Slo-Tech - Uporaba navideznih zasebnih omrežij (VPN) ni več omejena le na računalnike, temveč je čedalje bolj prisotna tudi na pametnih telefonih. Ti se v internet povezujejo prek različnih, tudi nezaščitenih brezžičnih omrežij, kjer ima VPN pomembno funkcijo za varovanje zasebnosti in zaščito. Najlaže je VPN uporabljati tako, da namestimo eno izmed stotin namenskih aplikacij, ki z uporabo v Android vgrajene sistemske funkcije internetni promet preusmerijo v VPN - in žal še kam drugam. Obsežna raziskava, ki so jo opravili na Univerzi Novega Južnega Walesa in Univerzi Berkeley, je pokazala, da več kot tretjina aplikacij aktivno in namerno škoduje uporabnikom.
Testirali so 283 aplikacij, ki so jih sneli z Google Play Stora. Preverili so, kam aplikacije pošiljajo promet, kako ga zaščitijo in ali ga kaj spremenijo. Rezultati so osupljivi. Kar 18 odstotkov aplikacij prometa sploh ni šifriralo, kar je eden izmed temeljnih namenom VPN-ja, saj tako nepovabljenim očem preprečimo kukanje v promet. Da bo mera polna, pa je 38 odstotkov aplikacij v promet vstavljalo malware ali reklame, s katerimi so vohunile za uporabniki. Več kot 82 odstotkov aplikacij pa je zahtevalo dostop do osebnih podatkov na telefonu, denimo slik ali stikov, čeprav za opravljanje svojega poslanstva tega niti najmanj ne potrebujejo. Praktično vse aplikacije imajo takšne ali drugačne pomanjkljivosti, ki jih ponekod lahko pripišemo slabemu programiranju, v večini primerov pa gre za namerno početje, kot je na primer uporaba zunanjih knjižnic za zbiranje in prodajo osebnih podatkov uporabnikov.
Avtorji raziskave so poudarili, da je glavna pomanjkljivost študije omejitev na brezplačne aplikacije. Njihovi avtorji morajo iskati drugačne poti monetizacije kot ponudniki plačljivih aplikacij. Prav tako je verjetno situacija za uporabnike iOS drugačna, ker je tam trgovina aplikacij strože urejena in bolj centralizirana. Najbolj zaskrbljujoče pa je dejstvo, da je samo en odstotek uporabnikov aplikacij imel kakršnekoli pomisleke; ostali so živeli v prepričanju, da aplikacije delujejo po predvidevanjih in da so se z njihovo namestitvijo dobro zaščitili, medtem ko je resnica često nasprotna.
it's so simple: there's no free lunch. se bolj sporna in popolnoma nesprejemljiva pa je taka praksa pri placljivih aplikacijah. zal je tudi med placljivimi texas. predvsem glede dovoljenj za dostop do podatkov. ampak kdo se bo ubadal s podrobnostmi.
Kje je seznam testiranih aplikacij? Ce ga ni, je vse skup larifari.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Verjetno z uradnim OpenVPN clientom ter VPN ponudnikom, ki omogoca OpenVPN streznike, ne mores ravno zgresiti.
Zakaj že? Enkrat, ko pride promet k nekemu ponudniku (česar koli že; tudi vrivanja spornih in/ali nezakonitih vsebin), ta lahko z njim počne karkoli.
Hja, na eni strani se mi zdi kar legitimno vprašanje Dr M, kdo so ti ponudniki, ker gre lahko za snake oli ponudnike, ki z imenom VPN privabijo naivne in slabo poučene in v resnici počnejo še vse kaj drugega kot ponujajo zgolj VPN do nekega 3. prehoda.
Po drugi strani pa je jasno, kateri koli ponudnik VPN ima pač dostop do prometa. Tako ali tako ta mora priti nekje ven, ali iz domačega omrežja ali pri komercialnem ponudniku. Za tiste, ki imajo optične priključke doma, malo zmogljivejše usmerjevalnike in dovolj znanja, da kakšen IDS/IPS poženejo na RPi, je domača rešitev čista zmaga!
Ampak promet zmeraj nekje 'pride ven' in tam se zanj začne nemilost. Res je, da tam pač ne bo čisto vsakemu na voljo, a operaterju in še kakšni vladni službi, ki jim je bodisi operater ali pa njegova oprema na dosegu roko, prav gotovo.
