Kompresija i VPN-ovi stvaraju tajne koje su procurile

LAS VEGAS— Virtualne privatne mreže (VPN) namijenjene su zaštiti vaših podataka od znatiželjnih očiju, a algoritmi kompresije namijenjeni su smanjenju datoteka na veličinu kojom se lakše upravlja.



zavist x360 vs specter x360

Black Hat Bug ArtObje su važne tehnologije, ali kao što je istraživač sigurnosti Ahamed Nafeez pokazao na sigurnosnoj konferenciji Black Hat ovog tjedna, kada se kombiniraju, mogu procuriti tajne s vašeg računala. Odnosno, ako još uvijek koristite HTTP.

Prvo, malo o kompresiji

Računala su općenito lakši za rukovanje manjim datotekama, osobito kada ih pokušavate poslati ili pohraniti. enkripcija je stvorila priliku za izdvajanje informacija. Sjećate li se kako algoritmi kompresije zamjenjuju ponovljene informacije kratkim kodovima? Compression Oracle Attack to koristi praćenjem veličine podataka koji su šifrirani.





Veličinu šifriranih podataka, objasnio je Nafeez, vrlo je teško sakriti. Dakle, šaljete obične tekstualne informacije u podatke prije kompresije i šifriranja. Činite to iznova i iznova dok ne vidite da veličina šifriranih podataka pada. Kada se to dogodi, znate da je sve što ste poslali u otvorenom tekstu već bilo u podacima prije nego što je šifrirano. To je dosadno, učinkovito je grubo prisiljavanje i zahtijeva sposobnost ne samo da se vide podaci nakon što su šifrirani, već i da se ubrizgaju informacije otvorenog teksta prije kompresije. Ali radi.

Oracle, upoznajte Voraclea

Naoružan tim znanjem, Nafeez je pogledao hoće li sličan napad funkcionirati s VPN-ovima. VPN radi stvaranjem šifriranog tunela između vašeg računala i poslužitelja kojim upravlja VPN. Usmjeravanjem svih vaših podataka kroz taj tunel, špijuni ili davatelji internetskih usluga (ISP-ovi) ne mogu vidjeti što radite, a pomaže sakriti vaš identitet čineći da se čini da vaš promet dolazi s VPN poslužitelja, a ne s vašeg računala. .



Potpuno otkrivanje: recenziram VPN-ove za Garon i preferiram OpenVPN jer je otvorenog koda i ima reputaciju brzine i pouzdanosti. Također sam pregledao neke od ovdje spomenutih proizvoda.

Nafeez je primijetio da OpenVPN, popularni VPN protokol, ima kompresiju omogućenu prema zadanim postavkama. To koristi nekoliko VPN tvrtki, od kojih mnoge, rekao je Nafeez, ostavljaju kompresiju uključenom prema zadanim postavkama. U istraživanju koje je predstavio na Black Hatu, Nafeez nije koristio VPN koji pruža VPN tvrtka poput TunnelBear ili NordVPN (79 USD za 2-godišnji plan - uštedite 72% ove blagdanske sezone na NordVPN-u). Umjesto toga, koristio je OpenVPN kod i napravio svoj.

Nafeez je svoj napad nazvao Voracle, djelomično iz počasti svom omiljenom bendu. Dao je demo na pozornici koristeći dvije različite web stranice. Jedan je kreirao nasumični ID sesije kolačića. Drugi je koristio Compression Oracle napad za brute-force brojeva u svom ID-u sesije. Aktivirao je OpenVPN vezu i potvrdio da je to doista komprimiranje podataka. Nakon što je stvorio novi ID sesije, kliknuo je gumb na zlonamjernoj stranici. Jedan po jedan, brojevi su se pojavljivali na ekranu sve dok, prije! Pojavio se cijeli ID sesije.

Nemojte se izluđivati

VPN upozorenje

Iako je izvanredno, postoje neka ograničenja za Voracle napad. Kao prvo, posebna neobica Chromea značila je da napad radi samo u Firefoxu ili drugim preglednicima. Nafeez je također morao koristiti HTTP na svojoj zlonamjernoj stranici, umjesto sigurnijeg HTTPS-a. Napad jednostavno neće raditi ako se koristi HTTPS. Ovo je također precizan napad, što je značilo da će, ako se propusti previše paketa, Nafeez dobiti samo neželjene podatke.

Preporučeno od strane naših urednika

Što je VPN? Što je VPN i zašto vam treba Kako postaviti i koristiti VPN Kako postaviti i koristiti VPN

Nafeez je također trebao znati koji točno izraz cilja. Riječi 'sessionID=' nakon kojih slijede različiti cijeli brojevi moraju se ubaciti kako bi algoritam kompresije radio. S jedne strane, to ograničava opseg napada. S druge strane, Nafeez je istaknuo da se može koristiti za različite scenarije u kojima napadač traži određene podatke. Nije ograničeno na konkretan slučaj upotrebe.

Najveće ograničenje je, naravno, to što zahtijeva da žrtva posjeti stranicu s HTTP-om umjesto HTTPS-om. Google se nekoliko godina kretao prema označavanju HTTP stranica kao nesigurnih – prijelaz koji je bio veliki dio glavnog govora Black Hat 2018. To je zauzvrat gurnulo web prema tome da konačno prihvati ovaj sigurniji standard.

Što se tiče podešavanja VPN-ova kako bi bili sigurniji, Nafeez je imao različit uspjeh. OpenVPN je odlučio za sada zadržati kompresiju prema zadanim postavkama, unatoč tome što je podnio prijedlog da uključi samo kompresiju. Imao je više sreće s nekim od dobavljača VPN-a. U svom govoru, Nafeez je rekao da je TunnelBear VPN (79 USD za 2-godišnji plan - uštedite 72% ove blagdanske sezone na NordVPN-u) zapravo uklonio kompresiju na svojim sustavima nakon što im je otkrio problem.

'Ovo smo slušali dugo vremena', rekao je Nafeez. 'Premjesti na HTTPS.' Također je imao nekoliko riječi oprosta za VPN tvrtke, rekavši: 'Kao davatelj VPN-a, ako možete imati način da onemogućite kompresiju [...] to bi bilo sjajno.'

Nastavite čitati Garon.com za više priča izravno s konferencije Black Hat 2018.

Preporučeno