[ad_1]

تونل ساخته شده از یک و صفر.

فروشنده حریم خصوصی Windscribe اعلام کرد که نتوانسته است سرورهای VPN شرکتی را که اخیراً توسط مقامات اوکراین مصادره شده است رمزگذاری کند ، این روزنه ای است که به مقامات اجازه می دهد از سرورهای Windscribe جعل کنند و ترافیکی را که از طریق آنها عبور می کند ضبط و رمزگشایی کنند.

این شرکت مستقر در انتاریو ، کانادا در اوایل ماه جاری گفت که به عنوان بخشی از تحقیقات یک سال قبل ، دو سرور میزبان در اوکراین توقیف شده اند. سرورهایی که نرم افزار OpenVPN VPN را اجرا می کردند نیز پیکربندی شده اند تا از تنظیماتی استفاده کنند که در سال 2018 پس از تحقیقات امنیتی آسیب پذیری هایی را که می تواند به مخالفان اجازه رمزگشایی داده ها بدهد ، پس گرفته شد.

سخنگوی Windscribe در پست 8 ژوئیه نوشت: “دیسک موجود در این دو سرور دارای گواهی سرور OpenVPN و کلید خصوصی آن است.” “اگرچه ما در مناطق بسیار حساس سرورهای رمزگذاری شده داریم ، اما سرورهای مورد بحث پشته ای قدیمی دارند و رمزگذاری نشده اند. ما در حال حاضر برنامه خود را برای حل این مسئله اجرا می کنیم. “

ضمانت ها رد شده است

پذیرش Windscribe خطرات ناشی از انفجار خدمات VPN در سال های اخیر را برجسته می کند ، بیشتر مشاغلی که افراد کمی قبل از آن شنیده اند. افراد از VPN استفاده می کنند تا تمام ترافیک اینترنتی خود را به یک تونل رمزگذاری شده هدایت کنند تا از خواندن یا جعل داده ها یا کشف آدرس های IP هر دو طرف ارتباط برقرار شده توسط افراد متصل به همان شبکه جلوگیری کنند. سپس سرویس VPN ترافیک را رمزگشایی کرده و به مقصد نهایی خود می فرستد.

با پیروی نکردن از روش های استاندارد صنعت ، Windscribe تا حد زیادی این تضمین های امنیتی را انکار می کند. در حالی که این شرکت سعی کرده است با تعیین الزاماتی که یک مهاجم باید برای موفقیت داشته باشد ، تأثیرات خود را کاهش دهد ، این شرایط دقیقاً همان مواردی است که VPN ها برای محافظت در برابر آنها طراحی شده اند. به طور خاص ، Windscribe گفت که شرایط و عواقب بالقوه آن عبارتند از:

  • مهاجم کنترل شبکه شما را دارد و می تواند کلیه ارتباطات را رهگیری کند (موقعیت ممتاز حمله MITM)
  • شما از یک مبدل DNS قدیمی استفاده می کنید (ترافیک DNS ارثی رمزگذاری نشده و تحت MITM است)
  • مهاجم توانایی دستکاری سوالات رمزگذاری نشده DNS شما را دارد (سوابق DNS که برای انتخاب آدرس IP یکی از سرورهای ما استفاده می شود)
  • شما هستید نه با استفاده از برنامه های Windscribe (برنامه های ما از طریق IP و نه سوابق DNS متصل می شوند)

تأثیر بالقوه بر مصرف کننده اگر همه شرایط فوق درست باشد:

  • مهاجم قادر به مشاهده ترافیک رمزگذاری نشده در تونل VPN شما خواهد بود
  • تماس های رمزگذاری شده مانند ترافیک وب HTTPS یا سرویس های پیام رمزگذاری شده تحت تأثیر قرار نمی گیرند
  • مهاجم قادر به دیدن منبع و مقصد ترافیک خواهد بود

مهم است که به یاد داشته باشید که:

  • بیشتر ترافیک اینترنت در تونل VPN شما رمزگذاری شده است (HTTPS)
  • هیچ ترافیکی تاریخی به لطف PFS (کاملاً مخفی رو به جلو) در معرض خطر نیست ، که از رمزگشایی ترافیک تاریخی جلوگیری می کند ، حتی اگر شخص دارای کلید خصوصی سرور باشد
  • سایر پروتکل های پشتیبانی شده توسط سرورهای ما تحت تأثیر قرار نمی گیرند ، فقط OpenVPN

سه سال تأخیر

علاوه بر عدم رمزگذاری ، این شرکت همچنین از فشرده سازی داده برای بهبود عملکرد شبکه استفاده می کند. تحقیقات ارائه شده در کنفرانس امنیتی کلاه سیاه در لاس وگاس در سال 2018 ، حمله ای موسوم به Voracle را نشان داد که از ردپای باقی مانده در فشرده سازی برای رمزگشایی داده های محافظت شده VPV بر اساس OpenVPN استفاده می کند. چند ماه بعد ، OpenVPN این ویژگی را لغو کرد.

