今天分享的是一篇从用户角度分析智能DNS服务(Smart DNS)隐私和可用性的文章。文章主要由乔治城大学和乔治华盛顿大学的研究人员合作完成。Smart DNS服务能够“智能地”识别受限制地域的解析请求,并返回受限制地域内的代理服务器的IP给客户端。研究人员发现,目前Smart DNS的使用存在很多隐私风险,然而学术界尚未对此展开系统研究,特别是缺乏对Smart DNS用户安全和隐私感知的分析。论文通过对63名Smart DNS用户进行调查,发现大部分用户对于工作原理及其整体安全属性的理解有限,导致过分信任Smart DNS服务提供商及其提供的安全性。文章发表于国际网络安全重要学术会议ACSAC 2022(录取率:24.1%)。
01【背景介绍】
1. 地域限制与VPN
在许多互联网应用中,用户可以访问的信息和内容通常取决于他们的地理位置。例如,流媒体服务(如Netflix, Hulu, Disney+,YouTube等)应用地理屏蔽来对其内容实施基于地理位置的访问控制。为满足用户访问受限内容的需求,VPN(虚拟专用网络)得到了广泛的宣传和使用。VPN 使用加密通信保护网络访问流量,加密“隧道”另一端的 VPN 服务器将作为用户代理访问公共网络,如图表1所示。因此,从互联网其他设备角度来看,用户访问流量的收发均由代理服务器完成,也就可以利用不同位置的代理服务器绕过地理屏蔽。然而,这种绕过机制面临诸多限制,包括:(1)配置具有一定的技术复杂性 [1];(2)引入了额外的加密和路由步骤,通信开销大,对于流媒体视频体验差;(3)由于不同流媒体服务允许的地理区域具有一定差异,当使用新的流媒体服务时,需要重新配置。
图表1:VPN工作原理(图片来源:https://www.xinruiyun.cn/zhishiku/3383.html)
Smart DNS (SDNS)提供了一种绕过地域限制的替代方法。与VPN不同,SDNS不需要安装特殊的软件,客户只需要将其计算机配置为使用SDNS解析器。对于非地理阻塞域,SDNS解析器可按预期解析主机名请求。当被请求解析的web服务被地理阻塞时,SDNS解析器返回位于它们(各自)地理围栏内的代理服务器的IP地址。也就是说SNDS可以根据请求“智能”地决定选择哪个代理,如图表2所示。
图表2:SDNS智能分配代理服务器
SDNS和VPN的主要区别在于速度、安全性、隐私和匿名性等方面。一方面,智能DNS代理服务器不会影响互联网连接速度,并且更易于安装且更易于使用;而另一方面,智能DNS难以提供虚拟专用网络服务的匿名性、安全性和隐私性,可能存在安全和隐私方面的风险。
1)工作流程
当客户端请求地理阻塞域时,SDNS解析器返回位于该域地理围栏内的SDNS代理的IP地址。然后,SDNS代理在客户端和地理阻塞域的web服务器之间转发流量。例如,当美国以外的用户使用SDNS请求US-content.netflix.com时,SDNS解析器会返回位于美国的代理服务器的IP,该代理再将客户的流量转发给Netflix(或从Netflix发送),让Netflix以为该请求来自美国境内,从而绕过地理位置限制。
图表3:SDNS工作流程示意图,非地理阻塞模式(上),地理阻塞模式(下)
2) 安全风险
本文研究团队曾针对Smart DNS服务的安全风险展开分析,成果以“Privacy Vulnerabilities in “Smart” DNS Services. Proceedings on Privacy Enhancing Technologies” [2]论文形式发表于PoPETS 2021,其中揭示的SDNS安全风险包括:
a. 攻击者可监听用户DNS查询请求 [2]:SDNS提供商需要监听客户请求的每个域名,并在任意时间决定特定域名是否将被代理,而无需通知用户。因此用户可能会忘记曾配置过的SDNS服务,并通过SDNS提供商连续且不经意地传输大量隐私敏感信息。与VPN不同,SDNS不添加加密层,因此具备流量拦截能力的窃听者可以获知哪些域名正在被请求以及被谁请求,从而推测用户的互联网浏览习惯。
b. 攻击者可枚举Smart DNS 服务用户 [2]:标准DNS不支持客户端身份验证,因此,SDNS提供商必须依赖基于IP的身份验证来识别客户,即检查发出请求的客户端IP地址是否在SDNS解析器保存的客户IP地址列表中。如图表4所示,如果请求的IP地址不是客户列表中的IP,SDNS解析器将向客户端返回SDNS登录页面。利用SDNS对于不同请求IP的不同响应,攻击者就可以判断伪造的请求IP地址是否属于该SDNS提供商的客户,从而通过IP地址识别易受攻击的提供商的所有客户。
图表4:客户端枚举攻击说明
02【研究目的】
虽然SDNS存在上述安全风险,但是目前SDNS仍是一个非常受欢迎的服务。据已有的测量结果,SDNS解析器每小时为单个地理阻塞域处理数十万个请求 [3]。这表明SDNS服务的使用情况似乎很普遍,但目前尚未有从用户角度对SDNS的使用动机和看法进行研究。本文通过探索四个主要研究问题来研究用户如何感知SDNS服务:
(1) 用户使用SDNS的动机是什么?
