Χακάρονται τα VPN; Ας Δούμε τα Πράγματα Αναλυτικά
Τι είναι ένα VPN;
Ένα Εικονικό Ιδιωτικό Δίκτυο / Virtual Private Network ή VPN σας δίνει τη δυνατότητα να δημιουργήσετε ένα ασφαλές εικονικό τούνελ μέσα από το διαδίκτυο και ως ένα άλλο δίκτυο ή συσκευή. Αν έχετε πρόσβαση στο διαδίκτυο από αυτό το εικονικό τούνελ, είναι δύσκολο για οποιονδήποτε – συμπεριλαμβανομένου και του ISP σας – να παρακολουθεί τις κινήσεις σας στο διαδίκτυο.
Επίσης, τα VPN σας βοηθούν να παρουσιάζεστε από διαφορετική περιοχή, οπουδήποτε στον κόσμο, από αυτή που είστε πραγματικά και έτσι να ξεμπλοκάρετε υπηρεσίες που έχουν γεωγραφικό περιορισμό. Ένα VPN προστατεύει την εμπιστευτικότητα των δεδομένων σας ώστε αυτά να παραμένουν μυστικά, αλλά και την ακεραιότητα των μηνυμάτων σας ώστε αυτά να μένουν αναλλοίωτα καθώς περνούν μέσα από το δημόσιο διαδίκτυο.
Η δημιουργία μιας τέτοιας ασφαλούς σύνδεσης είναι σχετικά εύκολη. Ο χρήστης συνδέεται πρώτα στο διαδίκτυο μέσω ενός ISP και μετά ξεκινά τη σύνδεση του VPN με ένα διακομιστή VPN που χρησιμοποιεί ένα λογισμικό τοπικά εγκατεστημένο. Ο διακομιστής του VPN συγκεντρώνει τις απαιτούμενες ιστοσελίδες και τις φέρνει στον χρήστη μέσω ενός ασφαλούς τούνελ. Με αυτόν τον τρόπο, τα δεδομένα του χρήστη παραμένουν ασφαλή και μυστικά στην πορεία τους μέσω του διαδικτύου.
Πώς Λειτουργεί η Κρυπτογράφηση των VPN;
Το πρωτόκολλο ενός VPN είναι ένα συμφωνημένο σύνολο κανόνων για μετάδοση δεδομένων και κρυπτογράφηση. Οι περισσότεροι πάροχοι VPN δίνουν στους χρήστες τη δυνατότητα επιλογής μέσα από πολλά πρωτόκολλα VPN. Μερικά από τα πιο συνηθισμένα πρωτόκολλα είναι τα: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) και OpenVPN (SSL/TLS).
Για να καταλάβετε πλήρως πώς ένα VPN προστατεύει την ιδιωτικότητά σας, πρέπει να μπούμε λίγο πιο βαθιά στον κόσμο της κρυπτογράφησης. Ένα VPN χρησιμοποιεί μια τεχνική που είναι γνωστή ως ‘κρυπτογραφία’ και η οποία μετατρέπει τα αναγνώσιμα δεδομένα σας (απλό κείμενο) σε κάτι εντελώς μη αναγνώσιμο (κρυπτογραφημένο κείμενο). Ως εκ τούτου, είναι αδύνατο να διαβαστούν από οποιονδήποτε τυχόν υποκλέψει τα δεδομένα σας έτσι όπως αυτά μεταδίδονται μέσω του διαδικτύου. Ένας αλγόριθμος, ή κρυπτογράφημα, ορίζει τον τρόπο που θα γίνει η διαδικασία της κρυπτογράφησης και της αποκρυπτογράφησης μέσα στα πρωτόκολλα του VPN. Τα πρωτόκολλα VPN χρησιμοποιούν αυτούς τους αλγορίθμους κρυπτογράφησης για να αποκρύψουν τα δεδομένα σας έτσι ώστε οι δραστηριότητές σας στην περιήγηση του διαδικτύου να παραμένουν ιδιωτικές και εμπιστευτικές.
Κάθε ένα από αυτά τα πρωτόκολλα VPN έχει τα δυνατά και τα αδύναμα στοιχεία του ανάλογα με τον κρυπτογραφικό αλγόριθμο που εφαρμόζεται σ’ αυτό. Κάποιοι πάροχοι VPN δίνουν στους χρήστες τη δυνατότητα να επιλέξουν ανάμεσα σε διαφορετικά κρυπτογραφήματα. Ο αλγόριθμος, ή το κρυπτογράφημα, μπορεί να βασίζεται σε μία από τις ακόλουθες τρεις κατηγορίες: συμμετρική, ασύμμετρη και αλγόριθμο κατακερματισμού (hashing).
