Le VPN sono ottime per la sicurezza, ma uno dei grandi motivi per cui molte persone ne usano uno è quello di mascherare o cambiare il loro indirizzo IP. Ciò consente di aggirare le restrizioni basate sulla posizione sui contenuti o verificare se il provider sta limitando la connessione. Sfortunatamente, una nuova falla di sicurezza può rivelare il tuo vero indirizzo IP a occhi indiscreti, anche se stai usando una VPN, ed è facile da sfruttare. Ecco come funziona, e cosa si può fare al riguardo.,
Questo browser non supporta l’elemento video.
Che cosa è tutto questo ora? I miei dati sono a rischio?
Pubblicità
torniamo indietro un po’. Una rete privata virtuale, o una VPN, è ottima per crittografare i tuoi dati e aumentare la sicurezza, ma è anche utile per oscurare il tuo indirizzo IP., Il tuo indirizzo IP viene assegnato alla tua connessione Internet dal tuo fornitore di servizi e può rivelare chi è il tuo fornitore di servizi e (in generale) dove ti trovi. Se hai mai visitato YouTube e hai visto” Scusa, questo video non è disponibile nel tuo paese ” o hai provato a registrarti a un nuovo servizio solo per scoprire che il tuo paese non è supportato, il tuo indirizzo IP è come lo sanno.
Pubblicità
Molte persone usano VPN specificamente per aggirare queste restrizioni di posizione., Quando accedi a una VPN, di solito puoi scegliere un ” server di uscita “o una posizione in cui la tua VPN” fingerà” di trovarti effettivamente. Di solito questo è sufficiente per convincere un servizio che sei in un paese supportato.
Pubblicità
Tuttavia, una falla di sicurezza scoperta di recente consente ai siti remoti di sfruttare WebRTC (Web Real Time Communication, una funzionalità integrata nella maggior parte dei browser) per rivelare il vero indirizzo IP di un utente, anche se sono connessi a una VPN., Per quanto ne sappiamo, i siti non stanno ancora approfittando del difetto, ma considerando che servizi come Hulu, Spotify, Netflix e altri stanno prendendo provvedimenti per identificare e bloccare gli utenti VPN, non è un tratto supporre che inizieranno.
Poche righe di codice sono tutto ciò che serve per rimuovere la protezione della posizione che si ottiene dall’utilizzo di una VPN e capire dove si trova effettivamente e chi è veramente il tuo provider di servizi Internet (chi può quindi legare il tuo indirizzo a chi sei specificamente.,) Mentre la vulnerabilità è principalmente basata su browser in questo momento, qualsiasi applicazione che può rendere le pagine web (e utilizza WebRTC) è influenzata, il che significa che chiunque voglia può vedere oltre la tua VPN dove sei veramente e chi sei veramente. Inserzionisti, broker di dati e governi possono usarlo per sbirciare attraverso la tua VPN per scoprire da dove proviene realmente la tua connessione., Se si utilizzano servizi come BitTorrent, avere un set-top box come un Roku, o semplicemente lo streaming di musica o film sul computer attraverso un sito che non è disponibile nel vostro paese (o sei un expat e vivere all’estero), le applicazioni e servizi che si utilizza potrebbe improvvisamente smettere di funzionare.
Pubblicità
Come posso controllare se la mia VPN è interessata?
Pubblicità
Il difetto è stato documentato dallo sviluppatore Daniel Roesler su GitHub., Roesler spiega come funziona il processo:
Firefox e Chrome hanno implementato WebRTC che consentono di effettuare richieste per STORDIRE i server che restituiranno gli indirizzi IP locali e pubblici per l’utente. Questi risultati della richiesta sono disponibili per javascript, quindi ora puoi ottenere un indirizzo IP locale e pubblico degli utenti in javascript. Questa demo è un esempio di implementazione di questo.,
Inoltre, queste richieste stordenti sono fatte al di fuori della normale procedura XMLHttpRequest, quindi non sono visibili nella console degli sviluppatori o possono essere bloccate da plugin come AdBlockPlus o Ghostery. Questo rende questi tipi di richieste disponibili per il monitoraggio online se un inserzionista imposta un server STUN con un dominio jolly.
