Atât de fani încât și-au numit copilul Xiaomi

Am mai întâlnit până acum o mulțime de cazuri în care fanii companiilor și-au tatuat logo-ul sau numele acestora pe corp, și-au numit copiii după numele companiei sau și-au schimbat numele pentru a primi produse moka de la companie. Gen, îți schimbi numele în „iPhone 5S” pentru a primi un iPhone 5S pe gratis, iar asta nu te va costa niciun ban, ci te va urmări toată viața, vei trăi cu numele ăsta și lumea te va evita ori își va bate joc de tine la modul „iPhone 5S, ești cam neproductiv azi, nu te mai ține bateria sau?”. Avem

Se lucrează la volocopter

Pe scurt, volocopterul este un taxi care te va duce oriunde ai nevoie, în timp foarte scurt, iar asta pe calea aerului. Sună bine, nu? Bine, mai puțin pentru cei care au frică de înălțimi, însă pentru restul sună bine. Cu siguranță sună bine, mai ales pentru locuitorii Bucureștiului, care scrâșnesc din dinți imediat cum pleacă la muncă, că e trafic infernal și nu ajung în timp util unde și-au propus. Un start-up german are de gând să revoluționeze transportul urban, iar asta printr-o mașină zburătoare care va putea fi utilizată în regim de taxi/Uber, pentru a transporta până și

Despre Elon Musk și experimentele secrete ale acestuia: citirea gândurilor

Neuralink, companie deținută de către Elon Musk, a trimis o scrisoare către oficialii din San Francisco, iar în această scrisoare se precizează faptul că compania testează niște implanturi care ar putea citi gândurile. În urma acestui experiment inedit, oamenii ar putea avea abilități mentale la care doar au visat, asemănătoare cu cele ale unei Inteligențe Artificiale. Incipitul experimentelor a început deja, cum este de așteptat, pe cobai. În scrisoare se prezintă și planurile pentru construirea unei săli de dimensiuni modeste de operație, cât și pentru o încăpere pentru găzduirea cobailor. Ce era știut deja este faptul că anul trecut a

Este de necrezut! Iată ce se întâmplă cu statuile de pe Insula Paștelui

Printre multe alte lucruri, încălzirea globală pune în pericol statuile uriașe de pe Insula Paștelui. Insula Paștelui este din ce în ce mai afectată de creșterea nivelului mărilor, iar până în anul 2100, nivelul apei va crește cu aproximativ 2 metri, lucru care va face ca statuile gigantice de pe insulă să dispară complet pe viitor. Nimeni nu știe de ce au fost ridicate aceste statui, iar metoda prin care au fost ridicate reprezintă și ea un mister. Coloniștii olandezi au descoperit insula în anul 1722, iar istoricii încearcă de foarte mult timp să afle ce s-a întâmplat cu primii

Despre întinderea maximă a banchizei polare din acest an

Gheata marina arctica se topeste in fiecare primavara, dupa ce de la sfarsitul lunii febarurie pana pe la jumatatea lunii martie atinge un maximum de intindere. Se pare ca anul acesta, intinderea maxima a acestei banchize polare a fost printre cele mai mici intinderi inregistrate pana-n prezent. Cercetatorii au declarat ca a fost a doua cea mai mica intindere din ultimii 39 de ani, iar recordul in ceea ce priveste cea mai mica intindere maxima a banchizei polare a fost inregistrat chiar primavara trecuta. Potrivit masuratorilor facute din satelit, pe 17 martie, in momentul in care banchiza a avut cea

Telekom anunță internet nelimitat 4G pentru cartelele prepay

Cei de la Telekom au anunțat pe la sfârșitul anului trecut că vor oferi internet nelimitat 4G la orice tip de abonament. Acum, la vreo 5 luni distanță, aceștia au anunțat faptul că începând de azi vor oferi internet nelimitat 4G și clienților care folosesc cartele PrePay. Internetul nelimitat 4 G se activează dacă ai activă una dintre opțiunile N5/N6, unde ai nelimitat minute și mesaje în rețea, 1500/2000 de minute și mesaje naționale, 100/200 de minute internaționale mobil, cât și 5/6 GB trafic de date. Pe lângă astea, internetul nelimitat 4G va fi primit în mod gratuit, ca un

(P) Admiral, una dintre cele mai bune platforme cu jocuri de cazinou și pariuri sportive

