Madame Lelica

VPNs eignen sich hervorragend für die Sicherheit, aber einer der Hauptgründe, warum viele Benutzer eine verwenden, besteht darin, ihre IP-Adresse zu maskieren oder zu ändern. Auf diese Weise können Sie standortbasierte Inhaltsbeschränkungen umgehen oder überprüfen, ob Ihr Anbieter Ihre Verbindung drosselt. Leider kann eine neue Sicherheitslücke Ihre echte IP-Adresse vor neugierigen Blicken verbergen, selbst wenn Sie ein VPN verwenden, und es ist leicht auszunutzen. So funktioniert es und was Sie dagegen tun können.,

Was ist Das den Jetzt? Sind meine Daten gefährdet?

. Ein virtuelles privates Netzwerk oder VPN eignet sich hervorragend zum Verschlüsseln Ihrer Daten und zur Steigerung der Sicherheit, ist aber auch nützlich, um Ihre IP-Adresse zu verschleiern., Ihre IP-Adresse wird Ihrer Internetverbindung von Ihrem Dienstanbieter zugewiesen und kann angeben, wer Ihr Dienstanbieter ist und (im Allgemeinen) wo Sie sich befinden. Wenn Sie jemals YouTube besucht haben und „Sorry, dieses Video ist in Ihrem Land nicht verfügbar“ gesehen haben oder versucht haben, sich für einen neuen Dienst anzumelden, um herauszufinden, dass Ihr Land nicht unterstützt wird, ist Ihre IP-Adresse, wie sie wissen.

Viele Leute verwenden VPNs speziell, um diese Standortbeschränkungen zu umgehen., Wenn Sie sich bei einem VPN anmelden, können Sie normalerweise einen „Exit-Server“ oder einen Ort auswählen, an dem Ihr VPN „vorgibt“, dass Sie sich tatsächlich befinden. Normalerweise reicht das aus, um einen Dienst davon zu überzeugen, dass Sie sich in einem unterstützten Land befinden.

Eine kürzlich entdeckte Sicherheitslücke ermöglicht es Remote-Sites jedoch, WebRTC (Web Real Time Communication, eine Funktion, die in den meisten Browsern integriert ist) zu nutzen, um die wahre IP-Adresse eines Benutzers anzuzeigen, auch wenn sie mit einem VPN verbunden sind., Soweit wir wissen, nutzen Websites den Fehler noch nicht aus, aber wenn man bedenkt, dass Dienste wie Hulu, Spotify, Netflix und andere Schritte unternehmen, um VPN-Benutzer zu identifizieren und auszusperren, ist es nicht schwer anzunehmen, dass sie beginnen werden.

Ein paar Codezeilen reichen aus, um den Standortschutz zu entfernen, den Sie durch die Verwendung eines VPN erhalten, und herauszufinden, wo Sie sich tatsächlich befinden und wer Ihr Internetdienstanbieter wirklich ist (wer kann dann binden Sie Ihre Adresse zurück an wen Sie sind).,) Während die Sicherheitsanfälligkeit derzeit hauptsächlich browserbasiert ist, ist jede Anwendung betroffen, die Webseiten rendern kann (und WebRTC verwendet), was bedeutet, dass jeder, der über Ihr VPN sehen möchte, wo Sie wirklich sind und wer Sie wirklich sind. Werbetreibende, Datenbroker und Regierungen können damit über Ihr VPN einen Blick darauf werfen, woher Ihre Verbindung wirklich kommt., Wenn Sie Dienste wie BitTorrent verwenden, eine Set-Top-Box wie ein Roku haben oder einfach Musik oder Filme auf Ihrem Computer über eine Website streamen, die in Ihrem Land nicht verfügbar ist (oder Sie sind Expat und leben im Ausland), können die Apps und Dienste, die Sie verwenden, plötzlich nicht mehr funktionieren.

Wie kann ich überprüfen, ob mein VPN betroffen ist?

Der Fehler wurde vom Entwickler Daniel Roesler bei GitHub dokumentiert., Roesler erklärt, wie der Prozess funktioniert:

Firefox und Chrome haben WebRTC implementiert, mit dem Anforderungen an STUN-Server gestellt werden können, die die lokalen und öffentlichen IP-Adressen für den Benutzer zurückgeben. Diese Anforderungsergebnisse sind für Javascript verfügbar, sodass Sie jetzt lokale und öffentliche IP-Adressen eines Benutzers in Javascript abrufen können. Diese Demo ist eine Beispielimplementierung dafür.,

Darüber hinaus werden diese STUN-Anforderungen außerhalb der normalen XMLHttpRequest-Prozedur ausgeführt, sodass sie in der Entwicklerkonsole nicht sichtbar sind oder von Plugins wie AdBlockPlus oder Ghostery blockiert werden können. Dies macht diese Art von Anfragen für die Online-Verfolgung verfügbar, wenn ein Werbetreibender einen STUN-Server mit einer Platzhalterdomäne einrichtet.