Ni mi jasno zakaj rabis aplikacijo. Ce imas VPN dostop nekam pac v sistemskih nastavitvah vpises VPN.
Tisti, ki v clanku omenjeno golazen uproabljajo, nimajo "dostopa nekam". Se slabse, nimajo dostopa do marsicesa, zato zelijo nekaj, kar je se najbolj podobno proxyju, uporablja pa VPN tunel, in s tem dostopajo do cesarkoli ze ... zraven pa dobijo se vse tisto, cesar niso hoteli.
Ne gre za uporabnike, ki bi denimo morali od doma dostopati do sluzbenega omrezja ali kaj podobnega, ampak ruljo, ki zeli gledati Netflix v drzavah, kjer storitev ni na voljo.
Ahim torej ne gre za VPN app, ampak za VPN + lista VPN hostov. Torej nekaj tipa free proxy list, samo da ni plain proxy ampak je VPN. Seveda moras bit moten, da mislis da bos preko zastonjskega VPN vleku netflix. Bandwidth in serverji niso zastonj, so pa lahko "zastonj".
Ne vem, kako so te 'ugotovitve' lahko neko hudo presenečenje. Že od nekdaj mi ni bilo jasno, kako so eni naivni - na eni strani paranoični za svojo zasebnost, na drugi strani pa gredo brez vsakega pomisleka uporabljati nepreverjene VPN storitve.
Ni mi jasno zakaj rabis aplikacijo. Ce imas VPN dostop nekam pac v sistemskih nastavitvah vpises VPN.
Tisti, ki v clanku omenjeno golazen uproabljajo, nimajo "dostopa nekam". Se slabse, nimajo dostopa do marsicesa, zato zelijo nekaj, kar je se najbolj podobno proxyju, uporablja pa VPN tunel, in s tem dostopajo do cesarkoli ze ... zraven pa dobijo se vse tisto, cesar niso hoteli.
Ne gre za uporabnike, ki bi denimo morali od doma dostopati do sluzbenega omrezja ali kaj podobnega, ampak ruljo, ki zeli gledati Netflix v drzavah, kjer storitev ni na voljo.
Jaz zato ne uporabljam nobenega VPN, temveč samo ti. smart dns proxy, ki preusmeri le prvi hit in je čisto zadosti. Netflix deluje v vseh ZDA conah BP, pa še nobene dodatne programske opreme mi ni potrebno namestiti. In jasno, to striktno za Netflix uporabljam. Imam spisano skriptno rutino na TV, ki mi spremeni nastavitve, ko jo zaženem.
Že od nekdaj mi ni bilo jasno, kako so eni naivni - na eni strani paranoični za svojo zasebnost, na drugi strani pa gredo brez vsakega pomisleka uporabljati nepreverjene VPN storitve.
Potem te lahko razsvetlim! Gre za dve različni skupini osebkov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Uradni OpenVPN client ima 10+ milijovon namestitev iz Playstora, zahteva pa le storage pravico. V študijo pa ga niso zajeli, ker naj bi zahteval root dostop?!? Hmmmm, ...
Sicer odkrivajo toplo vodo, a vsekakor je dobro, da se uporabnike opozarja na problematiko. Sploh ker so nekateri očitno začudeni nad ugotovitvami...
Na splošno gledano: - z uporabo prostih in odprtokodnih VPN klientov se v razumni meri izognemo vohunjenju na nivoju aplikacije - s postavitvijo lastnega VPN strežnika se v razumni meri izognemo vohunjenju na nivoju strežnika.
V povezavi z varnimi end-to-end protokoli se tako naredi kar veliko za lastno zasebnost. Če bi še sam OS na pametnih napravah bil bolj ok, kar se zasebnosti tiče... in modemski del... in... Ampak ok, korak za korakom.
Mogoče se bo komu, ki mu še ni, kot naslednji logičen korak posvetilo, kako pomembna je nevtralnost interneta. Ne smemo dovoliti cenzure prometa (tudi z namenom QOS ne, ker se to lahko zlorabi) glede na vrsto le-tega.
