Η σύνδεση στο Διαδίκτυο μέσω δημόσιων σημείων πρόσβασης Wi-Fi είναι μια άμεση διαδρομή για να χάσετε τις συνδέσεις και τα προσωπικά σας δεδομένα! Θα λειτουργήσει ένα VPN σε οποιονδήποτε τύπο σύνδεσης στο Διαδίκτυο; Black Hat: τα hotspot εγγυώνται την κλοπή προσωπικών δεδομένων

Μπορεί να χρειαστούν μόνο λίγα δευτερόλεπτα για να συνδεθείτε σε ένα δίκτυο VPN, αλλά αυτό είναι αρκετό για να κλέψετε τα διαπιστευτήριά σας.

Ο ανεξάρτητος ειδικός Larry Seltzer πιστεύει ότι η χρήση δικτύων VPN θέτει τον χρήστη σε κίνδυνο. Αυτό το ανέφερε στον πόρο arstechnica.com.

Οποιοσδήποτε ειδικός πληροφορικής γνωρίζει τους κινδύνους από τη χρήση δημόσιων δικτύων Wi-Fi. Μετάδοση από το κοινό ασύρματα δίκτυαΗ κίνηση σε καφετέριες και ξενοδοχεία δεν είναι κρυπτογραφημένη, επομένως μπορεί να υποκλαπεί. Μία από τις πιο συχνά χρησιμοποιούμενες μεθόδους για την επίλυση αυτού του προβλήματος είναι μεγάλο μειονέκτημα, που συχνά οι ειδικοί ξεχνούν να αναφέρουν.

Μεγάλοι πόροι όπως το Twitter και η Google χρησιμοποιούν κρυπτογράφηση SSL για την προστασία των χρηστών δημόσια δίκτυα Wi-Fi. Ωστόσο, στις περισσότερες περιπτώσεις, χρησιμοποιείται ένα δίκτυο VPN για αυτόν τον σκοπό. Ορισμένες υπηρεσίες VPN παρέχουν ένα κρυπτογραφημένο κανάλι δεδομένων για όλη την κίνηση στο Διαδίκτυο μεταξύ της συσκευής και του διακομιστή. Έτσι, η υπηρεσία λειτουργεί ως ενδιάμεσος μεταξύ του χρήστη και του κεντρικού υπολογιστή στο Διαδίκτυο.

Δεν χρησιμοποιούν όλοι οι ιστότοποι κρυπτογράφηση SSL, επομένως είναι ένα VPN βέλτιστη λύσηαπό την άποψη αυτή. Ακόμα κι αν το σημείο Πρόσβαση Wi-Fi, στο οποίο συνδέεται ο χρήστης είναι κακόβουλο, ένας εισβολέας δεν θα μπορεί να υποκλέψει την κυκλοφορία.

Ωστόσο, η προστασία όταν Βοήθεια VPNέχει ένα μεγάλο μειονέκτημα. Το θέμα είναι ότι η σύνδεση με Δίκτυα VPNείναι αδύνατο έως ότου αποκατασταθεί η σύνδεση της συσκευής στο Διαδίκτυο. Στις περισσότερες περιπτώσεις, η συσκευή μπορεί να συνδεθεί αυτόματα στο VPN, αλλά για να γίνει αυτό ο χρήστης πρέπει να εκκινήσει ένα πρόγραμμα περιήγησης και να προσπαθήσει να ανοίξει μια ιστοσελίδα για να μεταβεί στη σελίδα εξουσιοδότησης του δρομολογητή. Επιπλέον, πρέπει να επιβεβαιώσετε την αποδοχή των Όρων Παροχής Υπηρεσιών. Ο χρόνος που περνά πριν συνδεθεί μια συσκευή σε ένα VPN μπορεί να χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου για κακόβουλους σκοπούς, είπε ο Zeltser. Ο κίνδυνος εξαρτάται από το λογισμικό της συσκευής του χρήστη. Για παράδειγμα, χρησιμοποιείται πρόγραμμα-πελάτης email POP3 ή IMAP. Αν Γραμματοκιβώτιοελέγχεται αυτόματα, η κίνηση μεταξύ της συσκευής και υπηρεσία ταχυδρομείου(συμπεριλαμβανομένων των διαπιστευτηρίων) ενδέχεται να υποκλαπούν.

Ο χρόνος σύνδεσης σε ένα VPN μπορεί να είναι μόλις λίγα δευτερόλεπτα, αλλά αυτό είναι αρκετό για να κλαπούν ευαίσθητα δεδομένα. Οι πληροφορίες που μεταδίδονται κατά τη διάρκεια αυτών των λίγων δευτερολέπτων μπορεί να είναι κρυπτογραφημένες, αλλά περιέχουν δεδομένα διαμόρφωσης συστήματος, τα οποία χρησιμοποιούνται από τους εισβολείς για την αναγνώριση του χρήστη.

Το πρώτο πράγμα που έρχεται στο μυαλό όταν αναφέρουμε ένα VPN είναι η ανωνυμία και η ασφάλεια των μεταδιδόμενων δεδομένων. Είναι αλήθεια; Ας το καταλάβουμε.

Όταν πρέπει να έχετε πρόσβαση εταιρικό δίκτυο, ασφαλές για μεταφορά σημαντικές πληροφορίεςΜε ανοιχτά κανάλιαεπικοινωνίες, κρύψτε την επισκεψιμότητά σας από το άγρυπνο μάτι του παρόχου, κρύψτε τη δική σας πραγματική τοποθεσίαόταν πραγματοποιούν οποιεσδήποτε μη απολύτως νόμιμες (ή καθόλου νόμιμες) ενέργειες, συνήθως καταφεύγουν στη χρήση ενός VPN. Αξίζει όμως να βασίζεστε τυφλά σε ένα VPN, βάζοντας την ασφάλεια των δεδομένων σας και δική ασφάλεια? Σίγουρα όχι. Γιατί; Ας το καταλάβουμε.

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Όλες οι πληροφορίες παρέχονται μόνο για ενημερωτικούς σκοπούς. Ούτε οι συντάκτες ούτε ο συγγραφέας ευθύνονται για κανένα πιθανή βλάβηπου προκαλούνται από τα υλικά αυτού του άρθρου.

Χρειαζόμαστε ένα VPN!

Εικονικός ιδιωτικό δίκτυο, ή απλά VPN, είναι μια γενικευμένη ονομασία για τεχνολογίες που επιτρέπουν μία ή περισσότερες δικτυακές συνδέσεις(λογικό δίκτυο) πάνω από ένα άλλο δίκτυο, όπως το Διαδίκτυο. Αν και οι επικοινωνίες μπορούν να πραγματοποιηθούν μέσω δημόσια δίκτυαμε ένα άγνωστο επίπεδο εμπιστοσύνης, το επίπεδο εμπιστοσύνης στο χτισμένο λογικό δίκτυοδεν εξαρτάται από το επίπεδο εμπιστοσύνης βασικά δίκτυαχάρη στη χρήση εργαλείων κρυπτογράφησης (κρυπτογράφηση, έλεγχος ταυτότητας, υποδομή δημόσια κλειδιά, σημαίνει προστασία από επαναλήψεις και αλλαγές στα μηνύματα που μεταδίδονται μέσω ενός λογικού δικτύου). Όπως μπορείτε να δείτε, θεωρητικά όλα είναι ρόδινα και χωρίς σύννεφα, αλλά στην πράξη όλα είναι κάπως διαφορετικά. Σε αυτό το άρθρο, θα εξετάσουμε δύο βασικά σημεία που πρέπει να λάβετε υπόψη όταν χρησιμοποιείτε ένα VPN.