(2) 用户如何选择使用哪一家SDNS供应商?
(3) SDNS用户对服务的信任程度如何?
(4) SDNS用户对SDNS功能的实际理解程度如何?
03【实验方法】
实验采取线上问卷调查的形式进行,通过Reddit和Prolific平台进行参与者招募,在正式进行问卷前首先进行预筛选,剔除没有使用过SDNS服务的参与者以保证问卷的可靠性。实验内容通过伦理审查(IRB,Institutional review board),收集到的所有数据都进行了去标识化处理,参与者的回答仅与随机标识符相关联。
问卷内容
(1)预筛选:是否使用过SDNS,是否了解DNS工作流程;
(2)SDNS对网络安全和隐私的影响:是否认为SDNS服务使他们的互联网浏览更安全或更不安全;
(3)SDNS功能:是否了解SDNS系统如何运作;
(4)选择使用SDNS:使用SDNS的动机;
(5)设置和使用SDNS:SDNS提供商是否提供除SDNS之外的服务(例如,vpn),参与者设置SDNS的设备类型;
(6)对SDNS提供商的信任:是否信任,如何确保SDNS的实际运行符合服务宣传内容;
(7)成功逃避检测:是否因使用SDNS而被内容提供商屏蔽,认为内容提供商检测到他们使用SDNS的难易程度;
(8)使用SDNS的伦理和合法性:是否认为使用SDNS访问地理屏蔽内容是道德且合法的;
(9)人口统计学问题:受访者的性别、年龄、学历、收入。
04【实验结果】
用户调研的参与者总数人数为63人,文章对58份有效问卷进行定量分析,下文中的𝑛代表有效作答的参与者个数。
1. 使用SDNS的动机
绝大多数(𝑛= 52)参与者表示,使用SDNS的主要目的是访问受到地位置限制的网站或其他内容。有趣的是,一些参与者(𝑛= 12)试图使用SDNS来保护网络浏览安全(实际并没有提供):
“...to minimise the collection of my data by companies who like spamming individuals with personalised ads"
考虑到SDNS与VPN服务经常绑定销售,论文询问了参与者决定使用SDNS(而不是VPN)的原因。许多(𝑛= 21)参与者认为SDNS有更低的延迟开销和更高的互联网服务质量(QoS);6名参与者表示,使用SDNS是听从了他们信任的人的推荐;其余参与者选择使用SDNS的原因比VPN服务更便宜(𝑛= 3)和认为SDNS可以更有效地逃避内容提供商的检测(𝑛= 3)。
2. 选择SDNS提供商
论文询问了参与者选择具体SDNS提供商时的考虑因素,结果如图表5所示。可以看出,最关键的三大因素分别是服务价格、服务商的可信度、提供商在评论网站上的评分。
图表5:用户选择SDNS提供商的关键因素
3. 对SDNS提供商的信任
如图表6所示,针对SDNS的行为,许多参与者(𝑛= 54)相信他们的提供商可以绕过地理屏蔽(SDNS服务的主要功能之一),但是认为提供商会遵守隐私政策保护他们隐私的参与者(𝑛= 40)数量相对较低。也就是说,部分参与者承认,使用SDNS会使其在网络安全和隐私方面承担风险。尽管如此,这些受访者也表示,目前没有任何证据证明,SDNS服务提供商伤害了他们的隐私:
“I think i can trust they service, but I’m not so sure how my personal information is used.”
