Когда VPN сливает твой IP

VPN — вещь в хозяйстве полезная. Но поднять и грамотно настроить VPN может далеко не каждый сисадмин Linux. Спецы по кибербезопасности проверили популярные коммерческие VPN-сервисы и ужаснулись: каждый пятый анонимайзер сливает IP клиентов.

Как удалось установить экспертам, дело тут не в злонамеренности поставщиков услуг VPN, а в их рукожопии. Неправильно настроенные сервисы на стороне сервера и непонимание клиентом основ безопасности приводит к печальной ситуации — клиент платит за воздух и сильно рискует, ведь пребывает в уверенности, что его IP установить невозможно, тогда как на самом деле заинтересованные лица IP видят. А потом приходят миллионные иски от копирастов, а то и люди в погонах.

Основная дырка, позволяющая деанонимизировать поциента, заключается в специфике службы WebRTC. Технология позволяет устанавливать соединения между двумя браузерам, в обход web-сервера. Если соединение с сервером осуществляется через VPN и сервер видит только внешний IP клиента, а не реальный, то WebRTC + немного кода на JavaScript позволяют слить реальный адрес третьей стороне. Самое удивительное, что такая деанонимизация работает не только в отношении VPN-сервисов, но и для TOR. Если пациент спрятался за Тором, но забыл отключить в браузере WebRTC, то его реальный IP тоже виден компетентным органам.

Проверь своего провайдера VPN на вшивость тут.

Ваша оценка: Нет Средняя оценка: 4.4 (7 votes)
6

Но если, в том же браузере с поддержкой WebRTC "накидать левых" расширений, то в 50% случаев, пользователь гарантированно (своими ручками), снизит дефолтовые методы защиты до нуля!

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
2

В Лису, в Оперу и в Хром можно установить расширение WebRtc control. Это расширение отключает WebRtc и защищает от утечки информации.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
2

Ну, как раз дыра в webrtc уже более-менее закрыта, и, кстати, попасть в неё было не так-то просто.

Идея в том, что браузер пытается установить P2P соединение по *всем* сетевым карточкам, как по tun0, так и по eth0. И вот если с тобой в одной и той же локальной сети сидит атакующий -- таки да, тебе хана.

То есть реальных векторов два:
- Намеренная разработка конкретной цели со стороны Глобального Наблюдателя (это такой эфмеизм будет, да?) ).
- Массовое сканирование со стороны провайдеров (им-то зачем? Они и так могут корреляцию между твоим IP и VPN построить, тупа по логам)

А вот тот факт, что любая программа (включая: твой торрент клиент, расширение к браузеру и прочий другой malware, который тебе поставили ребята из No Such Agency) реально подвергает тебя угрозе -- так то чистая правда.

Ваша оценка: Нет Средняя оценка: 3.3 (3 votes)
2

Кстати, раз уж о безопасности речь пошла.

Может быть liberatum наконец-то SSL запилит уже? А то 21-й век на дворе.

Ваша оценка: Нет Средняя оценка: 2.7 (3 votes)
2
stop-kran

А зачем? Я не боюсь, что мой аккаунт на Либератуме взломают. Денег я тут не храню.

И, кстати, раз уж о 21-м веке речь пошла, обезьянничать люди научились гораздо раньше (другой причины для установки SSL на этом сайте я не вижу).

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

А какую конкретно проблему это позволит решить? У нас же новостной сайт. Причем бесплатный новостной сайт.

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
2

У нас же новостной сайт.

С обязательной регистрацией для прочтения полных версий статей

А какую конкретно проблему это позволит решить?

Ну нифига себе... мне правда надо читать лекцию "почему не использовать SSL в 21 веке --
это преступление"??

Как минимум -- проблему ввода моего -- приватного! -- логина с паролем. Тот факт, что он уникален для этого сайта (я же не совсем пентюх по HTTP отправлять хоть что-то ценное?) погоды не делает.

