O mnie Moje standardy Książka Blog Video Blog
Menu
O mnie Kontakt

VPN nie gwarantuje bezpieczeństwa, a reklamy kłamią (film, 15m)

VPN bezpieczeństwo prywatność Atak Anonimowość online ryzyka sieć użytkownicy technologia

Mateusz Chrobok w swoim najnowszym materiale zwraca uwagę na niebezpieczeństwa związane z używaniem VPN-ów, zapraszając do refleksji nad ich rzeczywistą funkcjonalnością. Zaczyna od wprowadzenia na temat wszechobecnego marketingu VPN-ów, gdzie obiecuje się bezpieczeństwo, anonimowość czy dostęp do zablokowanych treści. Jednak komentuje, że te obietnice mogą być mylące, a wiele z nich może być nawet kłamstwem. Dla wielu osób korzystanie z VPN-a wydaje się być odpowiedzią na problemy związane z bezpieczeństwem w sieci, podczas gdy rzeczywistość często jest bardziej skomplikowana.

Mateusz wskazuje, że podstawową funkcją VPN-a jest utworzenie bezpiecznego połączenia między urządzeniami. Opowiada o badaniach przeprowadzonych przez Leviathan Security, które ujawniły lukę w wielu popularnych VPN-ach. Atak ten, nazwany "Tunnel Vision", pozwala na przechwytywanie komunikacji użytkowników, co potrafi zniweczyć cały sens używania VPN-a jako narzędzia do zapewnienia anonimowości. Takie informacje są alarmujące, zwłaszcza dla osób, które wykorzystują VPN-y w kontekście zapewnienia prywatności w ruchliwych lokalizacjach.

Prezentowany przez Mateusza scenariusz ataku w kawiarni przybliża widzowi, jak łatwo można stać się ofiarą tego zagrożenia. Atakujący, który korzysta z tej samej sieci Wi-Fi, może skonfigurować serwer DHCP, co pozwala mu na złośliwe przekierowywanie ruchu sieciowego. W rezultacie użytkownicy mogą być przekonani, że są bezpieczni, podczas gdy ich dane mogą być monitorowane przez niepożądane osoby. Mateusz podkreśla, że większość osób nie jest świadoma postępujących zagrożeń i jest łatwym celem dla takich ataków.

Dalsza część filmu ujawnia, że niektóre systemy, takie jak Android, są mniej podatne na takie ataki, co jest pozytywną informacją. Jednak Mateusz przypomina, że to nie jest błąd w systemie, lecz tak zaprojektowany protokół, który pozwala na tego rodzaju manipulacje. Przytacza także, że zasady natywne dla komunikacji w sieci mogą być problematyczne, a niesprawdzona konfiguracja VPN-a może wprowadzić wiele nieprzyjemnych konsekwencji. Zamiast ufać VPN-om na ślepo, sugeruje, aby użytkownicy prowadzili przemyślaną politykę bezpieczeństwa w sieci.

Na zakończenie Mateusz Chrobok zauważa, że choć nie każdy dostawca VPN-u jest podatny na te ataki, lepiej podchodzić do takiego rozwiązania ostrożnie. Podczas gdy VPN-y były projektowane głównie jako narzędzia do łączenia dwóch sieci, dla większości użytkowników mogą one wciąż pełnić tę rolę, jeśli zostaną odpowiednio skonfigurowane. Zachęca również do rozważenia korzystania z dodatkowych narzędzi, takich jak TOR, dla uzyskania wyższego poziomu anonimowości. W filmie, w momencie pisania tego artykułu, można zauważyć spore zainteresowanie, ponieważ materiał został wyświetlony 207,627 razy i zdobył 11,047 polubień. Mówi to wiele o wartości przekazywanych informacji i zrozumieniu skomplikowanego świata bezpieczeństwa w sieci.

