ExpressVPN naprawia podatność na kompresję „Voracle” w aplikacjach

Logo ExpressVPN w solidnym imadle symbolizuje nasze solidne bezpieczeństwo. Jesteśmy silni, jak niedźwiedź.


Aktualizacja: od 24 października 2018 r. Nasze serwery konfiguracji ręcznej nie są podatne na exploit VORACLE.

Na konferencji Black Hat Briefing w sierpniu 2018 r. Badacz Ahamed Nafeez ujawnił nową lukę w protokole OpenVPN. Luka o nazwie Voracle wpływa na wszystkie połączenia TLS korzystające z kompresji.

OpenVPN jest wykorzystywany przez szeroką gamę wiodących konsumenckich usług VPN. Nafeez był w stanie wykorzystać połączenie OpenVPN, które sam skonfigurował, przeglądając stronę za pomocą przeglądarki Firefox, ale nie mógł powtórzyć efektu za pomocą Google Chrome.

ExpressVPN używa głównie protokołów OpenVPN i IPsec. W naszym przypadku połączenia Voracle miały wpływ na konfigurację ręczną lub połączenia ustanowione przez nasze aplikacje za pomocą TCP OpenVPN. Połączenia UDP OpenVPN nie wpłynęły jednak na aplikacje.

Jak działa Voracle

Kompresja teoretycznie zwiększa pojemność pamięci i przepustowość, zastępując częste wzorce referencjami, podobnie jak zamiana słów na emoji pozwala na umieszczenie większej ilości informacji w tweecie. Jednak w codziennym użytkowaniu kompresja przy korzystaniu z sieci VPN oferuje niewielkie korzyści.

Wprowadzając dane do niezaszyfrowanego strumienia, osoba atakująca może dowiedzieć się, czy określony tekst jest zawarty w niezaszyfrowanym i skompresowanym strumieniu danych, obserwując zmiany długości zaszyfrowanego strumienia.

Aby niezawodnie dowiedzieć się o treści połączenia, osoba atakująca musiałaby wielokrotnie żądać tej samej treści, umożliwiając wstrzyknięcie niewielkich zmian danych testowych osoby atakującej do strumienia użytkownika.

Dane te mogą być wstrzykiwane za pośrednictwem żądań między domenami lub plików cookie, a atakujący może następnie obserwować ruch, kontrolując przełącznik sieciowy lub router. Jeśli dane są już zaszyfrowane przed wejściem do tunelu VPN, tej luki nie można wykorzystać. Osoba atakująca w żadnym wypadku nie byłaby w stanie użyć tego do połączeń HTTPS lub PGP / OTR.

Rozwiązanie: wyłącz kompresję

Aby złagodzić Voracle, ExpressVPN wyłączył kompresję dla wszystkich połączeń wykonanych przez aplikacje. Użytkownicy nie muszą aktualizować swoich aplikacji.

Jeśli używasz ręcznego pliku konfiguracyjnego sprzed ataku VORACLE, pobierz nowy plik konfiguracyjny lub zaktualizuj plik, dodając wiersz „comp-lzo off”.

ExpressVPN uważa, że ​​exploit jest poważny, ale ma ograniczoną aplikację, ponieważ osoba atakująca musiałaby nie tylko móc obserwować zaszyfrowany ruch, ale także móc wstrzykiwać dane do niezaszyfrowanego strumienia danych. Mimo to, korzystając z dowolnej witryny lub usługi, w której występują poufne dane, użytkownicy Internetu powinni używać HTTPS do szyfrowania kompleksowego.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map