VPNs נהדרים לאבטחה, אבל אחת הסיבות הגדולות שאנשים רבים משתמשים באחד היא להסוות או לשנות את כתובת ה-IP שלהם. זה מאפשר לך לעקוף הגבלות מבוססות מיקום על תוכן, או לבדוק אם הספק שלך מצמצם את החיבור שלך. למרבה הצער, פגם אבטחה חדש יכול לחשוף את כתובת ה-IP האמיתית שלך לעיניים סקרניות, גם אם אתה משתמש ב-VPN, וקל לנצל אותה. הנה איך זה עובד ומה אתה יכול לעשות בנידון.
מה כל זה עכשיו? האם הנתונים שלי בסיכון?
בוא נגבה קצת. רשת פרטית וירטואלית, או VPN,מצוין להצפנת הנתונים שלך ולהגברת האבטחה, אבל זה גם שימושי כדי לטשטש את כתובת ה-IP שלך. כתובת ה-IP שלך מוקצית לחיבור האינטרנט שלך על ידי ספק השירות שלך, והיא יכולה לחשוף מי ספק השירות שלך ו(באופן כללי) היכן אתה נמצא. אם אי פעם ביקרת ביוטיוב וראית את "מצטערים, הסרטון הזה לא זמין במדינה שלך", או ניסית להירשם לשירות חדש רק כדי לגלות שהמדינה שלך לא נתמכת, כתובת ה-IP שלך היא איך שהם יודעים .
אנשים רבים משתמשים ב-VPN במיוחד כדילעקוף את הגבלות המיקום הללו. כשאתה נכנס ל-VPN, בדרך כלל אתה יכול לבחור "שרת יציאה", או מיקום שה-VPN שלך "יעמיד פנים" שאתה באמת נמצא. בדרך כלל זה מספיק כדי לשכנע שירות שאתה נמצא במדינה נתמכת.
אוּלָם,ליקוי אבטחה שהתגלה לאחרונהמאפשר לאתרים מרוחקים לנצל את היתרונות של WebRTC (תקשורת בזמן אמת באינטרנט, תכונה המובנית ברוב הדפדפנים) כדי לחשוף את כתובת ה-IP האמיתית של המשתמש, גם אם הוא מחובר ל-VPN. עד כמה שידוע לנו, אתרים עדיין לא מנצלים את הפגם, אבל בהתחשב בשירותים כמו Hulu, Spotify, Netflix ואחרים נוקטים בצעדים לזהות ולנעול משתמשי VPN, זה לא מאמץ להניח שהם יתחילו .
כמה שורות קוד זה כל מה שנדרש כדי להסיר את הגנת המיקום שאתה מקבל משימוש ב-VPN, ולהבין היכן אתה בעצם ממוקם ומי באמת ספק שירותי האינטרנט שלך (מי יכול אז לקשור את הכתובת שלך למי שאתה באופן ספציפי.) בעוד שהפגיעות מבוססת בעיקר על דפדפן כרגע, כל אפליקציה שיכולה להציג דפי אינטרנט (ומשתמשת ב-WebRTC) מושפעת, כלומר כל מי שרוצה יכול לראות מעבר ל-VPN שלך למקום שבו אתה באמת נמצא ומי אתה באמת. מפרסמים, מתווכים בנתונים וממשלות יכולים להשתמש בו כדי להציץ דרך ה-VPN שלך כדי לגלות מאיפה החיבור שלך באמת מגיע. אם אתה משתמש בשירותים כמו BitTorrent, יש לך ממיר כמו Roku, או סתם להזרים מוזיקה או סרטים במחשב שלך דרך אתר שאינו זמין במדינה שלך (או שאתה גולה ומתגורר בחו"ל), האפליקציות ו שירותים שבהם אתה משתמש עלולים להפסיק לפתע לעבוד.
כיצד אוכל לבדוק אם ה-VPN שלי מושפע?
הפגם תועד על ידי היזםדניאל רוזלרמֵעַלב-GitHub. רוזלר מסביר כיצד התהליך עובד:
Firefox ו-Chrome הטמיעו WebRTC המאפשרים בקשות
לְזַעזֵעַ
ייעשו שרתים שיחזירו את כתובות ה-IP המקומיות והציבוריות עבור המשתמש. תוצאות הבקשות הללו זמינות ל-javascript, כך שתוכל כעת להשיג למשתמש כתובות IP מקומיות וציבוריות ב-javascript. הדגמה זו היא דוגמה ליישום של זה.
בנוסף, בקשות STUN אלו מבוצעות מחוץ לנוהל XMLHttpRequest הרגיל, כך שהן אינן גלויות במסוף המפתחים או ניתנות לחסימה על ידי תוספים כגון AdBlockPlus או Ghostery. זה הופך את סוגי הבקשות האלה לזמינים למעקב מקוון אם מפרסם מגדיר שרת STUN עם דומיין עם תו כללי.