Еще это решает проблему того, что мои *исходящие* посты может читать любой желающий (например, мой провайдер). И если SSL включён, то товарищ майор знает, что я регулярно пишу на либератум (и это всё), а если выключен -- то он еще и знает *что именно* я пишу.

Вообще, статья "Why HTTPS Matters" (гуглится на раз) весьма полезна к прочтению

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
11
pomodor

1. Вы серьезно полагаете, что за вашим аккаунтом на новостном сайте идет охота?

2. Товарищ майор может воспользоваться законодательной процедурой и получить ваш IP даже в случае использования SSL. SSL не имеет отношения к обеспечению анонимности. Нужна анонимность — следует воспользоваться цепочкой VPN, но даже в этом случае отдавать себе отчет в том, что захотят — найдут.

3. Пароли на новостном сайте нужны для одной цели — чтобы один юзер в каментах не выдавал себя за другого. Защиты от внешних угроз они не предоставляют.

Ваша оценка: Нет Средняя оценка: 3 (4 votes)
2

Капец. Отмазки вида "мне плевать на вашу безопасность, дорогие посетители, потому что мне кажется, что на вас всем посрать".

Ровно из-за таких как Вы интернет и не является безопасным местом до сих пор.

Ваша оценка: Нет Средняя оценка: 3.4 (5 votes)
11
pomodor

Уважаемый теоретик, я повторяю свой вопрос: сколько у вас украли паролей на Либератуме? ;)

И не надо мне приписывать свой бред. Мне не плевать на безопасность, но надрачивают на зеленые замочки только ламеры, которые ничего не понимают в вопросах безопасности. Обчитаются всякой дряни от фирм, продающих воздух сертификаты за по $100, а потом лезут всех учить безопасности. ;)

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
2

1. Сертификаты (уже 4 года как) выдаёт letsencrypt совершенно бесплатно.

2. Еще раз: дело не в "зеленых замочках".

3. Загуглите, пожалуйста, статью "Why HTTPS Matters" и прочтите её. Ссылку не дам, так как парсер ругается. Эту статью, правда, всякие ламеры из компании Google написали, понятно, что их мнение никого не интересует =)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

Теоретик только может кивать на чужие статейки, в которые верит как в бога? Еще раз: какую реальную (существующую) проблему я решу, если сейчас переведу сайт на SSL? ;)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
2

В форме ответа слишком мало места, чтобы перечислить все причины.

Простите, но если вы задаёте этот вопрос, то я не в состоянии ответить.

Успехов =)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

Слился. Щеки надувать — это не факты приводить. ;)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
2

Просто не вижу смысла в дискуссии. "Не мечи бисер", вотэтовсё

Ваша оценка: Нет
11
pomodor

То видел смысл, то внезапно исчез, как только задали не теоретический, а практический вопрос. Ну ладно, нет смысла — так нет смысла. ;) Но если будет часто сниться черный прапор майор-пеленгатор, то пишите. Мне важна не только безопасность, но и психическое здоровье читателей. :)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
2

Ну ОК, вот практический пример. Несколько не полный, и да, я думаю, что Вас он всё равно ни в чём не убедит... но почему бы и нет =)

Начали.

1. ping liberatum.ru
> 82.196.4.23
2. whois 82.196.4.23
> netname: DIGITALOCEAN-AMS-3
3. Регистрируем виртуалку в AMS-3 на DO
4. tcpdump

Я, честно говоря, не собираюсь этим заниматься на практике. Во первых, потому что это НСД. Во вторых, потому, что у D.O., скорее всего, хорошие роутеры и осуществить подобную атаку я не смогу... точнее, не смогу ПАССИВНО, придётся вмешиваться в трафик, а это того, простите, не стоит, могут и поймать =)

Но обратите внимание, что в том, что "потенциальному атакующему" не удалось спереть *все* аккаунты *всех* ваших пользователей при помощи совершенно детской атаки, так популярной в 80-е годы, Вашей заслуги нет, а есть только заслуга digitalocean, которые заботятся даже об администраторах-ламерах.

И да. Этого (как и кучи других вещей) можно было бы избежать, если бы Вы включили SSL.

