Samsung noul partener al jocurilor olimpice

Pentru că ne apropiem cu pași repezi de jocurile de iarnă, foarte multe companii au ales să se alăture concurenților și să le premieze participarea. Cu toții știm că în această perioadă foarte multe companii se vor alătura, în calitate de parteneri, jocurilor olimpice de la PyongChang. Chiar dacă sportivii olimpici nu pleacă cu o medalie, vor primi un nou telefon, mai exact un smartphone de la Samsung. Miercuri, gigantul tehnic a anunțat o ediție specială a smartphone-ului Galaxy Note 8 pentru toți sportivii care concurează la Jocurile Olimpice de iarnă de la PyeongChang 2018. Samsung a declarat că va

Oimiakon, localitatea de gheață

Oimiakon este un sat cu câteva sute de locuitori din Rusia. A intrat în cartea recordurilor în urmă cu 85 de ani drept zona locuită cu cea mai mică temperatură, care în 1933 a fost de -67,7 grade Celsius. Bine, sunt zone pe planeta asta cu temperaturi mult mai scăzute, însă Oimiakon este o zonă locuită, în timp ce restul nu sunt. În sat este atât de frig încât oamenilor le îngheață genele în câteva secunde de stat afară, cerneala din stilourile elevilor îngheață, bateriile de orice tip se descarcă într-un timp foarte scurt, iar oamenii care poartă ochelari aleg

Hackerii au lovit din nou

Într-o lume în care domeniul virtual a devenit din ce în ce mai puternic, monezile digitale sunt acum principala atracție printre hackeri. Într-un atac online sâmbătă, o monedă virtuală, mai exact Stellar Lumen, a fost ținta unor hackeri. Aceștia au cauzat o pierdere de 400 000 de dolari. Aceștia au distrus serverul care găzduiește BlackWallet. Moneda Stellar Lumen se află pe poziția a 8-a drept ce mai populară monedă. Deși cei de la BlackWallet au încercat să avertizeze utilizatorii de acest atac cibernetic, nu mulți au crezut că este posibil. Din această cauză, mulți utilizatori au continuat să fie activi

China trimite insecte și plante pe lună

Se pare că mai multe agenții spațiale doresc să exploreze Luna din nou, mai bine decât a fost explorată în trecut. Președintele Americii, Donald Trump, a decis ca Luna să fie principalul obiectiv al NASA, iar pe lângă el s-au declarat și alte state interesate de explorarea Lunii. Printre ele se află și China, care prin Programul Chang a trimis pe orbita Lunii un lander și două sonde spațiale. Chinezii se pregătesc în acest an pentru a patra misiune pe Lună, iar scopul principal al acesteia este studierea geologiei. Ba chiar au pus la punct și un experiment, prin care

ASUS Zenbook 13 (UX331UAL) şi X507 au fost prezentate în cadrul CES 2018

ASUS nu a lăsat ștacheta mai jos față de celalalte companii care și-au prezentat produsele în cadrul CES 2018, astfel încât compania taiwaneză a prezentat două notebook-uri destul de interesante. Primul dintre ele, Zenbook 13 (UX331UAL), este un model foarte subțire, ușor și elegant. Are display de 13.3 inch cu rezoluție FullHD sau 4K, are procesor Intel Core i7 de generație a opta, placă video nVidia GeForce MX150, vine cu până la 16 GB RAM, până la 1 TB spațiu de stocare, are scanner de amprente, difuzoare Harman Kardon, rulează Windows 10, are integrate funcțiile Modern Standby și Windows Hello,

Samsung a lansat primul televizor modular microLED în cadrul CES 2018

Probabil ați citit și voi în ultimele zile despre televizorul Samsung căruia îi poate fi schimbată forma și dimensiunea în funcție de nevoile posesorului. Acesta a fost lansat în cadrul CES 2018, are un ecran de 146 de inch – 370 cm, o rezoluție 8K, vine cu tehnologie microLED cu emisie automată, oferind o claritate superioară conținutului indiferent de rezoluție, iar numele acestuia este „The Wall” (Peretele). Jonghee Han, președintele diviziei Visual Display al Samsung Electronic, a declarat faptul că “La Samsung suntem dedicați să oferim consumatorilor experiențe inedite de vizionare. “The Wall”, primul televizor modular MicroLED pentru consumatori, este

Ce mai lansează Samsung în cadrul CES 2018 – un frigider și o mașină de spălat marca Samsung