Nu știu câți dintre voi ați auzit detalii despre Admiral, însă dacă sunteți pasionați de pariuri sportive și de jocuri de cazinou, atunci articolul ăsta a picat ca de minune pentru voi, asta fiindcă aici o să discut despre una dintre cele mai bune case de pariuri sportive online din țară. Deși Admiral a apărut pe piața online locală în luna iulie a anului trecut, se pare că platforma a adunat o mulțime de jucători în acest timp, care este unul relativ scurt. Platforma este autorizată, iar pasionații de pariuri sportive și de jocuri de noroc au intrat încă de

Una dintre cele mai mari greșeli făcute de către Facebook

Facebook a lansat în urmă cu 5 luni un algoritm care separă postările în care nu se investeau bani. Prin urmare, dacă nu băgai niciun ban în postările de pe pagina de facebook, atunci audiența ta era scăzută drastic, indiferent dacă aveai 100 de likeuri sau 300.000 de like-uri la pagină. Utilizatorii aveau două newsfeed-uri – Explore Feed și News Feed-ul normal. În primul dintre ele, oamenii găseau postările nepromovate, iar în cel de-al doilea, oamenii vedeau link-urile promovate și link-urile distribuite de prieteni. Aceasta schimbare a feed-urilor a fost disponibilă în 6 țări – Serbia, Slovacia, Sri Lanka, Bolivia,

Wonder Women ale României

Ne mândrim în fiecare zi cu voi – femeile, însă astăzi este o zi specială: este ziua voastră, a fiecăreia dintre voi și vrem să vă arătăm cât de mult însemnați pentru noi și pentru istorie. Tehnologia nu a fost din totdeauna, dar voi ați ajutat să devină ceea ce e. Fiecare femeie are un model profesional, însă puțini știu că de cele mai multe ori femeia în România a muncit de mult mai multe ori pentru realizările de-a lungul timpului, fiind propriul său model.   3 femei care ne-au impresionat și de care vrem să povestim astăzi:   Ana

Brese de securitate in serviciile VPN oferite de multi furnizori

Anul acesta, pe 30 Iunie, in cadrul celui de-al 15-lea Privacy Enhancing Technologies Symposium, o echipa de cercetatori de la Universitatea Sapienza din Roma si Universitatea Queen Mary din Londra au prezentat o lucrare care atrage atentia asupra unor probleme serioase de securitate descoperite la multe dintre serviciile de VPN disponibile pe piata.

Foarte generic, un VPN (Virtual Private Network – Retea Virtuala Privata) este o metoda de a extinde o retea privata folosind tunele criptate care traverseaza o retea publica. La originea acestui concept au stat companiile care doreau sa permita angajatilor sa se conecteze de acasa sau de pe teren la reteaua privata a companiei si sa poata face acest lucru fara a compromite securitatea retelei private. Tehnic, conceptul este foarte simplu. Continuand exemplul clasic al companiei cu angajatii care lucreaza de acasa sau de pe teren, compania are un server de VPN care creeaza si gestioneaza tunele criptate la cererea clientilor, angajatul are un client de VPN care se conecteaza la serverul de VPN al companiei si cere sa-i fie creat un tunel criptat. Dupa ce clientul si serverul stabilesc conexiunea, clientul isi modifica tabela de rutare si lista de servere de rezolutie de nume (DNS) in mod corespunzator pentru ca toate, sau o parte din, conexiunile catre Internet sa fie directionate prin tunelul criptat.

In ziua de astazi, VPN-urile nu mai sunt folosite doar pentru conectarea de acasa sau de pe teren la reteaua firmei, sau a facultatii, sau a institutului etc., ci si ca metoda de securizare a conexiunii la Internet impotriva diverselor tipuri de adversari. In speta, cineva poate sa aiba un server de VPN acasa astfel incat sa aiba acces la reteaua privata de acasa chiar si cand nu este acasa. Cineva poate sa aiba un server de VPN acasa ca sa poata sa acceseze diverse servicii online in siguranta, prin conexiunea de acasa, chiar si dintr-un aeroport sau hotel care pune la dispozitie doar conexiuni nesecurizate. Cineva poate ca nu este in masura sa isi instaleze sau administreze singur un server de VPN, asa ca poate sa cumpere acest serviciu de la un furnizor de servicii de VPN in care are incredere. Cineva poate sa apeleze la servicii de VPN pentru a-si anonimiza traficul de date atunci cand considera ca ii este pusa in pericol siguranta daca anumiti adversari i-ar afla diverse interese, cum ar fi pareri politice sau orientari sexuale care nu sunt agreate in locul unde traieste. Cineva poate folosi VPN-uri pentru a putea accesa continut audio-vizual care este restrictionat din punct de vedere geografic. Un exemplu halucinant, in acest caz, este cel al Netflix, care nu este disponibil in Australia si peste 200000 de clienti bun-platnici ai serviciului au nevoie sa foloseasca servicii de VPN pentru a putea accesa Netflix-ul. Acestea sunt doar cateva exemple, dar intr-o lume in care avem de a face cu supravegherea generalizata a Internetului de catre diverse state si profilarea comportamentala a utilizatorilor de catre diverse firme, folosirea unui VPN se transforma dintr-o curiozitate intr-un lucru firesc.

