AŽURIRANO 16:00 sati EDT ponedjeljak uz pojašnjenje istraživača.
LAS VEGAS - Sigurnost mnogih poznatih virtualnih privatnih mreža (VPN) usluge se mogu slomiti relativno jednostavnim napadom koji otkriva privremene ključeve VPN sesije u manje od minute, programer napada otkrio je na subotnjoj hakerskoj konferenciji DEF CON 26 (Kolovoz 11).

Zasluge: Shutterstock
(Slika zaslužna za: Shutterstock)

Ahamed Nafeez rekao je da njegov VORACLE napad djeluje na VPN usluge koje prema zadanim postavkama koriste visoko cijenjeni OpenVPN protokol (ili slične protokole), a također komprimiraju korisničke podatke prije šifriranja. Jedna usluga, TunnelBear, prestao je komprimirati podatke nakon što je ranije ovog ljeta bio obaviješten o Nafeezovom napadu. (Još jedna VPN usluga, Privatni pristup Internetu, kontaktirao Tomov vodič nakon što je ova priča prvi put objavljena da bi prestala komprimirati podatke 2014.)

Možete izbjeći da postanete žrtvom VORACLE napada prebacivanjem na druge VPN protokole, poput IKEv2 / IPsec ili WireGuard, ako vam to omogućuje VPN usluga. Iz tehničkih razloga, Google Chrome je imun na VORACLE napad, kao i HTTPS web stranice, ali svačije računalo još uvijek ima mnogo drugih aplikacija okrenutih internetu koje komuniciraju s HTTP-om s otvorenim tekstom poslužitelji. Međutim, ovaj problem ne bi postojao da

sva su web mjesta koristila HTTPS šifriranje.

"Vrijeme je da se sve preseli na HTTPS", rekao je Nafeez. "Zapravo nema opravdanja da ga bilo koje web mjesto više ne koristi."

Kako Attack radi

Nafeez-ov VORACLE napad produžetak je ranijih napada na provjeru koncepta protiv protokola Transport Layer Security (TLS) koji koriste web stranice s omogućenom HTTPS-om. Ovi napadi - ZLOČIN u 2012. i VRIJEME i POVREDA u 2013. - iskorištavaju činjenicu da je dodavanje poznatih bitova podataka u djelomično ili u potpunosti tajne podatke prije podaci su komprimirani i šifrirani mogu otkriti tajne podatke, a time i šifrirani ključ za tu sigurnu komunikacijsku sesiju - "sesiju" kolačić."

Budući da većina algoritama kompresije smanjuje veličinu datoteka ili paketa podataka uklanjanjem duplikata podataka, napadač koji je neprestano dodavao male ali varijabilni bitovi poznatih podataka iste veličine za veće količine tajnih podataka mogli bi paziti na promjene veličine rezultirajućeg šifriranog paketi.

Usko podudaranje veličine šifriranih paketa (što možete učiniti s besplatnim alatima za analizu prometa kao što je WireShark) ono za što se znalo da je dodano, omogućilo bi napadaču da utvrdi što bi tajni podaci (u ovom slučaju kolačić sesije) mogli biti.

Dakle, ako je napadač dodao poznati tekstualni niz "fish" većem paketu tajnih podataka prije nego što su svi podaci komprimirani i šifrirani, a rezultirajući šifrirani paket imao je četiri znaka ili tako manje od prethodnog, tada bi napadač znao da se "riba" barem jednom pojavila u tajni podaci.

S druge strane, ako dodavanje četveroslovnog tekstnog niza "jaja" ne mijenja veličinu šifriranog paketa, tada bi napadač znao da "jaja" nisu dio tajnih podataka.

VIŠE: Najbolje VPN usluge i aplikacije

Tada bi napadač koristio računarsku automatizaciju za brzo pokretanje kombinacija tekstualnih nizova - koji mogu sadržavati brojeve kao i slova - sve dok on ili ona ne "provali" tajni tekst.

Zbog toga su web preglednici i druge internetske aplikacije promijenile način na koji postupaju s šifriranim HTTPS podacima u 2012. i 2013. godini.

Ali ta ažuriranja nisu riješila problem u OpenVPN protokolu, koji također koristi TLS. Niti je riješilo kako je kompresija djelovala na nešifrirani HTTP za razliku od šifriranog HTTPS prometa.