Διαρροή κίνησης VPN

Το πρώτο πρόβλημα με τα VPN είναι η διαρροή κίνησης. Δηλαδή, η κίνηση που θα πρέπει να μεταδίδεται μέσω της σύνδεσης VPN σε κρυπτογραφημένη μορφή εισέρχεται στο δίκτυο ανοιχτή μορφή. Αυτό το σενάριο δεν είναι αποτέλεσμα σφάλματος στον διακομιστή ή τον πελάτη VPN. Όλα είναι πολύ πιο ενδιαφέροντα εδώ. Η απλούστερη επιλογή είναι να αποσυνδέσετε ξαφνικά τη σύνδεση VPN. Αποφασίσατε να σαρώσετε έναν κεντρικό υπολογιστή ή ένα υποδίκτυο χρησιμοποιώντας το Nmap, ξεκινήσατε τον σαρωτή, απομακρυνθήκατε από την οθόνη για λίγα λεπτά και, στη συνέχεια, η σύνδεση VPN ξαφνικά διακόπηκε. Αλλά ο σαρωτής συνεχίζει να λειτουργεί. Και η σάρωση προέρχεται από τη διεύθυνσή σας. Αυτή είναι μια τόσο δυσάρεστη κατάσταση. Υπάρχουν όμως πιο ενδιαφέροντα σενάρια. Για παράδειγμα, η διαρροή κίνησης VPN είναι ευρέως διαδεδομένη σε δίκτυα (σε κεντρικούς υπολογιστές) που υποστηρίζουν και τις δύο εκδόσεις του πρωτοκόλλου IP (τα λεγόμενα δίκτυα/κεντρικοί υπολογιστές διπλής στοίβας).

Root of Evil

Η συνύπαρξη δύο πρωτοκόλλων - IPv4 και IPv6 - έχει πολλές ενδιαφέρουσες και λεπτές πτυχές που μπορούν να οδηγήσουν σε απροσδόκητες συνέπειες. Παρά το γεγονός ότι η έκτη έκδοση του πρωτοκόλλου IP δεν έχει συμβατότητα προς τα πίσωμε την τέταρτη έκδοση, και οι δύο αυτές εκδόσεις είναι «κολλημένες» μεταξύ τους από το Σύστημα Ονομάτων Τομέα (DNS). Για να γίνει πιο σαφές για τι μιλάμε, ας δούμε ένα απλό παράδειγμα. Για παράδειγμα, ας πάρουμε έναν ιστότοπο (ας πούμε www.example.com) που έχει υποστήριξη IPv4 και IPv6. Αντίστοιχο με αυτό Ονομα τομέα(www.example.com στην περίπτωσή μας) θα περιέχει και τους δύο τύπους εγγραφών DNS: A και AAAA. Κάθε εγγραφή A περιέχει μία διεύθυνση IPv4 και κάθε εγγραφή AAAA περιέχει μία διεύθυνση IPv6. Επιπλέον, ένα όνομα τομέα μπορεί να έχει πολλές εγγραφές και των δύο τύπων. Έτσι, όταν μια εφαρμογή που υποστηρίζει και τα δύο πρωτόκολλα θέλει να επικοινωνήσει με τον ιστότοπο, μπορεί να ζητήσει οποιαδήποτε από τις διαθέσιμες διευθύνσεις. Η προτιμώμενη οικογένεια διευθύνσεων (IPv4 ή IPv6) και η τελική διεύθυνση που θα χρησιμοποιηθεί από την εφαρμογή (δεδομένου ότι υπάρχουν αρκετές για τις εκδόσεις 4 και 6) θα διαφέρουν από τη μία υλοποίηση πρωτοκόλλου στην άλλη.

Αυτή η συνύπαρξη πρωτοκόλλων σημαίνει ότι όταν ένας πελάτης που υποστηρίζει και τις δύο στοίβες θέλει να επικοινωνήσει με ένα άλλο σύστημα, η παρουσία εγγραφών A και AAAA θα επηρεάσει το πρωτόκολλο που θα χρησιμοποιηθεί για την επικοινωνία με αυτό το σύστημα.

VPN και διπλή στοίβα πρωτοκόλλων

Πολλές υλοποιήσεις VPN δεν υποστηρίζουν, ή ακόμα χειρότερα, αγνοούν εντελώς το IPv6. Κατά τη δημιουργία μιας σύνδεσης λογισμικόΤο VPN φροντίζει για τη μεταφορά της κίνησης IPv4 προσθέτοντας μια προεπιλεγμένη διαδρομή για πακέτα IPv4, διασφαλίζοντας έτσι ότι όλη η κίνηση IPv4 αποστέλλεται μέσω της σύνδεσης VPN (αντί να αποστέλλεται καθαρά μέσω τοπικός δρομολογητής). Ωστόσο, εάν το IPv6 δεν υποστηρίζεται (ή αγνοηθεί τελείως), κάθε πακέτο με διεύθυνση IPv6 προορισμού στην κεφαλίδα του θα αποστέλλεται ακαριαία μέσω του τοπικού δρομολογητή IPv6.

Ο κύριος λόγος για το πρόβλημα έγκειται στο γεγονός ότι παρόλο που το IPv4 και το IPv6 είναι δύο διαφορετικά πρωτόκολλα που δεν είναι συμβατά μεταξύ τους, χρησιμοποιούνται στενά στο σύστημα ονομάτων τομέα. Έτσι, για ένα σύστημα που υποστηρίζει και τις δύο στοίβες πρωτοκόλλων, είναι αδύνατο να διασφαλιστεί μια σύνδεση με άλλο σύστημα χωρίς να ασφαλιστούν και τα δύο πρωτόκολλα (IPv6 και IPv4).

Νόμιμο σενάριο διαρροής κυκλοφορίας VPN

Σκεφτείτε έναν κεντρικό υπολογιστή που υποστηρίζει και τις δύο στοίβες πρωτοκόλλων, χρησιμοποιεί έναν πελάτη VPN (που λειτουργεί μόνο με κίνηση IPv4) για να συνδεθεί με τον διακομιστή VPN και είναι συνδεδεμένος σε ένα δίκτυο διπλής στοίβας. Εάν μια εφαρμογή στον κεντρικό υπολογιστή χρειάζεται να επικοινωνήσει με έναν κόμβο διπλής στοίβας, ο υπολογιστής-πελάτης συνήθως ρωτά και τις εγγραφές A και AAAA DNS. Δεδομένου ότι ο κεντρικός υπολογιστής υποστηρίζει και τα δύο πρωτόκολλα και ο απομακρυσμένος κόμβος θα έχει και τους δύο τύπους εγγραφών DNS (A και AAAA), ένα από τα πιθανά σενάρια θα είναι η χρήση του πρωτοκόλλου IPv6 για επικοινωνία μεταξύ τους. Και επειδή ο πελάτης VPN δεν υποστηρίζει την έκτη έκδοση του πρωτοκόλλου, η κίνηση IPv6 δεν θα αποστέλλεται μέσω της σύνδεσης VPN, αλλά θα αποστέλλεται σε καθαρό κείμενο μέσω του τοπικού δικτύου.

Αυτό το σενάριο θέτει σε κίνδυνο πολύτιμα δεδομένα που μεταδίδονται σε καθαρό κείμενο, όταν πιστεύουμε ότι μεταδίδονται με ασφάλεια μέσω της σύνδεσης VPN. Στη συγκεκριμένη περίπτωση, η διαρροή κίνησης VPN είναι παρενέργειαχρησιμοποιώντας λογισμικό που δεν υποστηρίζει IPv6 σε δίκτυο (και κεντρικό υπολογιστή) που υποστηρίζει και τα δύο πρωτόκολλα.

Προκαλώντας σκόπιμα τη διαρροή της κυκλοφορίας VPN

Ένας εισβολέας μπορεί σκόπιμα να εξαναγκάσει μια σύνδεση IPv6 στον υπολογιστή του θύματος στέλνοντας πλαστά μηνύματα διαφήμισης δρομολογητή ICMPv6. Τέτοια πακέτα μπορούν να σταλούν χρησιμοποιώντας βοηθητικά προγράμματα όπως το rtadvd, το SI6 Networks' IPv6 Toolkit ή το THC-IPv6. Μόλις δημιουργηθεί μια σύνδεση IPv6, η «επικοινωνία» με ένα σύστημα που υποστηρίζει και τις δύο στοίβες πρωτοκόλλων μπορεί να οδηγήσει, όπως συζητήθηκε παραπάνω, σε διαρροή κίνησης VPN.

