ممکن است VPN شما بی ارزش باشد

شما ممکن است شنیده باشید که ارائه دهندگان سرویس VPN ” Perfect Privacy” یک حفره امنیتی بزرگ در بیشتر سرویس هایشان پیدا کردند، که یکی از آن مششکلاتی که بوجود آمده است از بین بردن “ناشناس ماندن” است، بنابراین ارائه آن سرویس بی فایده است.

مدتی گذشته است و بیشتر ارائه دهندگانی که تحت تاثیر این مشکل هستند نتوانستند آن را تعمیر کنند، این مشکل “Port Fail” نامیده می شود.

worthless VPN

Perfect Privacy از طریق ایمیل به Engadget گفته است : “ما آن را پس از این حقیقت مجددا بررسی نکردیم بنابراین نمیتوانیم به طور قطعی بیانیه ای در مورد تعداد ارائه دهندگان تحت تاثیر واقع شده موجود بدهیم”. به این معنی است که اکثریت کاربران VPN همچنین ممکن است از یکی استفاده نکنند، که این خبری بدی برای افرادی است که با اطمینان و امنیت بر خصوصی نگه داشته شدن آدرس IP تکیه دارند، یا برای کسانی که می خواهند در امنیت از Wi-Fi عمومی استفاده کنند. با یک VPN (Virtual Private Network) اتصال کاربر اینترنت از کامپیوتر به سرور VPN رمزگذاری می شود، از آنجا اتصال کاربر رمزگشایی می شود برای مقصد نهایی. با این راه، وب سایتها تنها آدرس آی پی VPN را می بینند و نه آدرس کاربر را.

Perfect Privacy یک نمونه از 9 سرویس VPN را تست کرد و 5 سرویس VPN دچار این آسیب پذیری شده اند. اما فقط Ovpn.to و nVPN تغییرات لازم را در تنظیمات داده بودند برای اینکه حملات  Port Fail را مسدود کنند.

سرویس عمومی Private Internet Access  (PIA) در ابتدا به مطبوعات گفت که این مسئله عیب یابی شده است، اما بعد از آن بیانیه تعمیر آن را انکار کرد. PIA در حال حاضر3093 سرور در 35 موقعیت مکانی در 24  کشور جهان دارد. Lifehacker سرویس PIA را به عنوان یکی از پنج ارائه دهنده سرویس VPN برتر همراه با TorGuard لیست کرد، که اجازه انتقال پورت را می دهد اما نسبت به حمله آسیب پذیر نیستند.

تعمیرات به طور پریشان کننده ای ساده هستند، و ما در وبلاگ Perfect Privacy منتشر کرده ایم. این کمپانی از طریق ایمیل گفته است که ” آسانترین تعمیر برای ارائه دهندگان VPN تحت تاثیر قرار گرفته اضافه کردن قوانین فایروال وقتی یک کلاینت متصل شد که دسترسی را از IP واقعی مشتری به انتقال پورت که که مال خودش نیست مسدود می کند “. آنها توضیح دادند، ” گزینه های دیگر برای اختصاص IP های مختلف ورودی و خروجی است.

Perfect Privacy در پست وبلاگ گفت مشتریان توسط  Port Fail تحت تاثیر قرار نمی گیرند.

هنگامیکه قربانی توسط  Port Fail هدف گرفته شده باشد، راهی وجود ندارد برای اینکه آنها بدانند که ناشناسی خود را از دست داده اند.

برای اینکه کار Port Fail، مهاجم از همان ارائه دهنده VPN استفاده می کند به عنوان هدف و به سادگی انتقال پورت را راه اندازی می کند. مهم نیست اگر انتقال پورت قربانی روشن باشد یا نه.

مهاجم می تواند آدرس IP واقعی را برای هر کاربر روی همان سرویس VPN بدست آورد با وادار کردن قربانی برای کلیک کردن روی یک لینک؛ بعد از آن قربانی به پورت تحت کنترل مهاجم تغییر مسیر داده می شود.

مهاجمان به چه چیزهایی می توانند دست یابند اگر آدرس IP واقعی شما را از طریق Port Fail بیابند؟

آنها می توانند ارائه دهنده سرویس اینترنت شما (ISP ) شما را بیایند. ISP شما ممکن است دقیقا بداند که شما چه کسی هستید و در حالیکه معمولا آنها تمایلی برای به اشتراک گذاری این اطلاعات ندارند،  در مقابل یک حکم دادگاهی آنها مجبور به افشا هویت و اطلاعات شخصی خواهند شد .

آدرس IP شما مکان شما بر روی نقشه را نشان می دهد، بنابراین مهاجم  نیز Port Fail آن را خواهد دانست . Port Fail همچنین به مهاجمان اجازه می دهد که سایتهایی که شما بازدید کرده اید را ببیند.

این در حال حاضر ممکن است در انبار NSA باشد. در حال حاضر دولت ایالات متحده جایگاه قانونی برای جاسوسی سایبری روی مردم در خارج از ایالات متحده دارد، و ممکن است آنها مایل به پیگیری شخصی باشند که تنها از خارج از ایالات متحده مشاهده شده مانند زمانیکه شخصی از VPN خارجی استفاده می کند.

فوریه گذشته وزارت دادگستری یک نوع حکم جدید برای جاسوسی VPN داخلی پیشنهاد داد برای دسترسی از راه دور به دستگاهها و دسکتاپها وقتیکه موقعیت مکانی آنها از طریق ابزارهای فن آوری پنهان شده است.

صدها سرویس VPN در جهان وجود دارد؛ کاربران باید بدانندکه آیا سرویسی که آنها استفاده می کند انتقال پورت را ارائه می دهد و در مورد اینکه آیا Port Fail تعمیر شده است سوال کنند.  بعد از آن، اگر سرویس VPN شما حفره Port Fail را نبسته باشد، زمان آن است که سرویس VPN جدیدی انتخاب کنید.

engadget.com/2015/12/11/your-vpn-may-be-worthless/

 

 

You may also like...