Pubblicità
Per vedere se la tua VPN è interessata:
- Visita un sito come Qual è il mio indirizzo IP e annota il tuo indirizzo IP fornito dall’ISP.,
- Accedi alla tua VPN, scegli un server di uscita in un altro paese (o usa il server di uscita che preferisci) e verifica di essere connesso.
- Torna a Qual è il mio indirizzo IP e controlla di nuovo il tuo indirizzo IP. Si dovrebbe vedere un nuovo indirizzo, uno che corrisponde con la VPN e il paese selezionato.
- Visita la pagina di test WebRTC di Roseler e annota l’indirizzo IP visualizzato sulla pagina.
Se entrambi gli strumenti mostrano l’indirizzo IP della tua VPN, allora sei in chiaro., Tuttavia, se What Is My IP Address mostra la tua VPN e il test WebRTC mostra il tuo normale indirizzo IP, allora il tuo browser perde il tuo indirizzo fornito dall’ISP al mondo.
Pubblicità
Quando TorrentFreak ha parlato con i provider VPN del problema, incluso il nostro accesso Internet privato preferito, che ha notato che potevano duplicare il problema, ma non erano sicuri di come potevano fermare la vulnerabilità dalla loro parte. Poiché il controllo IP avviene direttamente tra l’utente e il sito a cui sono connessi, è difficile bloccarlo., Anche così, hanno pubblicato un post sul blog che avverte gli utenti del problema. TorGuard, un altro dei nostri fornitori preferiti, ha anche emesso un avviso ai propri utenti. Questi avvertimenti dicono anche che il problema sembra interessare solo gli utenti Windows, ma non è necessariamente il caso—molti commenti (e il nostro test) notano che a seconda della tua VPN e di come è configurata, il tuo indirizzo IP potrebbe essere trapelato anche se usi un sistema Mac o Linux.
Pubblicità
Come posso proteggermi?,
Pubblicità
Fortunatamente, non devi aspettare che i provider VPN risolvano il problema per proteggerti. Ci sono un certo numero di cose che puoi fare in questo momento, e la maggior parte di loro sono facili come l’installazione di un plug-in, o disabilitare WebRTC nel browser.
Il modo più semplice: Disabilita WebRTC nel tuo browser
Chrome, Firefox e Opera (e i browser basati su di essi) generalmente hanno WebRTC abilitato per impostazione predefinita., Safari e Internet Explorer non lo fanno, e quindi non sono interessati (a meno che tu non abbia specificamente abilitato WebRTC.) In entrambi i casi, se il test sopra ha funzionato nel tuo browser, sei interessato. Puoi sempre passare a un browser che non ha WebRTC abilitato, ma poiché alla maggior parte di noi piacciono i browser che usiamo, ecco cosa fare:
- Chrome e Opera: installa l’estensione ScriptSafe dal Chrome Web Store. È eccessivo, ma disabiliterà WebRTC nel tuo browser. Gli utenti di Opera possono utilizzare questo add on pure, dovrete solo saltare attraverso alcuni cerchi prima.
- Firefox: Hai due opzioni., È possibile installare l’addon Disabilita WebRTC da Mozilla Add-ons (h/t a @YourAnonNews per il link), o disabilitare WebRTC direttamente aprendo una scheda e andando su “about:config” nella barra degli indirizzi. Trova e imposta il ” media.peerconnection.abilitato ” impostazione su false. (Puoi anche installare NoScript, che è molto simile a ScriptSafe, ma come abbiamo detto, probabilmente è eccessivo.,)
Pubblicità
Mentre Roeseler osserva che la protezione della privacy estensioni del browser come AdBlock, uBlock, Ghostery, e Disconnect non si fermano questo comportamento, questi metodi sarà sicuramente fare il lavoro. Li abbiamo testati per assicurarci che funzionino e tenere d’occhio: il tuo ad blocker preferito o il componente aggiuntivo per la privacy si aggiorneranno probabilmente per bloccare WebRTC nel prossimo futuro.
Pubblicità
Dovremmo notare che disabilitare WebRTC potrebbe interrompere alcune webapp e servizi., Le app basate su browser che utilizzano il microfono e la fotocamera (come alcuni siti di chat o Google Hangouts) o che conoscono automaticamente la tua posizione (come i siti di consegna di cibo), ad esempio, smetteranno di funzionare fino a quando non la riattiverai.