En star članek in zadeva ni več uporabna? In to članek, ki se sploh ne spušča v kakšne podrobnosti, pri tem pa na koncu pravi, da je glavni problem IPSec-a njegova kompleksnost - ne da bi sploh razložil, v kakšnem smislu naj bi bila ta kompleksnost problematična.
Čudno samo, da 90+% VPN povezav med omrežji poteka preko IPSec protokola, če je varnostno tako hudo problematičen. Najbrž so vsi admini malo za luno, da ga uporabljajo?
Ampak v topicu se govori je o endpoint VPN povezavah. Tu pa ima vse, kar je IPSec bazirano (L2TP,...) eno veliko pomanjkljivost - IPSec marsikje sploh ne deluje, ker hoteli, kafiči,.... nimajo odprtih portov, katere za svoje delovanje potrebuje. Glede na to dejstvo, moram ugibati, če si sploh kdaj uporabljal IPSec.
Skratka, OpenVPN oz. SSL VPN bazirane rešitve imajo bistveno prednost, ker delujejo skoraj povsod. Odpove zgolj v omrežjih, kjer eksplicitno nočejo, da bi se uporabljalo VPN povezave in so v ta namen postavili ustrezne filtre, ki to onemogočajo.
Ker vsi jejo McDonalds, je McDonalds zelo kvalitetna hrana?
(blog linka na akademski članek, pa še kaj. Schneier in Gutmann , če kdo fura "sklicevanje na lastno avtoriteto")
Akademski.... ki akademske trditve postavlja. Članek izvira iz leta 2003, 'analizira' RFC iz leta 1998 in se sploh ne ukvarja z dejanskimi implementacijami, še najmanj pa z imlementacijami v uporabi leta 2017.
Ampak vedno se kdo najde, ki na internetu vleče ven neke stare zadeve in jih prezentira kot grozljiva dejstva, ne da bi se sploh spuščal v podrobnosti. Članek bi bil cool, če bi ga spisal nekdo, ki se res razume v zadevo in predstavil kaj od očitanega danes še drži - in te očitke tudi podkrepil s kakšnim proof of concept na nekaterih današnjih implementacijah.
Tako pa je brez vrednosti - oz. zavajajoč in škodljiv.
2013, ne 2016, če se že sklicuješ na link iz strani. Pa si zadevo sploh odprl in pogledal? Se mi zdi, da ne. Govori o enkripciji na splošno, da ti ne bo rešila riti. IPSec se do polovice (naprej nisem gledal) omenja samo na dveh slajdih, pa še tam se gre za implantat, ki ga je NSA uspela vgraditi v router ali firewall, da je 'pokvarila' IPSec.
Skratka, če se že sklicujete na neke zadeve, dajte jih prosim tudi pogledat in biti malo kritični. Drugače lahko takoj spet začnemo razglabljat o tem, ali je zemlja ploščata ali votla.
IPSec ti odleti ko imas NAT vmes (v IPv4). To je en od glavnih problemov zakaj ti v kaficih ne dela.
Čudno, meni pa lepo dela preko NAT-a....
Ne, problem v kafičih je ta, da zaprejo 'nepotrebne' porte (da nebi kdo torrente vlekel?) in s tem zaprejo tudi porte in protokole, ki so potrebni za IPSec. Low-end routerji imajo tudi lahko težave z AH (Authentication Header) in ESP (Encapsulating Security Payload) protokoloma.
OpenVPN oz. SSL VPN pa potrebuje samo odprt port 443, v katerega se kdo preveč ne vtika in zadeva že deluje.
To je pa zanimivo. Naceloma IPSec zasciti komplet IP paket, vkljucno z IP naslovom prejemnika in posiljatelja, kar pa NAT spremeni in posledicno digitalni podpis paketa ni vec veljaven.
Mogoce pa uporabljas NAT-T (traversal)? Ampak v tem primeru morata to podpirati obe strani...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25
Zanimivo pri tem je pogledat rešitev, ki jo ponuja NCP.
Nemško podjetje NCP je eden največjih ponudnikov komercialnih IPSec odjemalcev, katere uporablja kar nekaj proizvajalcev (Juniper, WatchGuard,...). Malo manj znano je, da NCP ponuja tudi lasten VPN gateway. Ta v sebi združuje tako IPSec in SSL VPN povezljivost. To samo po sebi še ni neka posebnost, saj veliko rešitev ponuja več variant povezljivosti.