Toggle timeline summary

  • 00:00 Wprowadzenie do dostawców VPN i ich reklam.
  • 00:06 Rekomendacja NordVPN i wspomnienie o Surfshark jako sponsorze.
  • 00:14 Znaczenie bezpieczeństwa sieci dla twórców treści.
  • 00:21 Dyskusja na temat zastosowań NordVPN.
  • 00:29 Pozytywne opinie na temat usług VPN i ich postrzeganej zdolności do rozwiązywania problemów.
  • 00:42 Wyjaśnienie, jak VPN-y tworzą połączenia między geograficznie odległymi sieciami.
  • 00:54 Dyskusja o bezpiecznym dostępie do sieci firmowych.
  • 01:06 Typowe błędne przekonania na temat VPN-ów, szczególnie w przypadku usług strumieniowych.
  • 01:28 Obawy o potencjalne wycieki danych mimo korzystania z VPN.
  • 01:41 Wprowadzenie do ryzyk związanych z VPN-ami, w tym potencjalnych podatności.
  • 01:51 Wyniki badań Leviathan Security dotyczące podatności VPN.
  • 02:05 Opis ataku Tunnel Vision wykorzystującego VPN-y.
  • 02:56 Scenariusz korzystania z publicznego Wi-Fi i kompromitacji bezpieczeństwa.
  • 03:38 Szczegóły na temat roli serwera DHCP w adresowaniu i trasach ruchu.
  • 04:54 Dyskusja na temat wrodzonych ryzyk niezabezpieczonych sieci.
  • 08:07 Analiza, jak ataki mogą prowadzić do deanonimizacji użytkowników.
  • 09:35 Obawy dotyczące nadzoru i zbierania danych przez reżimy autorytarne.
  • 10:39 Odzyskiwanie z podatności; niektóre systemy, takie jak Android, nie są dotknięte.
  • 12:07 Zalecenie, aby nie polegać wyłącznie na VPN-ach w kwestii anonimowości.
  • 13:25 Sugestia korzystania z TOR dla zwiększonej anonimowości.
  • 14:01 Apel o wspieranie twórców, którzy opierają się presji marketingowej.
  • 14:16 Podsumowanie i podziękowanie za uwagę widowni.

