3 популярных VPN-сервиса оказались не защищены от утечки пользовательских IP-адресов


Оглавление (нажмите, чтобы открыть):

Как проверить работает ли VPN?

Как узнать, выполняет ли VPN свою работу? Вы можете решить, что ваш VPN работает, даже когда происходит утечка информации о вашей личности и местонахождении. Их бывает трудно обнаружить, поэтому нужно убедиться, что VPN действительно защищает вас.

Самые распространенные утечки VPN

Существует достаточно причин, по которым ваша VPN может не обеспечивать 100% безопасность и раскрыть вашу личную информацию. Вот наиболее распространенные способы утечки VPN:

Утечка IP

Ваш IP-адрес многое говорит о вас, например, о вашем местоположении или сайты, которые вы посещаете. VPN защищает от шпионов, пытающихся получить доступ к этой информации, поэтому если ваш реальный IP будет обнаружен, то нет никакого смысла использования VPN. Обычно это происходит из-за двух интернет-протоколов — IPv4 и IPv6 и их несовместимости.

Утечка DNS

Иногда ваш IP-адрес может оставаться скрытым, в то время как ваш DNS раскрывает ваше местоположение. DNS изменяет простые текстовые URL-адреса в числовые IP-адреса. Если вы не используете VPN, этот процесс обрабатывается вашим провайдером интернет-услуг и их серверами, которые могут видеть, кто заходил и на какие сайты. Если ваш DNS утекает, то любой, кто шпионит за вашим трафиком, сможет получить доступ и даже привести к атаке перехвата DNS.

Утечка WebRTC

WebRTC встроен в большинство популярных браузеров (Firefox, Opera, Chrome). Он обеспечивает связь в режиме онлайн, например,голосовую или видео-чат, но также представляет собой еще одну уязвимость для VPN пользователей.
Некоторые сайты могут воспользоваться преимуществами WebRTC, вставив несколько строк кода, чтобы обнаружить VPN и отследить ваш оригинальный IP. Этим пользуются сайты, которые блокируют контент в зависимости от вашего географического местоположения.
Эти утечки можно предотвратить, но сначала необходимо их найти. Вы можете сделать это, выполнив базовые тесты, с которыми справится любой желающий.

Как проверить наличие утечек IP или DNS?

  • Вам необходимо узнать ваш настоящий IP, указанный вашим провайдером интернет-услуг.
  • Включите VPN.
  • Теперь он должен показывать другой IP адрес и страну. Если результаты покажут ваш исходный IP адрес, то, к сожалению, ваш VPN сливает.
  • Иногда тесты IPLeak не могут обнаружить утечки DNS, что также может выявить вашу личность. Поэтому рекомендуется проверить его на DNSLeakTest.
  • Если ваш VPN включен, DNSLeakTest должен показать новый IP-адрес.

Как проверить наличие утечек WebRTC?

  • Если вы еще этого не сделали, узнайте свой оригинальный IP-адрес.
  • Подключитесь к VPN и обновите веб-страницу. Теперь он должен показать ваш новый IP-адрес и новое местоположение в зависимости от страны, которую вы выбрали.
  • В разделе «Ваши IP-адреса — WebRTC обнаружение» (LeakTest) вы должны увидеть частный IP, который должен отличаться от вашего первоначального публичного IP-адреса. Обратите внимание, что обычно он начинается с 10.xxxx или 192.xxx или иногда буквенно-цифровой IPv6).

Что делать при утечки WebRTC?

На этот раз изменение вашего VPN или возня с настройками не помогут, но вы можете:

  • Использовать браузер, который не имеет WebRTC.
  • Отключить WebRTC.
  • Установить сетевой ограничитель WebRTC (приложение).

Мой VPN все еще не работает

Проверка на наличие различных утечек может оказаться недостаточной. Есть и другие причины, по которым может показаться, что ваш VPN не работает, например:

Скорость просмотра снизилась. Это может произойти по нескольким причинам. Например, вы выбрали сервер, который находится на другом конце света, сервер перегружен, или ваш провайдер дросселирует пропускную способность.


Провайдер интернет-услуг или ваша страна блокирует использование VPN. В некоторых странах, особенно при онлайн-цензуре, использование VPN может быть заблокировано или признано незаконным.

VPN-соединение упало. Большинство VPN предлагают автоматический выключатель, что означает, что если ваше VPN соединение прервется, оно прервет ваше интернет соединение.

Вирус VPN. Эксперты по технологиям никогда не рекомендовали бы использовать бесплатный VPN. Большинство из них не только содержат раздражающую рекламу, но также и вредоносное ПО.

Взлом. Вы можете подумать, что ваш VPN не работает, потому что кто-то взломал его. На самом деле, это довольно сложно сделать. Скорее всего, вы посетили вредоносный сайт или попали под фишинговую атаку, и кто-то взял ваше устройство под контроль. К сожалению, если кто-то взломает вас, VPN не сможет сделать ничего, чтобы защитить вас.

На видео: Лучшие VPN-сервисы для ПК. Обзор платных и бесплатных ВПН: NordVPN, Windscribe, Hotspot Shield VPN.

Проверяем безопасность своего VPN-сервиса

Многие пользователи уже давно знакомы с различными VPN-сервисами, которые необходимы для безопасного и свободного использования сети Интернет без ограничений цензуры.

Но далеко не все VPN-провайдеры могут обеспечить высокий уровень безопасности в Интернете. Далее мы расскажем, как проверить свой VPN-сервис, и на что важно обратить внимание.

Мы будем говорить только о том, что может самостоятельно проверить каждый пользователь и убедиться, насколько надежную защиту предоставляют VPN-сервисы. Все сравнения производим на примере использования VPN Monster, в котором полностью реализованы описанные ниже уровни безопасности.

Безопасное соединение по протоколу https

В ходе исследования оказалось, что несколько сайтов VPN-компаний, работают по протоколу http. Использование такого соединения небезопасно, и позволяет перехватывать ключи, а затем – расшифровать весь интернет-траффик пользователя.

На сегодня, важным условием безопасности сайта является использование протокола https с применением сертификатов SSL, что позволит защитить получение ключей и файлов конфигурации от VPN-провайдера к пользователю.

Уязвимости фирменных VPN клиентов

Для более удобного подключения к VPN сети разные компании предлагают свои фирменные VPN-клиенты. Использование фирменного клиента всегда проще и быстрее, но не всегда безопасно.

Мы обнаружили несколько VPN-компаний, которые используют незашифрованное http-соединение с сервером авторизации в своих фирменных клиентах. Опасность может заключаться в отсутствии шифрования процесса получения файлов конфигурации и ключей. В результате – ключи и файлы конфигурации могут быть перехвачены посторонними и использованы для расшифровки всего интернет-трафика.

Проверить, используется ли в клиенте шифрование передачи данных, возможно при помощи различных программ-сниферов, которые позволяют перехватить трафик. Если шифрование не применялось – в перехваченных данных можно найти файлы конфигурации и ключи. В свою очередь, при включенном шифровании – полученный зашифрованный трафик покажет случайный набор данных без указания на содержимое.

Общие или индивидуальные ключи шифрования?

Интересные подробности были обнаружены при проверке нескольких крупных VPN-провайдеров. Многие практикуют раздачу одного ключа на все серверы и всех пользователей с различием только в процессе авторизации по логину и паролю. В случае взлома логина и пароля, перехваченный ключ позволит расшифровать весь интернет-трафик пользователя.

Некоторые компании используют различные ключи шифрования для каждого пользователя, но все же с одинаковым ключом для всех серверов. И только индивидуальный ключ для каждого пользователя и каждого сервера может обеспечить надежную защиту. Таким образом, если ключи пользователя на одном сервере будут скомпрометированы, то при подключении к другому серверу соединение останется безопасным.

Для проверки можно открыть папку с файлами конфигурации и ключами. Количество серверов должно соответствовать такому же количеству ключей, если сами ключи не находятся в ovpn файлах.

Возможность смены ключа для безопасности пользователей

В процессе работы на компьютере могут возникать различные ситуации, связанные с потерей ключей: заражение вирусами, взломы или потеря устройства. Именно для таких ситуаций некоторые VPN-провайдеры предлагают пользователям возможность смены ключей без потери подписки. При любых подозрительных происшествиях относительно информационной безопасности рекомендуется производить смену VPN-ключей.

