Mạng riêng ảo là một công cụ thực sự hữu ích để bảo vệ quyền riêng tư của bạn và ẩn danh khi trực tuyến. VPN hoạt động bằng cách truyền kết nối Internet của bạn qua một máy tính khác (được gọi là "điểm cuối), sử dụng đường hầm được mã hóa. Điều này có nghĩa là bất kỳ ai ở giữa máy tính của bạn và điểm cuối đều không thể nhìn thấy bạn đang làm gì. Điều đó cũng có nghĩa là bạn được ngụy trang thành điểm cuối của bất kỳ máy tính nào mà máy của bạn kết nối. Nói một cách đơn giản, nó ẩn địa chỉ IP của bạn.
Nhưng một lỗ hổng trong nhiều nhà cung cấp VPN được Perfect Privacy phát hiện gần đây khiến điểm cuối cùng bị nghi ngờ. Lỗ hổng bảo mật này có thể khiến mọi người mất quyền ẩn danh khi sử dụng VPN. Đây là cách thực hiện.
Lỗ hổng bảo mật
Vậy, cuộc tấn công (được mệnh danh là "Port Fail") hoạt động như thế nào? Trước tiên, cần đáp ứng một số điều kiện.
Đầu tiên, nhà cung cấp VPN và kẻ tấn công phải bật tính năng chuyển tiếp cổng. Đây là nơi địa chỉ IP và số cổng thay đổi trong khi gói đang truyền qua mạng. Để biết một số thông tin cơ bản về vấn đề này, hãy xem phần của chúng tôi về Dịch địa chỉ mạng (NAT). Cuộc tấn công vẫn hoạt động nếu nạn nhân không bật chuyển tiếp cổng.
Kẻ tấn công cũng phải có tài khoản với VPN mà chúng đang nhắm mục tiêu và biết địa chỉ IP của điểm cuối VPN mà người dùng đang sử dụng. Điều này có thể được tìm thấy bằng cách xem một bầy BitTorrent (tất cả các đồng nghiệp được kết nối với một torrent duy nhất) hoặc bằng cách theo dõi IRC.
Sau đó, kẻ tấn công kết nối với cùng một điểm cuối VPN với nạn nhân và đợi họ truy cập một trang web độc hại nằm dưới sự kiểm soát của kẻ tấn công. Điều này thường có thể được thực hiện bằng cách nhúng trang web vào một trang hợp pháp, dưới dạng hình ảnh được lưu trữ trên máy chủ web hoặc dưới dạng iFrame. Từ đó, có thể suy ra địa chỉ IP thực của người đang được nhắm mục tiêu.
Người bị ảnh hưởng
Một số tên tuổi lớn nhất trong VPN đã bị ảnh hưởng bởi lỗ hổng này. Điều này bao gồm Ovpn.to, nVPN và Truy cập Internet Riêng tư (PIA). Tất cả những người này đều đã được thông báo về lỗ hổng bảo mật trước khi nó được tiết lộ và có thể đưa ra bản sửa lỗi trước khi nó được công khai. Nói với TorrentFreak, Private Internet Access cho biết:
"Chúng tôi đã triển khai các quy tắc tường lửa ở cấp máy chủ VPN để chặn quyền truy cập vào các cổng chuyển tiếp từ địa chỉ IP thực của khách hàng. Bản sửa lỗi đã được triển khai trên tất cả các máy chủ của chúng tôi trong vòng 12 giờ kể từ báo cáo ban đầu".
PIA cũng đã trao cho Perfect Privacy khoản tiền thưởng lỗi trị giá 5.000 đô la để ghi nhận những nỗ lực của họ và thực tế là họ đã tiết lộ lỗ hổng bảo mật một cách có trách nhiệm. Trước đây, chúng tôi đã viết nhiều về đạo đức của việc tiết lộ lỗ hổng bảo mật và cách thông báo cho nhà cung cấp hầu như luôn tốt hơn trước khi phát hành lỗ hổng bảo mật.
Tất nhiên, có hàng nghìn nhà cung cấp VPN. Trong khi một số đã đưa ra các bản sửa lỗi, thì có thể nhiều bản sửa lỗi khác đã không.
Tại sao Điều này lại Quan trọng
Mọi người sử dụng VPN vì nhiều lý do. Nhiều người sử dụng chúng để đánh bại các định nghĩa địa lý trên các trang Internet TV. Một số sử dụng chúng để bảo mật thông tin liên lạc của họ trong khi sử dụng điểm phát sóng Wi-Fi công cộng. Những người khác sử dụng chúng để đánh bại sự kiểm duyệt và giám sát của chính phủ hoặc tải xuống phim và nhạc bất hợp pháp mà không bị kiện.
Đối với những người thuộc nhóm thứ hai, việc phát hiện ra lỗ hổng này sẽ là mối quan tâm thực sự. Như mọi khi, lựa chọn thực sự duy nhất của bạn là bỏ phiếu bằng ví của bạn và đăng ký với nhà cung cấp VPN đã được xác nhận là đã vá lỗ hổng này.
Cá nhân tôi nói, tôi là một fan hâm mộ lớn của Truy cập Internet Riêng tư và sẽ giới thiệu chúng vào bất kỳ ngày nào trong tuần. Để có cái nhìn chi tiết hơn về thị trường, hãy xem danh sách các dịch vụ VPN tốt nhất của chúng tôi. Ngoài ra còn có một số dịch vụ VPN miễn phí.
Luôn an toàn
Khi sử dụng VPN, có một số điều bạn có thể làm để cải thiện quyền riêng tư của mình. Thứ nhất, bạn có thể định cấu hình máy tính của mình để bảo vệ khỏi rò rỉ DNS, điều này hoàn toàn có thể làm suy yếu tính ẩn danh của bạn. Hơn nữa, hãy xem xét tắt JavaScript (JavaScript là gì?) Để bảo vệ khỏi các cuộc tấn công Canvas Fingerprinting. Cần phải chỉ ra rằng điều này có thể có ảnh hưởng xấu đến trải nghiệm duyệt web của bạn và nhiều người (bao gồm James Bruce; Giám đốc Web của chúng tôi) khuyên không nên làm như vậy.
Bạn có bất kỳ chiến lược nào khác để cải thiện quyền riêng tư của mình khi sử dụng VPN không? Hãy cho tôi biết về chúng trong phần bình luận bên dưới.