About me My standards Book Blog Video Blog
Menu
About me Kontakt

VPN Does Not Guarantee Security, and Advertisements Are Lying (film, 15m)

VPN security privacy Attack Anonymity online risks network users technology

In his latest video, Mateusz Chrobok highlights the dangers associated with using VPNs, prompting viewers to reflect on their actual functionality. He begins by discussing the pervasive marketing of VPNs, where security, anonymity, and access to blocked content are promised. However, he argues that these promises can be misleading and many may even be lies. For many, using a VPN seems like a solution to online security issues, while the reality is often much more complicated.

Mateusz points out that the primary function of a VPN is to create a secure connection between devices. He discusses research conducted by Leviathan Security, which revealed vulnerabilities in many popular VPNs. This attack, dubbed "Tunnel Vision," allows interception of user communications, nullifying the very purpose of using a VPN for anonymity. This information is alarming, especially for individuals who use VPNs to ensure privacy in busy locations.

The scenario presented by Mateusz about an attack in a cafe illustrates how easily one can fall victim to this threat. An attacker using the same Wi-Fi network can set up a DHCP server, allowing malicious redirection of network traffic. As a result, users might believe they are secure while their data is being monitored by unwanted parties. Mateusz emphasizes that most people are unaware of the evolving dangers and are easy targets for such attacks.

The latter part of the video reveals that some systems, like Android, are less vulnerable to these attacks, which is positive news. However, Mateusz reminds us that this is not a flaw in the system but a protocol designed to enable such manipulations. He also mentions that basic rules for internet communication can be problematic, and an unconfigured VPN can lead to many unpleasant consequences. Instead of blindly trusting VPNs, he suggests users adopt a thoughtful approach to online security.

In conclusion, Mateusz Chrobok notes that while not every VPN provider is susceptible to these attacks, it is wiser to approach such solutions cautiously. While VPNs were primarily designed as tools to connect two networks, they can still serve this role if configured correctly. He also encourages considering additional tools like TOR for heightened anonymity. At the time of writing this article, it is notable that the video has garnered 207,627 views and 11,047 likes, reflecting the value of the information conveyed and the understanding of the complex world of online security.

Toggle timeline summary

  • 00:00 Introduction about VPN providers and their advertisements.
  • 00:06 Recommendation of NordVPN and mention of Surfshark as a sponsor.
  • 00:14 The importance of network security for content creators.
  • 00:21 Discussion on the uses of NordVPN.
  • 00:29 Positive feedback on VPN services and their perceived problem-solving capabilities.
  • 00:42 Explanation of how VPNs create connections between geographically distant networks.
  • 00:54 Discussion of accessing company networks securely.
  • 01:06 Common misconceptions about VPNs, particularly for streaming services.
  • 01:28 Concerns about potential data leaks despite VPN usage.
  • 01:41 Introduction to the risks associated with VPNs, including potential vulnerabilities.
  • 01:51 Research findings by Leviathan Security regarding VPN vulnerabilities.
  • 02:05 Description of the Tunnel Vision attack exploiting VPNs.
  • 02:56 Scenario of using public Wi-Fi and compromising security.
  • 03:38 Details on DHCP server role in addressing and traffic routes.
  • 04:54 Discussion on the inherent risks of unsecured networks.
  • 08:07 Analysis of how attacks can lead to de-anonymization of users.
  • 09:35 Concerns about surveillance and data collection by authoritarian regimes.
  • 10:39 Recovery from the vulnerabilities; some systems like Android are not affected.
  • 12:07 Recommendation to not rely solely on VPNs for anonymity.
  • 13:25 Suggestion to use TOR for enhanced anonymity.
  • 14:01 Appeal for supporting creators who resist marketing pressures.
  • 14:16 Conclusion and gratitude for the audience's attention.