Ca orice alta tehnologie, nici VPN-urile nu sunt perfecte, iar daca sunt facute greseli ori de catre furnizorul de servicii, ori de catre client, ori de catre ambele parti, atunci potentialele beneficii ale folosirii unui VPN nu vor fi realizate.

Lucrarea mentionata prezinta doua mari clase de probleme descoperite si care pot cauza scurgerea de informatii in afara VPN-ului. Cele doua clase de probleme sunt scurgerile de IPv6 (IPv6 leakage) si deturnarea de DNS (DNS hijacking).

Scurgeri de IPv6 (IPv6 leakage)

Schema de adresare clasica folosita de cele mai multe ori pe Internet este cea a protocolului fundamental al Internetului, numit Internet Protocol, versiunea 4 (pe scurt IPv4). Problema cu spatiul de adrese IPv4 este ca este prea mic in comparatie cu cerintele Internetului din ziua de astazi. Pentru a veni in intampinarea acestei probleme, a fost dezvoltat Internet Protocol, versiunea 6 (pe scurt IPv6). Pentru a facilita utilizarea IPv6, toate sistemele de operare moderne au implementat suport pentru IPv6. Windows-ul are suport de IPv6 incepand cu Windows XP SP2, Mac OS de la OS X 10.2. Toate distributiile majore de GNU/Linux, cat si distributiile derivate din acestea, au suport pentru IPv6. La fel si toate sistemele de operare mobile, cum ar fi iOS si Android. Mai mult decat atat, cu exceptia unor versiuni vechi ale acestor sisteme de operare, toate versiunile recente nu doar ca au suport pentru IPv6, dar chiar au IPv6-ul activat din start. Atunci cand sunt activate ambele si exista optiunea de a folosi ori IPv4 ori IPv6 pentru a se conecta la un serviciu, sistemul de operare va alege intotdeauna IPv6. Aici apare prima problema.

Atunci cand este activat si IPv4 si IPv6 iar clientul de VPN, atunci cand creeaza tunelul, nu modifica decat tabela de rutare de IPv4 astfel incat traficul sa plece mereu prin tunel, nu si pe cea de IPv6, rezultatul este ca orice potential trafic de IPv6, in loc sa plece spre Internet prin tunelul criptat al VPN-ului, va pleca prin conexiunea nesecurizata. Aceasta devine o problema reala in cazul accesarii anumitor servicii/site-uri care ofera suport si pentru IPv4 si pentru IPv6. In cazul serviciilor/site-urilor care nu ofera suport pentru IPv6, nu exista o problema. In cazul celor care ofera, sistemul de operare, dupa cum spuneam mai sus, va prefera intotdeauna IPv6 si va trimite traficul folosind rutele de IPv6… care nu indreapta traficul prin tunelul de VPN ci pe langa el. Rezultatul este ca pot fi dezvaluite de la informatii de adresare (de exemplu ce site-uri/servicii a accesat clientul) si pana la continut (de exemplu comentarii puse pe diverse site-uri, in cazul site-urilor care nu folosesc HTTPS).

Existenta acestei probleme depinde, in primul rand de furnizorul de servicii, dar si de utilizator. In primul rand, furnizorii de servicii de VPN ofera, de obicei, doua alternative: ori folosirea de catre utilizator a unui client de VPN propriu respectivului furnizor, ori furnizorul pune la dispozitia utilizatorului ori un fisier de configurare, ori instructiuni de configurare a unuia sau mai multor clienti de VPN standard. In cazul folosirii unui client personalizat, responsabilitatea care in principal pe umerii furnizorului pentru a avea grija ca configuratia de baza a clientului sa previna aceasta problema. In cazul folosirii unui client generic, responsabilitatea se imparte intre furnizor si utilizator. Pe de o parte, furnizorul are datoria sa isi configureze serverul corect pentru a preveni aceasta problema si de a furniza fisiere de configurare si instructiuni de configurare adecvate, dar si utilizatorul are responsabilitatea de a avea grija sa isi configureze clientul generic in mod corect in concordanta cu instructiunile primite de la furnizor.