Transcription

Cześć! Dostawcy VPN-ów kłamią. Ich reklamy są wszędzie i aż dziw, że nie wyskakują rano z lodówki. Polecam Waszej uwadze usługę NordVPN. Sponsorem dzisiejszych newsów jest Surfshark. Surfshark VPN. Surfshark VPN. Którym jest Surfshark? Dla mnie jako twórca najważniejsza jest bezpieczeństwo w sieci. Biedna ziemska minuta dla naszego sponsora NordVPN. NordVPN ma szereg zastosowań. Cieszy się moja morda, zainstalowałem NordaVPN. I am anonymous, kurna. Skoro wszyscy tak dobrze o nich mówią, to na pewno są rozwiązaniem każdego problemu otaczającego nas świata, prawda? No, tylko że nie. Bo zadaniem VPN-a jest utworzenie połączenia pomiędzy dwoma przeważnie oddalonymi od siebie geograficznie, a tym samym logicznie sieciami, w taki sposób, aby wszystkim połączonym do nich urządzeniom wydawało się, że są w jednej sieci lokalnej. Na przykład, aby z każdego zakątka świata dostać się do wewnątrz firmowej infrastruktury, aby móc pracować jak gdyby nigdy nic, na przykład będąc w delegacji. W dodatku we w miarę bezpieczny sposób. Tylko tyle i aż tyle. No ale zewsząd słyszymy, chcesz oglądać Netflixa innego kraju? VPN. Chcesz być bezpieczny? VPN. Nie godzisz się, aby wyciekały dane twojej karty? Tylko VPN. Korzystasz z publicznych hotspotów? No, panie, bez VPN-a to nie wolno. No ale co w tym złego? Że ludzie reklamują je, a w efekcie również wykorzystują w inny niż zamierzony sposób, zapytacie? A no, całkiem sporo. Bo naraża je to na ataki, których konsekwencje mogą być bardzo, ale to bardzo poważne. Jak poważne? Ile z tych obietnic to kłamstwa? I czy dotyczy to każdego VPN-a na świecie? O tym właśnie dziś Wam opowiem. Zapraszam. Badacze z firmy Leviathan Security postanowili ostatnio trochę przy tych całych VPN-ach pomajstrować i odkryli podatność, której skala przyprawiła ich o oczy szeroko otwarte. Przynajmniej tak to sobie wyobrażam. O co chodzi? A no, okazuje się, że można zmusić osobę korzystającą z VPN-a i to praktycznie dowolnego dostawcy, na dowolnym urządzeniu, do przesłania komunikacji, pomijając jej teoretycznie bezpieczny, bo szyfrowany tunel. A to czyni takie rozwiązanie w praktyce bezużytecznym, bo umożliwia podglądanie jego ruchu, a w niektórych przypadkach, jeżeli nie był on dodatkowo szyfrowany w inny sposób, nawet ingerencję w przesyłane dane. Badacze, a tak ten nazwali pieszczotliwie Tunnel Vision, tak jakby ktoś w tej kwestii miał klapki na oczach, i to latami, ale o tym za chwilę. W jaki sposób można go przeprowadzić i co tak naprawdę nam grozi? Załóżmy na chwilę dość popularny scenariusz. Rozsiadamy się na niezbyt wygodnym krześle w kawiarni czy na innym lotnisku. Otwieramy laptopa, aby trochę popracować albo pooglądać memy ze śmiesznymi kotkami. Łączymy się do jakiejś otwartej, niezabezpieczonej sieci Wi-Fi albo do takiej, do której hasło zapisane jest na tablicy widocznej dla każdego z kilometra. No ale przecież nasłuchaliśmy się tych wszystkich reklam, jak to od tej pory będziemy najbezpieczniejsi na świecie, jeżeli tylko skorzystamy z jakiegoś VPN-a popularnego dostawcy. Łykając cały ten marketing jak pelikany, że taka ogólnodostępna sieć to nie najlepsza sytuacja dla naszej prywatności, uruchamiamy VPN-a, za którego płacimy przecież co miesiąc te parę dolarów, et voila. Czujemy, że oszukaliśmy system, spoglądając z poczuciem wyższości na ludzi wokół, bo przecież tylko my jesteśmy w pełni anonimowi i absolutnie nikt nie wie, co teraz robimy w sieci. Tu jednak sprawa nieco się komplikuje. W tym samym czasie do sieci łączy się jeszcze ktoś inny, kto ma wobec nas niecne zamiary i przeprowadza atak Tunnel Vision. Taka osoba uruchamia na swoim urządzeniu serwer DHCP. Szybka dygresja dla niewtajemniczonych. Serwer DHCP odpowiada w sieci za to, że każde łączące się do niej urządzenie dostało automatycznie swój unikalny adres IP, po którym będzie identyfikowane przez resztę urządzeń do tej sieci podłączonych, a także dowiedziało się, jaką drogą ma dostać się do internetu. Taki serwer DHCP najczęściej jest danej sieci jeden, ale istnieje kategoria ataków, które wprowadzają nowy serwer, który przejmie rolę tego prawidłowego. Dziś nie o tym, ale tak dla kontekstu warto po prostu wiedzieć, że nie jest to jakieś