Samsung a prezentat în cadrul CES 2018, printre altele, niște produse mai neobișnuite ca să zic așa. Este vorba de frigiderul Samsung Family Hub și de mașina de spălat Samsung WW6850N. Frigiderul Samsung Family Hub este un model normal în mare parte, însă iese în evidență prin asistentul vocal Bixby. Mai precis, prin intermediul asistentului vocal, utilizatorii vor putea conecta frigiderul la alte device-uri inteligente din casă, putând astfel să le și controleze. Frigiderul este echipat și cu un ecran de pe care vei putea urmări camerele video de supraveghere, iar pe lângă el are și o pereche de boxe

Omul Spectacol- recenzie

Omul Spectacol este acel film în care nu te aștepți să îl vezi pe fiorosul, răzbunătorul Hugh Jackman aka bineștiutul Wolverine. Partea bună? Este nominalizat la Globurile de Aur! Să o luăm de la început! V-ați uitat la La La Land? Dacă nu, ar trebui să o faceți. Este unul dintre cele mai apreciate filme de la Oscar din ultimii ani. Și ceea ce este și mai interesant este faptul că este un musical reinterpretat. Mai exact, nu se cântă chiar tot timpul, iar momentul de musical este cu adevărat deosebit. Revenind la Omul Spectacol trebuie să vă spunem ca

Asteroidul Halloween se va apropia din nou de Terra

Asteroidul Halloween, denumit și Asteroidul 2015 TB145, este o rocă spațială care are o formă cel puțin ciudată. Acesta a fost descoperit într-o zi de Halloween, pe 31 octombrie 2015, când a trecut pe lângă Pământ la o distanță de doar 480 de mii de km. Întâmplarea este și mai interesantă fiindcă asteroidul are o formă ciudată, semănând din diverse unghiuri cu un craniu uman. Datorită zilei în care a fost observat și datorită formei acestuia, roca spațială a primit denumirea de Asteroidul Halloween. Astronomii l-au verificat atent și au obținut informații interesante despre el. Are diametrul de 640 de

Brese de securitate in serviciile VPN oferite de multi furnizori

Anul acesta, pe 30 Iunie, in cadrul celui de-al 15-lea Privacy Enhancing Technologies Symposium, o echipa de cercetatori de la Universitatea Sapienza din Roma si Universitatea Queen Mary din Londra au prezentat o lucrare care atrage atentia asupra unor probleme serioase de securitate descoperite la multe dintre serviciile de VPN disponibile pe piata.

Foarte generic, un VPN (Virtual Private Network – Retea Virtuala Privata) este o metoda de a extinde o retea privata folosind tunele criptate care traverseaza o retea publica. La originea acestui concept au stat companiile care doreau sa permita angajatilor sa se conecteze de acasa sau de pe teren la reteaua privata a companiei si sa poata face acest lucru fara a compromite securitatea retelei private. Tehnic, conceptul este foarte simplu. Continuand exemplul clasic al companiei cu angajatii care lucreaza de acasa sau de pe teren, compania are un server de VPN care creeaza si gestioneaza tunele criptate la cererea clientilor, angajatul are un client de VPN care se conecteaza la serverul de VPN al companiei si cere sa-i fie creat un tunel criptat. Dupa ce clientul si serverul stabilesc conexiunea, clientul isi modifica tabela de rutare si lista de servere de rezolutie de nume (DNS) in mod corespunzator pentru ca toate, sau o parte din, conexiunile catre Internet sa fie directionate prin tunelul criptat.

In ziua de astazi, VPN-urile nu mai sunt folosite doar pentru conectarea de acasa sau de pe teren la reteaua firmei, sau a facultatii, sau a institutului etc., ci si ca metoda de securizare a conexiunii la Internet impotriva diverselor tipuri de adversari. In speta, cineva poate sa aiba un server de VPN acasa astfel incat sa aiba acces la reteaua privata de acasa chiar si cand nu este acasa. Cineva poate sa aiba un server de VPN acasa ca sa poata sa acceseze diverse servicii online in siguranta, prin conexiunea de acasa, chiar si dintr-un aeroport sau hotel care pune la dispozitie doar conexiuni nesecurizate. Cineva poate ca nu este in masura sa isi instaleze sau administreze singur un server de VPN, asa ca poate sa cumpere acest serviciu de la un furnizor de servicii de VPN in care are incredere. Cineva poate sa apeleze la servicii de VPN pentru a-si anonimiza traficul de date atunci cand considera ca ii este pusa in pericol siguranta daca anumiti adversari i-ar afla diverse interese, cum ar fi pareri politice sau orientari sexuale care nu sunt agreate in locul unde traieste. Cineva poate folosi VPN-uri pentru a putea accesa continut audio-vizual care este restrictionat din punct de vedere geografic. Un exemplu halucinant, in acest caz, este cel al Netflix, care nu este disponibil in Australia si peste 200000 de clienti bun-platnici ai serviciului au nevoie sa foloseasca servicii de VPN pentru a putea accesa Netflix-ul. Acestea sunt doar cateva exemple, dar intr-o lume in care avem de a face cu supravegherea generalizata a Internetului de catre diverse state si profilarea comportamentala a utilizatorilor de catre diverse firme, folosirea unui VPN se transforma dintr-o curiozitate intr-un lucru firesc.