Η συμμετρική κρυπτογράφηση χρησιμοποιεί ένα κλειδί για να κλειδώσει (να κρυπτογραφήσει) και ένα άλλο για να ξεκλειδώσει (να αποκρυπτογραφήσει) τα δεδομένα. Η ασύμμετρη κρυπτογράφηση χρησιμοποιεί δύο κλειδιά, ένα για κλείδωμα (κρυπτογράφηση) και το άλλο για ξεκλείδωμα (αποκρυπτογράφηση) των δεδομένων. Ο παρακάτω πίνακας είναι μια συνοπτική σύγκριση μεταξύ συμμετρικής και ασύμμετρης κρυπτογράφησης.
Χαρακτηριστικό | Συμμετρική | Ασύμμετρη |
Κλειδιά | Ένα κλειδί μοιράζεται ανάμεσα σε πολλά μέρη | Το ένα μέρος έχει το δημόσιο κλειδί και το άλλο το ιδιωτικό κλειδί |
Ανταλλαγή κλειδιών | Απαιτεί ασφαλή μηχανισμό για την αποστολή και τη λήψη κλειδιών | Το ιδιωτικό κλειδί κρατείται μυστικό από τον ιδιοκτήτη, ενώ το δημόσιο κλειδί είναι διαθέσιμο σε όλους |
Ταχύτητα | Λιγότερο πολύπλοκη και γρηγορότερη | Πιο πολύπλοκη και πιο αργή |
Ισχύς | Λιγότερο δύσκολο να σπάσει | Πιο δύσκολο να σπάσει |
Δυνατότητα κλιμάκωσης | Καλή δυνατότητα κλιμάκωσης | Καλύτερη δυνατότητα κλιμάκωσης |
Χρήση | Μαζική κρυπτογράφηση, δηλαδή στα πάντα | Μόνο διανομή κλειδιού και ψηφιακές υπογραφές |
Ασφάλεια προσφερόμενης υπηρεσίας | Εμπιστευτικότητα | Εμπιστευτικότητα, έλεγχος ταυτότητας και μη άρνηση αναγνώρισης |
Παραδείγματα | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 και RC6 | RSA, ECC, DSA και Diffie-Hellman |
Η ασύμμετρη κρυπτογράφηση είναι η λύση στους περιορισμούς που ενυπάρχουν στην συμμετρική κρυπτογράφηση (όπως φαίνεται και στον παραπάνω πίνακα). Οι Whitfield Diffie και Martin Hellman ήταν ανάμεσα στις πρώτες ομάδες που ξεκίνησαν να αντιμετωπίσουν αυτές τις ελλείψεις αναπτύσσοντας έναν ασύμμετρο αλγόριθμο που ονομάζεται Diffie-Hellman.
Αυτός είναι ένας δημοφιλής κρυπτογραφικός αλγόριθμος που είναι θεμελιώδης σε πολλά πρωτόκολλα VPN, συμπεριλαμβανομένων των HTTPS, SSH, IPsec και OpenVPN. Ο αλγόριθμος επιτρέπει σε δύο μέρη, που δεν έχουν συναντηθεί ποτέ πριν, να διαπραγματευτούν ένα μυστικό κλειδί ακόμα κι’ όταν επικοινωνούν μέσα από ένα μη ασφαλές δημόσιο κανάλι, όπως είναι το Διαδίκτυο.
Ο κατακερματισμός (hashing) είναι μια κρυπτογράφηση μονής (μη αναστρέψιμης) κατεύθυνσης που χρησιμοποιείται για την προστασία της ακεραιότητας των δεδομένων που μεταδίδονται. Τα περισσότερα πρωτόκολλα VPN χρησιμοποιούν αλγόριθμους κατακερματισμού για την επαλήθευση της αυθεντικότητας των μηνυμάτων που αποστέλλονται μέσω του VPN. Στα παραδείγματα συμπεριλαμβάνονται τα MD5, SHA-1 και SHA-2. Όμως, τόσο το MD5 όσο και το SHA-1 δεν θεωρούνται πλέον ασφαλή.
Τα VPN μπορούν να χακαριστούν, αλλά είναι δύσκολο. Οι πιθανότητες να σας χακάρουν χωρίς VPN είναι σημαντικά μεγαλύτερες από το να σας χακάρουν όταν έχετε ένα.
