Kan VPN hackes? Vi ser nærmere på det

Vi kigger nærmere på specifikationerne ved VPN, og om der er nogen sårbarheder overfor hackere.

Hvad er en VPN?

Et Virtuelt Privat Netværk (VPN) gør det muligt for dig, at skabe en sikker virtuel tunnel gennem internettet til et andet netværk eller enhed. Hvis du tilgår internettet fra denne virtuelle tunnel, så er det svær for alle – inkluderet din ISP – at snage i dine browsing aktiviteter.

VPN bidrager også til at skjule din placering overalt i verden, og låser geografisk begrænset services op. En VPN beskytter fortroligheden (data forbliver hemmelige) og integriteten (data forbliver uændrede) af beskeder, mens det rejser gennem det offentlige internet.

At etablere en af disse sikre forbindelser er relativt nemt. Brugeren forbinder først til internettet gennem en ISP, og så startes en VPN forbindelse med VPN serveren, ved brug af en klient (lokalt installeret) software. VPN serveren henter de forespurgte websider og vender tilbage til brugeren via den sikre tunnel, og dermed holdes data sikre og private over nettet.

Hvordan fungerer VPN kryptering?

VPN protokollen er et aftalt sæt regler for datatransmission og kryptering. De fleste VPN udbydere giver deres brugere valget mellem flere VPN protokoller. Nogle af de mest anvendte protokoller inkluderer: Point to Point Tunnelling Protokol (PPTP), Layer Two Tunnelling Protokol (L2TP), Internet Protokol Security (IPSec) og OpenVPN (SSL/TLS).

For fuldt ud at forstå hvordan en VPN beskytter din fortrolighed, så bliver vi nødt til at dykke en smule dybere ned i krypteringsvidenskaben. VPN anvender en teknik kendt som kryptering, for at gøre dine læsbare data (ren tekst) fuldstændigt ulæsbare (cipher tekst) af enhver person som opsnapper den som den rejser gennem internettet. En algoritme eller cipher dikterer hvordan krypterings- eller dekrypteringsprocessen finder sted, indenfor VPN protokollen. VPN protokollen bruger disse kryptografiske algoritmer til at sløre dine data, for at sikre at dine browsing aktiviteter forbliver private og fortrolige.

Hver af disse VPN protokoller har sine styrker og svagheder, afhængig af hvilken kryptografisk algoritme der er implementeret. Nogle VPN udbydere giver brugerne valget mellem forskellige. Algoritmen eller cipher kan være baseret på enhver af disse tre klassifikationer: Symmetri, asymmetri, og hashing algoritme.

Symmetrisk kryptering anvender en nøgle til at låse (kryptere)og en anden til at låse op (dekryptere) data. Asymmetrisk kryptering anvender to nøgler, en til at låse (kryptering) og den anden til at låse op (dekryptering) data. Nedenstående tabel opsummerer sammenligningen mellem symmetrisk og asymmetrisk kryptering.

Attribute Symmetric Asymmetric
Keys One key is shared among multiple entities One entity has the public key, the other has the private key
Key exchange Requires secure mechanism for sending and receiving keys Private key is kept secret by the owner while the public key is available to everyone
Speed Less complex and faster More complex and slower
Strength Less harder to break Harder to break
Scalability Good scalability Better scalability
Use Bulk encryption i.e. everything Only key distribution and digital signatures
Security service offered Confidentiality Confidentiality, authentication and non-repudiation
Examples DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 and RC6 RSA, ECC, DSA, and Diffie-Hellman

Asymmetrisk kryptografi er løsningen til begrænsningerne der ligger i symmetrisk kryptografi (som vis i tabellen ovenfor). Whitfield Diffie og Martin Hellman var blandt den første gruppe, som begyndte at fokusere på manglerne, ved at udvikle en asymmetrisk algoritme kaldet Diffie-Hellman.

Det er en populær kryptografisk algoritme, som er fundamental til mange VPN protokoller inkluderet HTTPS, SSH, IPSec og OpenVPN. Algoritmen lader to parter, som aldrig har mødtes før, forhandle en hemmelig nøgle, selv ved kommunikation over en ikke sikret offentlig kanal som internettet.

Hashing er en envejs (kan ikke laves om) kryptering, der anvendes til at beskytte integriteten af transmitterede data. De fleste VPN protokoller anvender hashing algoritmer til at verificere ægtheden af beskeder sendt via VPN. Eksempler inkluderer MD5, SHA-1, og SHA-2. Både MD5 og SHA-1 betragtes ikke længere som sikre.

VPN kan hackes, men det er svært. Chancerne for at blive hacket uden en VPN er betydeligt større, end at blive det med en.

Kan man rent faktisk hacke sig ind i en VPN?

