Группа исследователей из Нью-Йоркского университета разработала два метода атаки на VPN, представленных под именем TunnelCrack. Выявленные уязвимости позволяют злоумышленнику, контролирующему беспроводную точку доступа или локальную сеть жертвы, перенаправить на свой сервер запросы к целевому хосту, в обход VPN-туннеля. Атака может быть совершена, например, при подключении через не заслуживающего доверия интернет-провайдера или развёрнутую атакующими беспроводную сеть. В результате атаки злоумышленник может организовать перехват незашифрвоанного пользовательского трафика (соединения устанавливаемые через HTTPS остаются защищены)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59586
Чё? Уязвимость называется: don't trust host by its IP. Известна с глубоких 90-х.Я ещё пачку уязвимостей придумал, если вы подключаетесь к недоверенному провайдеру VPN. Впрочем все они так же основаны на том, что IP - это не то, что надо.
Грубо говоря, если атакующий может прописывать вашему хосту роуты как хочет - вы уже основательно нарываетесь. И впн в этом случае мало поможет - можно придумать более 9000 способов обмануть его маршрутизацией. Туда же и DNS-leak баянный.
...а вон тот тунель прописаный by-IP и с мануальным прописыванием роутов это явно не проберет :)
Хорошо, что есть HTTPS, который, как мы знаем по заветам экспертов опеннет - не нужон.
> Хорошо, что есть HTTPS, который, как мы знаем по заветам экспертов опеннет
> - не нужон.В результате атакующий как минимум...
1) Знает что вы ходили - вон туда. VPN свою функцию не выполнил раз.
2) Может прицельно зарубить загрузку ресурса. VPN свою функцию не выполнил два.
3) При удачном сочетании звезд (например роскомовский сертификат, или глупая апликуха не чекающая серты, таких легион) - произвести атаку даже и на HTTPS.
4) Это все течет довольно много данных о вашей активности.Вопрос: а зачем вам тогда VPN был нужен? :)
VPN это прежде всего приватность, а ты путаешь с анонимностью. Второго тебе никто не обещал.
> VPN это прежде всего приватность, а ты путаешь с анонимностью. Второго тебе
> никто не обещал.Весьма пересекающиеся понятия. И в каком месте защита от выходок MITM про анонимность была?
В итоге проблемы в статье упираются в горе-оптимизации, которые позволяют системе самой убрать защиты
Или это целенаправленно-оставленные дыры, особенно на фоне распространения всяких цысокс обилием дыр
Это особенности работы маршрутизации.
килсвич на внешний интерфейс
Да тут вопрос вообще принципиальный - Что такое недоверенный провайдер?
Ну сосед же ! Ты же к его роутеру присосалсяю
Давайте так, можно список доверенных провайдеров. И кто назначал и как им доверенность?
> Да тут вопрос вообще принципиальный - Что такое недоверенный провайдер?Например, цепляешься ты к вафле в кафешме. Она открытая, кто угодно может твой траф менять как угодно. И гарантий что вон тот тип с ноутом не хаксор и не отредиректит тебя и твой DHCP немного - примерно ноль.
Впрочем и обычному провайдеру доверять особо не следует. Вон например господа в DNS врут, редиректят на свои сайты-заглушки, врезают рекламу и делают еще более 9000 милых вещей. Можете конечно "доверять" им - но тогда про вас Цукерберг все правильно написал.
Провайдер имеющий лицензию РКН на ведение своей деятельности.
> Да тут вопрос вообще принципиальный - Что такое недоверенный провайдер?У меня написано провайдер VPN, а не просто провайдер. Тот, который сделан и админится не тобою лично, очевидно.
Гасится простейшими скриптами на атакуемом хосте.
осталось лишь установить эти простейшие скрипты на миллиарды устройств
Вот бы таике простейшие скрипты в iOS и Андроид без рута.
> Вот бы таике простейшие скрипты в iOS и Андроид без рута.Человек, если тебя приковали на цепь - есть плохие новости. Убежать ты в случае чего как раз и не сможешь. И будешь наиболее уязвимым как раз.
