Meghackelhetők a VPN-ek? Mélyebb betekintést nyertünk a témába

Átnézzük a VPN-ek jellemzőit, illetve, hogy milyen kiaknázható sebezhetőségekkel rendelkeznek a hackerek számára.

Mi a VPN?

A Virtuális Magánhálózat (VPN) lehetővé teszi egy biztonságos virtuális csatorna készítését az Interneten keresztül, egy másik hálózathoz vagy készülékhez. Ha egy virtuális csatornán keresztül férünk hozzá az Internethez, akkor megbonyolítjuk mások számára – beleértve az ISP-nket – hogy szaglásszon a böngészési tevékenységeink után.

A VPN-ek segítenek elrejteni a lokalizációnkat bárhol a világon és feloldani a földrajzilag blokkolt szolgáltatásokat. A VPN-ek megvédelmezik az üzenetek adatainak bizalmas kezelését (az adatok titokban maradhatnak) és integritását (az adatok változatlanok maradhatnak), miközben az a nyilvános Interneten vándorol.

A felhasználók először kapcsolódnak az internethez egy ISP-n keresztül, majd elindítanak egy VPN kapcsolatot egy  VPN szerverrel, ami egy (lokálisan installált) kliens szoftvert használ. A VPN szerver lekéri a kért weboldalakat és visszatér a felhasználókhoz a titkos csatornán keresztül; biztosítva a felhasználói adatok titkosítását és adatvédelmét az Interneten keresztül.

Hogyan működik a VPN-es titkosítás?

A VPN protokoll egy elfogadott eszközkészlet az adatátvitelre és titkosításra. A legtöbb VPN szPN protokoll közül választhassanak. A leginkább használt protokollok közé tartoznak: a Point to Point Tunnelling Protocol (PPTP), a Layer Two Tunnelling Protocol (L2TP), az Internet Protocol Security (IPSec) és az OpenVPN (SSL/TLS).

Hogy teljesen megérthessük, miként védelmezi meg egy VPN az adatainkat, egy kissé mélyebbre kell ásnunka titkosítás tudományában. A VPN-ek egy “titkosításként” ismert technikát használnak, hogy az olvasható adatainkat (egyszerű szöveg) teljesen olvashatatlanná tegyék (rejtjeles szöveg) bármely személy számára, aki megpróbálná felfogni ezeket, miközben az Interneten keresztül utaznak. Egy algoritmus vagy rejtjel diktálja, hogy a titkosítás és kikódolás folyamat miként teljesül a VPN protokollokban. A VPN protokollok ezeket a kriptográfiai algoritmusokat használják, hogy elhomályosítsák az adatainkat, hogy privátan és bizalmasan kezelhessük a böngészési tevékenységünket.

Ezen VPN protokollok mindegyikének megvannak az erősségei és gyengeségei, a bennük megvalósuló kriptográfiai algoritmustól függően. Némely VPN szolgáltató megadja a felhasználók számára a lehetőséget, hogy különböző rejtjelek közül választhassanak. Az algoritmus vagy rejtjel a következő három klasszifikáció bármelyikén alapulhat: szimmetrikus, aszimmetrikus és hasítófüggvény.

A szimmetrikus titkosítás egy kulcsot használ az adatok zárolásához (titkosítás) és egy másikat a feloldásukhoz (dekódolás). Az aszimmetrikus titkosítás két kulcsot használ, egyet az adatok zárolásához (titkosítás) és a másikat az adatok feloldásához (dekódolás). Az alábbi táblázat egy összefoglalás a szimmetrikus és aszimmetrikus titkosításról.