Μπορεί Πράγματι Κάποιος να Χακάρει ένα VPN;
Τα VPN παραμένουν ένα από τα πιο αποτελεσματικά μέσα για τη διατήρηση της ιδιωτικότητας στο διαδίκτυο. Παρ’ όλα αυτά, είναι σημαντικό να έχουμε υπόψη μας ότι σχεδόν τα πάντα μπορούν να χακαριστούν, ειδικά αν αποτελείτε ένα στόχο υψηλής αξίας και ο αντίπαλός σας έχει στη διάθεσή του αρκετό χρόνο, αρκετά χρήματα και αρκετά μέσα. Τα καλά νέα σ’ αυτή την περίπτωση είναι ότι οι περισσότεροι χρήστες δεν εμπίπτουν στην κατηγορία της “υψηλής αξίας” και ως εκ τούτου είναι μάλλον απίθανο να επιλεγούν για μία τέτοια παραβίαση της ιδιωτικότητάς τους.
Το χακάρισμα σε μια σύνδεση VPN περιλαμβάνει είτε το σπάσιμο της κρυπτογράφησης που μπορεί να πραγματοποιηθεί με εκμετάλλευση των γνωστών κενών ασφαλείας ή με κλοπή του κλειδιού μέσω κάποιου ανέντιμου τρόπου. Οι επιθέσεις στην κρυπτογράφηση χρησιμοποιούνται από χάκερ και από αναλυτές κρυπτογράφησης για να ανακτήσουν το απλό κείμενο μέσα από τις κρυπτογραφημένες εκδόσεις χωρίς όμως να έχουν το κλειδί. Ωστόσο, το σπάσιμο της κρυπτογράφησης έχει υπολογιστικές απαιτήσεις, είναι χρονοβόρο και μπορεί να χρειαστεί πολλά χρόνια για να πραγματοποιηθεί.
Συνήθως, οι μεγαλύτερες προσπάθειες έχουν να κάνουν με την κλοπή των κλειδιών, κάτι που είναι πολύ πιο εύκολο από το σπάσιμο της κρυπτογράφησης. Αυτό ακριβώς κάνουν οι πράκτορες κατασκοπείας όταν έρχονται αντιμέτωποι με τέτοιου είδους προκλήσεις. Η επιτυχία τους δεν έχει σχέση με μαθηματικούς τρόπους, αλλά με ένα συνδυασμό τεχνικών τρικ, με την υπολογιστική ισχύ, την εξαπάτηση, τις εντολές των δικαστηρίων και την παρασκηνιακή πειθώ. Τα μαθηματικά πίσω από την κρυπτογράφηση είναι απίστευτα ισχυρά και ιδιαίτερα πολύπλοκα υπολογιστικά.
Υφιστάμενα Κενά Ασφαλείας των VPN και η Εκμετάλλευσή τους
Παλαιότερες αποκαλύψεις του Αμερικανού πληροφοριοδότη Edward Snowden αλλά και διάφορων αναλυτών ασφαλείας έχουν δείξει ότι η Αμερικανική Υπηρεσία Κατασκοπείας (NSA) έχει σπάσει την κρυπτογράφηση πίσω από ένα πολύ μεγάλο ποσοστό της δικτυακής κίνησης, περιλαμβανομένων και των VPN. Τα έγγραφα του Snowden δείχνουν ότι η υποδομή αποκρυπτογράφησης της NSA περιλαμβάνει την υποκλοπή κρυπτογραφημένης κίνησης και την αποστολή της σε ισχυρούς υπολογιστές που μπορούν να σπάσουν το κλειδί.
Οι ειδικοί ερευνητές ασφαλείας Alex Halderman και Nadia Heninger έχουν παρουσιάσει πειστικές έρευνες που οδηγούν στο συμπέρασμα ότι η NSA έχει αναπτύξει τη δυνατότητα να αποκρυπτογραφεί μεγάλο αριθμό συνδέσεων HTTPS, SSH, και VPN με μια επίθεση γνωστή ως Logjam σε συνηθισμένες υλοποιήσεις του αλγόριθμου Diffie-Hellman.
Η επιτυχία τους βασίζεται στην εκμετάλλευση μιας αδυναμίας στην υλοποίηση του αλγόριθμου Diffie-Hellman. Η κύρια αιτία βρίσκεται στην αδυναμία του λογισμικού κρυπτογράφησης που κάνει χρήση κάποιων τυποποιημένων προτύπων πρώτων αριθμών κατά την υλοποίησή της. Οι ερευνητές βρήκαν ότι απαιτούνται περίπου ένας χρόνος και μερικές εκατοντάδες εκατομμύρια δολάρια για να στηθεί ένας υπερυπολογιστής που θα σπάει έστω έναν πρώτο αριθμό για το 1024-bit Diffie-Hellman (κάτι ρεαλιστικό για τον ετήσιο προϋπολογισμό της NSA).