> Вот бы таике простейшие скрипты в iOS и Андроид без рута.Чтобы это было надёжно и стабильно, это тогда надо поменять идейку вендора в фундаменте операционки.
А тогда эффективнее девайс на другой операционке.
Короче: сабж сделан так, что для серьёзки не пригоден бай дезайн. Только поиграться, да пивка с доставкой заказать.
Девайсы не уязвимые бай дезигн, не пригодны для нормальной эксплуатации в обычной жизни бай дезигн.
Атакуемый хост уже знает что атакуем?
> Атакуемый хост уже знает что атакуем?Узнает, или, как минимум, заподозрит, когда получит по dhcp адрес не из rfc1918. Это простейший пример.
Почему же не может по DHCP выдаваться белый (глобальный) IPv4 конечному устройству из своего диапазона адресов, честно арендуемых?
У меня так и было, подсеть /26, так еще можно было себе статически неиспользуемый адрес взять, благо свободных много было.
Свой диапазон тоже можно в скрипте прописать. А когда ТД в кафе вдруг выдаёт белый IP, то это повод задуматься.
В целом соглашусь, годная эвристика для типа-антивируса. Только большинство её не поймет.
Не все провайдеры выдают IP из rfc1918.
А такое, чем гасить ?
https://cnews.ru/link/n533617
А разве мой комментарий относился к этой статье?
А ведь при достаточном контроле сети (ISP) никак не проверишь, ты подключаешься, или посредник притворяется тобой.
У меня для тебя есть новости
О чём и речь, что с твоей стороны и с удалённой стороны всё будет абсолютно обычным, а как оно на самом деле тебе не видно.
mitm это называется
полно провайдеров в деревнях, кторые подрубаю клиентов
по статическому ip без всякой авторизации
Как не проверить? SSL, IPSEC ключи/сертификаты, всё в зашифрованном виде ходит. А если в свой роутер подключаете кабель провайдера, то по умолчанию вы должны этот порт в серую зону вывести и всё что уходит/приходит дальше вашей домашней сети должно само собой быть подозрительным. Атаки описанные в статье "нууу, атакующий должен сидеть сзади вашего системника возле порта сетевой карты", и "нууу трафик должен быть http", и "нууу вы не должны шифровать трафик до VPN при инкапсуляции", и "и тогда мы сможем вас атаковать!" Обалденная атака!
> Как не проверить? SSL, IPSEC ключи/сертификаты, всё в зашифрованном виде ходит.IPSec застрянет на первом же нате или фаерволе, так что ты его сам же и отключишь. Или останешься без доступа к своим ресурсам. Уж как там тебе удобно.
Давно NAT-T с инкапсуляцией в UDP отменили?
Читай про SSL/TLS.
Как часто ты проверяешь хеши любимых сайтов? А если они при этом меняют серты регулярно или даже используют околорандомные cdn-серты? А теперь, ты готов делать это для каждого подключения без исключений?
> атакующий, контролирующий локальную сеть и DNS-серверЗащититься просто: не используем DNS-сервер, "любезно предоставленный" провайдером. Только DNSCrypt, только хардкор.
Провайдерский так-то пореже отваливается. Ну и ничто не мешает проксировать твой dnscrypt, а так днс серверу митм устроили одним из первых шагов.
проксируй на здоровье. DNSCrypt - про неизменяемость ответов-запросов и их нечитаемость митмом
Это смотря какой митм. А самое интересное, что все публичные сервера dnscrypt подконтрольны определённым группам. Ну и когда я проверял защиту от вмешательства в трафик, только примерно 1% серверов работал, как надо.
В интернете всё кому-то подконтрольно. Вопрос лишь в том, кому ты доверяешь больше: 1) мутному DNS-серверу, пришедшему из wifi-сети, 2) провайдерскому DNS от тащмайора, 3) или сверхпопулярным 1.1.1.1/8.8.8.8/whatever, в которых ты растворяешься среди миллиардов таких же юзеров, а владельцы на другом конце земного шара срть на тебя хотели.