“Some may very well make significant money exchanging your data.”
图表6:参与者对SDNS提供商行为的信任
4. 对SDNS功能的理解
大多数参与者认为SDNS提供商能够绕过地理区域限制。然而,许多参与者很难区分SDNS和VPN。例如,5名参与者表示使用过SDNS,但实际上是混淆了VPN和SDNS的使用。对于那些能够区分SDNS和VPN的参与者,许多人仍然表现出对SDNS如何工作的误解。如图表7所示,误解主要集中在SDNS代理服务器上,参与者对SDNS系统的理解似乎并不包括SDNS如何以及何时将其流量路由到代理。
图表7:用户对于SDNS功能的理解
5. SDNS对安全和隐私的影响
对于许多参与者来说,他们对SDNS的理解与实际的SDNS功能之间存在重大脱节。当被问及SDNS如何代理他们的互联网流量时,不到一半(𝑛= 28)的参与者(正确地)表示,SDNS只代理了他们的部分互联网流量,而不是全部;当被问及他们的SDNS提供商是否可以确定他们访问了哪些网站时,不到一半的参与者(𝑛= 26)(正确地)表示SDNS提供商可以看到他们的互联网浏览行为。更详细的关于用户对SDNS的安全性和隐私属性的理解如图表8所示。
总体上,参与者似乎对SDNS服务提供的安全性和隐私性过于自信。绝大多数参与者(𝑛= 48)在一定程度上同意SDNS提高了浏览的安全性。更多的参与者(𝑛= 50)表示,在浏览互联网时,SDNS有助于保护他们的隐私。
图表8:用户对SDNS安全性和隐私属性的认识和理解
6. DNS熟悉程度
大多数参与者(𝑛= 54)表示对DNS有一定的熟悉,而部分参与者(𝑛= 38)表示他们大概知道DNS是如何工作的。如图表9所示,参与者对SDNS提供商的信任度和他们对DNS的熟悉程度并没有相关性。7. 使用SDNS的伦理和道德问题
大多数参与者(𝑛= 42)认为使用SDNS是符合伦理道德的:
“Why would something like this be unethical. I’m not doing any harm to anyone. I’m just watching Netflix.”
27名参与者认为访问内容受到地理位置限制是不道德的,并带有地域歧视的性质:
“The internet has evolved as a virtual world without borders, and it is right that it remains so.”
一些参与者(𝑛= 17)表示,他们不知道使用SDNS是否合法,取决于用户的当地法律(𝑛= 3)或使用目的(𝑛= 1):
“I’m not sure but I would guess it has to be legal for them to be so popular, and advertised on mainstream media (like YouTube).”
05【结论与建议】
论文通过问卷调研,发现大多数SDNS的用户对SDNS服务的功能存在误解,没有意识到使用SDNS服务为其在安全和隐私方面带来的风险。更糟糕的是,许多参与者倾向于过度信任SDNS提供商声称提供的保护。作者也对此提出建议,例如可以利用媒体加强宣传,解释使用SDNS服务所带来的安全和隐私风险,解决用户对这些系统的常见误解,或者通过发布在线指南或文章,就如何选择值得信赖和安全的SDNS替代方案提供指导,以帮助用户更好地理解SDNS的功能与风险,更安全地进行网络浏览。
原文链接
https://dl.acm.org/doi/abs/10.1145/3564625.3567978
参考文献
[1] Moses Namara, Daricia Wilkinson, Kelly Caine, and Bart P Knijnenburg. 2020. Emotional and Practical Considerations Towards the Adoption and Abandonment of VPNs as a Privacy-Enhancing Technology. Proceedings on Privacy Enhancing Technologies (PoPETS) 2020, 1 (2020), 83–102.
[2] Rahel A. Fainchtein, Adam J. Aviv, Micah Sherr, Stephen Ribaudo, and Armaan Khullar. 2021. Holes in the Geofence: Privacy Vulnerabilities in “Smart” DNS Services. Proceedings on Privacy Enhancing Technologies (PoPETS) (2021).
[3] Josh. 2022. SmartDNS | What Is It and How do You Set it Up? (2022 Guide). All Things Secured. Available at https://www.allthingssecured.com/vpn/faq/what-is-smartdns/
刘一静,编辑&审校|张一铭、刘保君
声明:本文来自NISL实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。