[Stiri IT] Scopul VPN, practic anulat cu un atac informatic care forțează expunerea adresei IP reale

[Cosmina]

Scopul VPN, practic anulat cu un atac informatic care forțează expunerea adresei IP reale
Sursa : click

Semnalat de experți în securitate cibernetică, un nou tip de atac informatic poate forța aplicațiile VPN să direcționeze traficul în afara tunelului criptat, expunând utilizatorii acestor servicii oricărui adversar interesat să le afle locația geografică și eventual, identitatea.

Vulnerabilitatea numită TunnelVision este prezentă în aproape toate serviciile VPN găzduite pe sisteme non-Linux și non-Android. Potrivit cercetărilor, vulnerabilitatea ar putea fi la îndemâna grupărilor interesate încă din anul din 2002 existând indicii că aceasta a fost exploatată de nenumărate ori încă de pe atunci:

Efectul TunnelVision este că ”traficul victimei este acum expus și direcționat direct către atacator”, se arată într-o demonstrație video: ”Atacatorul poate citi, elimina sau modifica traficul scurs, iar victima își menține conexiunea atât la VPN, cât și la Internet.”

Atacul funcționează prin manipularea serverului DHCP care alocă adrese IP dispozitivelor care încearcă să se conecteze la rețeaua locală. O setare cunoscută sub numele de opțiunea 121 permite serverului DHCP să suprascrie regulile de rutare implicite care trimit trafic VPN printr-o adresă IP locală care inițiază tunelul criptat.  

 

Pentru eficiență maximă, atacul trebuie inițiat de o persoană care deține control administrativ asupra rețelei la care se conectează ținta. În acest scenariu, atacatorul configurează serverul DHCP pentru a utiliza opțiunea 121. Este, de asemenea, posibil ca persoanele care se pot conecta la rețea ca utilizator neprivilegiat să efectueze atacul prin configurarea propriului server DHCP necinstite. Atacul permite direcționarea unei părți sau a întregului trafic prin tunelul necriptat. În ambele cazuri, aplicația VPN va raporta că toate datele sunt trimise prin conexiunea protejată. Orice trafic care este deturnat din acest tunel nu va fi criptat de VPN, iar adresa IP de Internet care poate fi vizualizată de utilizatorul de la distanță va aparține rețelei la care este conectat utilizatorul VPN, mai degrabă decât celei desemnate de aplicația VPN.

Interesant de știut, Android este singurul sistem de operare care blochează complet noile metode de dezarmare a serviciilor VPN, deoarece nu implementează opțiunea 121. Pentru oricare alte sisteme de operare nu există soluții concrete, deocamdată.

Când aplicațiile rulează pe Linux, există o setare care minimizează efectele, dar chiar și atunci TunnelVision poate fi folosit pentru a exploata un canal secundar care poate fi folosit pentru a dez-anonimiza traficul de destinație și pentru a efectua atacuri de refuzare a serviciului.