Il modo migliore: configura la tua VPN sul tuo router
Aggiornamento: Abbiamo parlato con un certo numero di persone nella comunità della sicurezza di questo problema, e dopo quelle conversazioni, non siamo sicuri che configurare la tua VPN a livello di router sia più efficace (o meglio, terribilmente efficace) che bloccare WebRTC sul browser., Mentre raccomandiamo ancora di configurare la tua VPN a livello di router per una serie di motivi (descritti di seguito), per quanto riguarda questo problema, in questo momento, ti suggeriamo di utilizzare uno dei componenti aggiuntivi del browser menzionati sopra mentre tutti conduciamo ulteriori ricerche sulla causa principale e sulla riparazione sicura per questo.
Pubblicità
Se si desidera un modo più sicuro per proteggersi oltre l’installazione di componenti aggiuntivi e fare modifiche al browser ogni volta che si installa o aggiorna, c’è un metodo più permanente., Esegui la tua VPN sul tuo router anziché direttamente sul tuo computer.
Questo approccio offre una serie di vantaggi. Per uno, protegge tutti i dispositivi sulla rete domestica, anche se non sono vulnerabili a questo difetto specifico. Offre inoltre a tutti i tuoi dispositivi, come smartphone, tablet, set-top box e elettrodomestici intelligenti la stessa protezione e crittografia che la tua VPN offre al tuo desktop.
Pubblicità
Ci sono avvertimenti, però. Per uno, se sei il tipo a cui piace cambiare spesso i server di uscita (ad esempio,, un giorno Lei vuole navigare come se Lei è in Giappone, un altro in Islanda, e un altro negli Stati Uniti), questo significa Lei dovrà aggiustare la Sua messa a punto di router ogni volta che Lei vuole cambiare posizioni. Allo stesso modo, se hai solo bisogno di essere connesso a volte ma non ad altri, come se usassi una VPN per lavoro ma non quando stai trasmettendo Netflix, dovrai abilitare o disabilitare la tua VPN sul tuo router ogni volta che devi passare. Questo processo può essere facile o complicato, a seconda del router e della VPN.
Molti fornitori di servizi VPN suggeriscono di impostare la VPN a livello di router in ogni caso., Alcuni addirittura vendono router specifici che vengono pre-configurati per utilizzare il loro servizio, ma le probabilità sono che è possibile utilizzare il router esistente (fino a quando non è fornito dal provider di servizi Internet). Accedi alla pagina di amministrazione del router e controlla le opzioni” sicurezza “o” connessione”. A seconda del modello, verrà visualizzata una sezione VPN, in cui è possibile digitare il nome del provider VPN a cui ci si connette, i nomi host del server e il nome utente e la password. Una volta abilitato, tutto il tuo traffico verrà crittografato.,
Pubblicità
Se non lo vedi, non tutto è perduto. Verifica con il tuo provider VPN e fai sapere loro che tipo di router hai. Essi possono avere istruzioni per camminare attraverso il processo. In caso contrario, verifica se il tuo router è supportato da firmware router open source come DD-WRT ( cerca dispositivi supportati qui), Open WRT (vedi dispositivi supportati qui) o Tomato (vedi dispositivi supportati qui). Ti abbiamo mostrato come installare e configurare DD-WRT e configurare Tomato prima, quindi se sei nuovo, inizia con le nostre guide., Tutti questi firmware personalizzati ti permetteranno di configurare la tua VPN a livello di router.
Pubblicità
Questa vulnerabilità è grave, ma sul lato positivo, è facilmente mitigata. Se non altro, è un promemoria per non dare mai per scontata la tua privacy, anche se usi tutti gli strumenti giusti per proteggerla. Quando abbiamo parlato di come proteggersi dalle perdite DNS, abbiamo fatto lo stesso punto: fidarsi ciecamente di uno strumento di privacy perché dice le cose giuste è una cattiva idea. Fidati, ma verifica e prendi la tua privacy e sicurezza nelle tue mani.,
Pubblicità
Titolo foto realizzata con Nemo. Altre foto di James Lee, Paul Joseph e Walt Stoneburner.
Pubblicità