Такая вот агитка получилась =)

Кстати говоря, DO конечно молодцы, но у них же KVM внутри. Так что если с 5-6 попытки у меня получится зарегать виртуалку на ТОЙ ЖЕ физической машине, что и либератум, то шансы сильно возрастают, мы же на одном и том же br0 будем сидеть...

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
11
pomodor

А мосье каккер не в курсе того, что такое изоляция ресурсов? Вот если я запущу Tcpdump на сервере, то увижу ИСКЛЮЧИТЕЛЬНО свой трафик. Так с чего бы кому-то видеть мой?

Так что если с 5-6 попытки у меня получится зарегать виртуалку на ТОЙ ЖЕ физической машине, что и либератум, то шансы сильно возрастают

Шансы как были нулевыми, так и остаются таковыми.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
2

Ну вот, как я и думал, Вы совершенно устойчивы к любым доводам разума: убедить Вас не могут ни конкретные аргументы, ни теория, ни аппеляция к авторитетам =)

Да пойми ты, что из того, что *эта конкретная* атака нежизнеспособна (кстати, сильно не факт, но повторюсь, я не планирую атаковать D.O.) совершенно не следует, что целый класс подобных атак не жизнеспособен...

Ну, а теперь по теме.

> не в курсе того, что такое изоляция ресурсов?

Вот поэтому я и говорил, что пассивно, скорее всего, не выйдет. Но это не единственный способ.

> Шансы как были нулевыми, так и остаются таковыми.

Увы и ах! KVM, конечно, хорошая штука, но там тоже есть свои проблемы и устойчиво безопасной для сосуществования двух гостей на одном хосте она никогда не была. Опять таки, ссылок на конкретные CVE не покидаю, парсер не даёт

Ваша оценка: Нет
11
pomodor

Убедить меня легко, но для этого не нужно ссылаться на глупые изначально неработающие схемы атак, не нужно кивать на статейки. Я хочу услышать 2 вещи: какая конкретно сейчас проблема мешает пользователям сайта и как установка SSL-сертификата эту проблему решит.

Кстати, вам сколько лет?

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
2

> Кстати, вам сколько лет?

О. Вот это и есть НАСТОЯЩИЙ слив дискуссии =)))

Мне шесть лет, разве не очевидно?)

> Я хочу услышать 2 вещи

Нет, извините. Я думаю, что я уже достаточно сил вложил в написание букв в этом треде и моя аргументация ясна, понятна и прозрачна. Если нет -- мне жаль. Я также думаю, что Вы сейчас спорите ради спора и ради того, чтобы "не слить дискуссию" потому, что по существу Вы не говорите.

Поэтому -- еще раз прошу прощения -- но в развитие дискусии, ОСОБЕННО после вопросов вида "сколько мне лет", я не вижу смысла.

Если Вы правда не в состоянии утрудить себя прочтением "статеек", как Вы выражаетесь, и понять, что такое пассивный мониторинг трафика, от какого класса атак защищает SSL и так далее, а вместо самообразования начинаете хамить -- то мне совершенно бесполезно убеждать Вас в чём либо. Не поможет.

Dixi.

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
11
pomodor

Ну и чё там ваш пассивный мониторинг трафика, много паролей наловил? ;)

Ваша оценка: Нет Средняя оценка: 2.3 (3 votes)
6

Пацан, освоил nmap!;)))

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
6

KVM, конечно, хорошая штука, но там тоже есть свои проблемы и устойчиво безопасной для сосуществования двух гостей на одном хосте она никогда не была

Ну если, разговор о виртуализации зашел:), немного добавлю:

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
11
pomodor

Сертификаты (уже 4 года как) выдаёт letsencrypt

Знаю и широко использую там, где они уместны. Например, когда делаю интернет-магазины на заказ. Там пользователь пишет реальные имена и фамилии, адрес доставки, проводит платежи. А на новостном сайте не вижу причин огораживаться только на том основании, что сейчас весна и у arenim приступ паранойи. Майор за ним следит, видите ли. :D

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
6

2. Товарищ майор может воспользоваться законодательной процедурой

может и не пользоваться ею вообще, если надо судья все подпишет нужным числом - это Россия, детки!:)

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
2

Всё такъ. Собственно, именно поэтому мониторинг трафика и опасен =) Товарищ майор не придёт за каждым. Он придет за тем, на кого покажут его фильтры, написанные криворукими программистами из Откуда-Следует.