Ведение и хранение логов

Вопрос о ведении и сохранении логов задают все пользователи при выборе VPN-провайдера. Это важно, поскольку ведение логов позволит связать действия клиента в Интернете с его реальным IP-адресом.

В рамках эксперимента мы обратились к топовым VPN-компаниям с предложением о сотрудничестве. И узнали, что обязательным условием для ресселеров является хранение и предоставление всех данных пользователей (IP, email, телефон и тд…). Такие сведения могут указывать на ведение логов пользователей в крупных VPN-компаниях.

VPN-провайдер может доказать, что на сервере не ведется логирование, только в том случае, если предоставит полный Root-доступ для проверки пользователю. Если нужна полная гарантия отсутствия логирования, лучше иметь собственный VPN сервер с полным root доступом и в этом поможет компания RootVPN.

В случае отсутствия возможности вышеупомянутой проверки следует обратить внимание на физическое расположение VPN-компании. Юрисдикция офшорных зон позволяет VPN-провайдерам не вести логирование и не зависеть от запросов иностранных спецслужб.

Цифровой отпечаток VPN fingerprint выдает использование VPN

Современные технологии помогают с легкостью определять, использует ли человек VPN-соединение или нет.

Большинство VPN-провайдеров не скрывают цифровой отпечаток. Если же требуется скрывать использование VPN-технологий, то рекомендуется протестировать работу выбранного сервиса. К примеру, сервис компании VPN Monster скрывает факт использования OpenVPN, что доказывает результат следующей проверки на сайте https://2ip.ru/privacy/


При этом важно учесть, что часовой пояс выбранного VPN-сервера должен совпадать с временем, установленным на устройстве пользователя.

Утечка по DNS

В некоторых VPN-компаниях при использовании OpenVPN в Windows 8 и 10 существует риск утечки реального значения DNS. Есть возможность самостоятельно убедиться в отсутствии утечки по DNS. Для этого потребуется найти в файле конфигурации, полученном у VPN-провайдера, опцию block-outside-dns. Наличие опции block-outside-dns позволяет автоматически блокировать утечку по DNS.

Надежность алгоритмов шифрования

Многие VPN-сервисы зачастую используют недостаточно надежные методы шифрования, что позволяет экономить ресурсы сервера. Иногда, в ущерб безопасности, VPN-компании продолжают использовать протокол PPTP, который имеет ряд уязвимостей.

Следует всегда обращать внимание на то, какую технологию и алгоритмы шифрования использует VPN-провайдер. Для достижения максимальной надежности рекомендуется использовать технологию OpenVPN с алгоритмом AES 256, ключами Diffie-Hellmanа от 2048 bits и хеш алгоритмом 512 mb.

Какие выводы?

Мы постарались показать, что пользователи могут проверить безопасность услуг своего VPN-провайдера самостоятельно, простыми и доступными способами. И тогда привлекательная цена или красочный дизайн сайта популярной VPN-компании не смогут ввести в заблуждение пользователей, для которых анонимность и безопасность превыше всего.

Как скрыть свой IP-адрес, чтобы избежать хакерских атак и отслеживания

Каждому устройству, подключенному к интернету, присваивается уникальный IP-адрес. Это строка, состоящая из цифр и десятичных знаков, которая позволяет различным устройствам идентифицироваться и связываться друг с другом.

Государственные учреждения, корпорации, хакеры и тролли могут использовать IP-адреса для отслеживания конкретных людей. Наиболее эффективным способом изменения IP является использование VPN.

IP-адреса разбиты на кластеры конкретной страны, которые разделяются и передаются провайдерам. Они также могут быть разбиты по идентификатору местоположения города. Таким образом, сайты и приложения могут определять источник входящего трафика.

Как изменить свой IP-адрес?

VPN предназначена для шифрования веб-трафика, поступающего на ваше устройство и отправляющегося обратно, а также его туннелирования через выбранный сервер. С практической точки зрения это выглядит так, будто вы подключаетесь к всемирной паутине из другого места.

VPN также затрудняет мониторинг вашего поведения в интернете и позволяет разблокировать огромное количество контента с ограничениями доступа.

Регистрация и использование VPN для скрытия своего IP-адреса легально практически во всех странах.

Как использовать VPN для скрытия IP-адреса?

В этом разделе мы рассмотрим некоторые VPN, которые маскируют IP-адрес. Они оцениваются по следующим критериям:

  • Скорость и стабильность обслуживания.
  • Количество серверов по всему миру.
  • Надежные стандарты шифрования.
  • Возможность разблокирования различного контента.
  • Приложения для Android и iOS.
  • Простота использования.

Компания использует более 1500 серверов, расположенных в 94 странах мира.

ExpressVPN не сохраняет журналы трафика. Единственная информация, которую он извлекает, связана с датой соединения, выбором местоположения сервера и пропускной способностью канала.

ExpressVPN использует 256-битный AES-CBC стандарт шифрования и аутентификацию HMAC.

Сервис доступен в виде приложений для Android и iOS, а также для Windows и MacOS.Предоставляемый тариф включает в себя 30-дневную гарантию возврата средств.

Этот провайдер работает уже более 10 лет и является популярным среди пользователей благодаря своим функциям, цене, производительности и безопасности.

Компания строго соблюдает политику нулевых журналов. Это означает, что не ведется никаких внутренних записей сеансов пользователей, трафика или временных меток.

NordVPN управляет 1850 серверами в 61 стране мира. Существует огромный выбор серверов в Европе и Северной Америке, а также относительно небольшая сеть в Азии, Африке и на Ближнем Востоке.

Серверы предоставляются в соответствии со специфичностью. Некоторые из них подходят для более строгого шифрования, такого как анти-DDoS и двойной VPN. Другие лучше оснащены для потоковой передачи видео и сервисов, для которых требуется выделенный IP.

Протокол 256-битного шифрования AES используется по умолчанию в сочетании с 2048-битными ключами SSL. Защита от утечки DNS включена.

Сервис доступен в виде приложения для Android, iOS, а также для настольных ПК под управлением Windows и MacOS.

Штаб-квартира компании находится в США.Но сервис не требует регистрации, поэтому ваши личные данные не подвергаются какому-либо риску.


Сервис предоставляет на выбор 850 серверов, которые расположены в 60 странах.

По умолчанию IPVanish использует256-битное шифрование по протоколу OpenVPN, аутентификацию SHA512 и обмен ключами DHE-RSA 2,048 бит с полной прямой секретностью. Это означает, что даже если ваша учетная запись будет взломана, хакеры не смогут расшифровать данные сеанса.

IPVanish не работает с Netflix или Hulu, но является надежным выбором для BBC iPlayer.
Сервис доступен в виде приложений для iOS, Android, Windows и MacOS.

Cyberghost Pro заявляет, что он не записывает поведение пользователей. Расположение в Бухаресте также означает, что компания не подпадает под действие законов о сохранении данных. Это должно облегчить решение проблем с конфиденциальностью.

Мастер Йода рекомендует:  Канадский разработчик написал эссе о «засорении» современных сайтов

На данный момент в 47 странах сервис использует более 1100 серверов, и их количество будет увеличиваться.

VPN доступен в виде приложений для Android, iOS, Windows и MacOS.

Этот VPN не работает с Netflix, но позволяет разблокировать доступ к BBC iPlayer.

Cyberghost Pro по умолчанию использует256-битное шифрование AES по протоколу OpenVPN совместно с 2048-битными ключами RSA и аутентификацией HMAC MD5.

VyprVPN сохраняет некоторые данные: IP-адрес источника пользователя, IP-адрес VyprVPN, время начала и окончания соединения и общее количество используемых байтов.

Одновременно с этим компания настаивает на том, что она хранит перечисленную выше информацию только в течение 30 дней и использует ее для улучшения сервиса. Мы не нашли никаких жалоб от его пользователей, которые считают, что их конфиденциальность была нарушена.

VyprVPN — популярный выбор в Китае, поскольку он позволяет обойти Great Firewall. Все соединения шифруются по протоколу OpenVPN, 256-битным AES-шифрованием, 2048-битными ключами RSA без полной прямой секретности и с аутентификацией SHA256.

Премиум-пакет сервиса позволяет получить доступ к протоколу Chameleon ™, который скремблирует метаданные OpenVPN, поэтому глубокая инспекция пакетов не может его распознать.

