Madame Lelica

VPN är bra för säkerheten, men en av de stora anledningarna till att många använder en är att maskera eller ändra sin IP-adress. Detta gör att du kan komma runt platsbaserade begränsningar för innehåll, eller kontrollera om din leverantör stryper din anslutning. Tyvärr kan en ny säkerhetsfel avslöja din riktiga IP-adress till nyfikna ögon, även om du använder en VPN, och det är lätt att utnyttja. Så här fungerar det, och vad du kan göra åt det.,

Vad är allt detta nu? Är Mina Data I Fara?

låt oss backa upp en lite. Ett virtuellt privat nätverk, eller en VPN, är bra för att kryptera dina data och öka säkerheten, men det är också användbart att dölja din IP-adress., Din IP-adress tilldelas din internetanslutning av din tjänsteleverantör, och den kan avslöja vem din tjänsteleverantör är och (i allmänhet) var du befinner dig. Om du någonsin har besökt YouTube och sett ”tyvärr är den här videon inte tillgänglig i ditt land” eller försökt registrera dig för en ny tjänst bara för att få reda på att ditt land inte stöds, är din IP-adress hur de vet.

många använder VPN specifikt för att komma runt dessa platsbegränsningar., När du loggar in på en VPN, vanligtvis kan du välja en ”exit server” eller en plats din VPN kommer ”låtsas” du faktiskt ligger. Vanligtvis är det tillräckligt för att övertyga en tjänst du är i ett land som stöds.

en nyligen upptäckt säkerhetsfel gör det möjligt för fjärrwebbplatser att dra nytta av WebRTC (webb realtid kommunikation, en funktion inbyggd i de flesta webbläsare) för att avslöja en användares sanna IP-adress, även om de är anslutna till en VPN., Såvitt vi vet utnyttjar webbplatser inte felet ännu, men med tanke på tjänster som Hulu, Spotify, Netflix och andra vidtar åtgärder för att identifiera och låsa ut VPN-användare är det inte en sträcka att anta att de börjar.

några rader kod är allt som krävs för att ta bort platsskyddet du får från att använda en VPN, och ta reda på var du faktiskt befinner dig och vem din Internetleverantör verkligen är (vem kan sedan binda din adress tillbaka till vem du är specifikt.,) Medan sårbarheten är främst webbläsarbaserad just nu, påverkas alla program som kan göra webbsidor (och använder WebRTC), vilket betyder att alla som vill kan se förbi din VPN till var du verkligen är och vem du verkligen är. Annonsörer, datamäklare och regeringar kan använda den för att kika igenom din VPN för att ta reda på var din anslutning verkligen kommer ifrån., Om du använder tjänster som BitTorrent, har en digitalbox som en Roku, eller bara strömma musik eller filmer på din dator via en webbplats som inte är tillgänglig i ditt land (eller om du är en expat och bor utomlands), kan de appar och tjänster du använder plötsligt sluta fungera.

Hur kan jag kontrollera om min VPN påverkas?

felet dokumenterades av utvecklaren Daniel Roesler över på GitHub., Roesler förklarar hur processen fungerar:

Firefox och Chrome har implementerat WebRTC som tillåter förfrågningar att STUN servrar göras som kommer att returnera lokala och offentliga IP-adresser för användaren. Dessa förfrågningsresultat är tillgängliga för javascript, så du kan nu få en användare lokala och offentliga IP-adresser i javascript. Denna demo är ett exempel implementering av det.,

dessutom görs dessa STUN-förfrågningar utanför den normala XMLHttpRequest-proceduren, så de är inte synliga i utvecklarkonsolen eller kan blockeras av plugins som AdBlockPlus eller Ghostery. Detta gör dessa typer av förfrågningar tillgängliga för onlinespårning om en annonsör ställer in en STUN-server med en jokerdomän.

för att se om din VPN påverkas:

1. besök en webbplats som vad som är min IP-adress och skriv ner din faktiska ISP-angivna IP-adress.,
2. logga in på din VPN, välj en exit-server i ett annat land (eller använd vilken exit-server du föredrar) och kontrollera att du är ansluten.
3. gå tillbaka till vad som är min IP-adress och kontrollera din IP-adress igen. Du bör se en ny adress, en som motsvarar din VPN och det land du valt.
4. besök Roselers WebRTC-testsida och notera IP-adressen som visas på sidan.

om båda verktygen visar din VPN: s IP-adress är du i klartext., Men om vad som är min IP-adress visar din VPN och WebRTC-testet visar din vanliga IP-adress, läcker din webbläsare din ISP-angivna adress till världen.

När TorrentFreak pratade med VPN-leverantörer om problemet, inklusive vår favorit, Privat Internetåtkomst, som noterade att de kunde duplicera problemet, men de var inte säkra på hur de kunde stoppa sårbarheten i slutet. Eftersom IP-kontrollen sker direkt mellan användaren och webbplatsen de är anslutna till är det svårt att blockera., Ändå publicerade de ett blogginlägg som varnar användare om problemet. TorGuard, en annan av våra favoritleverantörer, utfärdade också en varning till sina användare. Dessa varningar säger också att problemet bara verkar påverka Windows-användare, men det är inte nödvändigtvis fallet – många kommentarer (och vår egen testning) Observera att beroende på din VPN och hur den är konfigurerad kan din IP-adress läcka även om du använder ett Mac-eller Linux-system.

