Slo-Tech - NordVPN se je dlje časa oglaševal kot storitev, ki zagotavlja zasebnost na internetu in zaščito pred nepovabljenimi očmi. Toda v resnici je bil NordVPN tarča hekerskega vdora že marca 2018, za kar so izvedeli pred nekaj meseci, stranke pa o tem obvestili šele sedaj. Da je nekaj narobe, se je na temnem delu interneta govorilo že od maja 2018. Trenutno dostopni podatki kažejo, da so imeli napadalci polni (root) dostop do NordVPN-ja. Odnesli so tudi zasebne šifrirne ključe, med drugim ključ za certifikat za domeno nordvpn.com, ključ za podpisovanje digitalnih certifikatov drugih storitev NordVPN-ja in ključ za dostop do strežnikov. Omenjeni ključi so potekli kasneje leta 2018 in danes niso več relevantni.
NordVPN v izjavi za javnost pojasnjuje, da je bil marca 2018 prizadet en strežnik na Finskem, drugi pa naj ne bi bili kompromitirani. Poudarjajo, da je bil napad usmerjen na omenjeni strežnik in ne na celotno storitev. Napad naj bi bil posledica nepravilne konfiguracije na strani pogodbenega partnerja, s katerim ne sodelujejo več. Podatkov o uporabnikih niso dobili niti niso prestrezali njihovega prometa. Priznavajo pa, da so napadalci dobili ključe TLS, s katerimi bi lahko napadalci teoretično izvedli napad MITM na posamezne uporabnike, ne morejo pa z njimi prestrezati prometa prek VPN. Čeprav NordVPN pravi, da bi bilo napad MITM izvesti zelo težko, to ni velik izziv. Podrobnosti glede ostalih ukradenih ključev niso razkrili. Dodajajo še, da so izvedli pregled sistema (audit) in da bodo v prihodnosti uvedli nagrajevanje odkritih ranljivosti (bug bounty).
Novice » Varnost » NordVPN pred poldrugim letom tarča napada, razkrivajo ga šele sedaj
Gagatronix ::
Mogoce bodo zdaj YouTuberji nehali oglasevati to sranje.
Zgodovina sprememb…
- predlagalo izbris: SmeskoSnezak ()
jype ::
OpenVPN, ker z njim lahko upravljaš sam in se ti ni treba zanašat na SeMiNeSanja.
Zgodovina sprememb…
- predlagalo izbris: SeMiNeSanja ()
SeMiNeSanja ::
Baje, da je imelo še nekaj drugih VPN ponudnikov težave: "Such as a few other providers, TorGuard and VikingVPN have also been hit"
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
HotBurek ::
Lahko si postaviš (Open)VPN, naprimer za začetek na en VPS v njemačkoj. In promet vseh svojih naprav (PC, laptop, PametniTelefon itn.) spelejš čez ta VPN. Tako prikriješ dejanski IP (na fiksnem delu od operaterja, na mobilnem pa tudi pri roaming-u).
To je del k večji anonimnosti. Isto, kot te zokni sami po sebi pri -20°C ne bodo absolutno pogrel, si jih vseeno daš gor, ker so del celotne zismke opreme.
Sem pa ravno danes spet videl en stran, ki uporablja JS hack; namesto Piškotkov uporabijo skritpo, ki se požene na client-u, poskenira za raznimi nastavitvami, potem pa naredi POST na server, kjer se ta statistika zbira. Tako dobijo language, timezone, useragent, itn.
To je del k večji anonimnosti. Isto, kot te zokni sami po sebi pri -20°C ne bodo absolutno pogrel, si jih vseeno daš gor, ker so del celotne zismke opreme.