Так срать хотели, что "селе в убыток" сервер держат. Помнится shodan стал NTP-сервером из общепринятого пула затем, чтобы получать уведомления о появлении устройств в сети и сканировать их когза они появляются.
какова вероятность попасть на этот убыточный днс-сервер?
ааа.. точно! они держат тучу убыточных сервров, как и tor node,
чтобы поймать того васяна
Есть интернет вещи. Которые ходят за обновлениями, плагинами, купленной хомяком функциональности. И есть статистика по доменам. Ради этой пары обстоятельств стоило поднять такие DNS/NTP сервера.Это часть инфраструктуры огромного, развесистого бизнеса. Ну и Васька с Иваном если зайдут, то тоже неплохо.
> Провайдерский так-то пореже отваливается. Ну и ничто не мешает проксировать
> твой dnscrypt, а так днс серверу митм устроили одним из первых шагов.Зато гадости делает почаще. Особенно провайдерский. Особенно в Эрафии, где половина блоков росглавжандарма на этом держится.
этого везде хватает по миру.. зри в корень!
Страшно не то что контролируют, а то что продают инфу всем кому не попадя
а может и под заказ
Если не продаю, а по дружбе, то не страшно конечно.
По дружбе? Это дебилы..
Дебилы с доступом к данным? Тогда не страшно
> По дружбе? Это дебилы..
> Дебилы с доступом к данным? Тогда не страшноНу чего сразу дебилы, не такие уж в ЦРУ дебилы сидят.
> этого везде хватает по миру.. зри в корень!
> Страшно не то что контролируют, а то что продают инфу всем кому не попадя
> а может и под заказКогда шпионят - это пассивная агрессия. А когда hijack'ают трафик и пытаются лечить что правильно - уже таки активная. Другой уровень эскалации и угроз.
> А когда hijack'ают трафикЭто безусловная опасность с вытекающими последствиями.
Думаю равнодушных тут не будетНо вот сбор персональных данных, может быть применен для разработки масштабной операции, например по отьему всего имущества, вот тут отложенные последствия с более тяжким итогом
Может быть. А может и не быть. Вон то - уже есть, и не оставляет свободы для иллюзий и трактовок. Это просто агрессия. Надлежит отвечать на удар ударом. Можете как вариант подставить другую щеку, но вам и ее набьют как показала практика.
> Провайдерский так-то пореже отваливается.dnscrypt-proxy что на Golang, позволяет хоть десять зекрал-резолверов прописать, выберется лучший по пингу. Советую начать использовать.
>атакующий, контролирующий локальную сеть и DNS-серверDNS же пускается через VPN-туннель. Неактуально.
Даже на этапе лукапа адреса VPN сервера, да?
меджик.гиф
На этапе lookup-а IP-адреса VPN-сервера вариант атаки 1 не работает.
А для атаки 1 и не написано, что нужен DNS сервер. Мы, теоритически, можем заранее знать атакуемую подсеть
похоже если атакущий контролирует сеть и днс-сервер
не атакующий, а предатель из своих ))
>Атака сводится к тому, что подконтрольный атакующему шлюз выдаёт жертве IP-адрес из подсети, в которой находится целевой хост, трафик к которому необходимо перехватить.WireGuard следует записанным в конфиге подсетям буквально. Для него эта атака неприменима.
>Из подверженных проблеме VPN упоминаются ... WireGuard для WindowsВиндовый, видимо, не следует.
>>Из подверженных проблеме VPN упоминаются ... WireGuard для Windows
> Виндовый, видимо, не следует.Маздай он и есть маздай. Нельзя сделать винду приватной и безопасной - это заведомо провальное начинание.
А если внутри впн идет туннель впн или трафик tor?
Мы сделали тебе туннель в туннеле через туннель, чтоб твой трафик ходил через прокси в торе поверх впн...
Тафтология.. Сынок, конец недели
Или прими 50 капель. Отдохни
> А если внутри впн идет туннель впн или трафик tor?Поздравляю с открытием. В этой вселенной возможно почти бесконечное количество абстракций. И вы все правильно понимаете - атакующие не могут предусмотреть все.