Δυστυχώς, μόνο ελάχιστοι πρώτοι αριθμοί (μικρότεροι από 1024 bit) χρησιμοποιούνται για πραγματικές εφαρμογές κρυπτογράφησης όπως τα VPN - γεγονός που κάνει το σπάσιμο ευκολότερο. Σύμφωνα με τον Bruce Schneier, “τα μαθηματικά είναι καλά, αλλά αυτό που μετράει είναι ο κώδικας. Και εδώ ο κώδικας έχει υπονομευτεί”.
Θα Πρέπει να Συνεχίσετε να Χρησιμοποιείτε ένα VPN;
Για παρόχους υπηρεσιών η ερευνητική ομάδα προτείνει τη χρήση κλειδιών Diffie-Hellman με μήκος 2048 bit ή μεγαλύτερο, και δημοσίευσε σχετικά για την χρήση τους στο TLS. Η IETF (Internet Engineering Task Force) προτείνει επίσης τη χρήση των τελευταίων εκδόσεων των πρωτοκόλλων, που απαιτούν μεγαλύτερους πρώτους αριθμούς.
Οι κατάσκοποι μπορούν να σπάσουν πρώτους αριθμούς που χρησιμοποιούνται συνήθως σε κλειδιά Diffie-Hellman μέχρι και 1024 bits (σχεδόν 309 ψηφία) σε μήκος. Οι πρώτοι αριθμοί σε κλειδιά μήκους 2048-bit όμως πρόκειται να αποτελέσουν πραγματικό πονοκέφαλο σε κατασκόπους αφού δεν θα μπορούν να σπάσουν και να αποκρυπτογραφήσουν τα συγκεκριμένα κλειδιά και άρα τα δεδομένα που προστατεύουν, για πάρα πολύ μεγάλο διάστημα.
Για τους χρήστες, αν και είναι γεγονός ότι οι υπηρεσίες πληροφοριών έχουν δυνατότητες να παραβιάσουν τα VPN και άλλα πρωτόκολλα κρυπτογράφησης που κρυπτογραφούν τη διαδικτυακή κίνηση, και πάλι θα είστε πολύ καλύτερα προστατευμένοι σε σχέση με τη χρήση απλού κειμένου χωρίς καμία κρυπτογράφηση. Ακόμα κι’ αν ο υπολογιστής σας παραβιαστεί, η προσπάθειά τους αυτή μπορεί να τους κοστίσει χρόνο και χρήμα - οπότε γίνεται αμέσως ακριβό γι’ αυτούς. Γενικά, να έχετε υπόψη σας ότι όσο λιγότερο έκθεση έχετε, τόσο μεγαλύτερη ασφάλεια απολαμβάνετε.
Ο Edward Snowden λέει: “Η κρυπτογράφηση δουλεύει. Τα κρυπτογραφικά συστήματα με σωστή υλοποίηση είναι από τα λίγα πράγματα που μπορείτε να βασιστείτε". Όσο αυτό είναι δυνατόν, καλό είναι να αποφύγετε τα VPN που βασίζονται σε MD5 και SHA1 αλγόριθμους για hashing και PPTP ή L2TP/IPSec πρωτόκολλα. Επιλέξτε λύσεις που βασίζονται στις τρέχουσες εκδόσεις OpenVPN (το οποίο θεωρείται εξαιρετικά ασφαλές) και SHA-2. Αν δεν είστε σίγουροι τι αλγόριθμο χρησιμοποιεί το VPN σας, ψάξτε το στην τεκμηρίωση ή ρωτήστε την υπηρεσία υποστήριξης.
Το VPN είναι φίλος σας. Εμπιστευθείτε την κρυπτογράφηση και τα μαθηματικά. Μεγιστοποιήσετε τη χρήση του και κάντε ό,τι καλύτερο μπορείτε για να εξασφαλίσετε ότι το τελικό σας σημείο (endpoint) προστατεύεται επίσης. Μ’ αυτόν τον τρόπο μπορείτε να παραμείνετε ασφαλείς ακόμα και σε περίπτωση καταστολής των κρυπτογραφημένων συνδέσεων.
Σχολιάστε πώς μπορεί να βελτιωθεί το εν λόγω άρθρο. Τα σχόλιά σας έχουν σημασία!