Сотрудники VPN-провайдера Perfect Privacy обнаружили серьезную уязвимость в протоколах VPN. Баг получил имя Port Fail. Эксплуатируя брешь, можно легко выявить реальные IP-адреса пользователей BitTorrent и VPN-сервисов.
По сути, Port Fail — это простой трюк с переадресацией портов. Уязвимость затрагивает все сервисы, которые разрешают перенаправление портов и не имеют защиты против данной атаки.
«Суть уязвимости заключается в том, что, подключаясь к собственному VPN-серверу, пользователь задействует маршрут по умолчанию (default route), со своим настоящим IP-адресом, как того требует VPN-соединение», — пишут специалисты Perfect Privacy в официальном блоге.
Уязвимости подвержены все версии протокола VPN, включая OpenVPN и IPSec. К тому же, баг работает на любых операционных системах, что ставит под угрозу огромное количество людей.
Для осуществления атаки злоумышленник должен находиться в той же сети VPN, что и его жертва. Также необходимо узнать выходной IP-адрес намеченной цели. Это легко осуществить, заманив пользователя на сайт, подконтрольный злоумышленнику. Так, при включенной переадресации портов, атакующий может обманом заставить свою жертву открыть какое-либо изображение. Благодаря этому хакер увидит запрос своей жертвы, содержащий ее настоящий IP.
Уязвимость представляет опасность и для пользователей BitTorrent. В данном случае даже не возникнет нужды заманивать или перенаправлять жертву на сайт хакера. Достаточно включить переадресацию портов для дефолтного порта BitTorrent, и реальный IP-адрес жертвы станет виден пользователю той же VPN-сети.
Проблема затронула и крупнейших VPN-провайдеров. Специалисты Perfect Privacy протестировали девять крупных игроков этого рынка, и пять из них оказались беззащитны перед Port Fail. Протестировать всех провайдеров, силами одной небольшой компании, невозможно, поэтому в Perfect Privacy предупреждают: скорее всего, уязвимость распространена более широко, чем они полагают.
Некоторые провайдеры, среди которых Private Internet Access, Ovpn.to и nVPN, впрочем, успели исправить проблему до публикации информации о баге.
В блоге Perfect Privacy также высказывается мысль, что данная уязвимость может очень порадовать правообладателей. Вряд ли они упустят такой шанс массово деанонимизировать пиратов.
По сути, Port Fail — это простой трюк с переадресацией портов. Уязвимость затрагивает все сервисы, которые разрешают перенаправление портов и не имеют защиты против данной атаки.
«Суть уязвимости заключается в том, что, подключаясь к собственному VPN-серверу, пользователь задействует маршрут по умолчанию (default route), со своим настоящим IP-адресом, как того требует VPN-соединение», — пишут специалисты Perfect Privacy в официальном блоге.
Уязвимости подвержены все версии протокола VPN, включая OpenVPN и IPSec. К тому же, баг работает на любых операционных системах, что ставит под угрозу огромное количество людей.
Для осуществления атаки злоумышленник должен находиться в той же сети VPN, что и его жертва. Также необходимо узнать выходной IP-адрес намеченной цели. Это легко осуществить, заманив пользователя на сайт, подконтрольный злоумышленнику. Так, при включенной переадресации портов, атакующий может обманом заставить свою жертву открыть какое-либо изображение. Благодаря этому хакер увидит запрос своей жертвы, содержащий ее настоящий IP.
Уязвимость представляет опасность и для пользователей BitTorrent. В данном случае даже не возникнет нужды заманивать или перенаправлять жертву на сайт хакера. Достаточно включить переадресацию портов для дефолтного порта BitTorrent, и реальный IP-адрес жертвы станет виден пользователю той же VPN-сети.
Проблема затронула и крупнейших VPN-провайдеров. Специалисты Perfect Privacy протестировали девять крупных игроков этого рынка, и пять из них оказались беззащитны перед Port Fail. Протестировать всех провайдеров, силами одной небольшой компании, невозможно, поэтому в Perfect Privacy предупреждают: скорее всего, уязвимость распространена более широко, чем они полагают.
Некоторые провайдеры, среди которых Private Internet Access, Ovpn.to и nVPN, впрочем, успели исправить проблему до публикации информации о баге.
В блоге Perfect Privacy также высказывается мысль, что данная уязвимость может очень порадовать правообладателей. Вряд ли они упустят такой шанс массово деанонимизировать пиратов.
Оффлайн
Asgard
.
- Регистрация
- 04.07.17
- Сообщения
- 35
- Реакции
- 21
- Репутация
- 60
Спасибо! очень интересная статья, буду иметь ввиду.
Оффлайн
ZorskiJ
Заблокирован
- Регистрация
- 22.07.17
- Сообщения
- 40
- Реакции
- 3
- Репутация
- -1
Хм, слабо актуально. Почти у всех vpn провайдеров это пофикшено.
Оффлайн
- Регистрация
- 22.07.17
- Сообщения
- 6
- Реакции
- 8
- Репутация
- 8
Мне кажется,я слышал такое пол года назад.
Но вроде это все уже давно пофиксили...(и слава богу)
Но вроде это все уже давно пофиксили...(и слава богу)
Оффлайн
Блуд Еретиков
Заблокирован
- Регистрация
- 25.06.17
- Сообщения
- 544
- Реакции
- 61
- Репутация
- 57
Пофиксили, но не везде, но подобрать без уязвимости уже не столь большая проблема, так что можно считать что все нормально, главное что бы руки были из правильного места.
какой впн посоветуете
Оффлайн
- Регистрация
- 21.08.17
- Сообщения
- 118
- Реакции
- 16
- Репутация
- 10
VPN-от Касперский самый четкий!
Оффлайн
- Регистрация
- 09.07.17
- Сообщения
- 27
- Реакции
- 2
- Репутация
- 8
Мне тоже интересна тема выбора ВПН провайдера
VPN не имеет ничего общего с анонимностью по двум простым причинам:
1. ваш IP адрес и тайминги сессий остаются в логах
2. ваш биткош остается в базе
именно по этому tor не вводит поддержку частных приватных сеток в T.A.I.L.S. т.к. даже при работе через чужие точки доступа остается финановая цепочка. надеюсь про то что биткойн не намного анонимнее киви не нужно напоминать?
1. ваш IP адрес и тайминги сессий остаются в логах
2. ваш биткош остается в базе
именно по этому tor не вводит поддержку частных приватных сеток в T.A.I.L.S. т.к. даже при работе через чужие точки доступа остается финановая цепочка. надеюсь про то что биткойн не намного анонимнее киви не нужно напоминать?
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.