Transcription

Cześć! Dostawcy VPN-ów kłamią. Ich reklamy są wszędzie i aż dziw, że nie wyskakują rano z lodówki. Polecam Waszej uwadze usługę NordVPN. Sponsorem dzisiejszych newsów jest Surfshark. Surfshark VPN. Surfshark VPN. Którym jest Surfshark? Dla mnie jako twórca najważniejsza jest bezpieczeństwo w sieci. Biedna ziemska minuta dla naszego sponsora NordVPN. NordVPN ma szereg zastosowań. Cieszy się moja morda, zainstalowałem NordaVPN. I am anonymous, kurna. Skoro wszyscy tak dobrze o nich mówią, to na pewno są rozwiązaniem każdego problemu otaczającego nas świata, prawda? No, tylko że nie. Bo zadaniem VPN-a jest utworzenie połączenia pomiędzy dwoma przeważnie oddalonymi od siebie geograficznie, a tym samym logicznie sieciami, w taki sposób, aby wszystkim połączonym do nich urządzeniom wydawało się, że są w jednej sieci lokalnej. Na przykład, aby z każdego zakątka świata dostać się do wewnątrz firmowej infrastruktury, aby móc pracować jak gdyby nigdy nic, na przykład będąc w delegacji. W dodatku we w miarę bezpieczny sposób. Tylko tyle i aż tyle. No ale zewsząd słyszymy, chcesz oglądać Netflixa innego kraju? VPN. Chcesz być bezpieczny? VPN. Nie godzisz się, aby wyciekały dane twojej karty? Tylko VPN. Korzystasz z publicznych hotspotów? No, panie, bez VPN-a to nie wolno. No ale co w tym złego? Że ludzie reklamują je, a w efekcie również wykorzystują w inny niż zamierzony sposób, zapytacie? A no, całkiem sporo. Bo naraża je to na ataki, których konsekwencje mogą być bardzo, ale to bardzo poważne. Jak poważne? Ile z tych obietnic to kłamstwa? I czy dotyczy to każdego VPN-a na świecie? O tym właśnie dziś Wam opowiem. Zapraszam. Badacze z firmy Leviathan Security postanowili ostatnio trochę przy tych całych VPN-ach pomajstrować i odkryli podatność, której skala przyprawiła ich o oczy szeroko otwarte. Przynajmniej tak to sobie wyobrażam. O co chodzi? A no, okazuje się, że można zmusić osobę korzystającą z VPN-a i to praktycznie dowolnego dostawcy, na dowolnym urządzeniu, do przesłania komunikacji, pomijając jej teoretycznie bezpieczny, bo szyfrowany tunel. A to czyni takie rozwiązanie w praktyce bezużytecznym, bo umożliwia podglądanie jego ruchu, a w niektórych przypadkach, jeżeli nie był on dodatkowo szyfrowany w inny sposób, nawet ingerencję w przesyłane dane. Badacze, a tak ten nazwali pieszczotliwie Tunnel Vision, tak jakby ktoś w tej kwestii miał klapki na oczach, i to latami, ale o tym za chwilę. W jaki sposób można go przeprowadzić i co tak naprawdę nam grozi? Załóżmy na chwilę dość popularny scenariusz. Rozsiadamy się na niezbyt wygodnym krześle w kawiarni czy na innym lotnisku. Otwieramy laptopa, aby trochę popracować albo pooglądać memy ze śmiesznymi kotkami. Łączymy się do jakiejś otwartej, niezabezpieczonej sieci Wi-Fi albo do takiej, do której hasło zapisane jest na tablicy widocznej dla każdego z kilometra. No ale przecież nasłuchaliśmy się tych wszystkich reklam, jak to od tej pory będziemy najbezpieczniejsi na świecie, jeżeli tylko skorzystamy z jakiegoś VPN-a popularnego dostawcy. Łykając cały ten marketing jak pelikany, że taka ogólnodostępna sieć to nie najlepsza sytuacja dla naszej prywatności, uruchamiamy VPN-a, za którego płacimy przecież co miesiąc te parę dolarów, et voila. Czujemy, że oszukaliśmy system, spoglądając z poczuciem wyższości na ludzi wokół, bo przecież tylko my jesteśmy w pełni anonimowi i absolutnie nikt nie wie, co teraz robimy w sieci. Tu jednak sprawa nieco się komplikuje. W tym samym czasie do sieci łączy się jeszcze ktoś inny, kto ma wobec nas niecne zamiary i przeprowadza atak Tunnel Vision. Taka osoba uruchamia na swoim urządzeniu serwer DHCP. Szybka dygresja dla niewtajemniczonych. Serwer DHCP odpowiada w sieci za to, że każde łączące się do niej urządzenie dostało automatycznie swój unikalny adres IP, po którym będzie identyfikowane przez resztę urządzeń do tej sieci podłączonych, a także dowiedziało się, jaką drogą ma dostać się do internetu. Taki serwer DHCP najczęściej jest danej sieci jeden, ale istnieje kategoria ataków, które wprowadzają nowy serwer, który przejmie rolę tego prawidłowego. Dziś nie o tym, ale tak dla kontekstu warto po prostu wiedzieć, że nie jest to jakieś