כדי לראות אם ה-VPN שלך מושפע:
בקר באתר כמומהי כתובת ה-IP שליורשום את כתובת ה-IP האמיתית של ספק האינטרנט שלך.
היכנס ל-VPN שלך, בחר שרת יציאה במדינה אחרת (או השתמש באיזה שרת יציאה שאתה מעדיף) וודא שאתה מחובר.
חזור אלמהי כתובת ה-IP שליובדוק שוב את כתובת ה-IP שלך. אתה אמור לראות כתובת חדשה, כזו שמתכתבת עם ה-VPN שלך והמדינה שבחרת.
בקר אצל רוזלרדף בדיקה של WebRTCושימו לב לכתובת ה-IP המוצגת בדף.
אם שני הכלים מציגים את כתובת ה-IP של ה-VPN שלך, אז אתה בברור. עם זאת, אם מהי כתובת ה-IP שלי מראה את ה-VPN שלך ומבחן ה-WebRTC מראה את כתובת ה-IP הרגילה שלך, הדפדפן שלך מדליף לעולם את כתובת ה-ISP שלך.
כַּאֲשֵׁרTorrentFreak שוחח עם ספקי VPN על הבעיה, כוללהאהוב עלינו,גישה פרטית לאינטרנט, שציינו שהם יכולים לשכפל את הנושא, אבל הם לא היו בטוחים איך הם יכולים לעצור את הפגיעות מצדם. מכיוון שבדיקת ה-IP מתבצעת ישירות בין המשתמש לאתר שאליו הוא מחובר, קשה לחסום. למרות זאת, הםפרסם פוסט בבלוג שמזהיר משתמשיםלגבי הנושא.TorGuard, עוד אחד מהספקים האהובים עלינו,גם הוציאו אזהרה למשתמשים שלהם. אזהרות אלה גם אומרות שהבעיה משפיעה רק על משתמשי Windows, אבל זה לא בהכרח המקרה - הערות רבות (והבדיקות שלנו) מציינות שבהתאם ל-VPN שלך ולאופן שבו הוא מוגדר, כתובת ה-IP שלך עשויה להיות דליפה גם אם אתה משתמש מערכת מק או לינוקס.
איך אני יכול להגן על עצמי?
למרבה המזל, אינך צריך לחכות שספקי VPN יטפלו בבעיה בקצותיהם כדי להגן על עצמך. יש מספר דברים שאתה יכול לעשות עכשיו, ורובם קלים כמו התקנת פלאגין או השבתת WebRTC בדפדפן שלך.
הדרך הקלה: השבת את WebRTC בדפדפן שלך
כרום, פיירפוקס ואופרה (ודפדפנים המבוססים עליהם) בדרך כלל WebRTC מופעל כברירת מחדל. Safari ו-Internet Explorer לא, ולכן לא מושפעים (אלא אם הפעלת את WebRTC באופן ספציפי.) כך או כך, אם הבדיקה שלמעלה עבדה בדפדפן שלך, אתה מושפע מכך. אתה תמיד יכול לעבור לדפדפן שבו WebRTC לא מופעל, אבל מכיוון שרובנו אוהבים את הדפדפנים שבהם אנו משתמשים, הנה מה לעשות:
כרום ואופרה: התקן אתScriptSafeתוסף מחנות האינטרנט של Chrome. זה מוגזם, אבל זה ישבית את WebRTC בדפדפן שלך. משתמשי אופרה יכולים להשתמש בתוסף הזה גם כן, אתה רק צריךלקפוץ קודם דרך כמה חישוקים.
פיירפוקס: יש לך שתי אפשרויות. אתה יכול להתקין אתהשבת את תוסף WebRTCמ-Mozilla Add-ons (h/t to@YourAnonNewsעבור הקישור), או השבת את WebRTC ישירות על ידי פתיחת כרטיסייה ומעבר אל "about:config" בשורת הכתובת. מצא והגדר את ההגדרה "media.peerconnection.enabled" ל-false. (אפשר גם להתקיןNoScript, שדומה מאוד ל-ScriptSafe, אבל כמו שהזכרנו, זה כנראה מוגזם.)
בעוד רוזלר מציין זאתהרחבות דפדפן להגנה על פרטיותכמו AdBlock, uBlock, Ghostery ו-Disconnect אל תפסיקו את ההתנהגות הזו, השיטות האלה בהחלט יעשו את העבודה. בדקנו אותם כדי לוודא שהם עובדים, ושמרו על עין - חוסם הפרסומות או תוסף הפרטיות האהוב עליכם ככל הנראה יתעדכנו כדי לחסום את WebRTC בעתיד הקרוב.
עלינו לשים לב שהשבתת WebRTC עלולה לשבור כמה אפליקציות ושירותי אינטרנט. אפליקציות מבוססות דפדפן שמשתמשות במיקרופון ובמצלמה שלך (כמו חלק מאתרי צ'אט או Google Hangouts), או יודעות באופן אוטומטי את המיקום שלך (כמו אתרי משלוחי אוכל), למשל, יפסיקו לעבוד עד שתפעילו אותו מחדש.
