Sdělili jsme našim čtenářům principy fungování VPN a na příkladu levných VPN služeb ukázali, jak a proč používat VPN tunely.
Dnes se chceme znovu dotknout tématu VPN služeb, zejména proto, že poptávka po těchto službách každým dnem roste, protože vládní regulace internetu v Rusku a dalších zemích SNS se zvyšuje, uživatelé se potýkají s řadou omezení internetu, stejně jako situace s informační bezpečnost síť se každým dnem zhoršuje.
Při výběru poskytovatele služeb VPN jsme našli poměrně kvalitní službu: TheSafety.US
Řekněme hned, že ceny za služby VPN od TheSafety.US nejsou nejnižší, předplatné stojí někde od 30 $ měsíčně, ale je to kompenzováno vysoká kvalita poskytované služby a různé balíčky a předplatné. Začněme tedy testovat TheSafety.US a vyhodnocovat tuto službu VPN v praxi.
Pro ostatní operační systémy viz nastavení:
Co se mi hned líbilo? Že si můžete vybrat server v zemi, která vám vyhovuje. Běžná VPN, Double VPN a Offshore VPN jsou vám k dispozici ve 20 zemích: USA, Kanada, Německo, Velká Británie (Anglie), Nizozemsko, Itálie, Ukrajina, Francie, Španělsko, Belgie, Polsko, Česká republika, Portugalsko, Švýcarsko, Irsko, Litva, Finsko, Lucembursko, offshore VPN v Panamě a Malajsii. Sami si můžete vybrat různé země a destinace, včetně VPN v offshore zemích (Offshore VPN) – toto nejvyšší úroveň bezpečnost, protože v těchto zemích neexistuje přísná kontrola ze strany státu.
Kdy je potřeba vybrat konkrétní zemi serveru VPN? Když stojíte před úkolem svou IP adresu nejen skrýt, ale ukázat, že je například z Německa, USA nebo Polska. To je nezbytné pro přístup k internetovým zdrojům, jejichž majitelé nastavují filtry pro návštěvníky z určitých zemí.
V našem článku jsme se již dozvěděli, jak technologie VPN funguje. Pojďme si říct, jak služba Double VPN funguje.
Technologie Double VPN - řetězec dvou serverů s rozdílem ve vstupní a výstupní IP adrese. V v tomto případě připojíte se k IP1 prvního serveru se všemi daty zašifrovanými, pak je váš provoz zašifrován podruhé a odeslán na IP2 druhého serveru. Díky tomu budete na internetu s IP3. Tato technologie pomáhá poskytovat vysoce účinnou ochranu, protože veškerý váš provoz bude dvojitě zašifrován a bude procházet různými zeměmi.
Testoval jsem například řetěz Německo - Česká republika, šifrovaný provoz nejprve prošel serverem v Německu, poté serverem v České republice a teprve poté vstoupil do externích internetových zdrojů. To umožnilo poskytnout velmi silné zabezpečení, jako u řetězce soxes, plus dvojité šifrování přenášených dat. Tudíž ani první server nebude znát moji externí IP, tím méně mého poskytovatele internetu.
Na snímku obrazovky kontrola mé IP provedená na webu 2ip.ru ukazuje IP adresu v Praze.
Pokud načteme vyhledávač yandex.ru, dá nám to domovská stránka pro Prahu:
Jak víme, poskytovatelé internetu v poslední době „zaznamenávají“ veškerý internetový provoz uživatelů a ukládají jej po určitou dobu. Tento stav existuje v Rusku, Bělorusku, Číně a dalších zemích se silnou vládní regulací internetu.
Tito. Některé organizace a úředníci budou vědět, jaké stránky navštěvujete, jaké informace přijímáte a přenášíte na internetu. Nejedná se o „prázdné hororové příběhy“, pojďme si v praxi ověřit, co se zaznamenává do logů poskytovatelů po naší návštěvě internetu.
Pro tento experiment použijeme analyzátory provozu (sniffery) nebo Wireshark, což je svobodný software.
Pro své experimenty jsem použil program Packetyzer. Co tedy vidíme, když surfujeme na internetu pomocí naší IP adresy bez VPN:
Snímek obrazovky výše ukazuje, že jsem se díval na počasí na: pogoda.tut.by(to je na obrázku zvýrazněno fixem).
A následující snímek obrazovky ukazuje, které stránky jsem v té době navštívil:
Nyní používáme službu VPN od TheSafety.US, zkusme analyzovat provoz pomocí snifferu Packetyzer a uvidíme, že veškerý provoz je šifrován pomocí silného algoritmu, není možné zjistit, které stránky byly navštíveny:
Mimochodem, s , veškerý provoz je také šifrován, viz snímky obrazovky níže:
Na serverech TheSafety.US se také nezapisují protokoly a dochází k připojení k adrese IP, nikoli k názvu domény.
Pro ještě větší anonymitu používají servery TheSafety.US vynucenou změnu parametru TTL.
TTL - čas žít nebo životnost odeslaného paketu. Pro rodinu OS Windows standardní Hodnota TTL = 128, pro Unix TTL = 64. Odeslanému paketu je přiřazena hodnota TTL a tato hodnota je snížena o jednu každým hostitelem podél jeho trasy (například při otevření konkrétního webu prochází váš paket požadavku několika hostiteli dokud se nedostane na server, na kterém se nachází otevíraný web). Když se hodnota TTL odeslaného paketu stane 0, paket zmizí. To znamená, že můžeme říci, že pomocí hodnoty TTL přenášeného paketu můžete zjistit, přes kolik hostitelů paket prošel. To znamená, že můžete nepřímo určit, za kolika hostiteli se váš počítač nachází. Servery TheSafety.US si vynutí změnu této hodnoty na standardní. To lze zkontrolovat pomocí standardu příkazy ping a tracert. Níže naleznete snímky obrazovky těchto spuštěných příkazů:
První, co vás při zmínce o VPN napadne, je anonymita a bezpečnost přenášených dat. Je to skutečné? Pojďme na to přijít.
