Este posibil ca VPN-urile să fie hăckuite? Ne uităm mai atent
Ce este un VPN?
O rețea privată virtuală (VPN) vă permite să creați un tunel virtual securizat prin Internet într-o altă rețea sau dispozitiv. Dacă accesați Internetul prin acest tunel virtual, este dificil pentru oricine - inclusiv ISP-ului dvs. - să intercepteze activitățile dvs. de navigare.
De asemenea, VPN-urile vă ajută să vă deghizați locația oriunde în lume și să deblocați serviciile geografice restricționate. Un VPN protejează confidențialitatea (datele rămân secrete) și integritatea (datele rămân neschimbate) mesajelor pe măsură ce navigați pe Internet.
Stabilirea uneia dintre aceste conexiuni sigure este relativ ușoară. Utilizatorul se conectează mai întâi la Internet printr-un ISP și apoi inițiază o conexiune VPN cu serverul VPN utilizând un software client (instalat local). Serverul VPN preia paginile web solicitate și se întoarce către utilizator prin intermediul tunelului securizat; astfel, se păstrează datele de utilizator securizate și private prin Internet.
Cum funcționează criptarea VPN?
Protocolul VPN este un set convenit de reguli pentru transmiterea și criptarea datelor. Majoritatea furnizorilor VPN oferă utilizatorilor opțiunea de a alege din mai multe protocoale VPN. Unele dintre cele mai utilizate protocoale includ: PPTP, Layer Two Tunneling Protocol (L2TP), Internet Protocol Security (IPSec) și OpenVPN (SSL/TLS).
Pentru a înțelege pe deplin modul în care un VPN vă protejează confidențialitatea, trebuie să explorăm mai profund știința de criptare. VPN-ul utilizează o tehnică cunoscută sub numele de "criptare" pentru a face datele dvs. (textul liber) greu de citit (text de cifru) de către orice persoană care le interceptează în timp ce navigați pe Internet. Un algoritm sau un cifru dictează modul în care procesul de criptare și decriptare are loc în cadrul protocoalelor VPN. Protocoalele VPN utilizează acești algoritmi criptografici pentru a vă ascunde datele, pentru a vă menține activitățile de navigare private și confidențiale.
Fiecare dintre aceste protocoale VPN are punctele forte și punctele slabe în funcție de algoritmul criptografic implementat în cadrul acestuia. Unii furnizori VPN oferă utilizatorilor opțiunea de a alege din diferite cipuri. Algoritmul sau cifrul poate fi bazat pe oricare din aceste trei clasificări: algoritmul simetric, asimetric și algoritmul hashing.
Criptarea simetrică utilizează o cheie pentru a bloca (cripta) și o altă pentru a debloca (decripta) datele. Criptarea asimetrică utilizează două chei, una pentru blocarea (criptare) și cealaltă pentru deblocarea (decriptarea) datelor. Tabelul de mai jos reprezintă o comparație sumară între criptarea simetrică și cea asimetrică.
Atribut | Simetric | Asimetric |
Chei | O cheie este împărțită între mai multe entități | O entitate are cheia publică, cealaltă are cheia privată |
Schimb de chei | Necesită un mecanism sigur pentru trimiterea și primirea cheilor | Cheia privată este ținută secretă de proprietar, în timp ce cheia publică este disponibilă pentru toată lumea |
Viteză | Mai puțin complexă și mai rapidă | Mai complexă și mai lentă |
Putere | Mai puțin greu de spart | Mai greu de spart |
Scalabilitate | Scalabilitate bună | Scalabilitate mai bună |
Utilizare | Criptare pe orice | Numai distribuția cheie și semnăturile digitale |
Securitate oferită | Confidențialitate | Confidențialitate, autentificare și non-repudiere |
Example | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 și RC6 | RSA, ECC, DSA, și Diffie-Hellman |
Criptarea asimetrică este soluția la limitările inerente criptării simetrice (așa cum se arată în tabelul de mai sus). Whitfield Diffie și Martin Hellman s-au numărat printre primele grupuri care au propus să abordeze aceste neajunsuri prin dezvoltarea unui algoritm asimetric numit Diffie-Hellman.
Este un algoritm criptografic popular care este fundamental pentru multe protocoale VPN incluzând HTTPS, SSH, IPsec și OpenVPN. Algoritmul permite celor două părți care nu s-au întâlnit niciodată să negocieze o cheie secretă chiar și atunci când comunică pe un canal public nesecurizat, cum ar fi Internetul.
Hashing este o criptare unică (ireversibilă) utilizată pentru a proteja integritatea datelor transmise. Majoritatea protocoalelor VPN utilizează algoritmi de hash pentru a verifica autenticitatea mesajelor trimise prin VPN. Exemplele MD5, SHA-1 și SHA-2. Atât MD5, cât și SHA-1 nu mai sunt considerate sigure.
VPN-urile pot fi hăckuite, dar e greu de realizat acest lucru. Șansele de a fi hăckuit fără un VPN sunt semnificativ mai mari decât de a fi hăckuit cu unul.
Poate cu adevărat cineva să hăckuiască un VPN?