VyprVPN позволяет разблокировать контент Netflix, Hulu и BBC iPlayer. Он предоставляет более 700 серверов, расположенных по всему миру.

Сервис VPN реализован в виде приложений для Android, так и для iOS, Windows и MacOS.

Использовать ли бесплатный VPN для маскировки своего IP-адреса?

Бесплатные VPN выглядят привлекательно, потому что не требуют наличия банковской карты для регистрации. Но многие из них используют ненадежные способы шифрования данных.

Бесплатные VPN обычно предлагают на выбор один или два сервера, к которым можно подключиться. Они также регулярно участвуют в дросселировании канала и накладывают ограничения на объем переданных данных.

Наша рекомендация – избегайте использования бесплатных VPN. Большая часть из них монетизирует свои сервисы, используя модули отслеживания и продавая данные о своих пользователях сторонним рекламодателям.

Я подписался на VPN. Что мне делать дальше?

Выполните действия, приведенные в этом разделе, чтобы скрыть свой IP-адрес:

  1. Просмотрите список рекомендованных VPN-сервисов и выберите тарифный план.
  2. Зарегистрируйтесь на сайте сервиса и оплатите услугу. Большинство VPN принимают к оплате банковские карты и PayPal, а существенно меньшее количество — биткоин.
  3. Загрузите нужный вариант приложения.
  4. Очистите файлы cookie и кеш во всех используемых браузерах, чтобы удалить старые идентификаторы местоположения.
  5. Перезагрузите свое устройство.
  6. Откройте программное обеспечение, предоставляемое VPN-сервисом, и войдите в систему.
  7. Выберите сервер из страны, в которой вы хотите получить IP-адрес. Подождите несколько секунд.
  8. Когда соединение будет установлено, на панели задач появится зеленый значок уведомления.
  9. Обратите внимание на то, что веб-узлы будут предполагать, что ваше местоположение находится в стране, через которую вы подключены в текущий момент.

Как VPN-сервисы обрабатывают IP-адреса?

Большинство VPN-сервисов назначают всем пользователям, подключенным к одному серверу, «общий» IP-адрес. Это еще больше затрудняет отслеживание активности каждого конкретного пользователя.

VPN также используют «динамические» IP-адреса. Это означает, что каждый IP изменяется с заданным интервалом времени. Некоторые провайдеры также позволяют своим пользователям самостоятельно определять, как часто они хотят изменять свой IP.

Другие типы IP-адресов, предоставляемых VPN-сервисами, которые менее распространены:

Выделенные IP никогда не меняются и используются только одной стороной. Они чаще встречаются среди корпоративных VPN. Статические IP-адреса не меняются, а распределяются между пользователями. Они могут использоваться для онлайн-банкинга, когда требуется вход в систему с одного и того же IP-адреса сразу для нескольких сеансов.

Как защитить себя от утечек DNS?

Утечки DNS возникают, когда параметры конфигурации сети не оптимизированы. Это приводит к тому, что трафик «просачивается» из защищенного, зашифрованного туннеля, созданного вашим VPN- провайдером.

VPN работают путем маршрутизации веб-трафика по альтернативным, зашифрованным каналам. Когда настройки неверны, DNS-запросы могут быть перенаправлены по незащищенной сети, а не по VPN.


DNS-запросы являются основой вашей веб-активности: так, как компьютеры переводят имена хостов (например, gmail.com) в IP-адрес.

Когда происходит утечка DNS, и веб-трафик выпадает из зашифрованного туннеля, интернет-провайдер может видеть, какие сайты вы посещаете. Простого подключения к VPN недостаточно.

Некоторые VPN-сервисы предоставляют автоматическую защиту от утечки DNS.

Существуют ли другие способы защитить мою личность?

К сожалению, маскировки IP-адреса недостаточно, чтобы оставаться полностью скрытым и анонимным. Большинство людей не понимает, что их «цифровые следы» остаются повсеместно.

Более совершенная техника идентификации пользователей называется отпечатком пальца браузера. Вы можете представить себе это, как будто правоохранительные органы собирают данные на месте преступления. Независимо от того, какие данные собраны, они сопоставляются с существующими базами, чтобы помочь обвинить преступника.

Могу ли я скрыть IP-адрес без использования VPN?

Мы рекомендуем VPN для людей, которые пытаются изменить свое местоположение, чтобы получить доступ к таким ресурсам, как медиа, банковские сервисы, VoIP-звонки и другие локализованные службы.

Браузер Tor является еще одним способом маскировки IP-адреса. Он шифрует трафик пользователей так же, как и VPN. Но при этом отсутствует поставщик услуг, который помогает организовать поток трафика. В сети Tor трафик маршрутизируется через несколько точек выхода или «узлов», предоставляемых добровольцами.

Маршрут изменяется каждый раз, когда отправляется запрос к новому сайту, что делает отслеживание пользователей почти невозможным. Данный вариант отлично подходит для обеспечения анонимности. Недостатком является то, что трафик, проходящий через сеть Tor, очень медленный.

Почему я должен изменить свой IP-адрес?

Одна из самых популярных причин, почему люди предпочитают менять свои IP-адреса — это обход блокировки потоковых сервисов. Таких, как Netflix, ESPN, Hulu и BBC iPlayer.

Также многие делают это чтобы обойти блокировку таких ресурсов, как Facebook, Snapchat и Twitter, на рабочем месте или в их стране.

Как уже упоминалось, IP-адреса используются как идентификаторы местоположения. Это означает, что правительства и провайдеры интернет-услуг могут определить приблизительную географию пользователя. Это не очень хорошо для тех, кто хочет оставаться полностью анонимными при работе в интернете.

Данная публикация представляет собой перевод статьи « How to change or hide your IP address to avoid hacker, ISP and government snooping » , подготовленной дружной командой проекта Интернет-технологии.ру

Брешь в безопасности VPN.Утечка реального ip пользователя.

Кто просматривает этот контент: «Тема» (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь

Блин,прикольная дырка!Зашёл под VPNом на этот сервис и он в действительности показал мой реальный айпи (правда я выключил все блокираторы скриптов).Перевод статьи оставляет желать лучшего,но смысл понятен.

Пользователи VPN сталкиваются массовый брешь в безопасности, как веб-сайты могут легко увидеть свои домашние IP-адреса через WebRTC. Уязвимость ограничен, поддерживающих браузеров, таких как Firefox и Chrome, и, кажется, влияют только на пользователей Windows. К счастью, дыра в безопасности относительно легко исправить.
Откровения Snowden ясно дали понять, что конфиденциальности в Интернете, конечно, не дано.
Просто несколько дней назад мы узнали, что канадское правительство отслеживаются посетителей десятков популярных файлообменных сайтов.
Поскольку эти истории делают заголовки во всем мире интерес в анонимных услуг , таких как VPN, увеличилось, так как даже обычные пользователи Интернета не нравится мысль о том, шпионили.
К сожалению, даже лучшие услуги VPN не может гарантировать 100% безопасность. На этой неделе весьма относительно недостаток безопасности показал, что это легко увидеть реальные IP-адреса многих пользователей VPN с помощью функции WebRTC.
С помощью нескольких строк кода веб-сайты могут делать запросы к STUN сервера и войдите VPN IP-адрес пользователей и «скрытый» домашний IP-адрес, а также локальные сетевые адреса.
Уязвимость затрагивает WebRTC, поддерживающих браузеров, включая Firefox и Chrome и, кажется, ограничивается машин Windows.

Демо опубликованы на GitHub разработчиком Даниэль Roesler позволяет людям проверить, если они влияют на недостаток безопасности.

Демо утверждает, что плагины браузера не может блокировать уязвимости, но, к счастью, это не совсем верно. Есть несколько простых решений, доступных для патч дыру в безопасности.
Chrome пользователи могут установить WebRTC блок расширения или ScriptSafe, который, как сообщается, блокировать уязвимости.
Firefox пользователи должны иметь возможность блокировать запрос с аддоном NoScript . Кроме того, они могут ввести «о: конфигурации» в адресной строке и установить «media.peerconnection.enabled», чтобы ложно.

TF спросил различных провайдеров VPN, чтобы поделиться своими мыслями и советы по уязвимости. Личный доступ в интернет рассказала нам, что в настоящее время изучают вопрос, чтобы увидеть то, что они могут сделать с их стороны для ее решения.