Když potřebujete přístup firemní síť, bezpečný přenos důležitá informace přes otevřené komunikační kanály, aby skryli svůj provoz před bedlivým okem poskytovatele, aby skryli svou skutečnou polohu při provádění jakýchkoli ne zcela legálních (nebo vůbec ne legálních) akcí, obvykle se uchýlí k použití VPN. Vyplatí se ale slepě spoléhat na VPN a ohrozit bezpečnost vašich dat a svou vlastní bezpečnost? rozhodně ne. Proč? Pojďme na to přijít.
VAROVÁNÍ
Veškeré informace jsou poskytovány pouze pro informační účely. Redakce ani autor nenesou odpovědnost za případné škody způsobené materiály tohoto článku.Potřebujeme VPN!
Virtuální privátní síť, nebo jednoduše VPN, je obecný název pro technologie, které umožňují jednu nebo více síťová připojení(logická síť) nad jinou sítí, jako je Internet. Navzdory skutečnosti, že komunikace může být realizována prostřednictvím veřejných sítí s neznámou úrovní důvěry, úroveň důvěry ve vybudovanou logickou síť nezávisí na úrovni důvěry v podkladové sítě díky použití kryptografických nástrojů (šifrování, autentizace). , infrastruktura veřejného klíče, prostředky pro ochranu proti přehrání a změnám zpráv přenášených přes logickou síť). Jak vidíte, teoreticky je vše růžové a bez mráčku, ale v praxi je vše poněkud jiné. V tomto článku se podíváme na dva hlavní body, které musíte vzít v úvahu při používání VPN.
Únik provozu VPN
První problém s VPN je únik provozu. To znamená, že provoz, který by měl být přenášen prostřednictvím připojení VPN v šifrované podobě, vstupuje do sítě jako prostý text. Tento scénář není výsledkem chyby na serveru nebo klientovi VPN. Všechno je zde mnohem zajímavější. Nejjednodušší možností je náhle odpojit připojení VPN. Rozhodli jste se prohledat hostitele nebo podsíť pomocí Nmap, spustili jste skener, na několik minut jste odešli od monitoru a pak se připojení VPN náhle přerušilo. Ale skener funguje dál. A skenování pochází z vaší adresy. To je taková nepříjemná situace. Existují ale zajímavější scénáře. Například únik provozu VPN je rozšířený v sítích (na hostitelích), které podporují obě verze protokolu IP (tzv. dual-stacked networks/hosts).
Kořen zla
Koexistence dvou protokolů – IPv4 a IPv6 – má mnoho zajímavých a jemných aspektů, které mohou vést k nečekaným důsledkům. Nehledě na to, že šestá verze protokolu IP nemá zpětná kompatibilita se čtvrtou verzí jsou obě tyto verze „slepeny“ systémem doménových jmen (DNS). Aby bylo jasnější, o čem mluvíme, podívejme se na jednoduchý příklad. Vezměme si například webovou stránku (řekněme www.example.com), která má podporu IPv4 i IPv6. Odpovídající tomu Doménové jméno(v našem případě www.example.com) bude obsahovat oba typy DNS záznamů: A i AAAA. Každý záznam A obsahuje jednu adresu IPv4 a každý záznam AAAA obsahuje jednu adresu IPv6. Navíc jedno doménové jméno může mít několik záznamů obou typů. Když tedy aplikace, která podporuje oba protokoly, chce komunikovat se stránkou, může si vyžádat kteroukoli z dostupných adres. Preferovaná rodina adres (IPv4 nebo IPv6) a konečná adresa, kterou bude aplikace používat (vzhledem k tomu, že jich je několik pro verze 4 a 6) se budou u jednotlivých implementací protokolu lišit.
Tato koexistence protokolů znamená, že když chce klient, který podporuje oba zásobníky, komunikovat s jiným systémem, přítomnost záznamů A a AAAA ovlivní, který protokol bude použit pro komunikaci s tímto systémem.
VPN a duální protokolový zásobník
Mnoho implementací VPN nepodporuje, nebo dokonce úplně ignoruje IPv6. Při navazování spojení software VPN se stará o přenos IPv4 provozu přidáním výchozí trasy pro IPv4 pakety, čímž zajišťuje, že veškerý provoz IPv4 je odesílán prostřednictvím připojení VPN (místo toho, aby byl odesílán v čistém místní router). Pokud však IPv6 není podporován (nebo je zcela ignorován), bude každý paket s cílovou IPv6 adresou v hlavičce odeslán přes lokální IPv6 router.
Hlavní důvod problému spočívá ve skutečnosti, že ačkoli jsou IPv4 a IPv6 dva různé protokoly, které jsou navzájem nekompatibilní, jsou v systému doménových jmen úzce používány. Pro systém, který podporuje oba zásobníky protokolů, je tedy nemožné zabezpečit připojení k jinému systému bez zabezpečení obou protokolů (IPv6 a IPv4).
Legitimní scénář úniku provozu VPN
Zvažte hostitele, který podporuje oba zásobníky protokolů, používá klienta VPN (pracuje pouze s provozem IPv4) pro připojení k serveru VPN a je připojen k síti s dvojitým zásobníkem. Pokud aplikace na hostiteli potřebuje komunikovat s uzlem se dvěma zásobníky, klient se obvykle dotazuje na záznamy DNS A i AAAA. Protože hostitel podporuje oba protokoly a vzdálený uzel bude mít oba typy DNS záznamů (A a AAAA), jedním z pravděpodobných scénářů bude použití protokolu IPv6 pro komunikaci mezi nimi. A protože VPN klient nepodporuje šestou verzi protokolu, IPv6 provoz nebude odesílán přes VPN připojení, ale bude zasílán jako prostý text přes lokální síť.