Attribútum Szimmetrikus Aszimmetrikus
Kulcsok Egy kulcs kerül megosztásra több entitás között Egyik entitásé a nyilvános kulcs, a másiké a privát kulcs
Kulcscsere Titkos mechanizmust igényel a kulcsok küldéséhez és fogadásához A privát kulcs egy tulajdonos által megtartott titok, míg a nyilvános kulcs bárki számára elérhető
Sebesség Kevésbé komplex és gyorsabb Jóval komplexebb és lassabb
Erősség Kevésbé nehéz feltörni Nehezebb feltörni
Méretezhetőség Jobb méretezhetőség
Használat Tömeges titkosítás t.i. minden Csak kulcs elosztás és digitális aláírások
Kínált Biztonsági szolgáltatás  Bizalmas kezelés Bizalmas kezelés, autentikáció és letagadhatatlnaság
Példák DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 és RC6 RSA, ECC, DSA, és Diffie-Hellman

Az aszimmetrikus kriptográfia a megoldás a szimmetrikus kriptográfiában rejlő korlátozásokra (ahogy azt a fenti táblázat is mutatja). Whitfield Diffie és Martin Hellman az első olyan csoport volt, ami a Diffie-Hellman aszimmetrikus algoritmus kifejlesztésével kívánta pótolni ezen hiányosságokat.

Ez egy népszerű kriptográfiai algoritmus, ami alapul szolgál számos VPN protokollhoz, beleértve a HTTPS, SSH, IPsec és OpenVPN protokollokat. Az algoritmus lehetővé teszi, hogy két résztvevője, amelyek soha nem találkoztak még, megegyezzenek egy titkos kulcsban – még ha olyan titkosítatlan nyilvános csatornán is kommunikálnak, mint az Internet.

A Hashing egy egyirányú (irreverzibilis) titkosítás, ami az átvitt adatok integritásának védelmére használatos. A legtöbb VPN protokoll hashing (hasítófüggvény) algoritmusokat használ a VPN-eken keresztül küldött üzenetek hitelességének igazolására. A példák közé tartoznak az MD5, SHA-1 és SHA-2. Az MD5 és az SHA-1 sem mondhatók biztonságosnak többé.

A VPN-ek feltörhetőek, de nehéz dolga van a hackereknek. Szignifikánsan nagyobb az esélye, hogy VPN használat nélkül esünk hackertámadás áldozatává, mint hogy VPN használattal.

Bárki ténylegesen feltörhet egy VPN-t?

A VPN-ek az egyik leghatékonyabb módszerek az online adatvédelem fenntartására. Mindazonáltal, fontos megjegyezni, hogy nagyjából minden meghackelhető, különösen, ha nagyértékű célpontok vagyunk és az ellenségünknek sok ideje, energiája és forrása van mindehhez. A jó hír, hogy a legtöbb felhasználó nem esik bele a “nagyértékű” kategóriába, ezért valószínűtlen, hogy kiválasztásra kerülnek.

Egy VPN kapcsolat meghackelése magában foglalja a titkosítás feltörését, az ismert sebezhetőségek kihasználásával vagy a kulcs ellopását bizonyos piszkos eszközökkel. A kriptográfiai támadásokat hackerek és kriptográfusok használják, hogy kulcs nélkül helyreállítsák az egyszerű szöveget a titkosított verziójukból. Habár a titkosítás feltörése számítási szempontból energia és időigényes és akár néhány évig is eltarthat.

Az erőfeszítések többsége rendszerint magában foglalja a kulcsok ellopását, ami jóval egyszerűbb, mint a titkosítás feltörése. Ez az, amit a kém ügynökségek tipikusan csinálnak, amikor ilyen kihívásokkal kerülnek szembe. Az ebben való sikerük kulcsa nem a matematika, hanem a technikai trükkök, a számítástechnikai teljesítmény, csalások, bírósági végzések és mögöttes jelenetek eredménye. A titkosítás mögött álló technika hihetetlenül erős matematikai alapokkal  és számítógépes komplexitással rendelkezik.

Létező VPN-es sebezhetőségek és ezek kiaknázása

A híres amerikai kinyilatkoztató Edward Snowden és egyes biztonsági kutatók bejelentései alapján az USA-beli kém ügynökség (NSA) törte fel a titkosítást a potenciálisan nagymennyiségű internetes forgalom mögött, beleértve a VPN-eket. A Snowden dokumentumok azt mutatják, hogy az NSA VPN dekódoló infrastruktúrája magában foglalja a titkosított struktúrák elfogását és néhány adat erős számítógépekhez juttatását, amelyek azután visszafordítják a kulcsot.