Και παρόλο που αυτή η επίθεσημπορεί να είναι αρκετά γόνιμη (λόγω του αυξανόμενου αριθμού τοποθεσιών που υποστηρίζουν IPv6), θα διαρρεύσει κίνηση μόνο όταν ο παραλήπτης υποστηρίζει και τις δύο εκδόσεις του πρωτοκόλλου IP. Ωστόσο, δεν είναι δύσκολο για έναν εισβολέα να προκαλέσει διαρροές κυκλοφορίας για οποιονδήποτε παραλήπτη (διπλή στοίβα ή όχι). Στέλνοντας ψεύτικα μηνύματα διαφήμισης δρομολογητή που περιέχουν την κατάλληλη επιλογή RDNSS, ένας εισβολέας μπορεί να προσποιηθεί ότι είναι ένας τοπικός αναδρομικός διακομιστής DNS και στη συνέχεια να πραγματοποιήσει πλαστογράφηση DNS για να εκτελέσει μια επίθεση man-in-the-middle και να υποκλέψει την αντίστοιχη κίνηση. Όπως και στην προηγούμενη περίπτωση, εργαλεία όπως το SI6-Toolkit και το THC-IPv6 μπορούν εύκολα να καταφέρουν αυτό το κόλπο.

Δεν έχει καθόλου σημασία αν η κίνηση που δεν προορίζεται για αδιάκριτα βλέμματα καταλήγει ανοιχτά στο δίκτυο. Πώς να προστατευτείτε σε τέτοιες καταστάσεις; Ακολουθούν μερικές χρήσιμες συνταγές:

  1. Εάν ο πελάτης VPN έχει ρυθμιστεί να στέλνει όλη την κίνηση IPv4 μέσω της σύνδεσης VPN, τότε:
  • εάν το IPv6 δεν υποστηρίζεται από τον πελάτη VPN, απενεργοποιήστε την υποστήριξη για την έκτη έκδοση του πρωτοκόλλου IP για όλους διεπαφές δικτύου. Έτσι, οι εφαρμογές που εκτελούνται στον υπολογιστή δεν θα έχουν άλλη επιλογή από το να χρησιμοποιήσουν το IPv4.
  • εάν υποστηρίζεται το IPv6, βεβαιωθείτε ότι όλη η κίνηση IPv6 αποστέλλεται επίσης μέσω του VPN.
  1. Για να αποφύγετε τη διαρροή κίνησης, εάν η σύνδεση VPN πέσει ξαφνικά και όλα τα πακέτα αποστέλλονται μέσω της προεπιλεγμένης πύλης, μπορείτε:
  2. αναγκάστε όλη την κίνηση να περάσει από τη διαδρομή VPN διαγραφή 0.0.0.0 192.168.1.1 // διαγραφή προεπιλεγμένης διαδρομής πύλης προσθήκη 83.170.76.128 μάσκα 255.255.255.255 192.168.1.1 μέτρηση 1
  • χρησιμοποιήστε το βοηθητικό πρόγραμμα VPNetMon, το οποίο παρακολουθεί την κατάσταση της σύνδεσης VPN και, μόλις εξαφανιστεί, τερματίζεται αμέσως καθορίζεται από τον χρήστηεφαρμογές (για παράδειγμα, πελάτες torrent, προγράμματα περιήγησης ιστού, σαρωτές)·
  • ή το βοηθητικό πρόγραμμα VPNCheck, το οποίο, ανάλογα με την επιλογή του χρήστη, μπορεί είτε να απενεργοποιήσει πλήρως κάρτα δικτύου, ή απλώς τερματίστε τις καθορισμένες εφαρμογές.
  1. Μπορείτε να ελέγξετε εάν το μηχάνημά σας είναι ευάλωτο σε διαρροές επισκεψιμότητας DNS στον ιστότοπο και, στη συνέχεια, να εφαρμόσετε τις συμβουλές για το πώς να διορθώσετε τη διαρροή που περιγράφεται.

Αποκρυπτογράφηση κυκλοφορίας VPN

Ακόμα κι αν έχετε ρυθμίσει τα πάντα σωστά και η επισκεψιμότητά σας VPN δεν διαρρέει στο δίκτυο αφανώς, αυτό δεν είναι ακόμη λόγος για χαλάρωση. Το θέμα είναι ότι αν κάποιος υποκλέψει κρυπτογραφημένα δεδομένα που μεταδίδονται μέσω σύνδεσης VPN, θα μπορεί να τα αποκρυπτογραφήσει. Επιπλέον, δεν επηρεάζει αυτό με κανέναν τρόπο εάν ο κωδικός πρόσβασής σας είναι σύνθετος ή απλός. Εάν χρησιμοποιείτε μια σύνδεση VPN που βασίζεται στο πρωτόκολλο PPTP, τότε μπορείτε να πείτε με βεβαιότητα εκατό τοις εκατό ότι όλη η κρυπτογραφημένη κίνηση που έχει υποκλαπεί μπορεί να αποκρυπτογραφηθεί.

Αχίλλειος πτέρνα

Για συνδέσεις VPN που βασίζονται στο PPTP (Point-to-Point Tunneling Protocol), ο έλεγχος ταυτότητας χρήστη πραγματοποιείται χρησιμοποιώντας το πρωτόκολλο MS-CHAPv2 που αναπτύχθηκε από τη Microsoft. Παρά το γεγονός ότι το MS-CHAPv2 είναι ξεπερασμένο και πολύ συχνά αντικείμενο κριτικής, συνεχίζει να χρησιμοποιείται ενεργά. Για να το στείλει τελικά στον κάδο των σκουπιδιών της ιστορίας, η διάσημη ερευνήτρια Moxie Marlinspike ανέλαβε το θέμα, η οποία ανέφερε στο εικοστό συνέδριο DEF CON ότι ο στόχος είχε επιτευχθεί - το πρωτόκολλο είχε χακαριστεί. Πρέπει να ειπωθεί ότι η ασφάλεια αυτού του πρωτοκόλλου είχε μπερδευτεί στο παρελθόν, αλλά μια τόσο μακρά χρήση του MS-CHAPv2 μπορεί να οφείλεται στο γεγονός ότι πολλοί ερευνητές εστίασαν μόνο στην ευπάθεια του σε επιθέσεις λεξικών. Περιορισμένη έρευνα και μεγάλος αριθμός υποστηριζόμενων πελατών, ενσωματωμένη υποστήριξη από λειτουργικά συστήματα - όλα αυτά εξασφάλισαν την ευρεία υιοθέτηση του πρωτοκόλλου MS-CHAPv2. Για εμάς, το πρόβλημα έγκειται στο γεγονός ότι το MS-CHAPv2 χρησιμοποιείται στο πρωτόκολλο PPTP, το οποίο χρησιμοποιείται από πολλές υπηρεσίες VPN (για παράδειγμα, μεγάλες όπως ανώνυμη υπηρεσία VPN IPredator και The Pirate Bay's VPN).