Tento scénář vystavuje riziku přenášená cenná data v čistém textu, když si myslíme, že jsou přenášena bezpečně přes připojení VPN. V tomto konkrétním případě je únik provozu VPN vedlejším efektem používání softwaru jiného než IPv6 v síti (a hostiteli), která podporuje oba protokoly.
Úmyslné způsobení úniku provozu VPN
Útočník může záměrně vynutit připojení IPv6 na počítači oběti odesláním falešných zpráv s reklamou směrovače ICMPv6. Takové pakety lze posílat pomocí nástrojů, jako je rtadvd, SI6 Networks' IPv6 Toolkit nebo THC-IPv6. Jakmile je navázáno připojení IPv6, „komunikace“ se systémem, který podporuje oba zásobníky protokolů, může vést, jak bylo uvedeno výše, k úniku VPN. provoz.
A i když tento útok může být docela plodné (vzhledem k rostoucímu počtu stránek podporujících IPv6), dojde k úniku provozu pouze tehdy, když příjemce podporuje obě verze protokolu IP. Pro útočníka však není těžké způsobit úniky provozu pro libovolného příjemce (dvou-skládané nebo ne). Odesláním falešných zpráv Router Advertisement obsahujících příslušnou volbu RDNSS může útočník předstírat, že je místním rekurzivním serverem DNS, poté provést falšování DNS, aby provedl útok typu man-in-the-middle a zachytil odpovídající provoz. Stejně jako v předchozím případě mohou nástroje jako SI6-Toolkit a THC-IPv6 tento trik snadno zvládnout.
Vůbec nezáleží na tom, jestli provoz, který není určen pro zvědavé oči, skončí v síti otevřeně. Jak se v takových situacích chránit? Zde je několik užitečných receptů:
- Pokud je klient VPN nakonfigurován k odesílání veškerého provozu IPv4 přes připojení VPN, pak:
- pokud klient VPN nepodporuje protokol IPv6, vypněte podporu pro šestou verzi protokolu IP na všech síťových rozhraních. Aplikace běžící na počítači tak nebudou mít jinou možnost než používat IPv4;
- pokud je podporován protokol IPv6, ujistěte se, že veškerý provoz IPv6 je také odesílán prostřednictvím sítě VPN.
- Chcete-li se vyhnout úniku provozu, pokud připojení VPN náhle přestane fungovat a všechny pakety budou odeslány přes výchozí bránu, můžete:
- vynutit, aby veškerý provoz procházel přes VPN route delete 0.0.0.0 192.168.1.1 // delete default gateway route add 83.170.76.128 mask 255.255.255.255 192.168.1.1 metric 1
- použijte utilitu VPNetMon, která sleduje stav připojení VPN a jakmile zmizí, okamžitě ukončí uživatelem zadané aplikace (například torrent klienty, webové prohlížeče, skenery);
- nebo nástroj VPNCheck, který může v závislosti na volbě uživatele buď zcela deaktivovat síťová karta nebo jednoduše ukončit zadané aplikace.
- Můžete zkontrolovat, zda je váš počítač zranitelný vůči únikům provozu DNS na webu, a poté použít popsané tipy, jak únik opravit.
Dešifrování provozu VPN
I když máte vše správně nakonfigurováno a váš VPN provoz neuniká do sítě jednoznačně, není to ještě důvod k relaxaci. Jde o to, že pokud někdo zachytí šifrovaná data přenášená přes VPN připojení, bude schopen je dešifrovat. Navíc to nijak neovlivňuje, zda je vaše heslo složité nebo jednoduché. Pokud používáte připojení VPN založené na protokolu PPTP, pak můžete se 100% jistotou říci, že veškerý zachycený šifrovaný provoz lze dešifrovat.
Achillova pata
U připojení VPN založených na protokolu PPTP (Point-to-Point Tunneling Protocol) se autentizace uživatele provádí pomocí protokolu MS-CHAPv2 vyvinutého společností společností Microsoft. Navzdory skutečnosti, že MS-CHAPv2 je zastaralý a velmi často předmětem kritiky, je nadále aktivně používán. Aby to konečně poslal na smetiště dějin, chopil se věci slavný badatel Moxie Marlinspike, který na dvacáté konferenci DEF CON oznámil, že cíle bylo dosaženo – protokol byl hacknut. Je třeba říci, že bezpečnost tohoto protokolu byla zmatena již dříve, ale tak dlouhé používání MS-CHAPv2 může být způsobeno tím, že se mnoho výzkumníků soustředilo pouze na jeho zranitelnost vůči slovníkovým útokům. Omezený výzkum a velký počet podporovaných klientů, integrovaná podpora operačními systémy – to vše zajistilo široké přijetí protokolu MS-CHAPv2. Pro nás je problém v tom, že MS-CHAPv2 je použit v protokolu PPTP, který využívá mnoho VPN služeb (například takové velké jako anonymní VPN služba IPredator a The Pirate Bay’s VPN).
Pokud se podíváme do historie, pak již v roce 1999 ve své studii protokolu PPTP Bruce Schneier naznačil, že „Microsoft zlepšil PPTP opravou hlavních bezpečnostních chyb. Základní slabinou autentizačního a šifrovacího protokolu je však to, že je bezpečný pouze tak, jak si uživatel zvolí heslo.“ Z nějakého důvodu to způsobilo, že poskytovatelé věřili, že s PPTP není nic špatného a pokud požadujete, aby uživatel vynalezl složitá hesla, pak budou přenášená data v bezpečí. Služba Riseup.net byla tímto nápadem inspirována natolik, že se rozhodla nezávisle generovat 21znaková hesla pro uživatele, aniž by jim dala možnost nastavit si vlastní. Ani takto tvrdé opatření ale nezabrání dešifrování provozu. Abychom pochopili proč, pojďme se blíže podívat na protokol MS-CHAPv2 a podívat se, jak se ho Moxie Marlinspike podařilo prolomit.