Какая то несерьезная academia пошла. Ни тебе example.com, ни example TLD в примерах. Ссылаются на действующие сайты компаний.
А что поделать, если современному человеку проще один раз сказать про фейсбук, чем сто раз объяснять, почему не открывается example.com...
Доверенных сетей больше не существует. Пора уже закрыть эту тему.
Клиентский и серверный сертификат всегда были будут 100% безопасными. нО это же надо настроивадьь.. ату этих аноноф, да святись зеленый замочек
> Доверенных сетей больше не существует. Пора уже закрыть эту тему.И VPN та самая затычка. Но погромисты иногда выдумывают искусственные ограничения, думая, что можно упростить, а оно нельзя упростить.
И, видимо, дефолтный клиент многих сервисов, заточненный под простого хомячка, видимо, часто сделан для сказочных условий у честных людей. Без учёта прочих возможностей.
1. Траффик TOR далеко не анонимный и в случае проблем анонимные пользователи очень быстро деанонимизируются со стороны страны её создавшей. И в целом много есть статтей о том что он не такой уж и анонимный. Вы ещё I2P вспомните или другие более древние.
2. А что с сэмплами не ясно? Написано же что есть пару ньюансов атаки - утечка в локальной сети, а если идёт речь о домашней, то как правило Wi-Fi и перехват незашифрованного http трафика. А это значит что нужно обращать внимание на подозрительных личностей в подъезде с мобильной аппаратурой и вызывать полицию. Только на практике и мобильный телефон именно в этот момент может не работать. И удержаться от VPN и от посещения конфидициальных данных в общественных местах. Атака выполняется с помощью анализа трафика, поэтому желательно, если вы владелец сети, то пароль делайте надёжный, желательно от 18 символов, выбирайте современные методы шифрования (WPA2-WPA3), вовремя обновляйте прошивку и желательно выбирайте отечественного производителя и используйте https. Если есть возможность купить аппарат с поддержкой WPA3, 802.11ax, то они имеют некоторые преимущества. А также желательно не открывайте локальную сеть по проводам, что сложнее, т.к. порой утечки происходят у многих людей, а значит меняйте периодически пароли. На видео виден перехват трафика с логином и паролем через магическое приложение. Порой так и бывает - передаются незашифрованными через веб-страницу креды. Потом показано что перехватывается траффик. Так вот желаемая страница с логином - блокируется и идёт через незащищенный траффик http. Я бы авторам подкинул идею как добавить ещё и утечку через https. Помню как лет 8-10 у меня назад интернет стал нестабильно работать именно на страницах логина со стороны провайдера, наверно как-то так оно и происходило без VPN, тем не менее время не стоит на месте. А сама магия блокировки VPN и перехвата трафика в целом может быть разной, поэтому не столь суть важна для атаки.
3. Если речь идёт об обходе и свободном интернете для обхода MITM со стороны провайдера и неизвестных служб, то это шило на мыло. Забудьте - свободы интернета уже давненько как нет, как уже верно написано выше. Читайте внимательно условие конфидициальности - там практически везде честно написано что согласно западному законодательству за вами будут следить. Когда люди были более честные и мониторили ради улучшения качества сервисов, то жизнь была лучше, но сейчас уже давно не так - двойные стандарты. А может мне казалось что люди были лучше. Даже если вы не исспользуете банковские данные, есть множество других вариантов исспользования других данных, о чем в целом написано в интернете и можно прочесть. Впрочем о некоторых вариантов можно только догадываться. Ну к примеру, замечу что современная работа на западный рынок предусматривает предложение от HR к соискателю через социальную сеть, а не как было раньше, и нытье по поводу блокировки таких сетей у меня вызывают вопросы к специалистам. Так совпадает что в таких компаниях топ менеджмент бывает состоит из людей, которые как-то имели какие-то отношения к военным, которые порой и выбирают кадры на определенных позициях. Совпадение, ирония судьбы.И спасибо модератору за удаление предыдущего сообщения, хоть я вроде ничего плохого и не написал, да и Америку надеюсь не открыл, но сегодня опять начались внезапно перебои сети. Мира тебе модератор.