Αν στραφούμε στην ιστορία, τότε ήδη το 1999, στη μελέτη του για το πρωτόκολλο PPTP, ο Bruce Schneier ανέφερε ότι «η Microsoft βελτίωσε το PPTP διορθώνοντας μεγάλα ελαττώματα ασφαλείας. Ωστόσο, η θεμελιώδης αδυναμία του πρωτοκόλλου ελέγχου ταυτότητας και κρυπτογράφησης είναι ότι είναι τόσο ασφαλές όσο ο κωδικός πρόσβασης που επιλέγει ο χρήστης." Για κάποιο λόγο, αυτό έκανε τους παρόχους να πιστεύουν ότι δεν υπάρχει τίποτα κακό με το PPTP και εάν απαιτείτε από τον χρήστη να εφεύρει σύνθετους κωδικούς πρόσβασης, τότε τα μεταδιδόμενα δεδομένα θα είναι ασφαλή. Η υπηρεσία Riseup.net εμπνεύστηκε τόσο πολύ από αυτή την ιδέα που αποφάσισε να δημιουργήσει ανεξάρτητα κωδικούς πρόσβασης 21 χαρακτήρων για τους χρήστες, χωρίς να τους δώσει την ευκαιρία να ορίσουν τους δικούς τους. Αλλά ακόμη και ένα τόσο σκληρό μέτρο δεν εμποδίζει την αποκρυπτογράφηση της κυκλοφορίας. Για να καταλάβουμε γιατί, ας ρίξουμε μια πιο προσεκτική ματιά στο πρωτόκολλο MS-CHAPv2 και ας δούμε πώς το Moxie Marlinspike κατάφερε να το σπάσει.

Πρωτόκολλο MS-CHAPv2

Όπως ήδη αναφέρθηκε, το MSCHAPv2 χρησιμοποιείται για έλεγχο ταυτότητας χρήστη. Συμβαίνει σε διάφορα στάδια:

  • ο πελάτης στέλνει ένα αίτημα ελέγχου ταυτότητας στον διακομιστή, μεταδίδοντας δημόσια τα στοιχεία σύνδεσής του.
  • ο διακομιστής επιστρέφει μια τυχαία απόκριση 16 byte στον πελάτη (Authenticator Challenge).
  • ο πελάτης δημιουργεί ένα PAC 16 byte (Peer Authenticator Challenge - peer authentication response).
  • ο πελάτης συνδυάζει το PAC, την απόκριση του διακομιστή και το όνομα χρήστη του σε μία γραμμή.
  • Ένας κατακερματισμός 8 byte λαμβάνεται από τη συμβολοσειρά που ελήφθη χρησιμοποιώντας τον αλγόριθμο SHA-1 και αποστέλλεται στον διακομιστή.
  • ο διακομιστής ανακτά τον κατακερματισμό από τη βάση δεδομένων του αυτού του πελάτηκαι αποκρυπτογραφεί την απάντησή του.
  • Εάν το αποτέλεσμα αποκρυπτογράφησης ταιριάζει με την αρχική απόκριση, όλα είναι εντάξει και το αντίστροφο.
  • Στη συνέχεια, ο διακομιστής παίρνει το PAC του πελάτη και, με βάση τον κατακερματισμό, δημιουργεί ένα AR (Απόκριση Επαληθευτή) 20 byte, περνώντας το στον πελάτη.
  • ο πελάτης εκτελεί την ίδια λειτουργία και συγκρίνει το ληφθέν AR με την απόκριση διακομιστή.
  • εάν όλα ταιριάζουν, ο πελάτης επαληθεύεται από τον διακομιστή. Το σχήμα δείχνει ένα οπτικό διάγραμμα της λειτουργίας του πρωτοκόλλου.

Με την πρώτη ματιά, το πρωτόκολλο φαίνεται υπερβολικά περίπλοκο - ένα σωρό hashes, κρυπτογράφηση, τυχαίες προκλήσεις. Στην πραγματικότητα δεν είναι τόσο περίπλοκο. Αν κοιτάξετε προσεκτικά, θα παρατηρήσετε ότι σε ολόκληρο το πρωτόκολλο μόνο ένα πράγμα παραμένει άγνωστο - ο κατακερματισμός MD4 του κωδικού πρόσβασης του χρήστη, βάσει του οποίου δημιουργούνται τρία κλειδιά DES. Οι υπόλοιπες παράμετροι είτε μεταδίδονται σε καθαρό κείμενο είτε μπορούν να ληφθούν από ό,τι μεταδίδεται σε καθαρό κείμενο.


Δεδομένου ότι σχεδόν όλες οι παράμετροι είναι γνωστές, δεν μπορούμε να τις λάβουμε υπόψη, αλλά να προσέχουμε πολύ αυτό που είναι άγνωστο και να ανακαλύψουμε τι μας δίνει.

Λοιπόν τι έχουμε: άγνωστος κωδικός πρόσβασης, ένα άγνωστο κατακερματισμό MD4 αυτού του κωδικού πρόσβασης, ένα γνωστό απλό κείμενο και ένα γνωστό κρυπτογραφημένο κείμενο. Με περισσότερα λεπτομερής εξέτασηΜπορείτε να δείτε ότι ο κωδικός πρόσβασης του χρήστη δεν είναι σημαντικός για εμάς, αλλά ο κατακερματισμός του είναι σημαντικός, καθώς είναι ο κατακερματισμός που ελέγχεται στον διακομιστή. Έτσι, για επιτυχή έλεγχο ταυτότητας για λογαριασμό του χρήστη, καθώς και για αποκρυπτογράφηση της επισκεψιμότητάς του, χρειάζεται μόνο να γνωρίζουμε τον κατακερματισμό του κωδικού πρόσβασής του.

Έχοντας αναχαιτίσει την κυκλοφορία στο χέρι, μπορείτε να προσπαθήσετε να την αποκρυπτογραφήσετε. Υπάρχουν πολλά εργαλεία (για παράδειγμα, στο ύπνο) που σας επιτρέπουν να μαντέψετε τον κωδικό πρόσβασης ενός χρήστη μέσω μιας επίθεσης λεξικού. Το μειονέκτημα αυτών των εργαλείων είναι ότι δεν παρέχουν 100% εγγύηση αποτελεσμάτων και η επιτυχία εξαρτάται άμεσα από το επιλεγμένο λεξικό. Η επιλογή ενός κωδικού πρόσβασης χρησιμοποιώντας απλή ωμή βία δεν είναι επίσης πολύ αποτελεσματική - για παράδειγμα, στην περίπτωση της υπηρεσίας PPTP VPN riseup.net, η οποία ορίζει αναγκαστικά κωδικούς μήκους 21 χαρακτήρων, θα πρέπει να δοκιμάσετε 96 επιλογές χαρακτήρων για κάθε έναν από τους 21 χαρακτήρες . Αυτό έχει ως αποτέλεσμα 96^21 επιλογές, που είναι ελαφρώς περισσότερες από 2^138. Με άλλα λόγια, πρέπει να επιλέξετε ένα κλειδί 138-bit. Σε μια κατάσταση όπου το μήκος του κωδικού πρόσβασης είναι άγνωστο, είναι λογικό να επιλέξετε έναν κατακερματισμό MD4 του κωδικού πρόσβασης. Λαμβάνοντας υπόψη ότι το μήκος του είναι 128 bit, έχουμε 2^128 επιλογές - ανά αυτή τη στιγμήείναι απλά αδύνατο να υπολογιστεί.

Διαίρει και βασίλευε

Ο κατακερματισμός MD4 του κωδικού πρόσβασης χρησιμοποιείται ως είσοδος για τρεις λειτουργίες DES. Τα κλειδιά DES έχουν μήκος 7 byte, επομένως κάθε λειτουργία DES χρησιμοποιεί ένα τμήμα 7 byte του κατακερματισμού MD4. Όλα αυτά αφήνουν χώρο για την κλασική επίθεση divide and conquer. Αντί για εντελώς ωμή δύναμη το hash MD4 (το οποίο, όπως θυμάστε, είναι 2^128 επιλογές), μπορούμε να το επιλέξουμε σε τμήματα των 7 byte. Εφόσον χρησιμοποιούνται τρεις λειτουργίες DES και κάθε λειτουργία DES είναι εντελώς ανεξάρτητη από τις άλλες, αυτό δίνει μια συνολική πολυπλοκότητα αντιστοίχισης 2^56 + 2^56 + 2^56 ή 2^57,59. Αυτό είναι ήδη σημαντικά καλύτερο από το 2^138 και το 2^128, αλλά ακόμα πάρα πολύ μεγάλος αριθμόςεπιλογές. Παρόλο που, όπως ίσως έχετε παρατηρήσει, ένα σφάλμα εισήλθε σε αυτούς τους υπολογισμούς. Ο αλγόριθμος χρησιμοποιεί τρία κλειδιά DES, το καθένα με μέγεθος 7 byte, δηλαδή 21 byte συνολικά. Αυτά τα κλειδιά λαμβάνονται από τον κατακερματισμό MD4 του κωδικού πρόσβασης, ο οποίος έχει μήκος μόνο 16 byte.