protokol MS-CHAPv2
Jak již bylo zmíněno, MSCHAPv2 slouží k autentizaci uživatele. Probíhá v několika fázích:
- klient odešle na server požadavek na ověření a veřejně předá své přihlášení;
- server vrátí klientovi 16bajtovou náhodnou odpověď (Authenticator Challenge);
- klient vygeneruje 16bajtový PAC (Peer Authenticator Challenge – odpověď na ověření peer);
- klient spojí PAC, odpověď serveru a své uživatelské jméno do jednoho řádku;
- 8bajtový hash je převzat z přijatého řetězce pomocí algoritmu SHA-1 a odeslán na server;
- server získá hash tohoto klienta ze své databáze a dešifruje jeho odpověď;
- pokud výsledek dešifrování odpovídá původní odpovědi, je vše v pořádku a naopak;
- následně server převezme PAC klienta a na základě hashe vygeneruje 20bajtovou AR (Authenticator Response), kterou předá klientovi;
- klient provede stejnou operaci a porovná přijatou AR s odpovědí serveru;
- pokud se vše shoduje, je klient autentizován serverem. Obrázek ukazuje vizuální schéma činnosti protokolu.
Protokol se na první pohled zdá přehnaně komplikovaný – hromada hashů, šifrování, náhodné výzvy. Ve skutečnosti to není tak složité. Pokud se podíváte pozorně, všimnete si, že v celém protokolu zůstává neznámá pouze jedna věc - MD4 hash uživatelského hesla, na jehož základě jsou postaveny tři klíče DES. Zbývající parametry jsou buď přenášeny v čistém textu, nebo je lze získat z toho, co je přenášeno v čistém textu.
Protože jsou známy téměř všechny parametry, nemůžeme je uvažovat, ale věnovat velkou pozornost tomu, co je neznámé, a zjistit, co nám to dává.
Takže to, co máme: neznámé heslo, neznámý hash MD4 tohoto hesla, známý otevřený text a známý šifrovaný text. Při bližším prozkoumání si všimnete, že pro nás není důležité heslo uživatele, ale důležitý je jeho hash, protože právě to je na serveru kontrolováno. Pro úspěšnou autentizaci jménem uživatele a také pro dešifrování jeho provozu tedy potřebujeme znát pouze hash jeho hesla.
Když máte zachycený provoz v ruce, můžete jej zkusit dešifrovat. Existuje několik nástrojů (například asleap), které vám umožňují uhodnout heslo uživatele pomocí slovníkového útoku. Nevýhodou těchto nástrojů je, že neposkytují 100% záruku výsledků a úspěch přímo závisí na zvoleném slovníku. Výběr hesla pomocí jednoduché hrubé síly také není příliš efektivní – například v případě PPTP Služba VPN riseup.net, který nutí hesla mít 21 znaků, by musel vyzkoušet 96 variací znaků pro každý z 21 znaků. Výsledkem je 96^21 možností, což je o něco více než 2^138. Jinými slovy, musíte vybrat 138bitový klíč. V situaci, kdy délka hesla není známa, má smysl vybrat MD4 hash hesla. Vzhledem k tomu, že jeho délka je 128 bitů, dostaneme 2^128 možností - za tento moment to se prostě nedá spočítat.
Rozděl a panuj
MD4 hash hesla se používá jako vstup pro tři operace DES. Klíče DES jsou dlouhé 7 bajtů, takže každá operace DES používá 7bajtovou část hashe MD4. To vše nechává prostor pro klasický útok rozděl a panuj. Namísto zcela hrubé síly hash MD4 (který, jak si vzpomínáte, je 2^128 možností), jej můžeme vybrat po částech 7 bajtů. Protože se používají tři operace DES a každá operace DES je zcela nezávislá na ostatních, dává to celkovou složitost shody 2^56 + 2^56 + 2^56 neboli 2^57,59. To je již výrazně lepší než 2^138 a 2^128, ale stále příliš mnoho velké číslo možnosti. I když, jak jste si mohli všimnout, do těchto výpočtů se vloudila chyba. Algoritmus používá tři klíče DES, každý o velikosti 7 bajtů, tj. celkem 21 bajtů. Tyto klíče jsou převzaty z MD4 hashe hesla, které je dlouhé pouze 16 bajtů.
To znamená, že k sestavení třetího klíče DES chybí 5 bajtů. Microsoft tento problém vyřešil jednoduše tím, že hloupě doplnil chybějící bajty nulami a v podstatě snížil účinnost třetího klíče na dva bajty.
Vzhledem k tomu, že třetí klíč má efektivní délku pouze dva bajty, tedy 2^16 možností, trvá jeho výběr několik sekund, což dokazuje účinnost útoku rozděl a panuj. Můžeme tedy předpokládat, že poslední dva bajty hashe jsou známé, zbývá pouze vybrat zbývajících 14. Také, když je rozdělíme na dvě části po 7 bytech, máme celkový počet možností pro vyhledávání rovný 2^ 56 + 2^56 = 2^57. Pořád moc, ale mnohem lepší. Všimněte si, že zbývající operace DES šifrují stejný text, jen pomocí jiných klíčů. Algoritmus vyhledávání lze napsat takto:
Ale protože je text zašifrován stejně, je správnější to udělat takto:
To znamená, že existuje 2^56 variant klíčů k prohledávání. To znamená, že zabezpečení MS-CHAPv2 lze snížit na sílu samotného šifrování DES.
Hackování DES
Nyní, když je znám rozsah výběru klíčů, je na výpočetním výkonu, aby útok úspěšně dokončil. V roce 1998 Electronic Frontier Foundation postavila stroj nazvaný Deep Crack, který stál 250 000 dolarů a dokázal prolomit klíč DES v průměru za čtyři a půl dne. V současné době společnost Pico Computing, která se specializuje na budování hardwaru FPGA pro kryptografické aplikace, postavila zařízení FPGA (DES cracking box), které implementuje DES jako pipeline s jednou operací DES na hodinový cyklus. Se 40 jádry na 450 MHz dokáže vyčíslit 18 miliard klíčů za sekundu. Při takové rychlosti brute-force cracking box DES praskne klíč DES v nejhorším případě za 23 hodin, v průměru za půl dne. Tento zázračný stroj je dostupný prostřednictvím komerční webové služby loudcracker.com. Takže nyní můžete hacknout jakýkoli MS-CHAPv2 handshake za méně než jeden den. A když máte v ruce hash hesla, můžete se jménem tohoto uživatele ověřit ve službě VPN nebo jednoduše dešifrovat jeho provoz.