Exista variatii in amploarea problemei si in functie de sistemul de operare. In particular, in cazul sistemelor de operare mobile, a fost observat faptul ca toate serviciile de VPN testate au fost imune la scurgeri de IPv6 pe iOS, IPv6-ul fiind dezactivat complet cat timp tunelul de VPN este activ. La polul opus, s-a aflat sistemul de operare mobil Android, pe care absolut toate serviciile de VPN au avut scurgeri de IPv6, indiferent de configurarile furnizorilor.
Cu toate acestea, problema poate fi rezolvata foarte usor in cateva moduri:

1. Dezactivarea IPv6-ului din sistemul de operare, daca nu este necesar in mod explicit pentru altceva, sau
2. Blocarea folosind un firewall al traficului de IPv6, mai exact:
2.1. Blocarea intregului trafic de IPv6, daca nu este necesar in mod explicit pentru altceva, sau
2.2. La conectarea la VPN, blocarea intregului trafic de IPv6 care nu iese prin gateway-ul VPN-ului. De fapt, acest lucru poate fi facut, pentru siguranta, chiar si cu traficul de IPv4. Mai exact: la stabilirea tunelului intre client si server, este creata o interfata virtuala prin care ar trebui sa fie rutat intreg traficul. Dar, fizic, pachetele de date care trec prin tunel, si cele care sunt folosite pentru crearea tunelului in sine, trec prin interfata fizica a dispozitivului, toate avand ca destinatie adresa IP a serverului de VPN. Asadar, trebuie sa ne legam de interfata fizica atunci cand facem filtrarea. Filtrul va fi foarte simplu: pe interfata fizica nu au voie sa iasa decat pachete care au ca destinatie adresa IP a serverului de VPN. Orice pachet care incearca sa iasa prin interfata fizica catre orice alta destinatie va fi blocat, iar singurele pachete care vor putea iesi, o vor face prin tunel.

Pe un calculator personal, acestea sunt operatii relativ usor de realizat, chiar si pentru utilizatori neexperimentati. Pe un telefon mobil, in functie de sistemul de operare, acestea s-ar putea sa fie mult mai dificil, daca nu chiar imposibil de realizat. Aici ar putea fi deschisa o discutie mai ampla vis-a-vis de dezavantajele si vulnerabilitatile create de sistemele de operare mobile prin impiedicarea utilizatorilor acestora de la a avea acces nerestrictionat la hardware-ul dispozitivelor.

Deturnarea de DNS (DNS hijacking)

DNS (Domain Name System) este un sistem care este folosit pentru a asocia nume (numite nume de domeniu sau domenii) usor de tinut minte adreselor IP (nu este relevant in cazul de fata daca vorbim de IPv4 sau IPv6 pentru ca DNS-ul functioneaza pentru ambele tipuri de adrese). Retelele de calculatoare care formeaza Internetul si sistemele de operare comunica folosind adresele IP. Pentru a transforma numele de domeniu folosite de oameni si aplicatii in adresele IP necesare sistemului de operare pentru a comunica cu alte dispozitive, este folosit sistemul DNS.

Sistemele de operare au implementati clienti de DNS care se conecteaza la servere de DNS pentru a transforma nume de domenii in adrese IP. Problema apare in momentul in care un atacator inlocuieste un server de DNS legitim cu un server de DNS compromis care, atunci cand primeste cereri de transformare a numelor de domeniu in adrese IP, adresele IP returnate clientului sunt niste adrese false, facand, astfel, ca clientul sa transmita date, potential sensibile, catre un calculator aflat sub controlul atacatorului in loc sa le trimita catre destinatia corecta. Atacatorul, de cele mai multe ori va trimite datele mai departe, devenind un intermediar care vede intreg traficul victimei, astfel incat victima poate sa nici nu isi dea seama ca secretul comunicatiilor sale a fost compromis.

Deturnarea de DNS, in manifestarea sa cea mai simpla, este o problema particulara sistemelor de operare din familia Windows. Motivul pentru aceasta este ca sistemele de operare din familia Windows au configuratii de DNS separate pentru fiecare interfata, spre deosebire de restul sistemelor de operare care au configuratii de DNS globale. Totusi, vulnerabilitatile descoperite si prezentate in lucrarea mentionata pot fi implementate pentru a ataca orice sistem de operare.