Ca orice alta tehnologie, nici VPN-urile nu sunt perfecte, iar daca sunt facute greseli ori de catre furnizorul de servicii, ori de catre client, ori de catre ambele parti, atunci potentialele beneficii ale folosirii unui VPN nu vor fi realizate.

Lucrarea mentionata prezinta doua mari clase de probleme descoperite si care pot cauza scurgerea de informatii in afara VPN-ului. Cele doua clase de probleme sunt scurgerile de IPv6 (IPv6 leakage) si deturnarea de DNS (DNS hijacking).

Scurgeri de IPv6 (IPv6 leakage)

Schema de adresare clasica folosita de cele mai multe ori pe Internet este cea a protocolului fundamental al Internetului, numit Internet Protocol, versiunea 4 (pe scurt IPv4). Problema cu spatiul de adrese IPv4 este ca este prea mic in comparatie cu cerintele Internetului din ziua de astazi. Pentru a veni in intampinarea acestei probleme, a fost dezvoltat Internet Protocol, versiunea 6 (pe scurt IPv6). Pentru a facilita utilizarea IPv6, toate sistemele de operare moderne au implementat suport pentru IPv6. Windows-ul are suport de IPv6 incepand cu Windows XP SP2, Mac OS de la OS X 10.2. Toate distributiile majore de GNU/Linux, cat si distributiile derivate din acestea, au suport pentru IPv6. La fel si toate sistemele de operare mobile, cum ar fi iOS si Android. Mai mult decat atat, cu exceptia unor versiuni vechi ale acestor sisteme de operare, toate versiunile recente nu doar ca au suport pentru IPv6, dar chiar au IPv6-ul activat din start. Atunci cand sunt activate ambele si exista optiunea de a folosi ori IPv4 ori IPv6 pentru a se conecta la un serviciu, sistemul de operare va alege intotdeauna IPv6. Aici apare prima problema.

Atunci cand este activat si IPv4 si IPv6 iar clientul de VPN, atunci cand creeaza tunelul, nu modifica decat tabela de rutare de IPv4 astfel incat traficul sa plece mereu prin tunel, nu si pe cea de IPv6, rezultatul este ca orice potential trafic de IPv6, in loc sa plece spre Internet prin tunelul criptat al VPN-ului, va pleca prin conexiunea nesecurizata. Aceasta devine o problema reala in cazul accesarii anumitor servicii/site-uri care ofera suport si pentru IPv4 si pentru IPv6. In cazul serviciilor/site-urilor care nu ofera suport pentru IPv6, nu exista o problema. In cazul celor care ofera, sistemul de operare, dupa cum spuneam mai sus, va prefera intotdeauna IPv6 si va trimite traficul folosind rutele de IPv6… care nu indreapta traficul prin tunelul de VPN ci pe langa el. Rezultatul este ca pot fi dezvaluite de la informatii de adresare (de exemplu ce site-uri/servicii a accesat clientul) si pana la continut (de exemplu comentarii puse pe diverse site-uri, in cazul site-urilor care nu folosesc HTTPS).

Existenta acestei probleme depinde, in primul rand de furnizorul de servicii, dar si de utilizator. In primul rand, furnizorii de servicii de VPN ofera, de obicei, doua alternative: ori folosirea de catre utilizator a unui client de VPN propriu respectivului furnizor, ori furnizorul pune la dispozitia utilizatorului ori un fisier de configurare, ori instructiuni de configurare a unuia sau mai multor clienti de VPN standard. In cazul folosirii unui client personalizat, responsabilitatea care in principal pe umerii furnizorului pentru a avea grija ca configuratia de baza a clientului sa previna aceasta problema. In cazul folosirii unui client generic, responsabilitatea se imparte intre furnizor si utilizator. Pe de o parte, furnizorul are datoria sa isi configureze serverul corect pentru a preveni aceasta problema si de a furniza fisiere de configurare si instructiuni de configurare adecvate, dar si utilizatorul are responsabilitatea de a avea grija sa isi configureze clientul generic in mod corect in concordanta cu instructiunile primite de la furnizor.