TorGuard сообщил нам, что они получили предупреждение, в блоге вместе с инструкциями о том, как остановить утечку браузера. Бен Ван Дер Пелт, генеральный директор TorGuard, в дальнейшем нам сообщили, что туннелирования VPN через маршрутизатор является еще одним исправить.

«Возможно, лучший способ быть защищен от WebRTC и подобных уязвимостей запустить VPN туннель непосредственно на маршрутизаторе. Это позволяет пользователю быть подключен к VPN напрямую через Wi-Fi, не оставляя никакой возможности изгоев сценария обход программного обеспечения VPN туннеля и найти свое реальное IP «, говорит Ван дер Пелт.

«Во время наших пользователей тестирование Окна, которые были соединены с помощью VPN-маршрутизатора не были уязвимы для утечек WebRTC IP даже без каких-либо исправлений браузера», добавляет он.

Хотя приведенные выше исправления всех зарегистрированных на работу, утечка напоминанием, что анонимность никогда не должны считать само собой разумеющимся.

Вопросы безопасности при использовании VPN

Однако, если не иметь представления, какова политика конфиденциальности конкретного VPN-провайдера или не установить и не настроить VPN правильно, есть риск получить больше угроз безопасности, чем пользы. Такие серьезные бреши были выявлены, например, в ОС Andro >

«Всегда обращайте внимание на разрешения приложений, которые вы скачиваете, — говорит профессор Дали Каафар (Dali Kaafar), главный научный сотрудник CSIRO по онлайновой приватности и безопасности. — Исследование показало, что пользователям VPN-клиентов следует изучить, насколько серьёзны проблемы с этими приложениями и насколько велики риски, которым они подвергают себя при использовании таких сервисов».

Существует ряд регулярных исследований, в которых делается анализ соответствия тех или иных VPN-сервисов безопасности их использования для самих пользователей. Такую кропотливую и глубокую работу проводят, к примеру, порталы TorrentFreak и That One Privacy Site.


VPN шифрует данные до того, как они покидают устройство. И те остаются зашифрованными, пока не дойдут до серверов провайдера VPN. Этот процесс называется туннелированием. Доходя до точки сервера, трафик обычно расшифровывается и дальше в общем виде попадает в сеть. Туннелирование полезно для использования интернета в общественных местах. Например, если заходить в интернет по Wi-Fi где-нибудь в кафе, когда есть риск шпионажа за вашим трафиком. Кроме того, шифровка пригодится, если трафик нужно скрыть от интернет-провайдера, чтобы он не видел, какие сайты вы посещаете. Так что, в целом, полезность VPN не стоит недооценивать. Но столь же важно не упускать из виду потенциальных мифов об идеальности технологии. У пользователей возникают заблуждения, которые не отражают реального положения дел.

Первым из них оказывается утверждение о том, что использование VPN автоматически делает ваш выход в интернет защищенным и приватным. Дело в том, что, действительно, основная задача VPN — безопасность. Но если вы установите его неправильно, или же настройка провайдером будет некорректна, то вся безопасность утратится. Важный момент, который не стоит упускать из виду: провайдер может видеть ваш трафик. Это означает — он может регистрировать все, что вы делаете в сети, наблюдать каждое действие. High-Tech Bridge опубликовали исследование, которое показало: нередко используется устаревший протокол туннелирования Point-to-Point (PPTP). Также, неправильная настройка, дающая базовую безопасность, может стать причиной утечки данных. Исследования показали, что на одном только Android 18% приложений VPN не выполняют свою основную задачу шифрования. Кроме того, ряд провайдеров VPN ведут журнал всего пользовательского трафика. Это напрямую противоречит цели использования VPN как средства конфиденциальности. Чтобы не попасть впросак, стоит внимательно ознакомиться с политикой конфиденциальности вашего провайдера.

Второе заблуждение заключается в том, что VPN защищает от отслеживания. Да, VPN маскирует IP-адрес и дает относительную незаметность. При этом от рекламных сетей он может и не защитить. Рекламные сети и различные веб-сайты обычно используют куки вместо IP-адреса (пример от внесённого под блокировку ресурса), чтобы идентифицировать вас, поэтому, если вы используете VPN для того чтобы избежать отслеживания, то будете сильно разочарованы: VPN в таком случае не поможет, и уклониться от рекламы не получится. Более того, некоторые VPN провайдеры могут даже продавать пользовательские данные просмотров. На этот счет уже было несколько крупных скандалов. Так что для обеспечения защиты от рекламных атак лучше всего пользоваться специализированными приложениями, а не надеяться исключительно на VPN.

Третье заблуждение позволяет думать, что вы не заметите разницы, используя VPN. Увы, это не совсем так. Безопасность обеспечена ценой скорости интернет-соединения и она почти всегда будет замедлена. Насколько сильно снизится скорость, будет определяться родом ваших занятий в интернете, а также скоростью вашего провайдера VPN. При просмотре обычных веб-страниц это скорее всего не будет заметно, а вот при загрузке больших файлов и в потоковой передаче видео — вполне вероятно. Есть сервисы и сайты, которые сознательно блокируют VPN. Это делается для того, чтобы пользователи не смогли обойти ограничения региона.

Никому не хочется попасть в неудобное положение столкнувшись с тем, что VPN не выполняет функций, на него возложенных. Для этого любое обещание гарантии надежности и безопасности стоит проверять самостоятельно. Чтобы не оказаться незащищенным, важно по максимуму узнать о том VPN-провайдере, которым вы хотите воспользоваться: почитать форум, отзывы. Прислушаться, что и как говорят о нем пользователи и специализированные порталы. Помните, что многие VPN-сервисы хранят ваши метаданные, историю вашего трафика и т.д. Убедитесь, что политика конфиденциальности удовлетворяет вас и ваши ожидания от использования инструмента от того или иного разработчика. И это касается не только такого инструмента, как VPN.

Работает ли мой VPN? Советы по тестированию утечек VPN

Поиск повышенного уровня конфиденциальности и беспрепятственной потоковой передачи контента заставил 25% населения использовать виртуальные частные сети или VPN (Virtual Private Network). Эти сети позволяют пользователям подключать свои устройства, поддерживающие подключение к Интернету, к различным серверам во всем мире вместо сервера своего локального Интернет-провайдера. Это идеально для пользователей, которые хотят скрыть свое личное местоположение и свою активность в Интернете.

Изначально VPN были созданы для того, чтобы позволить сотрудникам компаний удаленно работать со своими корпоративными серверами вне зависимости от их местоположения. И хотя ряд компаний по-прежнему используют VPN по этой причине, большинство пользователей используют такие сервисы, чтобы получить конфиденциальность в Интернете или иметь возможность обходить географические ограничения на доступ к различным сайтам (например, потоковая передача контента).

Когда пользователь ходит в Интернете без VPN, то его история поиска, местоположение и информация о его Интернет-провайдере доступна для рекламодателей, его работодателя и правительственных органов. По большому счету VPN защищает онлайн-информацию от доступа к ней заинтересованных лиц, но иногда могут быть утечки. Утечки в VPN могут произойти по целому ряду причин. Лица, заинтересованные в получении персональной информации, могут использовать код для отключения VPN, либо просто иногда система может неправильно работать. При использовании VPN в вашей повседневной Интернет-активности рекомендуется регулярно проверять его на наличие утечек.

Типы VPN-утечек

Пользователи обычно подписываются на услуги VPN-провайдеров, думая, что сервис, за который они платят, будет защищать их онлайн-конфиденциальность. Но осознание того, что через VPN может осуществляться утечка информации, может быть страшным и тревожным. Существует три типа VPN-утечек, которые могут произойти, а потому возможность их выявления поможет пользователям быть готовыми устранить любые утечки, которые они могут обнаружить.

Мастер Йода рекомендует:  12 самых свежих JavaScript-фреймворков 2020 года Javascript

Утечка IP

IP-адрес – это строка из чисел, разделенных точками, который назначается Интернет-провайдером определенным компьютерам или смарт-устройствам. Когда вы ходите по сайтам в Интернете, ваш IP-адрес привязан к вашим поискам, кликам и посещениям.

В настоящее время существует два типа IP-адресов. Первоначальный протокол называется IPv4, а более новый — IPv6. Новый протокол создан для того, чтобы предоставлять еще больше IP-адресов в мире. На текущий момент многие провайдеры VPN-сервисов поддерживают только адреса в протоколе IPv4, который может привести к утечкам IP-адреса.