super trudne zadanie i nie trzeba wcale uzyskiwać uprawnienia administratora, a wystarczy po prostu do takiej sieci połączyć się jako jeden z klientów. Czy można temu jakoś zapobiec? No, w przykładzie z kawiarnią to niezbyt. To po prostu cecha protokołów sieciowych, na których opiera się cały internet, więc niewiele da się z tym zrobić. Ryzyko takie po prostu zawsze istnieje. Atakujący więc, który jest po prostu jednym z klientów sieci, uruchamia taki serwer na swojej maszynie i wykorzystuje jedną z udokumentowanych cech protokołu DHCP, która nazywa się opcją 121. Brzmi trochę jak rozkaz 66, ale nie o tym. Opcja 121 zmusza użytkownika sieci, aby wpisał w swoją tablicę routingu przygotowane przez serwer statyczne wpisy. Tablica to taki zestaw drogowskazów definiujący, którędy ma być przesyłany ruch sieciowy. Przykładowo, mając dwa zewnętrzne łącza sieciowe w naszej firmie, możemy za pomocą tablic zdefiniować, że ruch do części serwisów czy też usług przechodzi przez szybki światłowy. A każdy, kto chce przejrzeć Facebooka w czasie pracy, trafia na drugie, znacznie wolniejsze łącze. Tak, aby zniechęcić go do przeglądania sociali w robocie. Każde urządzenie, a w sumie to jego system operacyjny, musi korzystać z takich tablic, aby wiedzieć, którędy ma wysyłać dane. System operacyjny, opierając się na tablicach routingu, decyduje, jak, gdzie i komu przesłać daną porcję danych. Tablice te domyślnie dostarczane są, a później aktualizowane właśnie przez serwer DHCP. Zresztą dla naszej wygody. Ktoś przy pierwszym nawiązaniu połączenia wie, gdzie mamy iść, więc nie musimy za każdym razem pytać. No i z tego samego mechanizmu korzysta VPN. Dodaje swoje wpisy do tablicy, mówiąc tym samym systemowi operacyjnemu, że ma wysyłać część albo nawet wszystkie dane właśnie przez niego. No i w tym właśnie miejscu wchodzi ta opcja 121 cała na biało. Przesłane z serwera DHCP atakującego z jej wykorzystaniem drogowskazy zyskują najwyższy priorytet, a więc będą wykorzystywane domyślnie ponad wszystkimi, które system operacyjny już zna. Atakujący, operując w odpowiedni sposób priorytetami, jest w stanie przekierować nawet cały ruch sieciowy ofiary przez swoje urządzenia. Może je w ten sposób podglądać, a potem po prostu, jak gdyby nigdy nic, przesyłać je dalej, byśmy nie zauważyli, że coś jest nie tak. Jeżeli atakujący jest też administratorem takiej sieci, to jego zadanie jest jeszcze łatwiejsze. Ale to nie wszystko, bo w sumie dopiero w tym miejscu robi się naprawdę ciekawie. Dla nas, siedząc przed ekranem komputera, wszystko wyglądać będzie dokładnie tak, jak wyglądało przed przeprowadzeniem tego ataku. Połączenie sieciowe jest? Jest. VPN działa? Działa, no, bo działa, ikonka świeci, ale żadne dane nie są przez niego przesyłane, a trafiają bezpośrednio do atakującego, całkowicie pomijając usługę, która miała niby gwarantować naszą anonimowość. Dla końcowego użytkownika jest to praktycznie nie do zauważenia, bo tak na pierwszy, jak i kilka następnych rzutów oka, wszystko wygląda tak, jak zawsze. No dobra, ale co z tego? Jakie zagrożenia to w ogóle za sobą niesie? Najbardziej niebezpieczną kwestią związaną z tym atakiem jest deanonimizacja. VPN-y przedstawiane są przecież często jako sposób na to, aby pozostać w sieci anonimowym. Cóż, atak ten potwierdza, że, cytując klasyka, nic bardziej mylnego. No bo wyobraźmy sobie taką sytuację. Ktoś, kto rzeczywiście musi dbać o swoje bezpieczeństwo, niech będzie, że niezależny dziennikarz albo działacz podziemnej opozycji w kraju, gdzie nie jest to mile widziane, potrzebuje się z kimś skontaktować. Choćby, żeby przekazać mu jakieś poufne informacje, za co grozić może mu bardzo poważna kara. Dbając więc o swój obsek, instaluje jakiegoś popularnego VPN-a, bo nasłuchał się tych wszystkich reklam i loguje się do swojej poczty, więc nic mu nie grozi, prawda? No, nie do końca. Tak, nikt nie odczyta treści jego wiadomości, ale ktoś, np. służby tego nienazwanego w tym przykładzie kraju, mogą w ten sposób zbierać metadane o tym, kiedy i do jakich usług nasz bohater się łączy. A to może w zupełności wystarczyć, aby w jakimś zamordystycznym kraju zbudować jej dogłębną inwigilację, np. narzędziami pokroju Pegasusa. Tak