VPN forbliver en af de mest effektive måder at fastholde online fortrolighed. Ikke desto mindre er det vigtigt at bemærke, at stort set alt kan hackes, særligt hvis du er et værdifuldt mål, og din modstander har nok tid, midler og resurser. Den gode nyhed er, at de fleste brugere falder udenfor ”værdifuld” kategorien, og det er derfor meget usandsynligt man vil blive et mål.

At bryde ind i en VPN forbindelse involverer enten at bryde krypteringen ved at drage fordel af kendte sårbarheder, eller at stjæle nøglen via suspekte midler. Kryptografiske angreb anvendes af hackere og kryptoanalytikere til at gendanne ren tekst fra deres krypterede versioner, uden nøglen. Men at bryde kryptering kræver computerkraft og er tidskrævende, og kan tage år at gennemføre.

De fleste anstrengelser involverer tyveri af nøglerne, som er meget nemmere end at bryde kryptering. Det er det spionagenturer typiske gør, når de er stillet overfor sådanne udfordringer. Deres succes er ikke matematisk, men ved en kombination af tekniske tricks, computerkraft, snyd, retskendelser og overtalelse bag lukkede døre (bagdøre). Matematikken bag kryptering er ufattelig stærk og computermæssigt kompleks.

Eksisterende VPN sårbarheder og udnyttelser

Tidligere afsløringer af den amerikanske whistle blower Edward Snowden og sikkerhedsforskere, har vist at det amerikanske spionagentur (NSA) brød krypteringen bag potentielt enorme mængder internettrafik, inkluderet VPN. Snowden dokumenter viste, at NSAs VPN dekrypterings infrastruktur involverer at opfange krypteret trafik og give nogle data videre til kraftfulde computere, som derefter gav nøgle tilbage.

Sikkerhedsforskere Alex Haldeman og Nadia Heninger præsenterede også overbevisende forskning, der antyder at NSA rent faktisk udviklede evnen til at dekryptere store mængder HTTPS, SSH og VPN trafik i et angreb kendt som Logjam på almindelige implementeringer af Diffie-Hellman algoritmen.

Deres succes var baseret på udnyttelsen af en svaghed i implementeringen af Diffie-Hellman algoritmen. Hovedårsagen til denne svaghed er, at krypteringssoftware anvender et standardiseret primtal i sin implementering. Forskerne estimerede at det ville tage cirka et år, og nogle få 100 millioner dollars at bygge en kraftfuld computer, som ville være i stand til at knække en enkelt 1024 bit Diffie-Hellman prime (hvilket er pænt indenfor NSAs årlige budget).

Desværre er tilfældet, at kun nogle få primtal (mindre end 1024 bit) anvendes almindeligvis i det virkelige livs krypteringsapplikationer som en VPN – hvilket gør den endnu nemmere at knække. Ifølge Bruce Schneier, ”matematikken er god, men matematikken har ikke noget agentur. Kode har agentur, og koden er blevet undergravet”.

Bør du stadigvæk anvende en VPN?

For serviceudbydere anbefaler forskerteam brugen af 2048-bit eller flere Diffie-Hellman nøgler, og offentlliggjorde også en guide til dets indsættelse for TLS. Internet Engineering Task Force (IETF) anbefaler også brugen af de seneste udgaver af protokoller, som kræver længere primtal.

Spioner kan måske knække primtal almindeligt anvendt i Diffie-Hellman nøgler på op til 1024 bits (omkring 309 tegn) i længden. Primtal i 2048 bit nøgler vil være en seriøs hovedpine for dem, hvilket betyder at spioner ikke vil være i stand til at dekryptere data, som er sikret ved brug af disse nøgler, i meget lang tid.

For bruger, mens det er sandt at spionagenturer har udnyttet VPN og andre krypteringsprotokoller som de anvender til at ramme krypteret trafik, så er du stadig bedre beskyttet, end hvis du kommunikerede i klar tekst. Mens din computer kan være kompromitteret, så vil det koste dem tid og penge – og det gør det dyrt for dem. Jo mindre synlig du er, jo mere sikker er du. Ifølge Edward Snowden, ”Kryptering fungerer. Ordentligt implementeret stærke kryptosystemer, er en af de få ting du kan stole på.” Så vidt muligt, undgå VPN som primært er baseret på MD5 eller SHA-1 hashing algoritmer og PPTP eller L2TP/IPSec protokoller. Gå efter dem som understøtter nuværende versioner af OpenVPN (betragtes som ekstremt sikre) og SHA-2. Hvis usikker med hensyn til hvilken algoritme din VPN anvender, henvis til VPN dokumentation eller kontakt support.

VPN er din ven. Stol på kryptering, stol på matematikken. Maksimer dets brug, og gør dit bedste for at sikre at den anden ende også er beskyttet. Sådan kan du forblive sikker, selv ved angreb på krypterede forbindelser.

Var det brugbart? Del det!