27. 11. 2015
Výzkumníci z Perfect Privacy zveřejnili informace o chybě, která umožňuje zjistit skutečnou adresu klienta využívajícího VPN. Momentálně je na ni náchylná většina poskytovatelů VPN. Aby útočník mohl chybu zneužít, musí být splněny tři základní podmínky:
- Musí používat stejného poskytovatele VPN jako oběť.
- Musí znát adresu oběti ve VPN. Získat ji může různými způsoby, např. přes IRC, BitTorrent nebo tak, že oběť navede na stránku pod jeho kontrolou.
- Musí mít nastaveno přesměrování portů. U oběti to není potřeba.
Dál následuje několik relativně jednoduchých kroků zahrnujících směrovací tabulku a přesměrování portů, po jejichž provedení útočník zjistí skutečnou IP adresu oběti. Vzhledem k tomu, že se nejedná o chybu v pravém slova smyslu, ale spíš mezeru v konfiguraci, jsou zranitelná téměř všechna VPN řešení včetně IPSec, OpenVPN nebo PPTP. Situaci lze zabránit přenastavením firewallu na serveru.
Za upozornění děkujeme čtenáři Debian4Ever.