Утечка DNS

Система доменных имен или DNS (Domain Name Systems) конвертирует IP-адреса в URL с более привычными названиями доменов и наоборот. Данная система работает так, что нам не требуется запоминать IP-адрес сайта каждый раз, когда мы хотим его посетить.

Когда вы ходите по Интернет-сайтам, ваша операционная система отправляет DNS-запрос для извлечения IP-адреса, связанного с требуемым доменом. Интернет-провайдеры могут затем записывать каждый DNS-запрос, который исходит от вашей операционной системы, чтобы затем получить вашу детальную историю онлайн-посещений. С помощью VPN каждый DNS-запрос будет приходить с сервера вашего VPN-провайдера, а не с сервера вашего Интернет-провайдера, что позволяет обезопасить вашу персональную информацию. Утечка DNS может возникнуть в тех случаях, когда ваши запросы на конвертацию поступают с вашего персонального DNS-сервера, а не с DNS-сервера вашего VPN-провайдера. При возникновении такой утечки раскрываются ваша история просмотров, как и ваш IP-адрес и местоположение вашего Интернет-провайдера.

Утечка WebRTC

Web Real-Time Communication (WebRTC), по своей сути, позволяет мгновенно передавать видео, голос и сообщения в браузер.

Это очень полезная пиринговая (одноранговая) коммуникация на базе браузера, но пользователи обнаружили, что WebRTC открывает определенные уязвимости в VPN. Подобные утечки возникают в таких популярных браузерах как Chrome, Firefox, Brave и Opera. С помощью всего лишь нескольких строк кода любой сайт может раскрыть ваш IP-адрес и местоположение.

Как мне узнать, работает ли мой VPN?

Существует множество платных сервисов, которые позволяют вам узнать подробную информацию о потенциальных уязвимостях в вашем VPN. Если вы хотите исследовать вашу персональную Интернет-безопасность, вы можете это проверить самостоятельно и вручную.

Как проверить на наличие утечки IP

1. Найдите ваш персональный IP-адрес, отключив ваш VPN и набрав в поисковой системе Google или Yandex запрос типа «узнать мой IP-адрес». Ваш IP-адрес, связанный с вашим устройством, будет показан вверху страницы. Запишите этот адрес.

2. Перейдите в аккаунт вашего VPN-провайдера, авторизуйтесь, выберите требуемый VPN-сервер и подключитесь к нему.

3. Вернитесь в поисковую систему и снова наберите запрос типа «узнать мой IP-адрес». Теперь на экране будет показываться ваш новый адрес. Сверьте его с вашим IP-адресом, который записали ранее.

4. Если новый адрес при подключении через VPN совпадает с вашим адресом без VPN, то, скорее всего, существует утечка вашего IP-адреса.

Как проверить на наличие утечки DNS

1. Подключитесь к вашему VPN и выберите сервер в другой стране.

2. Откройте сайт, который заблокирован для вашей страны (например, соцсеть, форум или сервис потоковой передачи контента).


3. Если вы не смогли зайти на этот ввеб-сайт, то вполне вероятно, что существует утечка DNS.

Как проверить на наличие утечки WebRTC

1. Включите ваш VPN и выберите любой сервер для работы.

2. Наберите в вашем поисковике (например, Google или Yandex) запрос типа «узнать мой IP-адрес». В верхней части страницы будет показан ваш IP-адрес, привязанный к вашему устройству вашим VPN-сервисом.

3. Теперь скопируйте этот IP-адрес и вставьте его в поле для запросов в своем поисковике, но только перед самим адресом наберите «IP » (без кавычек). Если будет показано ваше местоположение, то это может означать наличие утечки WebRTC.

Как я могу устранить VPN-утечку?

Если вы обнаружили утечку в вашем VPN, то не паникуйте. Существует несколько способов устранить утечку, с которой вы столкнулись. Если вы обнаружили, что подобные утечки происходят часто, то подумайте о смене VPN-провайдера и перейдите к тому провайдеру, кто способен лучше защищать вашу онлайн-активность.

Как устранить утечку IP

Надежное решение для устранения утечек IP – это использовать VPN-сервис, который предоставляет полную поддержку адресов IPv4 и IPv6. Вы можете также добавить в вашем файерволе ограничения на использование только IPv6 адресов, но это временное решение инцидента.

Как устранить утечку DNS

Если вы обнаружили утечку DNS, существует несколько способов ее устранения, которыми вы можете попытаться воспользоваться. Во-первых, отключите ваш VPN и выключите ваш WiFi. Через минуту включите ваш WiFi и подключитесь заново к вашему VPN. Если это не поможет устранить инцидент, то попробуйте в вашем VPN выбрать другой сервер для подключения. После этого проведите снова тест на утечку DNS, чтобы проверить безопасность вашего соединения.

Как устранить утечку WebRTC

Лучший способ устранить утечку WebRTC – это отключить WebRTC в вашем браузере. Это можно сделать в Firefox и ряде других браузеров. Но в Chromium-браузерах, таких как Chrome или Brave, нет опции для отключения WebRTC, поэтому для этих браузеров используйте расширения браузера для защиты вашей онлайн-конфиденциальности.

Советы по предотвращению VPN-утечки

  • Используйте предложенные выше тесты, чтобы периодически проверять ваш VPN.
  • Проверьте, что VPN-провайдер поддерживает адреса IPv6, чтобы не случилась утечка IP-адреса
  • Обратитесь к вашему VPN-провайдеру и убедитесь, что ваш сервис не допускает любую утечку DNS
  • Отключите WebRTC в вашем браузере или добавьте расширение для предотвращения утечек WebRTC
  • Подумайте о переходе к другому VPN-провайдеру, который предлагает полную защиту от утечек и других уязвимостей

Не важно, требуется ли вам конфиденциальность в Интернете или вы хотите смотреть видео-контент из других стран без ограничений, VPN может быть отличным инструментом для защиты вашего местоположения и онлайн-активности. Используйте VPN-сервис компании Panda Security для безопасной работы в Интернете с доступом ко всем требуемым сайтам.

Три крупных VPN-сервиса раскрывают конфиденциальные данные пользователей

Согласно исследованию, проведенному VPNMentor с помощью нанятой группы специалистов, далеко не все VPN-сервисы способны предоставить пользователям защиту их данных. Большинство протестированных сервисов не до конца скрывают IP-адрес клиентов.

Эксперты подчеркивают, что такие недостатки в VPN-сервисах могут использоваться правительством и организациями для отслеживания конкретных лиц, представляющих интерес.

«Мы протестировали 3 популярных VPN-сервиса: Hotspot Shield, PureVPN и Zenmate. К сожалению, мы обнаружили, что все они способствуют утечке конфиденциальных данных», — пишут в блоге исследователи VPNMentor.

Hotspot Shield оказался единственным сервисом, быстро принявшим меры после официального уведомления VPNMentor о наличие бреши в безопасности. Остальные VPN-сервисы на данный момент не ответили VPNMentor, поэтому проект принял решение опубликовать результаты тестов.

Уязвимости в Hotspot Shield затрагивают соответствующее расширение Chrome, десктопная и мобильная версии приложения безопасны.

Первая уязвимость, получившая идентификатор CVE-2020-7879, позволяет злоумышленнику перехватить трафик пользователя, для этого потребуется заманить его на вредоносный сайт.

Эксперты отметили наличие следующего PAC-скрипта, используемого в расширении Hotspot Shield для Chome:


Он определяет, имеет ли текущий URL параметр act=afProxyServerPing, если он находит этот параметр, весь трафик перенаправляется на прокси-сервер.

Эта проблема, похоже, связана с внутренним тестовым кодом, который не был удален, поскольку скрипт не может проверить, какой хост делает этот «вызов». Злоумышленник может создать ссылку с этими параметрами, что позволит перенаправить пользователя на контролируемый киберпреступниками сервер.

Утечка IP существует благодаря белому списку, который используется расширением для «прямого соединения».

Тесты показали, что любой домен, который содержит localhost в URL-адресе, обходит прокси-сервер (например, localhost.foo.bar.com). Так же происходит и с type=a1fproxyspeedtest.

Чтобы продемонстрировать наличие утечки, специалисты зашли на сайт с неподдерживаемой версией Hotspot Shield.

Эксперты подтвердили, что в настоящее время уязвимости PureVPN и ZenMate могут использоваться для деанонимизации пользователей этих сервисов.