Kao rezultat toga, ako HTTP promet komprimira i šifrira VPN usluga, napadač može nadzirati tok šifriranog prometa između ciljanog preglednika i VPN poslužitelja. (To ne radi s podacima koji su već šifrirani prije nego što ih VPN stisne i ponovno šifrira.)

Napadač bi također trebao namamiti ciljani preglednik (na primjer, putem zlonamjernih oglasa) na HTTP web mjesto koje napadač kontrolira. (Postavljanje jednostavne web stranice na unajmljenom poslužiteljskom prostoru jeftino je i jednostavno.) Ta bi web lokacija mogla biti način na koji bi napadač mogao dodajte varijabilne bitove podataka u šifrirani tok podataka koji putuju između ciljanog preglednika i VPN usluge.

Ako ste napadač i automatizirate ovaj postupak, ključeve sesije možete shvatiti prilično brzo. Tijekom svoje prezentacije Nafeez je izveo demonstraciju uživo koja je dešifrirala sedmeroznamenkasti tajni kolačić sesije OpenVPN za manje od minute.
Nafeez je tada mogao preuzeti račun legitimnog korisnika za ostatak VPN sesije, sve dok napadač ili VPN usluga nisu zatvorili sesiju. Ovisno o vrsti zaštite računa koju je imala VPN usluga, napadač bi se također mogao promijeniti lozinku na VPN računu i zabilježite je trajno ili barem do legitimnog vlasnika računa požalila se.

Outlook

Nafeez je objasnio da tijela za web standarde rade na prilagodbi algoritama kompresije tako da napadi VORACLE više neće biti mogući. No dok se tada ne dogodi, rekao je, VPN usluge trebale bi prestati komprimirati podatke, kao što je to TunnelBear učinio, čak i ako to znači pogodak u performansama.
Nafeezova prezentacijski dijapozitivi dostupni su na DEF CON medijskom poslužitelju.

[AŽURIRAJ: Ranija verzija ove priče rekla je da bi u ovom napadu mogli biti ukradeni ključevi za šifriranje, a ne ključevi sesije. Istraživač je potražio Tomov vodič kako bi razjasnio taj nesporazum i naglasio da je VPN usluge koje koriste OpenVPN softver koji je imenovao u svojoj prezentaciji samo su trebale pokazati koliko je OpenVPN raširen upotreba je. Nije htio nagovijestiti da su određene službe ranjive na napad VORACLE. Iz ove smo priče uklonili nazive tih usluga.]

Najbolje VPN usluge i aplikacije

Najbolje u cjelini

Privatni pristup Internetu VPN

Privatni pristup Internetu pokriva osnove VPN-a i to dobro čini. Za one koji cijene anonimnost usluge dobar je izbor, ali ima manje poslužitelja od nekih konkurenata, što nam daje stanku za razmišljanje.

Najbolja besplatna opcija

Windscribe VPN

Windscribe je snažan igrač u VPN prostoru, s nizom pristupačnih planova, plus besplatnom razinom. Oni koji uskoče u jedan od plaćenih planova nagrađeni su pristupom mnogo većem izboru poslužitelja, s dodatnim značajkama kao što je Windflix za olakšavanje Netflixova streaminga.

Najbolje značajke

CyberGhost

VPN ponuda CyberGhost-a dobra je usluga s pristupačnim dugoročnim planovima i do 7 povezanih uređaja. Propusti za uslugu uključuju manji broj podržanih platformi i izuzetno kratko 24-satno probno razdoblje.

  • Kako spriječiti Facebook da dijeli vaše podatke
  • Najbolje besplatne VPN usluge
  • Anketa: Vaša VPN usluga možda ipak neće biti toliko privatna

Dobijte trenutni pristup najnovijim vijestima, najzanimljivijim recenzijama, sjajnim ponudama i korisnim savjetima.

Hvala vam što ste se prijavili za Tomov vodič. Uskoro ćete primiti e-poruku za potvrdu.

Došlo je do problema. Osvježite stranicu i pokušajte ponovo.

Bez neželjene pošte, obećavamo. Možete se odjaviti u bilo kojem trenutku i nikada nećemo dijeliti vaše podatke bez vašeg dopuštenja.