VPN-urile rămân unul dintre mijloacele cele mai eficiente de menținere a confidențialității online. Cu toate acestea, este important să rețineți că, în general, orice poate fi hăckuit, mai ales dacă sunteți o țintă cu valoare ridicată, iar adversarul dvs. are suficient timp, fonduri și resurse. Vestea bună este că majoritatea utilizatorilor nu intră în categoria "de înaltă valoare" și, prin urmare, este puțin probabil să fie desemnați.
Hacking-ul într-o conexiune VPN implică fie ruperea criptării prin folosirea vulnerabilităților cunoscute, fie prin furtul cheii prin intermediul unor mijloace murdare. Atacurile criptografice sunt folosite de hackeri și criptanalizatori pentru a recupera textul liber din versiunile criptate fără cheie. Cu toate acestea, criptarea de rupere este computațional solicitantă și consumatoare de timp și poate dura mai mulți ani.
Majoritatea eforturilor implică, de obicei, furtul cheilor care este mult mai ușor decât ruperea criptării. Asta fac de obicei agențiile de spionaj atunci când se confruntă cu astfel de provocări. Succesul lor în acest sens nu este prin matematică, ci printr-o combinație de trucuri tehnice, putere de calcul, înșelăciuni, ordine judecătorești și persuasiune în spatele scenei. Matematica din spatele criptării este incredibil de puternică și computațional complexă.
Vulnerabilități și exploatări VPN
Dezvăluirile anterioare ale americanului Edward Snowden și cercetătorilor în domeniul securității au arătat că agenția americană de spionaj (NSA) a spart criptarea din spatele unor cantități enorme de trafic pe internet, inclusiv a VPN-urilor. Documentele Snowden arată că infrastructura de decriptare VPN a NSA implică interceptarea traficului criptat și transmiterea datelor unor computere puternice, care apoi returnează cheia.
Cercetătorii în domeniul securității, Alex Halderman și Nadia Heninger, au prezentat, de asemenea, cercetări convingătoare care sugerează că într-adevăr NSA a dezvoltat capacitatea de a decripta un număr mare de trafic HTTPS, SSH și VPN într-un atac numit Logjam pe implementările comune ale algoritmului Diffie-Hellman.
Succesul lor s-a bazat pe exploatarea unei slăbiciuni în implementarea algoritmului Diffie-Hellman. Cauza principală a acestei slăbiciuni este că software-ul de criptare utilizează un număr standard în implementarea sa. Cercetătorii au estimat că va dura aproximativ un an și câteva milioane de dolari pentru a construi un calculator puternic care să poată sparge o singură cheie Diffie-Hellman de 1024 de biți (care este bine inclusă în bugetul anual al NSA).
Din păcate, se întâmplă că numai câteva numere prime (mai puțin de 1024 biți) sunt utilizate în mod obișnuit în aplicațiile de criptare din viața reală, cum ar fi VPN - ceea ce face chiar mai ușoară sarcina de a le sparge. Potrivit lui Bruce Schneier, "matematica este bună, dar matematica nu are nici o agenție. Codul are agenție, iar codul a fost subminat ".
Ar trebui totuși să folosești în continuare un VPN?
Pentru furnizorii de servicii, echipa de cercetare recomandă utilizarea cheilor Diffie-Hellman de 2048 de biți sau mai mult și, de asemenea, a publicat un ghid pentru implementarea acestora pentru TLS. Internet Engineering Task Force (IETF) recomandă, de asemenea, utilizarea celor mai recente revizii ale protocoalelor care necesită numere prime mai lungi.
Spionii pot fi capabili să spargă numerele prime utilizate în mod obișnuit în cheile Diffie-Hellman, până la 1024 biți (aproximativ 309 de cifre) în lungime. Primele de 2048 de biți vor fi o adevărată durere de cap pentru ei, ceea ce înseamnă că spionii nu vor putea decripta datele securizate folosind aceste chei pentru o perioadă foarte lungă de timp.
Pentru utilizatori, deși este adevărat că agențiile de spionaj sunt împotriva VPN-urilor și au alte protocoale de criptare pe care le utilizează pentru a viza traficul criptat, sunteți în continuare mult mai protejat decât dacă comunicați în text clar. În timp ce computerul dvs. poate fi compromis, i-ar costa timp și bani - ceea ce face această sarcină foarte scumpă pentru ei. Cu cât ești mai puțin evident, cu atât ești mai sigur.
Potrivit lui Edward Snowden, "Criptarea funcționează. Sistemele de criptare puternice implementate în mod corespunzător sunt unul dintre puținele lucruri pe care vă puteți baza. "Pe cât posibil, evitați VPN-urile care se bazează în primul rând pe algoritmi de hash MD5 sau SHA-1 și pe protocoale PPTP sau L2TP / IPSec. Optează pentru cele care suportă versiunile actuale de OpenVPN (considerate extrem de sigure) și SHA-2. Dacă nu sunteți sigur ce algoritm utilizează VPN-ul dvs., consultați documentația VPN sau contactați asistența.
VPN-ul este prietenul tău. Încredere în criptare, încredere în matematică. Maximizați utilizarea și faceți tot ce este mai bun pentru a vă asigura că obiectivul dvs. este, de asemenea, protejat. Astfel puteți rămâne în siguranță chiar și în fața represiunii pe conexiuni criptate.
Te rugăm să ne spui cum putem să îmbunătățim acest articol. Feedback-ul tău este important!