Как предотвратить утечку IP при использовании прокси/VPN?

Флеш — никто уже не использует
джаву в браузере — также
жс — желательно отключить
вебртс — вырезать из браузера

Самое лучшее, пойти почитать как форевер куки себя ставят
И попробовать сделать сервис, где получаешь свой ип и свои уникальные маркеры

если есть ключ к дата-центру,то узнать кто-ты проблем нет.

но еще можно сидеть в впн,через впн. но если ты параноик,то еще прокси. а еще тором можно.
получается многоуровневый бутерброд. будет чуть сложнее вычеслить.

Максимум анонимности в сети — это не ходить в сеть вообще.

Опишите полностью, чего вы хотите достичь и при каких условиях. А то ваш вопрос мало чем отличается от пресловутого «подземного стука».

Можно ли доверять VPN-сетям свои секреты?

Содержание статьи

Первое, что приходит в голову при упоминании VPN, — это анонимность и защищенность передаваемых данных. Так ли это на самом деле? Давай разберемся.

Когда необходимо получить доступ к корпоративной сети, безопасно передать важную информацию по открытым каналам связи, скрыть свой трафик от бдительного взора провайдера, скрыть свое реальное местоположение при проведении каких-либо не совсем законных (или совсем не законных) действий, обычно прибегают к использованию VPN. Но стоит ли слепо полагаться на VPN, ставя на кон безопасность своих данных и собственную безопасность? Однозначно — нет. Почему? Давай разбираться.

WARNING

VPN нам нужен!

Виртуальная частная сеть, или просто VPN, — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например интернета. Несмотря на то что коммуникации могут быть реализованы через публичные сети с неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). Как видишь, в теории все радужно и безоблачно, на практике же все несколько иначе. В этой статье мы рассмотрим два основных момента, которые обязательно нужно принимать во внимание, пользуясь VPN.

Утечка VPN-трафика

Первая проблема, связанная с виртуальными частными сетями, — это утечка трафика. То есть тот трафик, который должен быть передан через VPN-соединение в зашифрованном виде, попадает в сеть в открытом виде. Данный сценарий не является следствием ошибки в VPN-сервере или клиенте. Здесь все гораздо интереснее. Самый простой вариант — внезапный разрыв VPN-соединения. Ты решил просканировать хост или подсеть с помощью Nmap, запустил сканер, отошел на несколько минут от монитора, и тут VPN-соединение внезапно отвалилось. Но сканер при этом продолжает работать. И сканирование идет уже с твоего адреса. Вот такая неприятная ситуация. Но есть сценарии и интересней. Например, утечка VPN-трафика широко распространена в сетях (на хостах), поддерживающих обе версии протокола IP (так называемые dual-stacked сети/хосты).

Корень зла

Сосуществование двух протоколов — IPv4 и IPv6 — имеет множество интересных и тонких аспектов, которые могут приводить к неожиданным последствиям. Несмотря на то что шестая версия протокола IP не имеет обратной совместимости с четвертой версией, обе эти версии как бы «склеены» вместе системой доменных имен (DNS). Чтобы было понятней, о чем идет речь, давай рассмотрим простенький пример. Например, возьмем сайт (скажем, www.example.com), который имеет поддержку IPv4 и IPv6. Соответствующее ему доменное имя (www.example.com в нашем случае) будет содержать DNS-записи обоих типов: А и АААА. Каждая А-запись содержит один IPv4-адрес, а каждая АААА-запись содержит один IPv6-адрес. Причем для одного доменного имени может быть по несколько записей обоих типов. Таким образом, когда приложение, поддерживающее оба протокола, захочет взаимодействовать с сайтом, оно может запросить любой из доступных адресов. Предпочитаемое семейство адресов (IPv4 или IPv6) и конечный адрес, который будет использоваться приложением (учитывая, что их существует несколько для четвертой и шестой версий), будет отличаться от одной реализации протокола к другой.

Это сосуществование протоколов означает, что, когда клиент, поддерживающий оба стека, собирается взаимодействовать с другой системой, наличие А- и АААА-записей будет оказывать влияние на то, какой протокол будет использоваться для связи с этой системой.

VPN и двойной стек протоколов

Многие реализации VPN не поддерживают или, что еще хуже, полностью игнорируют протокол IPv6. При установке соединения программное обеспечение VPN берет на себя заботу по транспортировке IPv4-трафика — добавляет дефолтный маршрут для IPv4-пакетов, обеспечивая тем самым, чтобы весь IPv4-трафик отправлялся через VPN-соединение (вместо того чтобы он отправлялся в открытом виде через локальный роутер). Однако, если IPv6 не поддерживается (или полностью игнорируется), каждый пакет, в заголовке которого указан IPv6-адрес получателя, будет отправлен в открытом виде через локальный IPv6-роутер.

Основная причина проблемы кроется в том, что, хотя IPv4 и IPv6 — два разных протокола, несовместимых друг с другом, они тесно используются в системе доменных имен. Таким образом, для системы, поддерживающей оба стека протоколов, невозможно обеспечить безопасность соединения с другой системой, не обеспечив безопасность обоих протоколов (IPv6 и IPv4).

Легитимный сценарий утечки VPN-трафика

Рассмотрим хост, который поддерживает оба стека протоколов, использует VPN-клиент (работающий только с IPv4-трафиком) для подключения к VPN-серверу и подключен к dual-stacked сети. Если какому-то приложению на хосте нужно взаимодействовать с dual-stacked узлом, клиент обычно запрашивает и А-, и АААА-DNS-записи. Так как хост поддерживает оба протокола, а удаленный узел будет иметь оба типа DNS-записей (А и АААА), то одним из вероятных вариантов развития событий будет использование для связи между ними IPv6-протокола. А так как VPN-клиент не поддерживает шестую версию протокола, то IPv6-трафик не будет отправляться через VPN-соединение, а будет отправляться в открытом виде через локальную сеть.

Такой вариант развития событий подвергает угрозе передаваемые в открытом виде ценные данные, в то время как мы думаем, что они безопасно передаются через VPN-соединение. В данном конкретном случае утечка VPN-трафика является побочным эффектом использования ПО, не поддерживающего IPv6, в сети (и на хосте), поддерживающей(ем) оба протокола.


Преднамеренно вызываем утечку VPN-трафика

Атакующий может преднамеренно вызвать подключение по протоколу IPv6 на компьютере жертвы, посылая поддельные ICMPv6 Router Advertisement сообщения. Подобные пакеты можно рассылать при помощи таких утилит, как rtadvd, SI6 Networks’ IPv6 Toolkit или THC-IPv6. Как только соединение по протоколу IPv6 установлено, «общение» с системой, поддерживающей оба стека протоколов, может вылиться, как рассмотрено выше, в утечку VPN-трафика.

И хотя данная атака может быть достаточно плодотворной (из-за растущего числа сайтов, поддерживающих IPv6), она приведет к утечке трафика, только когда получатель поддерживает обе версии протокола IP. Однако для злоумышленника не составит труда вызвать утечки трафика и для любого получателя (dual-stacked или нет). Рассылая поддельные Router Advertisement сообщения, содержащие соответствующую RDNSS-опцию, атакующий может прикинуться локальным рекурсивным DNS-сервером, затем провести DNS-спуфинг, чтобы осуществить атаку man-in-the-middle и перехватить соответствующий трафик. Как и в предыдущем случае, такие инструменты, как SI6-Toolkit и THC-IPv6, могут легко провернуть такой трюк.

Полезные советы

Совсем не дело, если трафик, не предназначенный для чужих глаз, попадет в открытом виде в сеть. Как же обезопаситься в таких ситуациях? Вот несколько полезных рецептов:

  1. Если VPN-клиент сконфигурирован таким образом, чтобы отправлять весь IPv4-трафик через VPN-соединение, то:
  • если IPv6 VPN-клиентом не поддерживается — отключить поддержку шестой версии протокола IP на всех сетевых интерфейсах. Таким образом, у приложений, запущенных на компьютере, не будет другого выбора, как использовать IPv4;
  • если IPv6 поддерживается — убедиться, что весь IPv6-трафик также отправляется через VPN.
  1. Чтобы избежать утечки трафика, в случае если VPN-соединение внезапно отвалится и все пакеты будут отправляться через default gateway, можно:
  2. принудительно заставить весь трафик идти через VPN
  • воспользоваться утилитой VPNetMon, которая отслеживает состояние VPN-соединения и, как только оно пропадает, мгновенно завершает указанные пользователем приложения (например, торрент-клиенты, веб-браузеры, сканеры);
  • или утилитой VPNCheck, которая в зависимости от выбора пользователя может либо полностью отключить сетевую карту, либо просто завершить указанные приложения.
  1. Проверить, уязвима ли твоя машина к утечке DNS-трафика, можно на сайте, после чего применить советы, как пофиксить утечку, описанные тут.
Мастер Йода рекомендует:  Asynchronous JavaScript and XML (AJAX)

Утечка DNS-трафика

Хакер #170. Малварь для OS X

Расшифровка VPN-трафика

Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде — это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.