super trudne zadanie i nie trzeba wcale uzyskiwać uprawnienia administratora, a wystarczy po prostu do takiej sieci połączyć się jako jeden z klientów. Czy można temu jakoś zapobiec? No, w przykładzie z kawiarnią to niezbyt. To po prostu cecha protokołów sieciowych, na których opiera się cały internet, więc niewiele da się z tym zrobić. Ryzyko takie po prostu zawsze istnieje. Atakujący więc, który jest po prostu jednym z klientów sieci, uruchamia taki serwer na swojej maszynie i wykorzystuje jedną z udokumentowanych cech protokołu DHCP, która nazywa się opcją 121. Brzmi trochę jak rozkaz 66, ale nie o tym. Opcja 121 zmusza użytkownika sieci, aby wpisał w swoją tablicę routingu przygotowane przez serwer statyczne wpisy. Tablica to taki zestaw drogowskazów definiujący, którędy ma być przesyłany ruch sieciowy. Przykładowo, mając dwa zewnętrzne łącza sieciowe w naszej firmie, możemy za pomocą tablic zdefiniować, że ruch do części serwisów czy też usług przechodzi przez szybki światłowy. A każdy, kto chce przejrzeć Facebooka w czasie pracy, trafia na drugie, znacznie wolniejsze łącze. Tak, aby zniechęcić go do przeglądania sociali w robocie. Każde urządzenie, a w sumie to jego system operacyjny, musi korzystać z takich tablic, aby wiedzieć, którędy ma wysyłać dane. System operacyjny, opierając się na tablicach routingu, decyduje, jak, gdzie i komu przesłać daną porcję danych. Tablice te domyślnie dostarczane są, a później aktualizowane właśnie przez serwer DHCP. Zresztą dla naszej wygody. Ktoś przy pierwszym nawiązaniu połączenia wie, gdzie mamy iść, więc nie musimy za każdym razem pytać. No i z tego samego mechanizmu korzysta VPN. Dodaje swoje wpisy do tablicy, mówiąc tym samym systemowi operacyjnemu, że ma wysyłać część albo nawet wszystkie dane właśnie przez niego. No i w tym właśnie miejscu wchodzi ta opcja 121 cała na biało. Przesłane z serwera DHCP atakującego z jej wykorzystaniem drogowskazy zyskują najwyższy priorytet, a więc będą wykorzystywane domyślnie ponad wszystkimi, które system operacyjny już zna. Atakujący, operując w odpowiedni sposób priorytetami, jest w stanie przekierować nawet cały ruch sieciowy ofiary przez swoje urządzenia. Może je w ten sposób podglądać, a potem po prostu, jak gdyby nigdy nic, przesyłać je dalej, byśmy nie zauważyli, że coś jest nie tak. Jeżeli atakujący jest też administratorem takiej sieci, to jego zadanie jest jeszcze łatwiejsze. Ale to nie wszystko, bo w sumie dopiero w tym miejscu robi się naprawdę ciekawie. Dla nas, siedząc przed ekranem komputera, wszystko wyglądać będzie dokładnie tak, jak wyglądało przed przeprowadzeniem tego ataku. Połączenie sieciowe jest? Jest. VPN działa? Działa, no, bo działa, ikonka świeci, ale żadne dane nie są przez niego przesyłane, a trafiają bezpośrednio do atakującego, całkowicie pomijając usługę, która miała niby gwarantować naszą anonimowość. Dla końcowego użytkownika jest to praktycznie nie do zauważenia, bo tak na pierwszy, jak i kilka następnych rzutów oka, wszystko wygląda tak, jak zawsze. No dobra, ale co z tego? Jakie zagrożenia to w ogóle za sobą niesie? Najbardziej niebezpieczną kwestią związaną z tym atakiem jest deanonimizacja. VPN-y przedstawiane są przecież często jako sposób na to, aby pozostać w sieci anonimowym. Cóż, atak ten potwierdza, że, cytując klasyka, nic bardziej mylnego. No bo wyobraźmy sobie taką sytuację. Ktoś, kto rzeczywiście musi dbać o swoje bezpieczeństwo, niech będzie, że niezależny dziennikarz albo działacz podziemnej opozycji w kraju, gdzie nie jest to mile widziane, potrzebuje się z kimś skontaktować. Choćby, żeby przekazać mu jakieś poufne informacje, za co grozić może mu bardzo poważna kara. Dbając więc o swój obsek, instaluje jakiegoś popularnego VPN-a, bo nasłuchał się tych wszystkich reklam i loguje się do swojej poczty, więc nic mu nie grozi, prawda? No, nie do końca. Tak, nikt nie odczyta treści jego wiadomości, ale ktoś, np. służby tego nienazwanego w tym przykładzie kraju, mogą w ten sposób zbierać metadane o tym, kiedy i do jakich usług nasz bohater się łączy. A to może w zupełności wystarczyć, aby w jakimś zamordystycznym kraju zbudować jej dogłębną inwigilację, np. narzędziami pokroju Pegasusa. Tak