Den här sårbarheten kan läcka din IP när du använder en VPN
Ett virtuellt privat nätverk Vad en VPN-tunnel är och hur man ställer in en upp Vad en VPN-tunnel är och hur man ställer in en upp Läs mer är ett mycket användbart verktyg för att skydda din integritet och hålla dig anonym på nätet. VPN: er arbetar genom att skicka din Internetanslutning via en annan dator (kallad en “slutpunkt), med hjälp av en krypterad tunnel. Det betyder att alla som ligger mellan din dator och slutpunkten inte kan se vad du gör. Det innebär också att du är förklädd som slutpunkten på alla datorer som din maskin ansluter till. Enkelt sagt, det döljer din IP-adress.
Men en sårbarhet hos många VPN-leverantörer som nyligen upptäckts av Perfect Privacy sätter den sista punkten i tvivel. Denna säkerhetsfel kan eventuellt se att människor förlorar sin anonymitet medan de använder VPN. Här är hur.
Sårbarheten
Så hur är attacken (som har blivit dubbed “Portfel”) arbete? Tja, först måste några villkor uppfyllas.
För det första måste VPN-leverantören och angriparen ha port-vidarebefordran aktiverad. Här ändras IP-adress och portnummer medan paketet går igenom nätverket. För lite bakgrundsavläsning om detta, kolla in vårt stycke på Network Address Translation Vad är Network Address Translation (NAT) och hur fungerar det? Vad är Network Address Translation (NAT) och hur fungerar det? Läs mer (NAT). Angreppet fungerar fortfarande om offret inte har portöverföring aktiverat.
Anfallaren måste också ha ett konto hos VPN som de riktar in, och vet IP-adressen för VPN-slutpunkten användaren använder. Detta kan hittas genom att titta på en BitTorrent swarm (alla kamrater kopplade till en enda torrent), eller genom att övervaka en IRC.
Då ansluter angriparen till samma VPN-slutpunkt som offret och väntar på att de besöker en skadlig webbsida som är under attackerens kontroll. Detta kan ofta uppnås genom att bädda in webbsidan på en legitim webbplats, antingen som en bild värd på webbserveren eller som en iFrame. Härigenom blir det möjligt att härleda den riktiga IP-adressen till den person som är riktade.
Vem påverkades
Några av de största namnen i VPN har påverkats av denna sårbarhet. Detta inkluderade Ovpn.to, nVPN och privat internetåtkomst (PIA). Alla av dem informerades om sårbarheten innan den avslöjades och kunde utfärda en lösning innan den blev offentlig kunskap. Med tanke på TorrentFreak sa privat internetåtkomst:
“Vi implementerade brandväggsregler på VPN-servernivå för att blockera åtkomst till vidarebefordrade portar från klienternas riktiga IP-adresser. Fixen användes på alla våra servrar inom 12 timmar efter den första rapporten”.
PIA gav också Perfect Privacy en $ 5,000 bug bounty som erkännande av deras ansträngningar och faktum de avslöjade sårbarheten på ett ansvarsfullt sätt. I det förflutna har vi skrivit en hel del om etiken om sårbarhetsinformation. Fullständig eller ansvarsfull upplysning: Hur säkerhetssvårigheter avslöjas Fullständig eller ansvarsfull upplysning: Hur säkerhetsproblem beskrivs Säkerhetsproblem i populära mjukvarupaket upptäcks hela tiden, men hur är det de rapporterade till utvecklare, och hur lär sig hackare om sårbarheter som de kan utnyttja? Läs mer, och hur det är nästan alltid bättre att informera säljaren innan du släpper ut sårbarheten mot det vilda.
Självklart finns det tusentals VPN-leverantörer. Även om vissa har utfärdat korrigeringar är det troligt att många fler inte har det.
Varför det här är fråga om
Människor använder VPN för en mängd olika orsaker 8 Instanser du inte använde en VPN men borde ha varit: VPN Checklist 8 Instanser du inte använde en VPN men borde ha varit: VPN Checklist Om du inte redan har anses vara prenumerant på en VPN för att säkra din integritet, nu är det dags. Läs mer . Många använder dem för att besegra georestriktioner Den ultimata guiden för att titta på online-tv med privat internetåtkomst Den ultimata guiden för att titta på online-tv med privat internetåtkomst Med virtuella privata nätverk (VPN) kan du driva din nätverkstrafik via en krypterad tunnel, vilket gör det enkelt att dölja din identitet och att surfa på Internet säkert när du använder en allmän åtkomstpunkt. Läs mer på Internet-tv-sidor. Vissa använder dem för att säkra deras kommunikation medan de använder en offentlig Wi-Fi-hotspot. Andra använder dem för att besegra regeringens censur och övervakning, eller ladda ner filmer och musik olagligt utan att bli stämd.
För dem i den senare kategorin kommer upptäckten av denna sårbarhet att vara verklig oro. Som alltid är ditt enda riktiga alternativ att rösta med din plånbok, och prenumerera på en VPN-leverantör som har bekräftats ha patched denna sårbarhet.
Personligen är jag ett stort fan av privat internetåtkomst. Säkra din webbläsningsaktivitet med privat Internet-åtkomst VPN [Giveaway] Säkra din webbläsningsaktivitet med privat Internet-åtkomst VPN [Giveaway] Vi ger bort 10 privata internetaccesskonton giltiga för en år! Läs vårt genomgång och gå med i giveaway! Läs mer, och rekommenderar dem varje dag i veckan. För en mer detaljerad titt på marknaden, kolla in vår lista över de bästa VPN-tjänsterna. Det finns också några gratis VPN-tjänster.
Håll dig säker
När du använder en VPN finns det få saker du kan göra för att förbättra din integritet. För det första kan du konfigurera din dator för att skydda mot DNS-läckage. Hur DNS-läckage kan förstöra anonymitet när du använder en VPN, och hur man stoppar dem. Hur DNS-läckage kan förstöra anonymitet när du använder en VPN och hur stoppar dem när du försöker Håll anonym på nätet, en VPN är den enklaste lösningen genom att maskera din IP-adress, tjänsteleverantör och plats. Men en DNS läcka kan helt undergräva syftet med en VPN ... Läs mer, vilket helt kan undergräva din anonymitet. Dessutom är det viktigt att överväga att stänga av JavaScript (vad är JavaScript, och kan Internet existera utan det?) Vad är JavaScript, och kan Internet existera utan det? JavaScript är en av de saker som många tar för givet. Läs mer) för att försvara mot Canvas Fingerprinting-attacker. Fingeravtryck kan spåra dig överallt där du går. Här är varför du borde vara orolig. Fingeravtryck kan fånga dig överallt där du går. Här är varför du borde vara orolig Läs mer. Det är värt att påpeka att detta kan ha en negativ inverkan på din surfupplevelse, och många (inklusive James Bruce, vår Chief Web Officer) råder emot det AdBlock, NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil Under de senaste månaderna har jag kontaktats av ett stort antal läsare som har haft problem med att ladda ner våra guider, eller varför de inte kan se inloggningsknapparna eller kommentarer som inte laddas. och i ... Läs mer .
Har du några andra strategier för att förbättra din integritet när du använder ett VPN? Berätta om dem i kommentarerna nedan.
Bildkredit: Serverrackor av Oleksiy Mark via Shutterstock
Utforska mer om: Online-säkerhet, VPN.