Може ли една VPN да бъде хакната? По-задълбочен поглед
Какво е VPN?
Виртуалната частна мрежа (VPN) ви позволява да създадете защитен виртуален тунел през интернет към друга мрежа или устройство. Ако осъществявате достъп до интернет през този виртуален тунел, е трудно за всеки, включително вашия интернет доставчик, да следи вашето сърфиране.
VPN мрежите също ви помагат да прикриете местоположението си навсякъде по света и да отключите географски ограничени услуги. VPN защитава поверителността (данните остават скрити) и интегритета (данните остават непроменени) на съобщенията, докато пътуват през публичния интернет.
Установяването на една от тези сигурни връзки е относително лесно. Потребителят първо се свързва с интернет чрез интернет доставчик и след това инициира VPN връзка с VPN сървъра, използвайки клиентски (локално инсталиран) софтуер. VPN сървърът извлича изискваните уеб страници и се връща при потребителя през защитния тунел; като по този начин данните за потребителя се запазват защитени и конфиденциални в интернет.
Как работи VPN криптирането?
VPN протоколът е договорен набор от правила за предаване и криптиране на данни. Повечето VPN доставчици дават на потребителите възможността да избират измежду няколко VPN протокола. Някои от най-използваните протоколи включват: PPTP, Layer Two Tunneling Protocol (L2TP), Internet Protocol Security (IPSec) и OpenVPN (SSL/TLS).
За да разберете напълно как една VPN услуга защитава личните ви данни, трябва да се потопите малко по-дълбоко в науката за криптиране. VPN технологията си служи с техника, известна като "криптиране", за да направи данните, които можете да четете (четим текст), напълно нечетими (шифриран текст) за всяко лице, което ги прихваща, докато пътуват през интернет. Алгоритъм или шифър диктува как се осъществява процесът на криптиране и декриптиране в рамките на VPN протоколите. VPN протоколите използват тези криптографски алгоритми, за да скрият данните ви, с цел да запазят действията ви в браузъра конфиденциални.
Всеки от тези VPN протоколи има своите силни и слаби страни в зависимост от имплементирания в него криптографски алгоритъм. Някои VPN доставчици дават възможност на потребителите да избират от различни шифри. Алгоритъмът или шифърът може да бъде базиран на всяка от тези три класификации: симетричен, асиметричен и хеширащ алгоритъм.
Симетричното криптиране използва един ключ за заключване (криптиране) и друг за отключване (декриптиране) на данни. Асиметричното криптиране използва два ключа, единият за заключване (криптиране) и другият за деблокиране (декриптиране) на данни. Таблицата отдолу представлява обобщено сравнение между симетрично и асиметрично криптиране.
Атрибут | Симетрично | Асиметрично |
Ключове | Един ключ се споделя между множество страни | Едната страна държи публичния ключ, а другата частния |
Обмен на ключове | Изисква защитен механизъм за изпращане и получаване на ключове | Частният ключ се пази в тайна от собственика, докато публичният ключ е достъпен за всички |
Скорост | По-просто и бързо | По-сложно и по-бавно |
Надеждност | По-лесно за разбиване | По-трудно за разбиване |
Мащабируемост | Добра мащабируемост | По-добра мащабируемост |
Употреба | Цялостно криптиране, т.е. всичко | Само разпределяне на ключове и цифрови подписи |
Предлагана услуга за защита | Конфиденциалност | Поверителност, удостоверяване и неотхвърляне |
Примери | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 и RC6 | RSA, ECC, DSA и Diffie-Hellman |
Асиметричната криптография е решението за ограниченията, характерни за симетричната криптография (както е показано в таблицата по-горе). Уитфийлд Дифи и Мартин Хелман бяха част от първата група, която се зае да се справи с тези недостатъци, като разработи асиметричен алгоритъм, наречен "Дифи-Хелман".
Това е популярен криптографски алгоритъм, който е фундаментален за много VPN протоколи, включително HTTPS, SSH, IPsec и OpenVPN. Алгоритъмът позволява на две страни, които никога не са се срещали преди, да преговарят за таен ключ, дори когато комуникират през незащитен публичен канал като интернет.
Хеширането е еднопосочно (необратимо) криптиране, използвано за защита на целостта на предадените данни. Повечето VPN протоколи използват алгоритми за хеширане, за да проверят автентичността на съобщенията, изпратени през VPN. Примерите включват MD5, SHA-1 и SHA-2. Както MD5, така и SHA-1 вече не се считат за сигурни.
VPN услугите могат да бъдат хакнати, но доста трудно. Шансовете да станете жертва на хакерска атака без VPN са значително по-големи, отколкото ако ползвате такава
Mоже ли действително да се проникне във VPN мрежа?