właśnie w teorii można inwigilować dziennikarzy, aktywistów czy polityków opozycji. Ale jaka w ogóle jest skala tego zagrożenia? Badacze przetestowali VPN-y różnych dostawców, spodziewając się po prostu początkowo, że to jakiś błąd występujący jedynie w niektórych z nich. Szybko jednak zorientowali się, podatni są prawie wszyscy. W taki sposób właśnie działa routing sieciowy. Tak to zostało zaprojektowane i działa dokładnie tak, jak powinno. Po prostu dopiero teraz ktoś opublikował pracę i jak można wykorzystać to w niecnych celach. Możliwość ta istnieje prawdopodobnie od ponad dwudziestu lat, od kiedy VPN-y wypłynęły na szerokie wody. W związku z tym liczenie na to, że badacze lewiatana odkryli tę lukę jako pierwsi na świecie jest swojego rodzaju naiwnością, choć mam w sobie nutkę nadziei, że nie jest to szeroko przeprowadzany atak. Czy VPN-y są podatne na ten atak w każdym przypadku? No nie. Jak się okazuje, Android nie zaimplementował obsługi opcji 121 i mają po prostu w nosie. W efekcie więc nie można przeprowadzić ataku tej kategorii na urządzenia z robotem w logo. Linuxy też mają pewne możliwości obrony, jednak nie są one wystarczające i otwierają okno na ataki innego rodzaju. Czy da się to jakoś załatać? Tak raz na zawsze? No niezbyt. Podkreślę to jeszcze raz, trochę do znudzenia. To nie jest błąd. To zostało tak zaprojektowane i ma tak działać. Po prostu dopiero teraz ktoś opisał publicznie, jak to wykorzystać do niecnych celów. Zmiany w protokole, które uniemożliwiłyby atak tej kategorii są w stanie popsuć kompatybilność, bo potrzebne są zmiany stosu sieciowego po stronie systemu operacyjnego oraz dalsze ich wykorzystanie przez dostawców VPN-ów. Na szczęście niektórzy dostawcy VPN-ów już bronią się jak mogą i choćby monitorują trasy, którymi wędrują wysyłane dane, aby wykrywać różne nieautoryzowane zmiany. Jeżeli wykryją jakieś anomalie, mogą ostrzeć z użytkownika albo automatycznie zablokować takie połączenie. Nie jest to jednak funkcja samego VPN-a, a dostarczanego z nim oprogramowania. Ingeruje też bardziej w naszą prywatność, więc sami musimy ocenić, na czym nam bardziej zależy. Co robić i jak żyć? Korzystasz z VPN-a, bo uwierzyłeś, że gwarantuje ci anonimowość sieci? Przestań. VPN-y zostały zaprojektowane jako narzędzia do dbania o prywatność. Dlatego też nie możesz w sumie wymagać od nich, aby to gwarantowały. Całe to pajacowanie i obietnice, że skorzystaj z VPN-a, łącząc się do otwartego wizji w kawiarni, aby być bezpiecznym, jest do wywalania do kosza. VPN służy do połączenia dwóch sieci ze sobą w taki sposób, aby dla większości usług wyglądało, jakby były one w jednej sieci lokalnej. I w tej roli właśnie nadal dobrze się sprawdzają. Stosując odpowiednio silne uwierzytelnianie takiego dostępu do wewnętrznej sieci przez VPN-a oraz szyfrowanie komunikacji end-to-end, atak tej kategorii nic nie da, bo połączenie po prostu nie zostanie nawiązane z pominięciem bezpiecznego tunelu. Czy w ten sposób można podejrzeć na przykład twoje hasło? Na szczęście nie. Raczej nie. Zdecydowana większość przesyłanego ruchu jest szyfrowana przez choćby HTTPS, więc jego zawartość powinna być bezpieczna. To wyciek metadanych i w konsekwencji deanonimizacja są największym zagrożeniem. Tylko tyle. I aż tyle. A jak chcesz poczuć się bardziej anonimowy w sieci, to po prostu skorzystaj nie z VPN-a, a z TOR-a. To on został w tym celu stworzony i, co nie powinno być chyba zaskoczeniem, zdecydowanie lepiej się w tej roli sprawdzi, ponieważ TOR też nie jest rozwiązaniem wszelkich problemów tego świata. Tylko nie wpadnij w kolejną pułapkę. Niepoprawnie skonfigurowany TOR daje tak samo szkodliwe złudza niebezpieczeństwa jak zły VPN. Ale to już temat na inny odcinek. I tak na koniec. Na szczęście nie każdy powtarza słowo w słowo to, co dostał od reklamodawcy w briefie. Dlatego apeluję, doceniaj twórców, którzy walczą o to, aby w świecie zalanym marketingiem nie być słupami ogłoszeniowymi. To niełatwe zadanie, ale niektórym się udaje. Dlatego warto chwalić takie postawy. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia. Napisy stworzone przez społeczność Amara.org

207627
https://www.youtube.com/watch?v=bS6exO5SRfU Opublikowano 2024-06-07