Δηλαδή, λείπουν 5 byte για την κατασκευή του τρίτου κλειδιού DES. Η Microsoft έλυσε αυτό το πρόβλημα απλώς συμπληρώνοντας ανόητα τα ελλείποντα byte με μηδενικά και ουσιαστικά μειώνοντας την αποτελεσματικότητα του τρίτου κλειδιού σε δύο byte.

Δεδομένου ότι το τρίτο κλειδί έχει πραγματικό μήκος μόνο δύο byte, δηλαδή 2^16 επιλογές, η επιλογή του διαρκεί λίγα δευτερόλεπτα, αποδεικνύοντας την αποτελεσματικότητα της επίθεσης divide and conquer. Έτσι, μπορούμε να υποθέσουμε ότι τα δύο τελευταία byte του κατακερματισμού είναι γνωστά, το μόνο που μένει είναι να επιλέξουμε τα υπόλοιπα 14. Επίσης, χωρίζοντάς τα σε δύο μέρη των 7 byte, έχουμε έναν συνολικό αριθμό επιλογών για αναζήτηση ίσο με 2^ 56 + 2^56 = 2^57. Ακόμα πάρα πολλά, αλλά πολύ καλύτερα. Σημειώστε ότι οι υπόλοιπες λειτουργίες DES κρυπτογραφούν το ίδιο κείμενο, χρησιμοποιώντας μόνο διαφορετικά κλειδιά. Ο αλγόριθμος αναζήτησης μπορεί να γραφτεί ως εξής:

Αλλά επειδή το κείμενο είναι κρυπτογραφημένο το ίδιο, είναι πιο σωστό να το κάνετε ως εξής:

Δηλαδή, υπάρχουν 2^56 παραλλαγές κλειδιών για αναζήτηση. Αυτό σημαίνει ότι η ασφάλεια του MS-CHAPv2 μπορεί να μειωθεί μόνο στην ισχύ της κρυπτογράφησης DES.

Hacking DES

Τώρα που το βασικό εύρος εικασίας είναι γνωστό, εναπόκειται στον παίκτη να ολοκληρώσει με επιτυχία την επίθεση. υπολογιστική ισχύς. Το 1998, το Electronic Frontier Foundation κατασκεύασε ένα μηχάνημα με το όνομα Deep Crack, το οποίο κόστιζε 250.000 δολάρια και μπορούσε να σπάσει ένα κλειδί DES σε τεσσεράμισι μέρες κατά μέσο όρο. Επί του παρόντος, η Pico Computing, η οποία ειδικεύεται στην κατασκευή υλικού FPGA για κρυπτογραφικές εφαρμογές, έχει κατασκευάσει μια συσκευή FPGA (DES cracking box) που υλοποιεί το DES ως αγωγό με μία λειτουργία DES ανά κύκλο ρολογιού. Με 40 πυρήνες στα 450 MHz, μπορεί να απαριθμήσει 18 δισεκατομμύρια κλειδιά ανά δευτερόλεπτο. Με τέτοια ταχύτητα ωμής βίας, το κουτί πυρόλυσης DES σπάει ένα κλειδί DES στη χειρότερη περίπτωση σε 23 ώρες και κατά μέσο όρο σε μισή ημέρα. Αυτό το θαυματουργό μηχάνημα είναι διαθέσιμο μέσω της εμπορικής υπηρεσίας web loudcracker.com. Έτσι τώρα μπορείτε να χακάρετε οποιαδήποτε χειραψία MS-CHAPv2 σε λιγότερο από μία ημέρα. Και έχοντας στη διάθεσή σας έναν κατακερματισμό κωδικού πρόσβασης, μπορείτε να κάνετε έλεγχο ταυτότητας εκ μέρους αυτού του χρήστη σε μια υπηρεσία VPN ή απλώς να αποκρυπτογραφήσετε την επισκεψιμότητά του.

Για να αυτοματοποιήσει την εργασία με την υπηρεσία και να επεξεργαστεί την κυκλοφορία που έχει υποκλαπεί, η Moxie δημοσίευσε ανοιχτή πρόσβασηβοηθητικό πρόγραμμα chapcrack. Αυτή αναλύει υποκλαπεί κυκλοφορίας δικτύου, ψάχνει για χειραψία MS-CHAPv2. Για κάθε χειραψία που βρίσκει, εκτυπώνει το όνομα χρήστη, το γνωστό απλό κείμενο, δύο γνωστά κρυπτογραφημένα κείμενα και σπάει το τρίτο κλειδί DES. Επιπλέον, δημιουργεί ένα διακριτικό για το CloudCracker, το οποίο κωδικοποιεί τρεις παραμέτρους που είναι απαραίτητες για να σπάσει η υπηρεσία τα υπόλοιπα κλειδιά.

CloudCracker & Chapcrack

Σε περίπτωση που χρειαστεί να σπάσετε κλειδιά DES από την υποκλαπόμενη κυκλοφορία χρηστών, θα σας δώσω μια σύντομη βήμα προς βήμα οδηγίες.

  1. Κατεβάστε τη βιβλιοθήκη Passlib, η οποία υλοποιεί περισσότερους από 30 διαφορετικούς αλγόριθμους κατακερματισμού για Γλώσσα Python, αποσυσκευάστε και εγκαταστήστε: python setup.py install
  2. Εγκαταστήστε το python-m2crypto - ένα περιτύλιγμα OpenSSL για Python: sudo apt-get install python-m2crypto
  3. Κατεβάστε το ίδιο το βοηθητικό πρόγραμμα chapcrack, αποσυσκευάστε και εγκαταστήστε: python setup.py install
  4. Το Chapcrack έχει εγκατασταθεί, μπορείτε να αρχίσετε να αναλύετε την κυκλοφορία που έχει υποκλαπεί. Το βοηθητικό πρόγραμμα δέχεται ένα αρχείο cap ως είσοδο, το αναζητά για χειραψία MS-CHAPv2, από το οποίο εξάγει τις απαραίτητες πληροφορίες για το hacking. chapcrack parse -i tests/pptp
  5. Από την έξοδο δεδομένων από το βοηθητικό πρόγραμμα chapcrack, αντιγράψτε την τιμή της γραμμής υποβολής CloudCracker και αποθηκεύστε την σε ένα αρχείο (για παράδειγμα, output.txt)
  6. Μεταβείτε στο cloudcracker.com, στον πίνακα "Έναρξη σπασίματος" επιλέξτε Τύπος αρχείου ίσο με "MS-CHAPv2 (PPTP/WPA-E)", επιλέξτε το αρχείο output.txt που προετοιμάστηκε προηγουμένως στο προηγούμενο βήμα, κάντε κλικ στο Επόμενο -> Επόμενο και υποδεικνύετε το e-mail σας, στο οποίο θα σταλεί μήνυμα μετά την ολοκλήρωση του hacking.

Δυστυχώς, το CloudCracker είναι μια πληρωμένη υπηρεσία. Ευτυχώς, δεν θα χρειαστεί να πληρώσετε τόσα πολλά για να χακάρετε τα κλειδιά - μόνο 20 δολάρια.

Τι να κάνω?

Παρόλο που η Microsoft γράφει στον ιστότοπό της ότι προς το παρόν δεν έχει πληροφορίες για ενεργές επιθέσεις που χρησιμοποιούν chapcrack, καθώς και για τις συνέπειες τέτοιων επιθέσεων για συστήματα χρηστών, αλλά αυτό δεν σημαίνει ότι όλα είναι εντάξει. Η Moxie συνιστά το PPTP σε όλους τους χρήστες και τους παρόχους Λύσεις VPNξεκινήστε τη μετεγκατάσταση σε άλλο πρωτόκολλο VPN. Και η κίνηση PPTP θεωρείται μη κρυπτογραφημένη. Όπως μπορείτε να δείτε, υπάρχει μια άλλη κατάσταση όπου το VPN μπορεί να μας απογοητεύσει σοβαρά.