Pro automatizaci práce se službou a zpracování zachyceného provozu zveřejnil Moxie otevřený přístup utilita chaccrack. Analyzuje zachycený síťový provoz a hledá handshake MS-CHAPv2. Pro každý nalezený handshake vytiskne uživatelské jméno, známý otevřený text, dva známé šifrové texty a prolomí třetí klíč DES. Navíc vygeneruje token pro CloudCracker, který zakóduje tři parametry nutné k tomu, aby služba prolomila zbývající klíče.
CloudCracker & Chapcrack
V případě, že potřebujete prolomit klíče DES ze zachyceného uživatelského provozu, poskytnu krátký návod krok za krokem.
- Stáhněte si knihovnu Passlib, která implementuje více než 30 různých hashovacích algoritmů pro jazyk Python, rozbalte a nainstalujte: python setup.py install
- Nainstalujte python-m2crypto - obal OpenSSL pro Python: sudo apt-get install python-m2crypto
- Stáhněte si samotný nástroj chapcrack, rozbalte a nainstalujte: python setup.py install
- Chapcrack je nainstalován, můžete začít analyzovat zachycený provoz. Obslužný program přijímá jako vstup soubor cap, hledá v něm MS-CHAPv2 handshake, ze kterého získává informace nezbytné pro hackování. chapcrack parse -i testy/pptp
- Z výstupu dat obslužným programem chapcrack zkopírujte hodnotu řádku CloudCracker Submission a uložte ji do souboru (například output.txt)
- Přejděte na cloudcracker.com, na panelu „Zahájit cracking“ vyberte Typ souboru rovný „MS-CHAPv2 (PPTP/WPA-E)“, vyberte soubor output.txt dříve připravený v předchozím kroku, klikněte na Další -> Další a uveďte svůj e-mail, na který bude po dokončení hackování odeslána zpráva.
CloudCracker je bohužel placená služba. Naštěstí za hacknutí klíčů nebudete muset platit tolik – pouze 20 babek.
Co dělat?
Microsoft sice na svém webu píše, že aktuálně nemá informace o aktivních útocích pomocí chapcrack, stejně jako o důsledcích takových útoků na uživatelské systémy, neznamená to, že je vše v pořádku. Společnost Moxie doporučuje, aby všichni uživatelé a poskytovatelé řešení PPTP VPN začali s migrací na jiný protokol VPN. A provoz PPTP je považován za nešifrovaný. Jak vidíte, existuje další situace, kdy nás VPN může vážně zklamat.
Závěr
Stává se, že VPN je spojena s anonymitou a bezpečností. Lidé se uchylují k používání VPN, když chtějí skrýt svůj provoz před pozornýma očima svého poskytovatele, nahradit svou skutečnou geografickou polohu a tak dále. Ve skutečnosti se ukazuje, že provoz může „prosakovat“ do sítě v čistém stavu, a pokud ne v čistém stavu, pak lze šifrovaný provoz poměrně rychle dešifrovat. To vše nám znovu připomíná, že nemůžeme slepě spoléhat na hlasité sliby naprosté bezpečnosti a anonymity. Jak se říká, důvěřuj, ale prověřuj. Buďte tedy ve střehu a ujistěte se, že vaše připojení VPN je skutečně bezpečné a anonymní.
V dnešní době se na internetu po celém světě objevuje stále více různých omezení. Vlády se znepokojují používáním OpenVPN a my je musíme obejít a najít způsoby, jak služby propojit jako obvykle. Velký čínský firewall například blokuje některé sítě VPN v Číně i mimo ni.
Samozřejmě není možné vidět data procházející tunely VPN. Sofistikované firewally však efektivně využívají techniky DPI k dešifrování paketů, a to i těch šifrovaných pomocí šifrování SSL.
Existovat různé cestyřešení problému, ale většina z nich zahrnuje změnu nastavení samotného serveru. V tomto článku se podíváme na různé metody, které máte k dispozici. Pokud chcete skrýt signály VPN a nemáte přesměrování portu 443, budete muset kontaktovat svého poskytovatele VPN a zjistit, zda je ochoten poskytnout vám některé z níže uvedených řešení.
Přeposílání přes TCP port 443
Toto je jedna z nejvíce jednoduchými způsoby. K předávání provozu VPN na portu 443 nepotřebujete složité nastavení serveru.
Pamatujte, že VPN standardně používá TCP port 80. Firewally obvykle kontrolují port 80 a nepovolují přes něj šifrovaný provoz. HTTPS standardně přesměrovává data přes port 443. Tento port využívají i weboví giganti jako Twitter, Gmail, pracují s ním i banky a další zdroje.
OpenVPN používá šifrování SSL, stejně jako HTTPS, a je poměrně obtížné ho odhalit při použití portu 443. Jeho blokování zabrání používání internetu, takže není vhodné pro cenzory internetu.
Přesměrování podporuje téměř každý VPN klient, takže můžete snadno přejít na port 443. Pokud váš poskytovatel VPN tuto funkci v klientovi nenabízí, je třeba ho okamžitě kontaktovat.
OpenVPN bohužel nepoužívá standardní SSL, takže pokud se použije hloubková kontrola paketů, jako je tomu v Číně, může být detekován šifrovaný provoz. V tomto případě budete potřebovat další ochranné prostředky.