właśnie w teorii można inwigilować dziennikarzy, aktywistów czy polityków opozycji. Ale jaka w ogóle jest skala tego zagrożenia? Badacze przetestowali VPN-y różnych dostawców, spodziewając się po prostu początkowo, że to jakiś błąd występujący jedynie w niektórych z nich. Szybko jednak zorientowali się, podatni są prawie wszyscy. W taki sposób właśnie działa routing sieciowy. Tak to zostało zaprojektowane i działa dokładnie tak, jak powinno. Po prostu dopiero teraz ktoś opublikował pracę i jak można wykorzystać to w niecnych celach. Możliwość ta istnieje prawdopodobnie od ponad dwudziestu lat, od kiedy VPN-y wypłynęły na szerokie wody. W związku z tym liczenie na to, że badacze lewiatana odkryli tę lukę jako pierwsi na świecie jest swojego rodzaju naiwnością, choć mam w sobie nutkę nadziei, że nie jest to szeroko przeprowadzany atak. Czy VPN-y są podatne na ten atak w każdym przypadku? No nie. Jak się okazuje, Android nie zaimplementował obsługi opcji 121 i mają po prostu w nosie. W efekcie więc nie można przeprowadzić ataku tej kategorii na urządzenia z robotem w logo. Linuxy też mają pewne możliwości obrony, jednak nie są one wystarczające i otwierają okno na ataki innego rodzaju. Czy da się to jakoś załatać? Tak raz na zawsze? No niezbyt. Podkreślę to jeszcze raz, trochę do znudzenia. To nie jest błąd. To zostało tak zaprojektowane i ma tak działać. Po prostu dopiero teraz ktoś opisał publicznie, jak to wykorzystać do niecnych celów. Zmiany w protokole, które uniemożliwiłyby atak tej kategorii są w stanie popsuć kompatybilność, bo potrzebne są zmiany stosu sieciowego po stronie systemu operacyjnego oraz dalsze ich wykorzystanie przez dostawców VPN-ów. Na szczęście niektórzy dostawcy VPN-ów już bronią się jak mogą i choćby monitorują trasy, którymi wędrują wysyłane dane, aby wykrywać różne nieautoryzowane zmiany. Jeżeli wykryją jakieś anomalie, mogą ostrzeć z użytkownika albo automatycznie zablokować takie połączenie. Nie jest to jednak funkcja samego VPN-a, a dostarczanego z nim oprogramowania. Ingeruje też bardziej w naszą prywatność, więc sami musimy ocenić, na czym nam bardziej zależy. Co robić i jak żyć? Korzystasz z VPN-a, bo uwierzyłeś, że gwarantuje ci anonimowość sieci? Przestań. VPN-y zostały zaprojektowane jako narzędzia do dbania o prywatność. Dlatego też nie możesz w sumie wymagać od nich, aby to gwarantowały. Całe to pajacowanie i obietnice, że skorzystaj z VPN-a, łącząc się do otwartego wizji w kawiarni, aby być bezpiecznym, jest do wywalania do kosza. VPN służy do połączenia dwóch sieci ze sobą w taki sposób, aby dla większości usług wyglądało, jakby były one w jednej sieci lokalnej. I w tej roli właśnie nadal dobrze się sprawdzają. Stosując odpowiednio silne uwierzytelnianie takiego dostępu do wewnętrznej sieci przez VPN-a oraz szyfrowanie komunikacji end-to-end, atak tej kategorii nic nie da, bo połączenie po prostu nie zostanie nawiązane z pominięciem bezpiecznego tunelu. Czy w ten sposób można podejrzeć na przykład twoje hasło? Na szczęście nie. Raczej nie. Zdecydowana większość przesyłanego ruchu jest szyfrowana przez choćby HTTPS, więc jego zawartość powinna być bezpieczna. To wyciek metadanych i w konsekwencji deanonimizacja są największym zagrożeniem. Tylko tyle. I aż tyle. A jak chcesz poczuć się bardziej anonimowy w sieci, to po prostu skorzystaj nie z VPN-a, a z TOR-a. To on został w tym celu stworzony i, co nie powinno być chyba zaskoczeniem, zdecydowanie lepiej się w tej roli sprawdzi, ponieważ TOR też nie jest rozwiązaniem wszelkich problemów tego świata. Tylko nie wpadnij w kolejną pułapkę. Niepoprawnie skonfigurowany TOR daje tak samo szkodliwe złudza niebezpieczeństwa jak zły VPN. Ale to już temat na inny odcinek. I tak na koniec. Na szczęście nie każdy powtarza słowo w słowo to, co dostał od reklamodawcy w briefie. Dlatego apeluję, doceniaj twórców, którzy walczą o to, aby w świecie zalanym marketingiem nie być słupami ogłoszeniowymi. To niełatwe zadanie, ale niektórym się udaje. Dlatego warto chwalić takie postawy. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia. Napisy stworzone przez społeczność Amara.org

207627
https://www.youtube.com/watch?v=bS6exO5SRfU Published at 2024-06-07