Hur kan jag skydda mig själv?,

lyckligtvis behöver du inte vänta på att VPN-leverantörer ska ta itu med problemet på sina ändar för att skydda dig själv. Det finns ett antal saker du kan göra just nu, och de flesta av dem är lika enkelt som att installera en plug-in, eller inaktivera WebRTC i din webbläsare.

det enkla sättet: inaktivera WebRTC i din webbläsare

Chrome, Firefox och Opera (och webbläsare baserade på dem) har i allmänhet WebRTC aktiverat som standard., Safari och Internet Explorer inte, och därmed påverkas inte (om du inte har specifikt aktiverat WebRTC.) Hur som helst, om testet ovan fungerade i din webbläsare, påverkas du. Du kan alltid byta till en webbläsare som inte har WebRTC aktiverat, men eftersom de flesta av oss gillar de webbläsare vi använder, så här gör du:

• Chrome och Opera: installera scriptsafe-tillägget från Chrome Web Store. Det är overkill, men det kommer att inaktivera WebRTC i din webbläsare. Opera-användare kan också använda detta tillägg, du måste bara hoppa igenom några hoops först.
• Firefox: du har två alternativ., Du kan installera Inaktivera WebRTC addon från Mozilla Add-ons (h/t till @YourAnonNews för länk) eller inaktivera WebRTC direkt genom att öppna en flik och gå till ”about:config” i adressfältet. Hitta och ställ in ”media.peerconnection.aktiverad ” inställning till falskt. (Du kan också installera NoScript, vilket är ungefär som ScriptSafe, men som vi nämnde är det förmodligen overkill.,)

medan Roeseler noterar att integritet som skyddar webbläsartillägg som AdBlock, uBlock, Ghostery och Disconnect inte stoppar detta beteende, kommer dessa metoder definitivt att göra jobbet. Vi har testat dem för att se till att de fungerar, och hålla utkik—din favorit annonsblockerare eller privacy add-on kommer sannolikt att uppdateras för att blockera WebRTC inom en snar framtid.

Vi bör notera att inaktivera WebRTC kan bryta vissa webapps och tjänster., Webbläsarbaserade appar som använder mikrofonen och kameran (som vissa chat webbplatser eller Google Hangouts), eller automatiskt känner till din plats (som matleveransplatser) till exempel, kommer att sluta fungera tills du återaktivera den.

det bättre sättet: konfigurera din VPN på din Router

Uppdatering: vi har pratat med ett antal personer i säkerhetsgemenskapen om det här problemet, och efter dessa samtal är vi inte övertygade om att konfigurering av din VPN på routernivån är effektivare (eller snarare fruktansvärt effektiv alls) än att blockera WebRTC i webbläsaren., Medan vi fortfarande rekommenderar att du ställer in din VPN på routernivån av ett antal skäl (beskrivs nedan), när det gäller denna fråga, just nu, föreslår vi att du använder ett av webbläsartillägg som nämns ovan medan vi alla bedriver mer forskning om grundorsaken-och surefire sanering för det.

om du vill ha ett mer säkert sätt att skydda dig själv utöver att installera tillägg och göra tweaks till din webbläsare varje gång du installerar eller uppdaterar, finns det en mer permanent metod., Kör din VPN på din router istället för på din dator direkt.

det finns ett antal fördelar med detta tillvägagångssätt. För en, Det skyddar alla enheter i ditt hemnätverk, även om de inte är sårbara för denna specifika fel. Det ger också alla dina enheter, som dina smartphones, surfplattor, set-top-boxar och smarta apparater samma skydd och kryptering som din VPN ger skrivbordet.

det finns dock varningar. För en, om du är den typ som gillar att ändra exit servrar ofta (t. ex.,, en dag vill du bläddra som om du är i Japan, en annan på Island och en annan i USA), det betyder att du måste justera routerns inställning varje gång du vill byta plats. På samma sätt, om du bara behöver vara ansluten ibland men inte andra—som du använder en VPN för arbete men inte när du streaming Netflix, måste du aktivera eller inaktivera din VPN på routern varje gång du behöver byta. Den processen kan vara enkel eller komplicerad, beroende på din router och din VPN.

många VPN-tjänsteleverantörer föreslår att du ställer in din VPN på routernivå ändå., Vissa säljer även specifika routrar som kommer förkonfigurerad för att använda sin tjänst, men oddsen är att du kan använda din befintliga router (så länge det inte tillhandahålls av din Internetleverantör). Logga in på routerns administratörssida och kontrollera dina ”säkerhet” eller ”anslutning” – alternativ. Beroende på din modell ser du en VPN-sektion där du kan skriva in namnet på den VPN-leverantör du ansluter till, deras servernamn och ditt användarnamn och lösenord. När den är aktiverad kommer all trafik att krypteras.,

om du inte ser det, är allt inte förlorat. Kontrollera med din VPN-leverantör och låt dem veta vilken typ av router du har. De kan ha instruktioner att gå igenom processen. Om de inte gör det, se om routern stöds av Open-source router firmwares som DD-WRT (Sök enheter som stöds här), Öppna WRT (se enheter som stöds här), eller tomat (se enheter som stöds här). Vi har visat dig hur du installerar och ställer in DD-WRT och konfigurerar tomat innan, så om du är ny, börja med våra guider., Alla dessa anpassade firmwares gör att du kan ställa in din VPN på routernivå.

denna sårbarhet är allvarlig, men på den ljusa sidan är den lätt mildrad. Om något, det är en påminnelse att aldrig ta din integritet för givet, även om du använder alla rätt verktyg för att skydda den. När vi pratade om hur man skyddar sig mot DNS-läckor, gjorde vi samma sak: blint lita på ett privatliv verktyg eftersom det står rätt saker är en dålig idé. Lita på, men verifiera och ta din integritet och säkerhet i egna händer.,

Titelfoto gjord med Nemo. Ytterligare bilder av James Lee, Paul Joseph, och Walt Stoneburner.