Um zu sehen, ob Ihr VPN betroffen ist:

1. Besuchen Sie eine Website wie What Is My IP Address und notieren Sie Ihre tatsächliche vom ISP bereitgestellte IP-Adresse.,
2. Melden Sie sich bei Ihrem VPN an, wählen Sie einen Exit-Server in einem anderen Land aus (oder verwenden Sie den gewünschten Exit-Server) und überprüfen Sie, ob Sie verbunden sind.
3. Kehren Sie zu Meiner IP-Adresse zurück und überprüfen Sie Ihre IP-Adresse erneut. Sie sollten eine neue Adresse sehen, die Ihrem VPN und dem von Ihnen ausgewählten Land entspricht.
4. Besuchen Sie die WebRTC-Testseite von Roseler und notieren Sie sich die auf der Seite angezeigte IP-Adresse.

Wenn beide Tools die IP-Adresse Ihres VPN anzeigen, sind Sie im Klaren., Wenn jedoch Meine IP-Adresse Ihr VPN anzeigt und der WebRTC-Test Ihre normale IP-Adresse anzeigt, leckt Ihr Browser Ihre vom ISP bereitgestellte Adresse an die Welt.

Als TorrentFreak mit VPN-Providern über das Problem sprach, einschließlich unseres bevorzugten privaten Internetzugangs, stellten sie fest, dass sie das Problem duplizieren könnten, waren sich aber nicht sicher, wie sie die Schwachstellen an ihrem Ende stoppen könnten. Da die IP-Prüfung direkt zwischen dem Benutzer und der Site stattfindet, mit der er verbunden ist, ist es schwierig zu blockieren., Trotzdem veröffentlichten sie einen Blogbeitrag, in dem Benutzer vor dem Problem gewarnt wurden. TorGuard, ein weiterer unserer Lieblingsanbieter, hat auch seine Benutzer gewarnt. Diese Warnungen sagen auch, dass das Problem nur Windows-Benutzer zu beeinflussen scheint, aber das ist nicht unbedingt der Fall—viele Kommentare (und unsere eigenen Tests) beachten Sie, dass je nach VPN und wie es konfiguriert ist, Ihre IP-Adresse durchgesickert sein kann, auch wenn Sie ein Mac oder Linux-System verwenden.

Wie kann ich mich schützen?,

Glücklicherweise müssen Sie nicht warten, bis VPN-Anbieter das Problem an ihren Enden beheben, um sich zu schützen. Es gibt eine Reihe von Dingen, die Sie jetzt tun können, und die meisten von ihnen sind so einfach wie ein Plug-in installieren oder WebRTC in Ihrem Browser deaktivieren.

Der einfache Weg: Deaktivieren Sie WebRTC in Ihrem Browser

Chrome, Firefox und Opera (und darauf basierende Browser) haben WebRTC im Allgemeinen standardmäßig aktiviert., Safari und Internet Explorer nicht, und sind daher nicht betroffen (es sei denn, Sie haben speziell WebRTC aktiviert.) So oder so, wenn der obige Test in Ihrem Browser funktioniert hat, sind Sie betroffen. Sie können jederzeit zu einem Browser wechseln, für den WebRTC nicht aktiviert ist, aber da die meisten von uns die von uns verwendeten Browser mögen, ist Folgendes zu tun:

• Chrome und Opera: Installieren Sie die ScriptSafe-Erweiterung aus dem Chrome Web Store. Es ist overkill, aber es wird WebRTC in Ihrem Browser deaktivieren. Opera-Benutzer können dieses Add-On auch verwenden, Sie müssen nur zuerst durch einige Reifen springen.
• Firefox: Sie haben zwei Optionen., Sie können das WebRTC-Addon deaktivieren über Mozilla-Add-Ons installieren (h/t an @YourAnonNews für den Link) oder WebRTC direkt deaktivieren, indem Sie eine Registerkarte öffnen und in der Adressleiste zu „about:config“ gehen. Suchen und setzen Sie die “ Medien.peerconnection.aktiviert“ – Einstellung auf false. (Sie können auch NoScript installieren, das ScriptSafe sehr ähnlich ist, aber wie bereits erwähnt, ist es wahrscheinlich übertrieben.,)

Während Roeseler feststellt, dass Browsererweiterungen zum Schutz der Privatsphäre wie AdBlock, uBlock, Ghostery und Disconnect dieses Verhalten nicht stoppen, werden diese Methoden definitiv die Arbeit erledigen. Wir haben sie getestet, um sicherzustellen, dass sie funktionieren, und halten Sie ein Auge aus—Ihre Lieblings-Werbeblocker oder Datenschutz-Add-on wird wahrscheinlich aktualisieren WebRTC in naher Zukunft zu blockieren.

Wir sollten beachten, dass das Deaktivieren von WebRTC einige Webapps und Dienste beschädigen kann., Browserbasierte Apps, die Ihr Mikrofon und Ihre Kamera verwenden (z. B. einige Chat-Sites oder Google Hangouts) oder Ihren Standort automatisch kennen (z. B. Websites für die Lieferung von Lebensmitteln), funktionieren nicht mehr, bis Sie es erneut aktivieren.