Obfsproxy
Server šifruje data pomocí zmatku, zakrývá kód a zabraňuje detekci OpenVPN. Tuto strategii používá Tor k obcházení bloků v Číně. Šifrování dostupné pro OpenVPN
Obfsproxy vyžaduje instalaci na klientský počítač i VPN server. Samozřejmě to není tak bezpečné jako metody tunelování, provoz není šifrován, ale kanál není příliš přetížený. To je skvělé pro uživatele v zemích, jako je Sýrie nebo Etiopie, kde je problém s přístupem k internetu. Obfsproxy se celkem snadno nastavuje a instaluje, což je jednoznačná výhoda.
SSL tunelování pro OpenVPN
Socket Security Layer (SSL) lze použít jako účinnou náhradu za OpenVPN. Mnoho proxy serverů jej používá k zabezpečení připojení. Tento protokol navíc zcela skrývá použití VPN. Protože OpenVPN je založeno na šifrování TLS nebo SSL, tento protokol se velmi liší od standardních kanálů SSL a není obtížné jej detekovat pomocí dolování paketů. Abyste tomu zabránili, můžete přidat další vrstvu šifrování, protože DPI nerozpoznává nezávislé vrstvy kanálů SSL.
Závěr
Bez hluboké analýzy se OpenVPN samozřejmě neliší od standardního provozu SSL. Bezpečnost lze zvýšit přeposíláním přes port 443. V zemích jako Čína nebo Írán to však stačit nebude. Vlády v těchto zemích vyvinuly komplexní opatření pro sledování internetového provozu. Nezapomeňte vzít tyto faktory v úvahu, abyste předešli zbytečným problémům.
Každému je jasné, že váš poskytovatel ví o všech vašich pohybech na internetu, často se objevují historky o tom, jak zaměstnanci firmy sledují návštěvnost zákazníků. Jak se to stane, dá se tomu předejít?
Jak jste sledováni?
Poskytovatelé v Ruské federaci jsou povinni analyzovat uživatelský provoz z hlediska souladu s ruskou legislativou. Zejména článek 1.1 federální zákon ze dne 07.07.2003 N 126-FZ (ve znění ze dne 05.12.2017) „O komunikacích“ uvádí:
Telekomunikační operátoři jsou povinni poskytnout oprávněné státní orgány provádějící operativní vyšetřovací činnost nebo zajišťující bezpečnost Ruská Federace, informace o uživatelích komunikačních služeb a o komunikačních službách jim poskytovaných, jakož i další informace nezbytné k plnění úkolů uložených těmto orgánům v případech stanovených federálními zákony.
Samotný poskytovatel provoz samozřejmě neukládá. Zpracovává a klasifikuje jej však. Výsledky se zaznamenávají do log souborů.
Analýza základních informací se provádí v automatický režim. Typicky se provoz vybraného uživatele zrcadlí na serverech SORM (nástroje pro operativní vyšetřovací opatření), které jsou řízeny Ministerstvem vnitra, FSB atd., a tam se provádí analýza.
Nedílnou součástí moderní systémy SORM-2 je cyklická vyrovnávací paměť pro ukládání dat. Měl by ukládat provoz procházející poskytovatelem za posledních 12 hodin. SORM-3 je implementován od roku 2014. Jeho hlavním rozdílem je dodatečné úložiště, které by mělo obsahovat tříletý archiv veškerého vyúčtování a všech protokolů připojení.
Jak číst provoz pomocí DPI
Příklad diagramu od VAS Expert
DPI (Deep Packet Inspection) lze použít jako součást SORM nebo samostatně. Jedná se o systémy (obvykle hardwarové a softwarové systémy - hardware se speciálním softwarem), které vůbec fungují kromě prvních (fyzických, bitových) úrovní modelu sítě OSI.
V nejjednodušším případě poskytovatelé používají DPI ke kontrole přístupu ke zdrojům (zejména ke stránkám stránek z „černé“ listiny Roskomnadzor podle federálního zákona č. 139 o změnách zákona „O ochraně dětí před informacemi škodlivými pro jejich zdraví a vývoj“ nebo torrenty). Obecně lze však říci, že řešení lze také použít ke čtení vašeho provozu.
Odpůrci DPI tvrdí, že právo na soukromí je zakotveno v ústavě a tato technologie porušuje síťovou neutralitu. To nám ale nebrání využít technologii v praxi.
DPI snadno analyzuje obsah přenášený prostřednictvím nešifrovaných protokolů HTTP a FTP.
Některé systémy také používají heuristiku – nepřímé znaky, které pomáhají identifikovat službu. Jsou to například časové a numerické charakteristiky provozu a také speciální bajtové sekvence.
S HTTPS je to složitější. Ve vrstvě TLS, počínaje verzí 1.1, která se dnes často používá pro šifrování v HTTPS, se však doménové jméno webu přenáší jako prostý text. Poskytovatel tak bude moci zjistit, kterou doménu jste navštívili. Ale co tam dělali? soukromý klíč nebude vědět.
V každém případě poskytovatelé neprověřují všechny
Je to příliš drahé. Ale teoreticky mohou na požádání sledovat něčí provoz.
To, co systém (nebo soudruh major) zaznamenal, se obvykle zkoumá ručně. Nejčastěji ale poskytovatel (zejména pokud se jedná o malého poskytovatele) žádný SORM nemá. Vše vyhledávají a nacházejí běžní zaměstnanci v databázi s logy.
Jak jsou sledovány torrenty
Torrentový klient a tracker si obvykle vyměňují data prostřednictvím protokolu HTTP. Jedná se o otevřený protokol, což znamená, viz výše: prohlížení uživatelského provozu pomocí MITM útoku, analýza, dešifrování, blokování pomocí DPI. Poskytovatel může zkoumat mnoho dat: kdy stahování začalo nebo skončilo, kdy začala distribuce, kolik provozu bylo distribuováno.
Sidery je těžší najít. Nejčastěji se v takových případech sami specialisté stávají vrstevníky. Se znalostí IP adresy odesílatele může peer odeslat poskytovateli oznámení s názvem distribuce, její adresou, časem zahájení distribuce, IP adresou odesílatele atd.