Complexitatea atacurilor variaza in functie de modul in care furnizorul de VPN trateaza problema serverelor de DNS, daca la stabilirea tunelului:
1. clientul de VPN nu primeste de la serverul de VPN si, in consecinta, nu isi schimba, serverele de DNS – in acest caz, atacul este trivial, pentru ca atacatorul nu are de facut nimic decat sa furnizeze prin DHCP, la conectarea la reteaua locala, orice servere de DNS compromise doreste;
2. clientul de VPN isi schimba serverele de DNS, dar acestea sunt server de DNS publice, cum ar fi cele de la OpenDNS sau Google DNS;
3. clientul de VPN isi schimba serverele de DNS si acestea sunt servere de DNS private, administrate de furnizorul de servicii VPN.

Acest atac se bazeaza pe faptul ca un atacator care controleaza reteaua locala la care este conectata victima, ceea ce nu este un scenariu iesit din comun absolut deloc, poate manipula functionarea retelei locale pentru a injecta rute fictive in tabela de rutare a dispozitivului atacat. La stabilirea tunelului catre serverul de VPN, este modificata tabela de rutare astfel incat toate pachetele care se indreapta catre adrese care nu sunt in reteaua locala, sa o ia prin tunel. Aici intervine problema: un atacator care stie care este adresa serverelor de DNS folosite de VPN-ul victimei, va putea sa creeze o retea locala fictiva care sa contina adresa serverului de DNS folosit de respectivul furnizor de servicii VPN. Acesta nu este un obstacol real pentru un atacator serios pentru ca un astfel de atacator isi poate crea o biblioteca cu, cel putin, adresele serverelor de DNS ale tuturor furnizorilor de servicii de VPN populari si cu cele mai populare servere de DNS publice. Aceasta retea fictiva, fiind locala, pachetele catre ea nu vot fi trimise prin tunel, ci direct pe interfata fizica, conectata la reteaua locala. Astfel, cererile care ar fi trebuit sa ajunga, in mod sigur, prin tunel, la serverele reale de DNS, vor ajunge la serverul fals de DNS al atacatorului. In momentul in care translatia numelor de domeniu a fost compromisa, tot ce este transmis va putea fi capturat, chiar daca pachetele sunt trimise, in prima instanta, prin tunelul de VPN.

O solutie la aceste atacuri care poate fi implementata de furnizorii de servicii de VPN ar fi sa foloseasca servere de DNS private si ca acestea sa aiba aceeasi adresa IP ca serverul de VPN, astfel incat daca cererile catre serverul de DNS sunt redirectionate, si adresa serverului de VPN sa fie redirectionata, iar daca aceasta este redirectionata, conexiunea nu va mai putea fi stabilita de catre client, acesta dandu-si astfel seama ca ceva nu este in regula.
Alta solutie, din partea clientului de aceasta data, este ca redirectionarea pachetelor catre tunel sa fie facuta prin reguli in firewall, nu prin rute in tabela de rutare, astfel incat injectarea de rute false sa nu afecteze in nici un fel destinatia pachetelor. Aceasta este solutia implementata in sistemul de operare mobil Android, incepand cu versiunea Kit Kat (4.4.x). Solutia propusa mai devreme, la atacul precedent, prin care toate pachetele care ar incerca sa iasa pe orice alta cale decat prin tunel sa fie blocate, ar preveni deturnarea DNS-ului, dar ar si impiedica translatia numelor in adrese IP, pierzandu-se astfel din functionalitate. Asadar, aceasta ar trebui imbunatatita prin adaugarea unei reguli in firewall care, in mod explicit, sa directioneze prin interiorul tunelului toate pachetele catre serverul de DNS folosit.

Alte probleme

O alta problema observata, dar care care este o problema veche si bine cunoscuta, este folosirea de tehnologii nesigure pentru crearea VPN-urilor. In momentul de fata, cea mai sigura tehnologie este OpenVPN, dar nu toti furnizorii o folosesc, si chiar si printre cei care o folosesc, nu toti o folosesc in mod exclusiv, astfel ca un utilizator neinformat s-ar putea sa aleaga sa foloseasca o tehnologie mai nesigura, cum ar fi PPTP sau L2TP pentru crearea tunelului. De exemplu, PPTP-ul foloseste protocolul de autentificare MS-CHAPv2, care este bine stiut ca fiind nesigur.

(Sursa: privacy.apti.ro)

Reply