συμπέρασμα

Συμβαίνει ότι το VPN σχετίζεται με την ανωνυμία και την ασφάλεια. Οι άνθρωποι καταφεύγουν στη χρήση ενός VPN όταν θέλουν να κρύψουν την επισκεψιμότητά τους από τα άγρυπνα μάτια του παρόχου τους, να αντικαταστήσουν την πραγματική τους γεωγραφική θέση και ούτω καθεξής. Στην πραγματικότητα, αποδεικνύεται ότι η κίνηση μπορεί να «διαρρεύσει» στο δίκτυο στο σαφές, και αν όχι στο καθαρό, τότε η κρυπτογραφημένη κίνηση μπορεί να αποκρυπτογραφηθεί αρκετά γρήγορα. Όλα αυτά για άλλη μια φορά μας υπενθυμίζουν ότι δεν μπορούμε να βασιζόμαστε τυφλά σε ηχηρές υποσχέσεις. πλήρη ασφάλειακαι την ανωνυμία. Όπως λένε, εμπιστευτείτε, αλλά επαληθεύστε. Επομένως, να είστε προσεκτικοί και βεβαιωθείτε ότι η σύνδεσή σας VPN είναι πραγματικά ασφαλής και ανώνυμη.

Το τρέχον επίπεδο ανάπτυξης τεχνολογίας δεν απαιτεί πλέον από τον χρήστη να συνδέεται με έναν σταθερό κόμβο, ο οποίος, αφενός, είναι βολικός, αλλά από την άλλη, τον θέτει σε κίνδυνο. ασφάλεια πληροφοριών, τελικά ασύρματη σύνδεσηδικαίως θεωρείται σχεδόν το πιο ευάλωτο. Ωστόσο, αυτό το πρόβλημα μπορεί να λυθεί με τις σωστές ρυθμίσεις Ασφάλεια Wi-Fiδίκτυο και τη χρήση VPN, που μπορεί να αυξήσει σημαντικά το επίπεδο προστασίας.

Μέθοδοι προστασίας Δίκτυα Wi-Fiμπορούν να χωριστούν σε δύο κατηγορίες: σε αυτές που παρέχονται από τον ίδιο τον δρομολογητή και σε εκείνες που είναι ανεξάρτητες από σκεύη, εξαρτήματα. Αυτό περιλαμβάνει τη χρήση σύνδεσης VPN. Αξίζει να σημειωθεί αμέσως ότι το ίδιο το δίκτυο δεν αντιπροσωπεύει καμία αξία για τους επιτιθέμενους και επομένως μπορεί να ενδιαφέρει μόνο εκείνους που χρειάζονται Ελεύθερη πρόσβασηστο διαδίκτυο. Αλλά με τη βοήθειά του, μπορείτε επίσης να οργανώσετε την παρακολούθηση δεδομένων, καθώς και να χρησιμοποιήσετε πληροφορίες που είναι αποθηκευμένες σε συνδεδεμένους υπολογιστές.

Αξίζει να σημειωθεί ότι μόνο ένας κωδικός πρόσβασης δεν αρκεί για τον περιορισμό της πρόσβασης. Δεν αρκεί ακόμη και η προστασία του δικτύου από τους γείτονες. Υπάρχουν πολλές μέθοδοι hacking και οι πιο απλοί συνδυασμοί, οι οποίοι, παραδόξως, χρησιμοποιούνται πολύ πιο συχνά από τους σύνθετους, μπορούν απλά να επιλεγούν. Επομένως, αξίζει να αφιερώσετε λίγο χρόνο για να διασφαλίσετε ότι το δίκτυο Wi-Fi είναι πραγματικά ασφαλές και να μην βασίζεστε σε ένα σύνολο χαρακτήρων.

Προστασία του δικτύου σας Wi-Fi: βασικά βήματα

Το πρώτο πράγμα που πρέπει να κάνετε είναι να περιορίσετε τον χώρο εκπομπής του δρομολογητή. Τα περισσότερα μοντέλα παρέχουν αυτή την ευκαιρία και επομένως δεν πρέπει να την αμελήσετε. Αυτό θα περιορίσει σοβαρά την πρόσβαση για αγνώστους, γιατί, όταν σωστή ρύθμισηαυτή τη λειτουργία, θα πρέπει πρώτα να πάνε σε ένα διαμέρισμα ή γραφείο. Ωστόσο, αυτό δεν εγγυάται απόλυτη προστασία από το hacking.

Αλλο σημαντικό στάδιο- αλλαγή του προεπιλεγμένου SSID σε κάτι άλλο. Αυτό δεν εγγυάται καμία προστασία, αλλά μπορεί να περιπλέξει σοβαρά την αναζήτηση. το επιθυμητό δίκτυογια hacking και μην δίνετε στους εισβολείς πληροφορίες σχετικά με τις συσκευές που χρησιμοποιούνται. SSID (Αναγνωριστικό συνόλου υπηρεσιών) - ειδικό κωδικό, το οποίο σας επιτρέπει να αναγνωρίσετε τα μεταδιδόμενα δεδομένα. Ο χρήστης το χρησιμοποιεί ως όνομα του δικτύου, οπότε για να μείνει απαρατήρητος από τον εισβολέα, είναι λογικό να το αντικαταστήσει με κάτι που δεν σχετίζεται ούτε με την προσωπικότητα του ιδιοκτήτη ούτε με το όνομα της εταιρείας.

Η χρήση κρυπτογράφησης αυξάνει σημαντικά το επίπεδο προστασίας των μεταδιδόμενων δεδομένων. Τρεις τεχνολογίες χρησιμοποιούνται για αυτό: WEP, WPA και WPA2. Τα δύο πρώτα θεωρούνται ξεπερασμένα και ανασφαλή σήμερα δεν εγγυάται καμία προστασία. Επειδή η καλύτερη επιλογήείναι WPA2, ωστόσο, αξίζει να αλλάζετε τακτικά τα κλειδιά κρυπτογράφησης για να μην είναι δυνατή η επιλογή τους. Με τη μακροχρόνια παρακολούθηση, είναι δυνατή η συλλογή πληροφοριών και η ανάλυσή τους, γεγονός που καθιστά δυνατή, αργά ή γρήγορα, να δημιουργηθεί μια τρύπα στην ασφάλεια του δικτύου.

Θα πρέπει επίσης να δημιουργήσετε μια λίστα με διευθύνσεις MAC στις οποίες επιτρέπεται η πρόσβαση και να απενεργοποιήσετε τη δυναμική διανομή IP στις συσκευές σύνδεσης. Μετά από αυτό, οι κατανεμημένες διευθύνσεις θα πρέπει να προστεθούν στους πίνακες ARP για να τους δοθεί πρόσβαση στο δίκτυο.

Και μην ξεχάσετε τον κωδικό πρόσβασής σας! Ο συνδυασμός που χρησιμοποιείται πρέπει να περιλαμβάνει μέγιστο ποσότυχαία τακτοποιημένοι διάφοροι χαρακτήρες: αριθμοί, κεφαλαία και πεζά γράμματα, ειδικοί χαρακτήρες. Για παράδειγμα, αντί για "password" είναι καλύτερο να εκχωρήσετε "p@55w0Rd". Σε αυτή την περίπτωση, όσο περισσότερα σημάδια, τόσο το καλύτερο.