Der bessere Weg: Konfigurieren Sie Ihr VPN auf Ihrem Router

Update: Wir haben mit einer Reihe von Personen in der Sicherheitsgemeinschaft über dieses Problem gesprochen, und nach diesen Gesprächen sind wir nicht zuversichtlich, dass die Konfiguration Ihres VPN auf Router-Ebene effektiver (oder besser gesagt, schrecklich effektiv) ist, als WebRTC im Browser zu blockieren., Obwohl wir aus einer Reihe von Gründen (siehe unten) immer noch empfehlen, Ihr VPN auf Router-Ebene einzurichten, empfehlen wir Ihnen in Bezug auf dieses Problem derzeit, eines der oben genannten Browser—Add-Ons zu verwenden, während wir alle weitere Untersuchungen zur Ursache durchführen-und todsichere Behebung dafür.

Wenn Sie eine todsichere Möglichkeit wünschen, sich über die Installation von Add-Ons hinaus zu schützen und bei jeder Installation oder Aktualisierung Ihres Browsers Änderungen vorzunehmen, gibt es eine dauerhaftere Methode., Führen Sie Ihr VPN an Ihrem Router statt direkt auf Ihrem Computer aus.

Dieser Ansatz hat eine Reihe von Vorteilen. Zum einen schützt es alle Geräte in Ihrem Heimnetzwerk, auch wenn sie nicht anfällig für diesen speziellen Fehler sind. Außerdem erhalten alle Ihre Geräte wie Smartphones, Tablets, Set-Top-Boxen und Smart Appliances denselben Schutz und dieselbe Verschlüsselung, die Ihr VPN Ihrem Desktop bietet.

Es gibt jedoch Vorbehalte. Zum einen, wenn Sie der Typ sind, der Exit-Server häufig wechselt (zB, wenn Sie eines Tages so surfen möchten, als ob Sie in Japan, einem anderen in Island und einem anderen in den USA wären), müssen Sie Ihr Router-Setup jedes Mal optimieren, wenn Sie den Standort wechseln möchten. Wenn Sie nur manchmal verbunden sein müssen, aber nicht mit anderen—wie Sie ein VPN für die Arbeit verwenden, aber nicht, wenn Sie Netflix streamen, müssen Sie Ihr VPN auf Ihrem Router jedes Mal aktivieren oder deaktivieren, wenn Sie wechseln müssen. Dieser Vorgang kann je nach Router und VPN einfach oder kompliziert sein.

Viele VPN – Dienstanbieter schlagen vor, dass Sie Ihr VPN trotzdem auf Router-Ebene einrichten., Einige verkaufen sogar bestimmte Router, die für die Nutzung ihres Dienstes vorkonfiguriert sind, aber wahrscheinlich können Sie Ihren vorhandenen Router verwenden (solange er nicht von Ihrem Internetdienstanbieter bereitgestellt wird). Melden Sie sich auf der Admin-Seite Ihres Routers an und überprüfen Sie die Optionen „Sicherheit“ oder „Verbindung“. Abhängig von Ihrem Modell sehen Sie einen VPN-Bereich, in dem Sie den Namen des VPN-Anbieters, mit dem Sie eine Verbindung herstellen, dessen Server-Hostnamen sowie Ihren Benutzernamen und Ihr Kennwort eingeben können. Sobald es aktiviert ist, wird Ihr gesamter Datenverkehr verschlüsselt.,

Wenn Sie es nicht sehen, ist nicht alles verloren. Erkundigen Sie sich bei Ihrem VPN-Anbieter und teilen Sie ihm mit, über welchen Routertyp Sie verfügen. Sie können Anweisungen haben, um Sie durch den Prozess zu gehen. Wenn dies nicht der Fall ist, überprüfen Sie, ob Ihr Router von Open-Source-Router-Firmwares wie DD-WRT ( Suche unterstützte Geräte hier), Open WRT (siehe unterstützte Geräte hier) oder Tomato (siehe unterstützte Geräte hier) unterstützt wird. Wir haben Ihnen gezeigt, wie zu installieren und einzurichten DD-WRT und konfigurieren Tomato vor, so dass, wenn Sie neu sind, beginnen Sie mit unseren Führungen., Mit all diesen benutzerdefinierten Firmwares können Sie Ihr VPN auf Routerebene einrichten.

Diese Sicherheitsanfälligkeit ist ernst, aber auf der hellen Seite ist es leicht gemildert. Wenn überhaupt, ist es eine Erinnerung daran, Ihre Privatsphäre niemals als selbstverständlich zu betrachten, auch wenn Sie die richtigen Tools zum Schutz verwenden. Als wir darüber sprachen, wie Sie sich vor DNS-Lecks schützen können, haben wir den gleichen Punkt gemacht: Blind einem Datenschutz-Tool zu vertrauen, weil es die richtigen Dinge sagt, ist eine schlechte Idee. Vertrauen Sie, aber überprüfen Sie, und nehmen Sie Ihre Privatsphäre und Sicherheit in die eigenen Hände.,

Titelfoto mit Nemo. Weitere Fotos von James Lee, Paul Joseph, Walt Stoneburner.