Zanimiva pa je kombinacija z njihovim 'univerzalnim' odjemalcem. Ta najprej poskusi vzpostaviti povezavo preko IPSec (kvazi premium varianta). Če to ne uspe, gre samodejno poskusiti vzpostaviti povezavo preko SSL VPN.
Zadeva, ki bi se jo lahko naučili tudi drugi proizvajalci, kateri imajo več različnih možnosti implementirane na svojih rešitvah.
@McMallar, IKE v2 protokol privzeto podpira NAT traversal. Se sicer še vedno najde kak star klient, ki IKE v2 ne zmore out of the box, a so zdaj v praksi redki. Sploh na strani klientov od končnih uporabnikov.
Na strežniški strani je recimo Windows Server 2008 ena taka beštija (navaden podpira samo IKE v1, R2 ima IKE v2), ampak tudi to reši dodaten software. Sem recimo lani selil eno dokaj staro škloponcijo iz ZDA sem (celo Exchange gručo) in je z nekaj malega zezanja šlo tudi to povezati na IPsec omrežje...
Tudi če je bil updejtan januarja 2016 (ne bom šel preverjat), se vsaj do polovice dokumenta NIKJER ne omenja, da bi bilo karkoli narobe z IPSec. Dokument govori na splošno o enkripciji v vseh njenih pojavnih oblikah, ti si pa to apliciral na IPSec.
Ne vem, zakaj naj bi potem iskal še kakšne argumente, če navajaš 'dokaz', kateri se tematike sploh ne tiče.
Ali, če že glih hočeš, ta dokument tudi lahko interpretiraš kot "nima smisla karkoli kriptirati, ker bodo stvar že kako razbili". Ker ima gospod Gutmanu neke pomisleke glede kriptografije, naj zdaj kar opustimo vsako kriptiranje?
SeMiNeSanja čuti na vodi, da ni slab. Argumente ne potrebuje. <----
Strokovno ocenjen kot slab leta 1999 (originalni članek je tako star) in avtor tvojega članka potem po občutku(tm) reče da je OpenVPN narejen pa bolje :) V 17 letih se je pa "nekoliko" stvari spremenilo.
Poglejmo recmo tole z 31c3: https://nohats.ca/wordpress/blog/2014/1... , ki je nekoliko novejši pregled. Največja ranljivost je kraja certifikatov s tvojega routerja (na kar je jasno občutljiv tudi OVPN).
Je pa IpSec vseeno večinoma nepodprt na domači opremi kar je resen problem za varnost.
Komur se ne da čitati, bo dovolj povedal zaključek:
Conclusion
If anything, I would say that IPsec and IKE have withstood the attacks of the NSA. The fact that the NSA needs implants and needs to use brutce force attacks against IKE PSKs shows that despite its kitchen sink nature, IKE and IPsec are doing quite well if you configure it properly and run it on a secure host. But misconfiguration of IKE is something we did a poor job of preventing. We can and should have more automatic IKE/IPsec deployed using strong default configurations.
Ampak ja, se strinjam, da na eni strani je problem, da home oprema ne podpira IPSec-a, po drugi strani pa mislim, da bi marsikateri home user obupal nad IPSec, ker se nebi znašel med parametri. Je le malo drugačna zgodba, kot če se dve podjetji dogovorita, da si bosta promet izmenjevali preko IPSec-a in si pošljeta ustrezen vprašalnik, s pomočjo katerega se dogovorita za točne parametre, tako da kasneje ni ugibanja, kdo bo kaj nastavil.
Ampak po drugi strani smo pa tudi že videli obupane uporabnike, ki so si pulili lase ob konfiguraciji OpenVPN-a....
Ker je standardizacijski komite 'spodkopan' s strani NSA? Kot da pri razvoju/standardizaciji drugih protokolov pa nimajo svojih prstov zraven?
Nekako ne razumem argumentacije, da je IPSec preveč kompleksen za kakšno resno varnostno analizo. Potemtakem bi moral biti tudi preveč kompleksen za implementacijo. Pa začuda kar deluje cela vrsta implementacij.