V Rusku je zatím bezpečno – všechny zákony omezují možnosti správy trackerů a dalších distributorů pirátského obsahu, nikoli však běžných uživatelů. V některých evropských zemích je však používání torrentů spojeno s vysokými pokutami. Pokud tedy cestujete do zahraničí, nenechte se nachytat.
Co se stane, když web navštívíte
Poskytovatel vidí adresu URL, kterou jste otevřeli, pokud analyzuje obsah paketů, které obdržíte. To lze provést například pomocí MITM útoku (útok „man-in-the-middle“).
Z obsahu balíčků můžete získat historii vyhledávání, analyzovat historii požadavků, dokonce číst korespondenci a přihlášení pomocí hesel. Pokud samozřejmě web používá k autorizaci nešifrované připojení HTTP. Naštěstí je to čím dál tím méně běžné.
Pokud web pracuje s HTTPS, pak poskytovatel vidí pouze IP adresu serveru a název domény, stejně jako dobu připojení k němu a objem provozu. Zbytek dat je zašifrován a bez soukromého klíče je nelze dešifrovat.
A co MAC adresa
Poskytovatel v každém případě vidí vaši MAC adresu. Přesněji MAC adresa zařízení, které se připojuje k jeho síti (a nemusí to být počítač, ale například router). Faktem je, že autorizace u mnoha poskytovatelů se provádí pomocí přihlašovacího jména, hesla a MAC adresy.
Ale MAC adresy na mnoha routerech lze změnit ručně. Ano a na počítačích MAC adresu síťový adaptér nainstalován ručně. Pokud to tedy uděláte před první autorizací (nebo to později změníte a požádáte o přeřazení účtu na novou MAC adresu), poskytovatel neuvidí skutečnou MAC adresu.
Co se stane, když máte povolenou VPN
Pokud používáte VPN, poskytovatel vidí, že šifrovaný provoz (s vysokým koeficientem entropie) je odesílán na konkrétní IP adresu. Navíc může zjistit, že IP adresy z tohoto rozsahu se prodávají pro VPN služby.
Poskytovatel nemůže automaticky sledovat, kam směřuje provoz ze služby VPN. Pokud však porovnáte provoz předplatitele s provozem jakéhokoli serveru pomocí časových razítek, můžete provést další sledování. Jen to vyžaduje složitější a dražší technická řešení. Něco takového z nudy určitě nikdo nevyvine a nevyužije.
Stává se, že náhle VPN „spadne“ - to se může stát kdykoli a kdykoli. operační systém. Poté, co VPN přestane fungovat, provoz automaticky začne proudit otevřeně a poskytovatel jej může analyzovat.
Je důležité, že i když analýza provozu ukáže, že příliš mnoho paketů neustále chodí na IP adresu, která by potenciálně mohla patřit k VPN, nic nepokazíte. V Rusku není zakázáno používat VPN; je zakázáno poskytovat takové služby k obcházení stránek na „černé listině Roskomnadzor“.
Co se stane, když povolíte Tor
Když se připojíte přes Tor, poskytovatel také vidí šifrovaný provoz. A nebude schopen rozluštit, co zrovna děláte na internetu.
Na rozdíl od VPN, kde je provoz obvykle směrován na stejný server po dlouhou dobu, Tor automaticky mění IP adresy. V souladu s tím může poskytovatel určit, že jste pravděpodobně používali Tor na základě šifrovaného provozu a častých změn adres, a poté to zohlednit v protokolech. Ale ani za tohle se vám podle zákona nic nestane.
Zároveň může někdo používat vaši IP adresu v síti Tor pouze v případě, že jste v nastavení nakonfigurovali Exit Node.
A co anonymní režim?
Tento režim nepomůže skrýt váš provoz před vaším ISP. Je potřeba předstírat, že jste prohlížeč nepoužívali.
V anonymním režimu se neukládají cookies, data webových stránek a historie procházení. Vaše akce jsou však viditelné pro poskytovatele, Správce systému a webové stránky, které navštěvujete.
Ale jsou tu dobré zprávy
Poskytovatel o vás ví hodně, ne-li všechno. Rozpočet malých firem jim však neumožňuje nákup DPI zařízení, instalaci SORM nebo nastavení efektivního monitorovacího systému.
Pokud provádíte právní úkony na internetu otevřeně a pro úkony, které vyžadují důvěrnost, používáte VPN, Tor nebo jiné prostředky k zajištění anonymity, je pravděpodobnost, že se na vás zaměří váš ISP a zpravodajské služby, minimální. Ale pouze 100% právní jednání poskytuje 100% záruku.
Dnes si povíme, jaká data o uživateli poskytovatel ukládá, a také obecně o tom, co může vědět a co ne. Vidíte například, jaké stránky navštěvujete? A proč poskytovatel sleduje uživatele?
Obecně u poskytovatelů není vše tak jednoduché, jsou ze zákona povinni naslouchat návštěvnosti uživatelů - porušují zákon, co tam dělají, samozřejmě se nedívají, ale zaznamenávají základní údaje, lidé nekontrolujte je bezdůvodně (to znamená, že se vše zaznamenává automaticky).
- Pokud uživatel otevře určitou webovou stránku, je to viditelné pro poskytovatele? Ano, ve většině případů je viditelný název domény, zřídka jen IP adresa. Zaznamenává se také čas, kdy jste stránku navštívili. Obsah webu je také viditelný
- Co když na stránky přistupuji pomocí zabezpečeného https protokol? Poskytovatel pak vidí pouze název webu nebo jeho IP adresu a to je vše, nevidí obsah, jelikož https je zabezpečené spojení se šifrováním, proto se doporučuje jej používat.