А уж когда он за тобой придёт -- тогда уже поздно =)

Ваша оценка: Нет
11
pomodor

раз уж о безопасности речь пошла.

Безопасность от чего? У кого-то за 10 лет взломали аккаунт или подменили текст новости? Безопасность Либератума куется в терминале. :) Чтение журналов и обновление shit-листа для iptables — вот основа безопасности.

Как я уже говорил, SSL будет. Как и рассказ о том, почему я не спешил с переходом. Но я не стал бы связывать это с вопросами безопасности. SSL дает ложное чувство безопасности. Юзер видит зеленый замок в адресной строке и у него рефлекторно расслабляется сфинктер. Но этот зеленый замок может висеть и на напрочь дырявом сайте, внушая ложное чувство защищенности.

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
2

Безопасность Либератума куется в терминале. :) Чтение журналов и обновление shit-листа для iptables — вот основа безопасности.

Это безопасность либератума от пользователей куётся в терминале. А вот безопасность пользователей .. предусматривает много всего вообще-то, но без SSL совершенно точно не работает.

Ваша оценка: Нет Средняя оценка: 1.8 (5 votes)
11
pomodor

То есть, когда я не даю засрать сайт спамом или положить его частыми запросами, то на самом деле я защищаюсь от пользователей? А вот стоит приделать SSL и сайт мгновенно станет более лучшим? Ну, мне остается только пожать плечами. ;)

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
6

Тебе же сказали, SSL - это мажорные фантики! Юзай i2p, с мигрирующими гейтами+VPN репитеры! И будет тебе счастье...

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
2

Спасибо, я уже =) Немного не так, но в целом близко, да =)

Но это совершенно не повод не дёргаться, как ты понимаешь =)

Ваша оценка: Нет
2

То есть, когда я не даю засрать сайт спамом или положить его частыми запросами, то на самом деле я защищаюсь от пользователей?

Именно. Так вы защищаетесь от пользователей-злоумышленников, которые собираются положить / засрать / ...

А вот стоит приделать SSL и сайт мгновенно станет более лучшим? Ну, мне остается только пожать плечами. ;)

Это просто *другая* часть защиты. Не сайта от пользователей, а пользователей от наблюдения. Впрочем, судя по другим Вашим постам, Вы не в состоянии этого осознать, так что я тоже, пожалуй, пожму плечами =)

Ваша оценка: Нет Средняя оценка: 2.6 (5 votes)
11
pomodor

А есть примеры тех, то пострадал на Либератуме из-за отсутствия SSL?

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
6

Не сайта от пользователей, а пользователей от наблюдения. Впрочем, судя по другим Вашим постам, Вы не в состоянии этого осознать, так что я тоже, пожалуй, пожму плечами =)

Запили собственную спутниковую группировку на высоком геосинхроне, навешай шифрования, чесночной маршрутизации и будет защита от наблюдения!:) А так, все лажа - разной лажовости.

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
11
pomodor

Так что если с 5-6 попытки у меня получится зарегать виртуалку на ТОЙ ЖЕ физической машине

Я чо про возраст-то спросил... Из-за фразы вроде той, что выше, у меня закрадываются подозрения, что я общаюсь со школьником, который сильно прогуливал информатику. DIGITALOCEAN-AMS-3 — это не физическая машина, а дата-центр. Тысячи серверов, десятки тысяч дроплетов. А вы говорите, что попасть на один из тысячи серверов можно за 5 попыток. Тут как бы вопросы к вашим навыкам устного счета.

Ваша оценка: Нет Средняя оценка: 5 (4 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.