Na splošno pa je treba pri ranljivostih tudi ločiti med takimi, ki so vgrajene zaradi standarda, kakršen je in tistimi, ki se pojavijo v neki določeni implementaciji. Če je ena implementacija gnilo jabolko, to še ne pomeni, da je cela gajba gnila. Ampak za enkrat je vedno zgolj govora o hipotetičnih možnostih zlorabe, praktično pa jih ni še nihče pokazal. Tudi NSA, sodeče po Snowdenu, si očitno ni uspela standarde tako prikrojiti, da bi jim olajšali delo. Še vedno ti morajo ali nekaj ukrasti ali namestiti, da bi lahko vtikali svoj nos v tvoj promet. Ko si pa enkrat pri kraji in nameščanju, pa takointako ni več nobena zadeva varna.
Jaz pa razumem kaj so hoteli povedati z "IPSec preveč kompleksen za varnostno analizo".
Hoteli so povedati da je IPSec tako močno razširljiv(več avtentikacijskih protokolov, enkripcij,...) in torej ne moreš analizirat IPSec kot takega, ampak bi moral analizirati posamezno IPSec implementacijo, če bi hotel konkretno analizo.
Vse novejše implementacije IPSeca uporabljajo naprimer za avtentikacijo IKEv2, ki je zelo solidna zadeva, ter za enkripcijo AES, ki je tudi solidna zadeva. Je pa še veliko drugih podrobnosti implementacije in je zadevo težko posploševati.
Osebno bi si drznil posplošiti, da so client implementacije v sodobnih operacijskih sistemih zelo solidne. Prav tako bi si drznil trditi da je strongSwap opensource server zelo solidna zadeva.
Jaz pa razumem kaj so hoteli povedati z "IPSec preveč kompleksen za varnostno analizo".
Hoteli so povedati da je IPSec tako močno razširljiv(več avtentikacijskih protokolov, enkripcij,...) in torej ne moreš analizirat IPSec kot takega, ampak bi moral analizirati posamezno IPSec implementacijo, če bi hotel konkretno analizo.
To je tudi meni jasno, ampak se mi zdi prej prednost, kot slabost. Če se namreč enega dne pokaže, da je ena od komponent dejansko ranljiva, se jo preprosto zamenja z drugo in problem je (začasno) rešen, dokler se stvari ne pokrpa. Druge 'manj kompleksne' rešitve te pustijo bosega, dokler se tvoja implementacija ne pokrpa. Pa še potem ti leta in leta naokrog strašijo nepokrpani sistemi (koliko so že zadnjič rekli, da je še ranljivih sistemov na heartbleed?).
... Osebno bi si drznil posplošiti, da so client implementacije v sodobnih operacijskih sistemih zelo solidne. Prav tako bi si drznil trditi da je strongSwap opensource server zelo solidna zadeva.
Komot tudi jaz podpišem obe izjavi, preverjeno v praksi...
Aja, strongSwan, če kdo še ne pozna in bo iskal. Azgard se je slučajno zatipk... zaswapal? Memory leak?
Jaz pa razumem kaj so hoteli povedati z "IPSec preveč kompleksen za varnostno analizo".
Hoteli so povedati da je IPSec tako močno razširljiv(več avtentikacijskih protokolov, enkripcij,...) in torej ne moreš analizirat IPSec kot takega, ampak bi moral analizirati posamezno IPSec implementacijo, če bi hotel konkretno analizo.
Vse novejše implementacije IPSeca uporabljajo naprimer za avtentikacijo IKEv2, ki je zelo solidna zadeva, ter za enkripcijo AES, ki je tudi solidna zadeva. Je pa še veliko drugih podrobnosti implementacije in je zadevo težko posploševati.
Osebno bi si drznil posplošiti, da so client implementacije v sodobnih operacijskih sistemih zelo solidne. Prav tako bi si drznil trditi da je strongSwap opensource server zelo solidna zadeva.
Večja kritika je tudi jasno to, da pri vseh teh opcijah brez zelo dobrega domenskega znanja hitro postane set konfiguracije neuporaben za zagotavljanje varnosti. Če se prav spomnim je neka druga raziskava pokazala da večina IPsecov sploh ni pravilno skonfigurirana da bi res zagotavljala varen prenos - kar je precejšnja pomanjkljivost z drugimi rešitvami ki izberejo varne nastavitve privzeto. To je seveda tudi problem zelo razdrobljene dokumentacije.