Exista variatii in amploarea problemei si in functie de sistemul de operare. In particular, in cazul sistemelor de operare mobile, a fost observat faptul ca toate serviciile de VPN testate au fost imune la scurgeri de IPv6 pe iOS, IPv6-ul fiind dezactivat complet cat timp tunelul de VPN este activ. La polul opus, s-a aflat sistemul de operare mobil Android, pe care absolut toate serviciile de VPN au avut scurgeri de IPv6, indiferent de configurarile furnizorilor.
Cu toate acestea, problema poate fi rezolvata foarte usor in cateva moduri:

1. Dezactivarea IPv6-ului din sistemul de operare, daca nu este necesar in mod explicit pentru altceva, sau
2. Blocarea folosind un firewall al traficului de IPv6, mai exact:
2.1. Blocarea intregului trafic de IPv6, daca nu este necesar in mod explicit pentru altceva, sau
2.2. La conectarea la VPN, blocarea intregului trafic de IPv6 care nu iese prin gateway-ul VPN-ului. De fapt, acest lucru poate fi facut, pentru siguranta, chiar si cu traficul de IPv4. Mai exact: la stabilirea tunelului intre client si server, este creata o interfata virtuala prin care ar trebui sa fie rutat intreg traficul. Dar, fizic, pachetele de date care trec prin tunel, si cele care sunt folosite pentru crearea tunelului in sine, trec prin interfata fizica a dispozitivului, toate avand ca destinatie adresa IP a serverului de VPN. Asadar, trebuie sa ne legam de interfata fizica atunci cand facem filtrarea. Filtrul va fi foarte simplu: pe interfata fizica nu au voie sa iasa decat pachete care au ca destinatie adresa IP a serverului de VPN. Orice pachet care incearca sa iasa prin interfata fizica catre orice alta destinatie va fi blocat, iar singurele pachete care vor putea iesi, o vor face prin tunel.

Pe un calculator personal, acestea sunt operatii relativ usor de realizat, chiar si pentru utilizatori neexperimentati. Pe un telefon mobil, in functie de sistemul de operare, acestea s-ar putea sa fie mult mai dificil, daca nu chiar imposibil de realizat. Aici ar putea fi deschisa o discutie mai ampla vis-a-vis de dezavantajele si vulnerabilitatile create de sistemele de operare mobile prin impiedicarea utilizatorilor acestora de la a avea acces nerestrictionat la hardware-ul dispozitivelor.

Deturnarea de DNS (DNS hijacking)

DNS (Domain Name System) este un sistem care este folosit pentru a asocia nume (numite nume de domeniu sau domenii) usor de tinut minte adreselor IP (nu este relevant in cazul de fata daca vorbim de IPv4 sau IPv6 pentru ca DNS-ul functioneaza pentru ambele tipuri de adrese). Retelele de calculatoare care formeaza Internetul si sistemele de operare comunica folosind adresele IP. Pentru a transforma numele de domeniu folosite de oameni si aplicatii in adresele IP necesare sistemului de operare pentru a comunica cu alte dispozitive, este folosit sistemul DNS.

Sistemele de operare au implementati clienti de DNS care se conecteaza la servere de DNS pentru a transforma nume de domenii in adrese IP. Problema apare in momentul in care un atacator inlocuieste un server de DNS legitim cu un server de DNS compromis care, atunci cand primeste cereri de transformare a numelor de domeniu in adrese IP, adresele IP returnate clientului sunt niste adrese false, facand, astfel, ca clientul sa transmita date, potential sensibile, catre un calculator aflat sub controlul atacatorului in loc sa le trimita catre destinatia corecta. Atacatorul, de cele mai multe ori va trimite datele mai departe, devenind un intermediar care vede intreg traficul victimei, astfel incat victima poate sa nici nu isi dea seama ca secretul comunicatiilor sale a fost compromis.

Deturnarea de DNS, in manifestarea sa cea mai simpla, este o problema particulara sistemelor de operare din familia Windows. Motivul pentru aceasta este ca sistemele de operare din familia Windows au configuratii de DNS separate pentru fiecare interfata, spre deosebire de restul sistemelor de operare care au configuratii de DNS globale. Totusi, vulnerabilitatile descoperite si prezentate in lucrarea mentionata pot fi implementate pentru a ataca orice sistem de operare.