Sem pa ravno danes spet videl en stran, ki uporablja JS hack; namesto Piškotkov uporabijo skritpo, ki se požene na client-u, poskenira za raznimi nastavitvami, potem pa naredi POST na server, kjer se ta statistika zbira. Tako dobijo language, timezone, useragent, itn.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
darkolord ::
Tako prikriješ dejanski IP (na fiksnem delu od operaterja, na mobilnem pa tudi pri roaming-u).Še vedno se vidi tvoj dejanski - "njemački" - IP.
c3p0 ::
Pa logiran si na FB, YT, Gmail, tako da tudi NSA ve kdo si. Življenje v neki fake varnosti.
Precej večjo možnost zasebnosti ti nudi TOR.
Precej večjo možnost zasebnosti ti nudi TOR.
Mr.B ::
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Gagatronix ::
poweroff ::
Če veš kaj delaš, pohackani exit nodi niso problem.
P. S. Večina ljudi, ki uporablja Tor pojma nima kaj dela.
P. S. Večina ljudi, ki uporablja Tor pojma nima kaj dela.
sudo poweroff
Hermit Bob ::
Sem pa ravno danes spet videl en stran, ki uporablja JS hack; namesto Piškotkov uporabijo skritpo, ki se požene na client-u, poskenira za raznimi nastavitvami, potem pa naredi POST na server, kjer se ta statistika zbira. Tako dobijo language, timezone, useragent, itn.
Japajade, to niti ni problematicno, sicer dobivajo bite podatkov ampak ta zaguljene stvari se skrivajo v audio renderingu, webglju, cachingu browserja... sicer, ce ves kaj delas tudi to popusi na polno, samo cookije zna vsakdo brisat, zadrgnit browser, da ne leaka podatkov je pa bolj zaguljeno...
Tule se malo poigrajte, https://browserleaks.com in https://audiofingerprint.openwpm.com/ (pri meni sta oba ves cas razlicna :D)
Najvecji problem se pa skriva v uporabi googla (ne samo searcha ampak tudi celega njihovega spyware ekosistema). Dejasnko so sposobni zelo natancno ugotoviti kdo je kdo, na podlagi obiskovanja strani, tako, da je generator fake prometa za njih nujen.
Zgodovina sprememb…
- spremenilo: Hermit Bob ()
carota ::
SeMiNeSanja ::
OpenVPN, ker z njim lahko upravljaš sam in se ti ni treba zanašat na SeMiNeSanja.
Hvala, sem si namestil OpenVPN na vse naprave. Zdaj grem lahko mirno spat.
Še dobro, da si nisi Jype-a namestil na vse naprave. To bi bila šele katastrofa!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
c3p0 ::
Gagatronix je izjavil:
Pa logiran si na FB, YT, Gmail, tako da tudi NSA ve kdo si. Življenje v neki fake varnosti.
Precej večjo možnost zasebnosti ti nudi TOR.
A s pohackanimi exit node-i ?
Tudi pri *VPN ne moreš vedet kaj je na drugem koncu. S tem da oni za razliko od TOR exit node ownerja lahko zlahka vejo, kdo je request sprožil.
Non-ssl zadev sploh ne bi več uporabljal, če bi želele le trohico anonimnosti.
Dr_M ::
Imajo pa pri nordvpn fantje vsaj malo smisla za humor, ce drugega ne.
Changelog aplikacije za windows.
OUT: bugs of various species. We sent them to an unknown destination with a one-way ticket.
Changelog aplikacije za windows.
OUT: bugs of various species. We sent them to an unknown destination with a one-way ticket.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Deljeni Netflix račun (strani: 1 2 )Oddelek: Zvok in slika | 15533 (3648) | Doew |
» | VPN (strani: 1 2 )Oddelek: Pomoč in nasveti | 14151 (6968) | Tidule |
» | VPN (strani: 1 2 )Oddelek: Omrežja in internet | 16259 (6933) | rkobarov |
» | Kateri VPN ponudnik vzet?Oddelek: Omrežja in internet | 8166 (4856) | Badwolff |
» | Kaj je bolj varno - navadna ISP ali VPN povezava?Oddelek: Omrežja in internet | 2426 (1841) | SeMiNeSanja |