Si usa TOR en su lugar, obtendrá algo equivalente a NAT, porque varios clientes TOR usan el mismo nodo de salida. Se supone que debe cambiar los nodos de salida cada diez minutos. Y también son serios con el problema de privacidad del lado del navegador; hay una extensión TorButton conveniente para Firefox (y un paquete descargable de los dos).

Realmente depende de su proveedor de VPN.

Por ejemplo, la gran mayoría mantiene registros de qué IP están asignadas a qué usuario, por lo que realmente no es diferente de conectarse a su ISP, aparte del hecho de que la ruta de tráfico de la computadora a los proveedores de VPN está cifrada. Si, por ejemplo, IP aaa.bbb.ccc.ddd fue responsable de acciones ilegales, una orden judicial podría recuperar los registros de la VPN, verifique que estaba registrado para usted, junto con cualquier otra información que registren sobre sus hábitos de tráfico.

Ahora algunos afirman que no tienen registros, y tal vez utilicen funciones como las IP compartidas para hacer esto más difícil, y le dan a cada usuario la negación plausible de IP compartida de que eran la parte responsable del tráfico en el momento de la incidente. Esto hace que sea mucho más difícil rastrear su tráfico, y luego recurre al análisis secundario, como el que proporcionó Everett.

Entonces, en un mundo donde los proveedores de VPN no mienten acerca de su registro, es posible permanecer relativamente en el anonimato (no olvide que el método de Everett solo recoge cosas únicas para usted, si simplemente navegué por un sitio y no lo hice). interactuar no es identificable a través de este método). Decir que ciertamente no lo confiaría hasta el punto de hacer algo malo. Por ejemplo, enlace

¿Qué pasa con este escenario..1. Conéctese, vaya a un Starbucks de un café Internet, conéctese a través de hopspot shield como vpn ... versión gratuita. 2. Active el navegador Tor desde su verdadera partición cifrada. Ahora conecte la descarga de su cliente bittorent a su partición de cripta verdadera cifrada.

Pero el principal problema, como lo veo con la VPN pagada y las empresas como webroot anonymizer, es que todos tendrán su nombre y dirección cuando los pague a través de su tarjeta de crédito. Entonces, ¿cómo va a ser anónimo? Obviamente, enviarán a cualquier citación federal su información y cualquier registro.

Los vpns claramente libres como hotspot gratis no sabrán quién eres si has descargado de un cibercafé y has ido a otro café para configurarlo y usarlo.

Mientras esté pagando en efectivo, ¿cómo lo sabrían? ... Después de todo, si pudiera rastrearse, sería el Internet Café ISP y la IP lo que surgiría.