VPN мрежите си остават едно от най-ефективните средства за поддържане на поверителността в интернет. Въпреки това, важно е да се отбележи, че почти всичко може да бъде хакнато, особено ако сте цел с висока стойност и вашият противник разполага с достатъчно време, средства и ресурси. Добрата новина е, че повечето потребители не попадат в категорията "с висока стойност" и следователно е малко вероятно да привлекат внимание.
Проникването във VPN връзка включва или разбиване на криптирането, като се използват предимствата на известните уязвимости, или кражбата на ключа с помощта на нечестни методи. Криптографските атаки се използват от хакери и криптоаналитици, за да възстановят четими текстове от криптираните им версии без ключа. Разбиването на криптирането обаче е изисква изчислителна мощ и отнема много време, като може да отнеме и много години.
Повечето от усилията обикновено включват кражба на ключовете, което е много по-лесно отколкото разбиването на криптираните данни. Това е, което шпионските агенции обикновено правят, когато се сблъскват с такива предизвикателства. Техният успех в това не се постига с математика, а чрез комбинация от технически трикове, компютърна мощ, измама, съдебни нареждания и задкулисни убеждавания (задни вратички). Математическите изчисления, които стоят зад криптирането са невероятно сложни.
Съществуващи VPN уязвимости и разработки
По-ранните разкрития на американския изобличител Едуард Сноудън и изследователите в областта на сигурността показаха, че американската шпионска агенция (НСА) действяително е разбила криптирането зад потенциално огромния трафик в интернет, включително VPN мрежите. В документите на Сноудън cе вижда, че инфраструктурата за декриптиране на VPN на NSA включва прихващане на криптиран трафик и предаване на някои данни към мощни компютри, които след това връщат ключа.
Изследователите по сигурността Алекс Халдерман и Надя Хенингер също представиха убедителни изследвания, които предполагат, че от NSA действително са разработили способността да декриптират голям брой HTTPS, SSH и VPN трафик при атака, известна като Logjam, при общо имплементиране на алгоритъма на Дифи-Хелман.
Техният успех се основаваше на използването на слабост в прилагането на алгоритъма на Дифи-Хелман. Основната причина за тази слабост е, че софтуерът за криптиране използва стандартизиран първоначален номер при неговото изпълнение. Изследователите са изчислили, че ще отнеме около година и няколкостотин милиона долара, за да се изгради мощен компютър, който ще може да разбие единичен 1024-битов Дифи-Хелман алгоритъм (което е в рамките на годишния бюджет на NSA).
За съжаление, в реалния свят едва няколко първоначални номера (по-малко от 1024 бита) се използват обикновено в приложенията за криптиране, такива като VPN - което прави още по-лесно разбиването им. Според Брус Шнайер, "изчисленията са добри, но математиката си няма агенция. Кодът има агенция и кодът бе разбит".
Добра идея ли е все още да използвате VPN услуга?
За доставчиците на услуги изследователският екип препоръчва използването на 2048-битови или повече Дифи-Хелман ключове, и също така публикува ръководство за разпределянето им за TLS. Техническата група за интернет инженеринг (IETF) също препоръчва използването на последните версии на протоколите, които изискват по-дълги първични номера.
Шпионите биха могли да успеят да разбият първични номера, които обикновено се използват в Дифи-Хелман ключовете и са с дължина до 1024 бита (около 309 цифри). Приложенията с 2048-битови ключове ще бъдат истинска главоблъсканица за тях, което означава, че не биха могли да декриптират данните, защитени с тези ключове, за много дълго време.
Според Едуард Сноудън, "Криптирането работи. Правилно имплементираните силни криптосистеми са едно от малкото неща, на които можете да разчитате". Доколкото е възможно, избягвайте VPN услуги, които се основават главно на алгоритми за хеширане MD5 или SHA-1 и на протоколи PPTP или L2TP / IPSec. Избирайте такива, които поддържат актуалните версии на OpenVPN (считани за изключително сигурни) и SHA-2. Ако не сте сигурни кой алгоритъм използва вашата VPN мрежа, вижте документацията за VPN или се свържете с поддръжката.<
VPN технологията е ваш приятел. Доверете се на криптирането, доверете се на математиката. Увеличете максимално използването ѝ и направете всичко възможно, за да гарантирате, че вашата крайна точка също е защитена. По този начин можете да останете сигурни дори и в лицето на репресиите взели на прицел криптирани връзки.
Моля, коментирайте как да подобрим тази статия. Вашето мнение е важно!