Χρήση σύνδεσης VPN για προστασία του δικτύου Wi-Fi

Ολα τις παραπάνω μεθόδουςείναι αρκετά αξιόπιστα, αλλά δεν εγγυώνται απόλυτη προστασία από την παραβίαση του δικτύου Wi-Fi και την υποκλοπή δεδομένων. Αργά ή γρήγορα, ένας επαρκώς έμπειρος χάκερ θα βρει έναν τρόπο να συνδεθεί και να μάθει, για παράδειγμα, πληροφορίες σχετικά με ηλεκτρονικές πληρωμές, η οποία είναι γεμάτη με απώλεια χρημάτων που είναι αποθηκευμένα σε λογαριασμούς. Για να αποφευχθεί αυτό, χρειάζονται οι μεταδιδόμενες πληροφορίες πρόσθετη προστασία. Υπάρχουν πολλοί διαφορετικοί τρόποι για να το εφαρμόσετε, συμπεριλαμβανομένης μιας σύνδεσης VPN μέσω ενός κρυπτογραφημένου καναλιού WPA2. Αυτή η επιλογή είναι ίσως η καλύτερη, καθώς δεν απαιτεί σημαντικές υλικές επενδύσεις, καμία ΕΙΔΙΚΕΣ ΓΝΩΣΕΙΣή βαρέως τύπου εξοπλισμό. Το VPN μπορεί να χρησιμοποιηθεί με επιτυχία σε έναν υπολογιστή χαμηλής κατανάλωσης, ο οποίος χρησιμοποιείται συχνότερα για την οργάνωση ενός χώρου εργασίας σε ένα γραφείο.

Το VPN είναι ένα πρόσθετο τμήμα της διαδρομής που ακολουθούν τα δεδομένα που αποστέλλονται ή ζητούνται, όπου είναι κρυπτογραφημένα. Ουσιαστικά, αυτό σημαίνει ότι τα πακέτα, πριν μπουν στο " μεγάλο διαδίκτυο”, μετατρέπεται σε ένα σύνολο κωδικών ακατανόητο σε όλους εκτός από τους βασικούς κατόχους, που εγγυάται την εμπιστευτικότητά τους ακόμη και σε περίπτωση υποκλοπής. Έτσι, τα δεδομένα, ακόμη και που μεταδίδονται μέσω δικτύων Wi-Fi, προστατεύονται από προσπάθειες τρίτων να τα χρησιμοποιήσουν.

Εκτός από τη δημιουργία του κατάλληλου επιπέδου ασφάλεια πληροφοριώνστο σπίτι ή στο γραφείο, ένα VPN μπορεί να είναι χρήσιμο και σε άλλες περιπτώσεις. Δεδομένου ότι είναι μια τεχνολογία πολλαπλών πλατφορμών, μπορεί να χρησιμοποιηθεί εξίσου αποτελεσματικά σε φορητό υπολογιστή, smartphone και tablet για να διασφαλιστεί ασφαλής χρήσηΔιαδίκτυο σε επαγγελματικά ταξίδια, επαγγελματικά ταξίδια ή διακοπές. Δεν είναι μυστικό ότι δημόσιο wifiΤα δίκτυα δεν παρέχουν καθόλου προστασία για τα μεταδιδόμενα δεδομένα. Ως εκ τούτου, πολλοί άνθρωποι τα χρησιμοποιούν μόνο για επείγουσες αναζητήσεις. απαραίτητες πληροφορίες, γιατί ακόμη και οι λογαριασμοί σε στα κοινωνικά δίκτυαΚαι ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗσε τέτοιες συνθήκες κινδυνεύουν από hacking.

Η χρήση μιας ασφαλούς σύνδεσης VPN καθιστά δυνατή την πλήρη χρήση των δικτύων Wi-Fi ενός ξενοδοχείου, αεροδρομίου, σιδηροδρομικού σταθμού ή καφέ χωρίς φόβο υποκλοπής πληροφοριών. Έτσι, ο χρήστης δεν χρειάζεται να διακινδυνεύσει την ασφάλεια των πληροφοριών.

Κατανοούμε τα βασικά της «ανωνυμίας» στο Διαδίκτυο.

Το άρθρο θα σας βοηθήσει να αποφασίσετε εάν χρειάζεστε συγκεκριμένα ένα VPN και να επιλέξετε έναν πάροχο, και θα σας ενημερώσει επίσης για τις παγίδες αυτής της τεχνολογίας και τις εναλλακτικές λύσεις σε αυτήν.

Αυτό το υλικό είναι απλώς μια ιστορία για VPN με μια επισκόπηση των παρόχων, που προορίζεται για γενική ανάπτυξηκαι επίλυση μικρών καθημερινών προβλημάτων. Πώς να πετύχετε πλήρης ανωνυμία online και 100% απόρρητο της κυκλοφορίας, δεν θα σας διδάξει.

Τι είναι ένα VPN;

Εικονικό ιδιωτικό δίκτυο(εικονικό ιδιωτικό δίκτυο) είναι ένα δίκτυο συσκευών που δημιουργείται πάνω από μια άλλη και μέσα στο οποίο, χάρη στις τεχνολογίες κρυπτογράφησης, δημιουργούνται ασφαλή κανάλια για ανταλλαγή δεδομένων.

Ο διακομιστής VPN διαχειρίζεται λογαριασμούς χρηστών σε αυτό το δίκτυο και χρησιμεύει ως σημείο εισόδου στο Διαδίκτυο για αυτούς. Η κρυπτογραφημένη κίνηση μεταδίδεται μέσω αυτού.

Παρακάτω θα μιλήσουμε για παρόχους που παρέχουν πρόσβαση σε διακομιστές VPN διαφορετικές χώρες. Αλλά πρώτα, ας καταλάβουμε γιατί είναι απαραίτητο;

Οφέλη από τη χρήση VPN

1. Αλλαγή «διεύθυνσης»

Σε ποιες περιπτώσεις ένας νομοταγής Ρώσος χρειάζεται διαφορετική IP;

2. Προστασία από μικρά κακά πνεύματα

Ένας πάροχος VPN δεν θα σας σώσει από τη δίωξη από τις αρχές, αλλά θα σας προστατεύσει από:

  • διαχειριστής δίκτυο γραφείωνπου μαζεύει βρωμιά πάνω σας ή απλά του αρέσει να διαβάζει γράμματα άλλων ανθρώπων.
  • Μαθητές που επιδίδονται στο να ακούν την κίνηση ενός δημόσιου σημείου WiFi.

Μειονεκτήματα της χρήσης VPN

Ταχύτητα

Ταχύτητα πρόσβασης στο Διαδίκτυο σε χρησιμοποιώντας ένα VPNο πάροχος μπορεί να είναι χαμηλότερος από ό,τι χωρίς αυτόν. Πρώτα απ 'όλα, αυτό αφορά δωρεάν VPN. Επιπλέον, μπορεί να είναι ασταθής: ανάλογα με την ώρα της ημέρας ή την τοποθεσία του επιλεγμένου διακομιστή.

Τεχνικές δυσκολίες

Ο πάροχος VPN ενδέχεται να αντιμετωπίσει διακοπές λειτουργίας. Ειδικά αν είναι μικρό και ελάχιστα γνωστό.

Το πιο συνηθισμένο πρόβλημα: το VPN αποσυνδέθηκε και δεν είπε σε κανέναν τίποτα. Απαραίτητη ίχνοςγια να διασφαλίσετε ότι η σύνδεσή σας έχει αποκλειστεί σε περίπτωση προβλημάτων με τον διακομιστή.

Διαφορετικά, θα μπορούσε να είναι έτσι: γράφετε θυμωμένα σχόλια στα άρθρα του συγκάτοικού σας, αλλά το VPN απενεργοποιείται αθόρυβα και η πραγματική IP εμφανίζεται στον πίνακα διαχείρισης, το χάσατε και ο γείτονάς σας το παρατήρησε και ετοιμάζει ένα σχέδιο εκδίκησης.

Φανταστική ανωνυμία

Οι πληροφορίες σχετικά με την επισκεψιμότητά σας κοινοποιούνται σε τρίτο μέρος. Οι πάροχοι VPN ερωτώνται συχνά σε συνεντεύξεις: "Αποθηκεύετε αρχεία καταγραφής;" Απαντούν: "Όχι, όχι, φυσικά όχι!" Κανείς όμως δεν τους πιστεύει. Και υπάρχουν λόγοι για αυτό.