Ахиллесова пята

При VPN-соединениях на базе протокола PPTP (Point-to-Point Tunneling Protocol) аутентификация пользователей проводится по протоколу MS-CHAPv2, разработанному компанией Microsoft. Несмотря на то что MS-CHAPv2 устарел и очень часто становится предметом критики, его продолжают активно использовать. Чтобы окончательно отправить его на свалку истории, за дело взялся известный исследователь Мокси Марлинспайк, который на двадцатой конференции DEF CON отчитался, что поставленная цель достигнута — протокол взломан. Надо сказать, что безопасностью этого протокола озадачивались и ранее, но столь долгое использование MS-CHAPv2, возможно, связано с тем, что многие исследователи концентрировались только на его уязвимости к атакам по словарю. Ограниченность исследований и широкое число поддерживаемых клиентов, встроенная поддержка операционными системами — все это обеспечило протоколу MS-CHAPv2 широкое распространение. Для нас же проблема кроется в том, что MS-CHAPv2 применяется в протоколе PPTP, который используется многими VPN-сервисами (например, такими крупными, как анонимный VPN-сервис IPredator и The Pirate Bay’s VPN).

Если обратиться к истории, то уже в 1999 году в своем исследовании протокола PPTP Брюс Шнайер указал, что «Microsoft улучшил PPTP, исправив основные изъяны безопасности. Однако фундаментальная слабость аутентификации и шифрования протокола в том, что он безопасен настолько, насколько безопасен выбранный пользователем пароль». Это почему-то заставило провайдеров поверить, что ничего страшного в PPTP нет и если требовать от пользователя придумывать сложные пароли, то передаваемые данные будут в безопасности. Сервис Riseup.net настолько проникся этой идеей, что решил самостоятельно генерировать для пользователей пароли длиной в 21 символ, не давая им возможности установить свои. Но даже такая жесткая мера не спасает от расшифровки трафика. Чтобы понять почему, давай поближе познакомимся с протоколом MS-CHAPv2 и посмотрим, как же Мокси Марлинспайк сумел его взломать.

Протокол MS-CHAPv2

Как уже было сказано, MSCHAPv2 применяется для аутентификации пользователей. Происходит она в несколько этапов:

  • клиент посылает запрос на аутентификацию серверу, открыто передавая свой login;
  • сервер возвращает клиенту 16-байтовый случайный отклик (Authenticator Challenge);
  • клиент генерирует 16-байтовый PAC (Peer Authenticator Challenge — равный отклик аутентификации);
  • клиент объединяет PAC, отклик сервера и свое user name в одну строку;
  • с полученной строки снимается 8-байтовый хеш по алгоритму SHA-1 и посылается серверу;
  • сервер извлекает из своей базы хеш данного клиента и расшифровывает его ответ;
  • если результат расшифровки совпадет с исходным откликом, все ОK, и наоборот;
  • впоследствии сервер берет PAC клиента и на основе хеша генерирует 20-байтовый AR (Authenticator Response — аутентификационный ответ), передавая его клиенту;
  • клиент проделывает ту же самую операцию и сравнивает полученный AR с ответом сервера;
  • если все совпадает, клиент аутентифицируется сервером. На рисунке представлена наглядная схема работы протокола.

Схема работы протокола MS-CHAPv2

На первый взгляд протокол кажется излишне сложным — куча хешей, шифрование, случайные challenge. На самом деле все не так уж и сложно. Если присмотреться внимательней, то можно заметить, что во всем протоколе остается неизвестной только одна вещь — MD4-хеш пароля пользователя, на основании которого строятся три DES-ключа. Остальные же параметры либо передаются в открытом виде, либо могут быть получены из того, что передается в открытом виде.


Известные(зеленые) и неизвестные(красные) данные

Так как почти все параметры известны, то мы можем их не рассматривать, а остановить свое пристальное внимание на том, что неизвестно, и выяснить, что это нам дает.

Слабое место протокола MS-CHAPv2

Итак, что мы имеем: неизвестный пароль, неизвестный MD4-хеш этого пароля, известный открытый текст и известный шифртекст. При более детальном рассмотрении можно заметить, что пароль пользователя нам не важен, а важен его хеш, так как на сервере проверяется именно он. Таким образом, для успешной аутентификации от имени пользователя, а также для расшифровки его трафика нам необходимо знать всего лишь хеш его пароля.

Имея на руках перехваченный трафик, можно попробовать его расшифровать. Есть несколько инструментов (например, asleap), которые позволяют подобрать пароль пользователя через атаку по словарю. Недостаток этих инструментов в том, что они не дают стопроцентной гарантии результата, а успех напрямую зависит от выбранного словаря. Подбирать же пароль простым брутфорсом тоже не очень эффективно — например, в случае с PPTP VPN сервисом riseup.net, который принудительно устанавливает пароли длиной в 21 символ, придется перебирать 96 вариантов символа для каждого из 21 символов. Это в результате дает 96^21 вариантов, что чуть больше, чем 2^138. Иными словами, надо подобрать 138-битный ключ. В ситуации же, когда длина пароля неизвестна, имеет смысл подбирать MD4-хеш пароля. Учитывая, что его длина равна 128 бит, получаем 2^128 вариантов — на данный момент это просто нереально вычислить.

Разделяй и властвуй

MD4-хеш пароля используется в качестве входных данных для трех DES-операций. DES-ключи имеют длину 7 байт, так что каждая DES-операция использует 7-байтовый фрагмент MD4-хеша. Все это оставляет возможность для классической атаки divide and conquer. Вместо того чтобы полностью брутить MD4-хеш (а это, как ты помнишь, 2^128 вариантов), мы можем подбирать его по частям в 7 байт. Так как используются три DES-операции и каждая DES-операция абсолютно независима от других, это дает общую сложность подбора, равную 2^56 + 2^56 + 2^56, или 2^57.59. Это уже значительно лучше, чем 2^138 и 2^128, но все еще слишком большое число вариантов. Хотя, как ты мог заметить, в эти вычисления закралась ошибка. В алгоритме используются три DES-ключа, каждый размером в 7 байт, то есть всего 21 байт. Эти ключи берутся из MD4-хеша пароля, длина которого всего 16 байт.

Три DES-ключа по 7 байт

То есть не хватает 5 байт для построения третьего DES-ключа. В Microsoft решили эту задачу просто, тупо заполнив недостающие байты нулями и фактически сведя эффективность третьего ключа к двум байтам.

Для трех ключей по 7 байт используется 16-ти байтный хеш Не хвает 5 байт для третьего DES-ключа

Так как третий ключ имеет эффективную длину всего лишь два байта, то есть 2^16 вариантов, его подбор занимает считаные секунды, доказывая эффективность атаки div > Метод решения задачи «в лоб»

Но так как текст шифруется один и тот же, то правильнее сделать вот так:

То есть получается 2^56 вариантов ключей для перебора. А это значит, что безопасность MS-CHAPv2 может быть сведена к стойкости одного DES-шифрования.

Взлом DES

Теперь, когда диапазон подбора ключа известен, для успешного завершения атаки дело остается только за вычислительными мощностями. В 1998 году Electronic Frontier Foundation построила машину Deep Crack, которая стоила 250 тысяч долларов и позволяла взламывать DES-ключ в среднем за четыре с половиной дня. В настоящее время Pico Computing, специализирующаяся на построении FPGA-оборудования для криптографических приложений, построила FPGA-устройство (DES cracking box), которое реализует DES как конвейер с одной DES-операцией на каждый тактовый цикл. Обладая 40 ядрами по 450 МГц, оно позволяет перебирать 18 миллиардов ключей в секунду. Обладая такой скоростью перебора, DES cracking box в худшем случае взламывает ключ DES за 23 часа, а в среднем за полдня. Данная чудо-машина доступна через коммерческий веб-сервис loudcracker.com. Так что теперь можно взломать любой MS-CHAPv2 handshake меньше, чем за день. А имея на руках хеш пароля, можно аутентифицироваться от имени этого пользователя на VPN-сервисе или просто расшифровывать его трафик.