Complexitatea atacurilor variaza in functie de modul in care furnizorul de VPN trateaza problema serverelor de DNS, daca la stabilirea tunelului:
1. clientul de VPN nu primeste de la serverul de VPN si, in consecinta, nu isi schimba, serverele de DNS – in acest caz, atacul este trivial, pentru ca atacatorul nu are de facut nimic decat sa furnizeze prin DHCP, la conectarea la reteaua locala, orice servere de DNS compromise doreste;
2. clientul de VPN isi schimba serverele de DNS, dar acestea sunt server de DNS publice, cum ar fi cele de la OpenDNS sau Google DNS;
3. clientul de VPN isi schimba serverele de DNS si acestea sunt servere de DNS private, administrate de furnizorul de servicii VPN.

Acest atac se bazeaza pe faptul ca un atacator care controleaza reteaua locala la care este conectata victima, ceea ce nu este un scenariu iesit din comun absolut deloc, poate manipula functionarea retelei locale pentru a injecta rute fictive in tabela de rutare a dispozitivului atacat. La stabilirea tunelului catre serverul de VPN, este modificata tabela de rutare astfel incat toate pachetele care se indreapta catre adrese care nu sunt in reteaua locala, sa o ia prin tunel. Aici intervine problema: un atacator care stie care este adresa serverelor de DNS folosite de VPN-ul victimei, va putea sa creeze o retea locala fictiva care sa contina adresa serverului de DNS folosit de respectivul furnizor de servicii VPN. Acesta nu este un obstacol real pentru un atacator serios pentru ca un astfel de atacator isi poate crea o biblioteca cu, cel putin, adresele serverelor de DNS ale tuturor furnizorilor de servicii de VPN populari si cu cele mai populare servere de DNS publice. Aceasta retea fictiva, fiind locala, pachetele catre ea nu vot fi trimise prin tunel, ci direct pe interfata fizica, conectata la reteaua locala. Astfel, cererile care ar fi trebuit sa ajunga, in mod sigur, prin tunel, la serverele reale de DNS, vor ajunge la serverul fals de DNS al atacatorului. In momentul in care translatia numelor de domeniu a fost compromisa, tot ce este transmis va putea fi capturat, chiar daca pachetele sunt trimise, in prima instanta, prin tunelul de VPN.

O solutie la aceste atacuri care poate fi implementata de furnizorii de servicii de VPN ar fi sa foloseasca servere de DNS private si ca acestea sa aiba aceeasi adresa IP ca serverul de VPN, astfel incat daca cererile catre serverul de DNS sunt redirectionate, si adresa serverului de VPN sa fie redirectionata, iar daca aceasta este redirectionata, conexiunea nu va mai putea fi stabilita de catre client, acesta dandu-si astfel seama ca ceva nu este in regula.
Alta solutie, din partea clientului de aceasta data, este ca redirectionarea pachetelor catre tunel sa fie facuta prin reguli in firewall, nu prin rute in tabela de rutare, astfel incat injectarea de rute false sa nu afecteze in nici un fel destinatia pachetelor. Aceasta este solutia implementata in sistemul de operare mobil Android, incepand cu versiunea Kit Kat (4.4.x). Solutia propusa mai devreme, la atacul precedent, prin care toate pachetele care ar incerca sa iasa pe orice alta cale decat prin tunel sa fie blocate, ar preveni deturnarea DNS-ului, dar ar si impiedica translatia numelor in adrese IP, pierzandu-se astfel din functionalitate. Asadar, aceasta ar trebui imbunatatita prin adaugarea unei reguli in firewall care, in mod explicit, sa directioneze prin interiorul tunelului toate pachetele catre serverul de DNS folosit.

Alte probleme

O alta problema observata, dar care care este o problema veche si bine cunoscuta, este folosirea de tehnologii nesigure pentru crearea VPN-urilor. In momentul de fata, cea mai sigura tehnologie este OpenVPN, dar nu toti furnizorii o folosesc, si chiar si printre cei care o folosesc, nu toti o folosesc in mod exclusiv, astfel ca un utilizator neinformat s-ar putea sa aleaga sa foloseasca o tehnologie mai nesigura, cum ar fi PPTP sau L2TP pentru crearea tunelului. De exemplu, PPTP-ul foloseste protocolul de autentificare MS-CHAPv2, care este bine stiut ca fiind nesigur.

(Sursa: privacy.apti.ro)

Reply