- Jak může poskytovatel zjistit, že jsem si stáhl film nebo program přes torrent? Jde o to, že stahovač torrentů komunikuje s torrent trackerem přes HTTP protokol, takže poskytovatel vidí vše, co jste si stáhli (prostě analýzou stránky, ze které byl torrent soubor stažen) a kdy (spuštěno/dokončeno). Je možné se připojit i přes HTTPS, ale z nějakého důvodu ani největší torrent v CIS takový protokol nepodporuje, ale proč je záhadou.
- Ukládá poskytovatel vše, co stahuji? Ne, je to prostě fyzicky nemožné, nebylo by toho dost pevné disky. Provoz se zpracovává za chodu, třídí a vedou se statistiky, které se ukládají léta.
- Může poskytovatel zjistit, že jsem si stáhl soubor .torrent? Ano, možná je to přesně to, co se snaží monitorovat - interakci mezi torrent klientem a serverem, nemohou analyzovat provoz v torrentové síti, protože je to velmi, velmi drahé.
- A pokud používám VPN, poskytovatel nic nevidí? Tady jde o to, že u VPN ano, poskytovatel vidí nepořádek - tedy šifrovaná data a nebude je analyzovat, natož je dešifrovat, protože je to téměř nemožné. Z IP serverů ale může zjistit, že se jedná o VPN speciálně pro šifrování provozu. To znamená, že uživatel má co skrývat, vyvodit vlastní závěry
- Pokud používám OpenVPN, budou přes něj fungovat všechny programy, včetně aktualizace systému Windows? Teoreticky ano a obecně by to tak mělo být. V praxi ale vše závisí na nastavení.
- Může můj poskytovatel zjistit skutečnou IP adresu určitého webu, pokud k němu přistupuji přes VPN? Vlastně ne, ale je tu další bod. Pokud náhle přestane VPN fungovat nebo dojde k nějaké chybě, Windows prostě začnou fungovat jako obvykle, tedy bez použití VPN – jen přímo. Abyste to napravili, musíte za prvé nakonfigurovat samotné OpenVPN a za druhé použít další firewall (doporučuji Outpost Firewall), ve kterém můžete vytvářet globální pravidla provozu.
- To znamená, že pokud dojde k závadě VPN, poskytovatel uvidí, na jakém webu jsem? Bohužel ano, vše se bude nahrávat automaticky.
- Může TOR poskytnout anonymitu? Možná, ale je vhodné to trochu nakonfigurovat, aby se IP adresy používaly pro všechny kromě CIS a také aby se adresy měnily častěji, třeba každé tři minuty. Také pro lepší efekt doporučuji používat opakovače (mosty).
- Co vidí poskytovatel, když přijímám pakety z neustále různých IP adres? Poskytovatelé mají detekční systém pomocí TOR, ale nejsem si jistý, zda tento systém funguje s opakovači. Skutečnost použití TOR je také zaznamenána a také říká poskytovateli, že tento uživatel může něco skrývat
- Vidí ISP adresu webu přes Tor nebo VPN? Ne, pouze IP adresa VPN nebo výstupní uzel Tor.
- Vidí poskytovatel při použití protokolu HTTPS celé jméno adresy? Ne, vidíte pouze adresu domény (tedy pouze site.com), dobu připojení a přenesený objem. Tyto údaje však nejsou pro poskytovatele z hlediska informací nijak zvlášť užitečné. Pokud používáte HTTP, tak vidíte vše, co se přenáší - jak celou adresu, tak vše, co jste třeba napsali/odeslali ve zprávě poštou, ale zase to neplatí pro Gmail - tam je provoz šifrovaný.
- To znamená, že když použiji šifrování spojení, tak už můžu být na seznamu podezřelých? Ne, fakt ne. Na jednu stranu ano, ale na druhou stranu šifrování dat nebo i globální šifrování celé sítě mohou využívat nejen někteří hackeři nebo uživatelé, ale i jednoduché organizace kteří se zajímají o bezpečný přenos dat, což je logické, zvláště v bankovnictví.
- Vidí poskytovatel skutečnost, že se používá I2P? Má, ale zatím tento typ sítě není poskytovatelům tak známý jako například Tor, který díky své oblíbenosti přitahuje stále větší pozornost zpravodajských agentur. Poskytovatel I2P vidí I2P provoz jako šifrovaná připojení k různým IP adresám, což znamená, že klient pracuje s P2P sítí.
- Jak poznám, že jsem pod SORM? Tato zkratka znamená „Systém technických schopností pro operačně-hledací činnosti“. A pokud jste připojeni k internetu v Ruské federaci, pak jste již ve výchozím nastavení pod dohledem. Navíc je tento systém zcela oficiální a provoz přes něj musí procházet, jinak bude poskytovatelům internetu a telekomunikačním operátorům jednoduše odebrána licence.
- Jak vidět veškerý provoz na vašem počítači tak, jak jej vidí poskytovatelé? S tím vám pomůže utilita pro sledování provozu, nejlepší svého druhu je analyzátor Wireshark.
- Dá se nějak pochopit, že jsi sledován? Dnes skoro žádný, občas snad s aktivním útokem jako MitM (Man in the middle). Pokud se používá pasivní sledování, pak je technicky nemožné jej odhalit.
- Ale co pak dělat, je možné si dohled nějak ztížit? Internet, tedy připojení k němu, můžete rozdělit na dvě části. Sedněte si na sociální sítě, na seznamky, sledujte zábavné weby, filmy, dělejte to všechno přes běžné připojení. A šifrované spojení používat samostatně a paralelně - např. pro toto nastavené virtuální stroj. Budete tak mít víceméně přirozené prostředí, abych tak řekl, protože mnoho stránek šifruje provoz, Google ve svých službách a další velké společnosti. Ale na druhou stranu, téměř všechny zábavní weby NEŠifrují provoz. To znamená, že toto je norma - když má uživatel otevřený i šifrovaný provoz. Jiná věc je, když poskytovatel vidí, že provoz uživatele je pouze šifrovaný; zde samozřejmě mohou vyvstat otázky.
Doufám, že jste našli nějaké užitečné odpovědi