הדרך הטובה יותר: הגדר את ה-VPN שלך בנתב שלך
לְעַדְכֵּן: דיברנו עם מספר אנשים בקהילת האבטחה על הנושא הזה, ואחרי השיחות הללו, אנחנו לא בטוחים שהגדרת ה-VPN שלך ברמת הנתב יעילה יותר (או ליתר דיוק, אפקטיבית להחריד בכלל) מאשר חסימת WebRTC בדפדפן. למרות שאנו עדיין ממליצים להגדיר את ה-VPN שלך ברמת הנתב מכמה סיבות (מתוארות להלן), בכל הנוגע לבעיה זו, כרגע, אנו מציעים לך להשתמש באחת מהתוספות לדפדפן שהוזכרו לעיל. כולנו עורכים מחקר נוסף על סיבת השורש - ותיקון בטוח עבורה.
אם אתה רוצה דרך בטוחה יותר להגן על עצמך מעבר להתקנת הרחבות וביצוע שינויים בדפדפן שלך בכל פעם שאתה מתקין או מעדכן, יש שיטה קבועה יותר. הפעל את ה-VPN שלך בנתב שלך במקום במחשב שלך ישירות.
ישנם מספר יתרונות לגישה זו. ראשית, הוא מגן על כל המכשירים ברשת הביתית שלך, גם אם הם אינם פגיעים לפגם הספציפי הזה. זה גם נותן לכל המכשירים שלך, כמו הסמארטפונים, הטאבלטים, הממירים והמכשירים החכמים שלך את אותה הגנה והצפנה שה-VPN שלך נותן לשולחן העבודה שלך.
אבל יש אזהרות. ראשית, אם אתה מהסוג שאוהב להחליף שרתי יציאה לעתים קרובות (למשל, יום אחד אתה רוצה לגלוש כאילו אתה ביפן, אחר באיסלנד ואחר בארה"ב), זה אומר שיהיה לך כדי לשנות את הגדרות הנתב שלך בכל פעם שאתה רוצה להחליף מיקומים. באופן דומה, אם אתה רק צריך להיות מחובר לפעמים אבל לא לאחרים - כמו שאתה משתמש ב-VPN לעבודה אבל לא כאשר אתה מזרים Netflix, תצטרך להפעיל או להשבית את ה-VPN שלך בנתב שלך בכל פעם שאתה צריך לעבור. תהליך זה יכול להיות קל או מסובך, תלוי בנתב שלך וב-VPN שלך.
ספקי שירותי VPN רבים מציעים לך להגדיר את ה-VPN שלך ברמת הנתב בכל מקרה. חלקם אפילו מוכרים נתבים ספציפיים שמגיעים מוגדרים מראש לשימוש בשירות שלהם, אבל רוב הסיכויים שאתה יכול להשתמש בנתב הקיים שלך (כל עוד הוא לא מסופק על ידי ספק שירותי האינטרנט שלך). היכנס לדף הניהול של הנתב שלך ובדוק את אפשרויות ה"אבטחה" או ה"חיבור". בהתאם לדגם שלך, תראה קטע VPN, שבו תוכל להקליד את שם ספק ה-VPN שאליו אתה מתחבר, את שמות השרתים שלו ואת שם המשתמש והסיסמה שלך. ברגע שהוא מופעל, כל התעבורה שלך תוצפן.
אם אתה לא רואה את זה, לא הכל אבוד. בדוק עם ספק ה-VPN שלך ויידע אותם איזה סוג נתב יש לך. ייתכן שיש להם הנחיות שיובילו אותך בתהליך. אם לא, בדוק אם הנתב שלך נתמך על ידי קושחות נתב קוד פתוח כמוDD-WRT(חפש מכשירים נתמכים כאן),פתח את WRT(ראה מכשירים נתמכים כאן), אועַגְבָנִיָה(ראה מכשירים נתמכים כאן). יש לנוהראה לך כיצד להתקין ולהגדיר DD-WRTולהגדיר עגבניהלפני, אז אם אתה חדש, התחל עם המדריכים שלנו. כל אותן קושחות מותאמות אישית יאפשרו לך להגדיר את ה-VPN שלך ברמת הנתב.
הפגיעות הזו היא חמורה, אבל מהצד החיובי, היא ניתנת למתן בקלות. אם כבר, זו תזכורת לעולם לא לקחת את הפרטיות שלך כמובנת מאליה, גם אם אתה משתמש בכל הכלים הנכונים כדי להגן עליה. כשדיברנו עלכיצד להגן על עצמך מפני דליפות DNS, הדגשנו את אותה נקודה: לסמוך בצורה עיוורת על כלי פרטיות כי הוא אומר שהדברים הנכונים זה רעיון רע. סמוך, אבל אמת, וקח את הפרטיות והאבטחה שלך לידיים שלך.
תמונת כותרת נוצרה באמצעותנמו. תמונות נוספות מאתג'יימס לי,פול ג'וזף, ווולט סטונברנר.