سازنده ابزار حریم خصوصی گفت که در حال طراحی مجدد پیشنهاد VPN خود برای تأمین امنیت بهتر است. این تغییرات شامل موارد زیر است:

  • استفاده از مجوز صدور گواهینامه OpenVPN فعلی خود را به نفع دستگاه جدیدی که “بهترین روشهای صنعت را دنبال می کند ، از جمله استفاده از یک سازمان صدور گواهینامه متوسط ​​(CA)” را متوقف کنید.
  • انتقال همه سرورها برای کار به عنوان سرور در حافظه بدون پشتیبانی از دیسک سخت. این بدان معناست که تمام داده هایی که ماشین ها حاوی یا تولید می کنند فقط در حافظه RAM زندگی می کنند و پس از خاموش شدن یا راه اندازی مجدد دستگاه نمی توان به آنها دسترسی داشت.
  • اجرای نسخه تقسیم شده Wireguard به عنوان پروتکل اصلی VPN.
  • برای به کار انداختن سرورهای VPN ، حتی اگر اختلال کامل در زیرساخت های اساسی وجود داشته باشد ، “باطری اعتبار سنجی الاستیک” را پیاده سازی کنید.
  • ویژگی های برنامه جدید مانند امکان تغییر آدرس های IP بدون قطع اتصال ، درخواست آدرس IP خاص و ایستا و “قوانینی برای چندین مشتری ROBERT را که در هیچ پایگاه داده ای ذخیره نشده اند” فعال کنید.

مدیر عامل شرکت Windscribe ، یگور ساک ، در یک ایمیل مراحل شرکت خود را گسترش داد. آنها عبارتند از:

1. کلیه کلیدهای مورد نیاز برای عملکرد سرور دیگر به طور دائمی در هیچ یک از سرورهای ما ذخیره نمی شوند و پس از راه اندازی فقط در حافظه وجود دارند.

2. همه سرورها دارای گواهینامه ها و کلیدهای کوتاه مدت منحصر به فرد تولید شده توسط CA جدید ما هستند که می چرخند

3. هر گواهینامه سرور دارای شناسه های منحصر به فرد Common Name + SAN است

4- پیکربندی های جدید سرویس گیرنده OpenVPN نیاز به بررسی نام گواهی در سرور X509 با استفاده از یک نام مشترک منحصر به فرد دارد.

او به طور غیرمعمولی در مورد این نشت صادق بود و نوشت:

در ضمن ، از این حذف عذرخواهی نمی کنیم. اقدامات امنیتی که باید انجام می شد اینگونه نبود. پس از ارزیابی تهدید ، ما معتقدیم که نحوه برخورد و توصیف آن در مقاله ما بهترین راه برای پیشبرد است. این ، ضمن پرداختن به سناریوی فرضی شفاف ناشی از تشنج ، تا آنجا که ممکن است تعداد کاربران را تحت تأثیر قرار دهد. هیچ داده ای از کاربر در معرض خطر نبوده یا در معرض خطر نیست (بردار حمله ، برای استفاده از کلیدها ، به مهاجم نیاز دارد تا کنترل کامل بر شبکه قربانی را با چندین پیش شرط ذکر شده در مقاله بالا داشته باشد). از شرایط فرضی مشخص شده دیگر نمی توان استفاده کرد ، زیرا روند نهایی غروب خورشید CA هفته گذشته در 20 ژوئیه به پایان رسیده بود.

مشخص نیست که این سرویس چند کاربر فعال دارد. با این حال ، برنامه اندروید این شرکت بیش از 5 میلیون نصب را نشان می دهد ، که نشان می دهد پایگاه کاربر زیاد است.

توقیف سرورهای Windscribe اهمیت بهداشت اساسی VPN را تأکید می کند ، شرکت نتوانست آن را رعایت کند. این ، به نوبه خود ، خطرات ایجاد شده در هنگام اعتماد مردم به خدمات كم شناخته شده یا تأیید نشده را برای محافظت از استفاده از اینترنت در برابر چشم فضولی تأكید می كند.

[ad_2]

منبع: tarjome-news.ir