A biztonsági kutató Alex Halderman és Nadia Heninger egy meggyőző kutatást prezentált, ami azt sugallja, valójában az NSA fejlesztette ki a képességet nagyszámú HTTPS, SSH és VPN forgalom dekódolására, egy Logjam nevű támadásban, a Diffie-Hellman algoritmus végrehajtásával.

A sikerük a Diffie-Hellman algoritmus kivitelezésének gyengeségeinek kiaknázásán alapult. A gyengeség abban gyökerezett, hogy a titkosítási szoftver egy standardizált prímszámot használt a kivitelezése során. A kutatók úgy becsülték, hogy körül-belül egy évet és pár száz millió dollárt venne igénybe, hogy felépítsenek egy erős számítógépes rendszert, ami képes lehetne egy egyszerű 1024 bites Diffie-Hellman prímmel dolgozni (ami jócskán belül van az  NSA éves büdzséjén).

Sajnos, úgy történt, hogy csupán néhány prímszámot alkalmaznak (kevesebb mint 1024 bitet) rendszeresen a valóéletbeli alkalmazás-titkosításokban, mint a VPN – ami egyszerűbbé teszi a feltörését. Bruce Schneier szerint,  “a matematika jó, de a matematikának nincs ügynöksége. A kódnak van ügynöksége és a kód már fel lett forgatva”.

Miért kell mégis VPN-t használnia?

A szolgáltatók számára, a kutatócsoport a 2048-vagy több bites Diffie-Hellman kulcsok használatát ajánlja és nyilvánosságra hoztak egy útmutatót is, a TLS-hez telepítéséhez. Az Internet Engineering Task Force (IETF) a protokollok legújabb verzióinak használatát ajánlja, ami hosszabb prímszámokat igényel.

A kémek képesek lehetnek az 1024 bit-ig (körül-belül 309 jel) terjedő hosszú Diffie-Hellman kulcsokban használatos prímek feltörésére. A 2048-bites kulcsok prímei igazi fejfájást jelentenek majd számukra, ami azt jelenti, hogy a kémek nem lesznek képesek dekódolni az ilyen kulcsokkal régóta biztosított adatokat.

Ugyan az igaz, hogy a kém ügynökségek kizsákmányolják a VPN-eket és más titkosítási protokollokat, amelyeket  azok a titkos forgalmak célba juttatására használnak, mégis jóval inkább védve vagyunk ezek használatával, mintha tiszta szövegekkel kommunikálnánk. A számítógépünk veszélyeztetése időbe és pénzbe kerülhet – ez teszi drágává a módszereiket. Minél kevésbé kézenfekvőek az adatink, annál nagyobb biztonságban vagyunk.

Edward Snowden szerint, “A titkosítás működőképes. A megfelelően végrehajtott erős kripto rendszerek a néhány olyan módszer egyike, amelyekre hagyatkozhatunk.” Amennyire lehet, kerüljük el az olyan VPN-ek használatát, amelyek elsősorban MD5 vagy SHA-1 hasító algoritmusokon és PPTP vagy L2TP/IPSec protokollokon alapulnak. Azokat használjuk, amelyek az OpenVPN jelenlegi verzióit támogatják (ezeket extrém biztonságosnak gondolják) vagy az SHA-2-t. Ha bizonytalanok lennénk afelől, hogy a VPN-ünk milyen algoritmust használ, hivatkozzunk a VPN dokumentációjára vagy vegyük fel a kapcsolatot az ügyfélszolgálattal.

A VPN a barátunk. Bízzunk meg a titkosításban és a matematikában. Maximalizáljuk a használatát és tegyünk meg mindent, hogy garantáljuk, hogy a végpontunk is biztosítva legyen. Ez az útja a biztonságban maradásunknak, még akkor is, ha a titkosított kapcsolatokkal szembeni erőszak már megtörtént.

Hasznos volt? Oszd meg!