ΣΕ συμφωνίες άδειας χρήσηςΠολλοί πάροχοι VPN δηλώνουν ανοιχτά ότι ο χρήστης δεν έχει το δικαίωμα να παραβιάζει πνευματικά δικαιώματα, να εκτελεί προγράμματα χάκερ, να στέλνει ανεπιθύμητα μηνύματα και σε περίπτωση παραβίασης, ο λογαριασμός του μπλοκάρεται χωρίς επιστροφή χρημάτων. Παράδειγμα: Όρος υπηρεσίας ExpressVPN. Από αυτό προκύπτει ότι ελέγχονται οι ενέργειες του χρήστη στο δίκτυο.

Και ορισμένοι έξυπνοι πάροχοι VPN, για παράδειγμα η Astrill, απαιτούν επιβεβαίωση μέσω SMS για ενεργοποίηση λογαριασμός(δεν λειτουργεί για ρωσικούς αριθμούς). Θέλετε να αποκρύψετε την IP σας και να κρυπτογραφήσετε την κυκλοφορία; Εντάξει, αλλά αφήστε τον αριθμό σας για παν ενδεχόμενο.

Και τα ερωτηματολόγια κατά την εγγραφή λογαριασμών είναι μερικές φορές ενοχλητικά με περιττές ερωτήσεις. Για παράδειγμα, γιατί χρειάζεται ένας πάροχος VPN ΤΑΧΥΔΡΟΜΙΚΟΣ ΚΩΔΙΚΟΣπρόσωπο? Αποστολή πακέτων για το νέο έτος;

Η ταυτότητα του χρήστη είναι επίσης Μπορείπροσδιορίζεται από τραπεζικές κάρτες(ή μέσω πορτοφολιών συστημάτων πληρωμών μέσω των οποίων αναπληρώνονται τα κεφάλαια εικονικές κάρτες). Ορισμένοι πάροχοι VPN δελεάζουν τους χρήστες αποδεχόμενοι κρυπτονομίσματα ως πληρωμή. Αυτό είναι ένα συν για την ανωνυμία.

Επιλογή υπηρεσίας VPN

Οι πάροχοι VPN είναι μια δεκάρα μια ντουζίνα. Εξάλλου, πρόκειται για μια κερδοφόρα επιχείρηση με χαμηλό εμπόδιο εισόδου. Εάν κάνετε μια τέτοια ερώτηση σε ένα φόρουμ, οι ιδιοκτήτες υπηρεσιών θα έρθουν τρέχοντας και θα σας βομβαρδίσουν με τις διαφημίσεις τους.

Για να σας βοηθήσει να επιλέξετε, δημιουργήθηκε ο ιστότοπος bestvpn.com, όπου δημοσιεύονται αξιολογήσεις και κριτικές παρόχων VPN.

Ας μιλήσουμε εν συντομία για καλύτερες υπηρεσίες VPN(σύμφωνα με το bestvpn.com) που διαθέτουν εφαρμογή για iOS.

ExpressVPN

96 πόλεις σε 78 χώρες. Εγγύηση επιστροφής χρημάτων 30 ημερών σε περίπτωση διακοπής της υπηρεσίας. Υπάρχουν εφαρμογές για OS X, Windows και Android. Μπορείτε να εργαστείτε με 5 συσκευές ταυτόχρονα.

Τιμή:από 9,99 $ έως 12,95 $ ανά μήνα (ανάλογα με την περίοδο πληρωμής).

Ιδιωτική πρόσβαση στο Διαδίκτυο

25 χώρες. Υπάρχουν εφαρμογές για OS X, Windows και Android. Μπορεί να λειτουργήσει με 5 συσκευές. Λεπτομέρειες στην ιστοσελίδα του έργου.

Τιμή:από 2,50 $ έως 6,95 $ ανά μήνα (ανάλογα με την περίοδο πληρωμής).

IP Vanish VPN

Περισσότερες από 60 χώρες. Υπάρχουν πελάτες VPN για Android, Windows, Mac, Ubuntu, Chromebook και δρομολογητές. Είναι δυνατή η εργασία με πολλές συσκευές ταυτόχρονα.

Αισιόδοξοι παρανοϊκοί

Πολύ ενδιαφέρον τέχνασμα μάρκετινγκ y . Προτείνουν την εκτέλεση κρυπτογραφημένης κίνησης όχι μέσω ενός, αλλά μέσω δύο ή τριών διακομιστών.

Η άποψή μου για αυτό το θέμα είναι η εξής: εάν ένα VPN χρειάζεται μόνο για να κρύψετε από ποια χώρα είστε, τότε δεν έχει νόημα. Αλλά αν υπάρχει πράγματι κάτι να κρύψει κανείς, τότε τι νόημα έχει να το μεταδώσει μέσω τριών ξένων διακομιστών ταυτόχρονα;

Εναλλακτικές

Κάτοχος διακομιστή OpenVPN

Βραχώδης κορυφή

Κυκλοφορία σε Δίκτυα Torμεταδίδεται μέσω πολλών ανεξάρτητων διακομιστών σε διαφορετικά σημείαγης σε κρυπτογραφημένη μορφή. Αυτό καθιστά δύσκολο τον προσδιορισμό της αρχικής διεύθυνσης IP του χρήστη. Αλλά η προειδοποιητική ιστορία του Ross Ulbricht (ιδιοκτήτης του Silk Road) μας υπενθυμίζει ότι οι αμερικανικές υπηρεσίες πληροφοριών είναι ικανές για πολλά πράγματα.

Πλεονεκτήματα:

  • Δωρεάν;
  • Πρόσβαση στο δίκτυο onion («σκοτεινό δίκτυο»). Υπάρχουν πολλοί ιστότοποι στους οποίους είναι προσβάσιμος μόνο από Tor Browser. Αυτές είναι οι δικές τους μηχανές αναζήτησης (γραμμάρια), καταστήματα, βιβλιοθήκες, ανταλλακτήρια κρυπτονομισμάτων, συστήματα συμφραζόμενη διαφήμιση, Onion Wiki. Αλλά για έναν νομοταγή Ρώσο δεν υπάρχει τίποτα ενδιαφέρον σε αυτό το δίκτυο.

Μειονεκτήματα:

  • Αργή ταχύτητα.

Τι πιστεύει η Roskomnadzor;

Οι υπάλληλοι του τμήματος είναι εξαιρετικά δυσαρεστημένοι με το γεγονός ότι οι Ρώσοι προσπαθούν να διατηρήσουν την ανωνυμία τους στο Διαδίκτυο. Πρόσφατα, ένας εκπρόσωπος της Roskomnadzor τηλεφώνησε χρήστες Tor«κοινωνικά αποβράσματα» και η ίδια η υπηρεσία υποστηρίζει την απαγόρευση των ανωνυμοποιητών. Αλλά οι Ρώσοι δεν ακούνε παρόμοιες απόψεις. Ο Egor Minin (ιδρυτής του RuTracker) ισχυρίζεται ότι οι μισοί από τους χρήστες του πόρου του ξέρουν πώς να παρακάμπτουν τον αποκλεισμό.

συμπεράσματα

Αυτό το άρθρο έχει όλα όσα χρειάζεστε για να ξεκινήσετε να χρησιμοποιείτε παρόχους VPN και δεν έχετε αυταπάτες γι 'αυτούς. Πώς όμως μπορείτε να επιτύχετε πλήρη ανωνυμία στο Διαδίκτυο;



Προτείνουμε άλλα άρθρα
Twitch: τι είναι και πώς λειτουργεί;
Twitch: τι είναι και πώς λειτουργεί;
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο
Προγραμματισμός μικροελεγκτών AVR για αρχάριους Προγραμματισμός ελεγκτών avr για αρχάριους
Προγραμματισμός μικροελεγκτών AVR για αρχάριους Προγραμματισμός ελεγκτών avr για αρχάριους