Серьезнейшая узявимость VPN

Сотрудники VPN-провайдера Perfect Privacy обнаружили серьезную уязвимость в протоколах VPN. Баг получил имя Port Fail. Эксплуатируя брешь, можно легко выявить реальные IP-адреса пользователей BitTorrent и VPN-сервисов.

По сути, Port Fail — это простой трюк с переадресацией портов. Уязвимость затрагивает все сервисы, которые разрешают перенаправление портов и не имеют защиты против данной атаки.

«Суть уязвимости заключается в том, что, подключаясь к собственному VPN-серверу, пользователь задействует маршрут по умолчанию (default route), со своим настоящим IP-адресом, как того требует VPN-соединение», — пишут специалисты Perfect Privacy в официальном блоге.
Уязвимости подвержены все версии протокола VPN, включая OpenVPN и IPSec. К тому же, баг работает на любых операционных системах, что ставит под угрозу огромное количество людей.

Для осуществления атаки злоумышленник должен находиться в той же сети VPN, что и его жертва. Также необходимо узнать выходной IP-адрес намеченной цели. Это легко осуществить, заманив пользователя на сайт, подконтрольный злоумышленнику. Так, при включенной переадресации портов, атакующий может обманом заставить свою жертву открыть какое-либо изображение. Благодаря этому хакер увидит запрос своей жертвы, содержащий ее настоящий IP.

Уязвимость представляет опасность и для пользователей BitTorrent. В данном случае даже не возникнет нужды заманивать или перенаправлять жертву на сайт хакера. Достаточно включить переадресацию портов для дефолтного порта BitTorrent, и реальный IP-адрес жертвы станет виден пользователю той же VPN-сети.

Проблема затронула и крупнейших VPN-провайдеров. Специалисты Perfect Privacy протестировали девять крупных игроков этого рынка, и пять из них оказались беззащитны перед Port Fail. Протестировать всех провайдеров, силами одной небольшой компании, невозможно, поэтому в Perfect Privacy предупреждают: скорее всего, уязвимость распространена более широко, чем они полагают.

Некоторые провайдеры, среди которых Private Internet Access, Ovpn.to и nVPN, впрочем, успели исправить проблему до публикации информации о баге.

В блоге Perfect Privacy также высказывается мысль, что данная уязвимость может очень порадовать правообладателей. Вряд ли они упустят такой шанс массово деанонимизировать пиратов.

Спасибо! очень интересная статья, буду иметь ввиду.

Хм, слабо актуально. Почти у всех vpn провайдеров это пофикшено.

Мне кажется,я слышал такое пол года назад.
Но вроде это все уже давно пофиксили...(и слава богу)

Пофиксили, но не везде, но подобрать без уязвимости уже не столь большая проблема, так что можно считать что все нормально, главное что бы руки были из правильного места.

какой впн посоветуете

VPN-от Касперский самый четкий!

Мне тоже интересна тема выбора ВПН провайдера

VPN не имеет ничего общего с анонимностью по двум простым причинам:

1. ваш IP адрес и тайминги сессий остаются в логах
2. ваш биткош остается в базе

именно по этому tor не вводит поддержку частных приватных сеток в T.A.I.L.S. т.к. даже при работе через чужие точки доступа остается финановая цепочка. надеюсь про то что биткойн не намного анонимнее киви не нужно напоминать?