Для автоматизации работы с сервисом и обработки перехваченного трафика Мокси выложил в открытый доступ утилиту chapcrack. Она парсит перехваченный сетевой трафик, ища MS-CHAPv2 handshake’и. Для каждого найденного «рукопожатия» она выводит имя пользователя, известный открытый текст, два известных шифртекста и взламывает третий DES-ключ. Кроме этого, она генерирует токен для CloudCracker, в котором закодированы три параметра, необходимые, чтобы сервис взломал оставшиеся ключи.

CloudCracker & Chapcrack

На случай, если тебе понадобится взломать DES-ключи из перехваченного пользовательского трафика, приведу небольшую пошаговую инструкцию.

  1. Скачиваем библиотеку Passlib, реализующую более 30 различных алгоритмов хеширования для языка Python, распаковываем и устанавливаем:
  2. Устанавливаем python-m2crypto — обертку OpenSSL для Python:
  3. Скачиваем саму утилиту chapcrack, распаковываем и устанавливаем:
  4. Chapcrack установлена, можно приступать к парсингу перехваченного трафика. Утилита принимает на вход cap-файл, ищет в нем MS-CHAPv2 handshake’и, из которых извлекает необходимую для взлома информацию.
  5. Из выводимых утилитой chapcrack данных копируем значение строки CloudCracker Submission и сохраняем в файл (например, output.txt)
  6. Идем на cloudcracker.com, на панели «Start Cracking» выбираем File Type, равный «MS-CHAPv2 (PPTP/WPA-E)», выбираем предварительно подготовленный на предыдущем шаге файл output.txt, нажимаем Next -> Next и указываем свой e-mail, на который придет сообщение по окончании взлома.

К небольшому сожалению, сервис CloudCracker платный. К счастью, за взлом ключиков придется отдать не так уж много — всего 20 баксов.

Что делать?

Хоть Microsoft и пишет на своем сайте, что на данный момент не располагает сведениями об активных атаках с использованием chapcrack, а также о последствиях таких атак для пользовательских систем, но это еще не значит, что все в порядке. Мокси рекомендует всем пользователям и провайдерам PPTP VPN решений начинать миграцию на другой VPN-протокол. А PPTP-трафик считать незашифрованным. Как видишь, налицо еще одна ситуация, когда VPN может нас серьезно подвести.

Пример работы приложения chapcrack

Заключение

Так сложилось, что VPN ассоциируется с анонимностью и безопасностью. Люди прибегают к использованию VPN, когда хотят скрыть свой трафик от бдительных глаз провайдера, подменить свое реальное географическое положение и так далее. На деле получается, что трафик может «протечь» в сеть в открытом виде, а если и не в открытом, то зашифрованный трафик могут достаточно быстро расшифровать. Все это еще раз напоминает, что нельзя слепо полагаться на громкие обещания полной безопасности и анонимности. Как говорится, доверяй, но проверяй. Так что будь начеку и следи за тем, чтобы твое VPN-соединение было по-настоящему безопасным и анонимным.

Как проверить работает ли VPN?

Как узнать, выполняет ли VPN свою работу? Вы можете решить, что ваш VPN работает, даже когда происходит утечка информации о вашей личности и местонахождении. Их бывает трудно обнаружить, поэтому нужно убедиться, что VPN действительно защищает вас.

Самые распространенные утечки VPN

Существует достаточно причин, по которым ваша VPN может не обеспечивать 100% безопасность и раскрыть вашу личную информацию. Вот наиболее распространенные способы утечки VPN:

Утечка IP

Ваш IP-адрес многое говорит о вас, например, о вашем местоположении или сайты, которые вы посещаете. VPN защищает от шпионов, пытающихся получить доступ к этой информации, поэтому если ваш реальный IP будет обнаружен, то нет никакого смысла использования VPN. Обычно это происходит из-за двух интернет-протоколов — IPv4 и IPv6 и их несовместимости.

Утечка DNS

Иногда ваш IP-адрес может оставаться скрытым, в то время как ваш DNS раскрывает ваше местоположение. DNS изменяет простые текстовые URL-адреса в числовые IP-адреса. Если вы не используете VPN, этот процесс обрабатывается вашим провайдером интернет-услуг и их серверами, которые могут видеть, кто заходил и на какие сайты. Если ваш DNS утекает, то любой, кто шпионит за вашим трафиком, сможет получить доступ и даже привести к атаке перехвата DNS.

Утечка WebRTC

WebRTC встроен в большинство популярных браузеров (Firefox, Opera, Chrome). Он обеспечивает связь в режиме онлайн, например,голосовую или видео-чат, но также представляет собой еще одну уязвимость для VPN пользователей.
Некоторые сайты могут воспользоваться преимуществами WebRTC, вставив несколько строк кода, чтобы обнаружить VPN и отследить ваш оригинальный IP. Этим пользуются сайты, которые блокируют контент в зависимости от вашего географического местоположения.
Эти утечки можно предотвратить, но сначала необходимо их найти. Вы можете сделать это, выполнив базовые тесты, с которыми справится любой желающий.

Как проверить наличие утечек IP или DNS?

  • Вам необходимо узнать ваш настоящий IP, указанный вашим провайдером интернет-услуг.
  • Включите VPN.
  • Теперь он должен показывать другой IP адрес и страну. Если результаты покажут ваш исходный IP адрес, то, к сожалению, ваш VPN сливает.
  • Иногда тесты IPLeak не могут обнаружить утечки DNS, что также может выявить вашу личность. Поэтому рекомендуется проверить его на DNSLeakTest.
  • Если ваш VPN включен, DNSLeakTest должен показать новый IP-адрес.

Как проверить наличие утечек WebRTC?

  • Если вы еще этого не сделали, узнайте свой оригинальный IP-адрес.
  • Подключитесь к VPN и обновите веб-страницу. Теперь он должен показать ваш новый IP-адрес и новое местоположение в зависимости от страны, которую вы выбрали.
  • В разделе «Ваши IP-адреса — WebRTC обнаружение» (LeakTest) вы должны увидеть частный IP, который должен отличаться от вашего первоначального публичного IP-адреса. Обратите внимание, что обычно он начинается с 10.xxxx или 192.xxx или иногда буквенно-цифровой IPv6).

Что делать при утечки WebRTC?

На этот раз изменение вашего VPN или возня с настройками не помогут, но вы можете:

  • Использовать браузер, который не имеет WebRTC.
  • Отключить WebRTC.
  • Установить сетевой ограничитель WebRTC (приложение).

Мой VPN все еще не работает

Проверка на наличие различных утечек может оказаться недостаточной. Есть и другие причины, по которым может показаться, что ваш VPN не работает, например:

Скорость просмотра снизилась. Это может произойти по нескольким причинам. Например, вы выбрали сервер, который находится на другом конце света, сервер перегружен, или ваш провайдер дросселирует пропускную способность.

Провайдер интернет-услуг или ваша страна блокирует использование VPN. В некоторых странах, особенно при онлайн-цензуре, использование VPN может быть заблокировано или признано незаконным.

VPN-соединение упало. Большинство VPN предлагают автоматический выключатель, что означает, что если ваше VPN соединение прервется, оно прервет ваше интернет соединение.

Вирус VPN. Эксперты по технологиям никогда не рекомендовали бы использовать бесплатный VPN. Большинство из них не только содержат раздражающую рекламу, но также и вредоносное ПО.

Взлом. Вы можете подумать, что ваш VPN не работает, потому что кто-то взломал его. На самом деле, это довольно сложно сделать. Скорее всего, вы посетили вредоносный сайт или попали под фишинговую атаку, и кто-то взял ваше устройство под контроль. К сожалению, если кто-то взломает вас, VPN не сможет сделать ничего, чтобы защитить вас.

На видео: Лучшие VPN-сервисы для ПК. Обзор платных и бесплатных ВПН: NordVPN, Windscribe, Hotspot Shield VPN.

Добавить комментарий