-
-
VPN不像你想象中那么安全
-
发表于: 2015-8-10 22:24 1620
-
感谢IPv6,你的数据可以被任何人看到了。
全民监控时代,采用虚拟专用网(VPN)获取额外的隐私与安全已经成为一种很平常的做法,但上周公布的一份报告表明,VPN也许不像它们通常标榜的那么安全。
事实上,由于所谓的IPv6泄露漏洞,很多VPN都会将用户信息暴露给窥伺的眼睛。欧洲两所大学的研究人员在一篇论文中描述了去年年底对全球14家流行商业VPN提供商所做的调查研究。这篇论文名为《VPN一瞥:商业VPN客户端中的IPv6泄露与DNS劫持》.
论文显示,研究人员通过两种攻击测试了这些VPN:一是通过监视,黑客由此轻易收集到用户未经加密的信息;二是DNS劫持,通过伪装成如谷歌或脸书等流行站点重定向用户的浏览器到受控的网页服务器。
他们的测试结果是令人瞠目的:14家提供商中有11家都有信息泄露,包括用户访问的站点信息和用户通信的实际内容。其中TorGuard宣称他们提供了一种避免此问题的方法,但讽刺的是,这种方法默认情况下是不开启的。
“即使采用了配置良好的VPN,也有其他方法识别出用户身份,侵犯他们的隐私。”
这项研究同样检测了不同移动平台在使用VPN时的安全性,结果发现:在iOS上用VPN就更安全一些,而在安卓上仍然存在泄漏问题。
值得注意的是,使用VPN访问用HTTPS进行加密的网站则没有泄露。
那么,泄露到底归罪于谁呢?其中一个因素是,尽管网络运营商IPv6部署不断增长,很多VPN却依然停留在只保护IPv4流量的程度。另一个问题则在于很多VPN服务提供商仍然依赖于过时的隧道协议,比如像PPTP这种很容易被暴力破解的协议。
论文为想寻求匿名上网的人指出了一项可能的选择,在诸如Tails这样的Linux发行版中用Tor。相较之下,企业版VPN倒是大部分不受泄露问题影响。
不过,依赖VPN服务保护隐私的用户,应该“经常关注一下自己的系统使用什么传输协议,选择覆盖了这些协议的VPN服务,或者至少关闭那些没有在用的协议。”
同样值得一提的是,VPN技术不是设计来提供隐私保护,而是提供一种更安全的方式经由非受信网络接入公司内部网络基础设施的。
全民监控时代,采用虚拟专用网(VPN)获取额外的隐私与安全已经成为一种很平常的做法,但上周公布的一份报告表明,VPN也许不像它们通常标榜的那么安全。
事实上,由于所谓的IPv6泄露漏洞,很多VPN都会将用户信息暴露给窥伺的眼睛。欧洲两所大学的研究人员在一篇论文中描述了去年年底对全球14家流行商业VPN提供商所做的调查研究。这篇论文名为《VPN一瞥:商业VPN客户端中的IPv6泄露与DNS劫持》.
论文显示,研究人员通过两种攻击测试了这些VPN:一是通过监视,黑客由此轻易收集到用户未经加密的信息;二是DNS劫持,通过伪装成如谷歌或脸书等流行站点重定向用户的浏览器到受控的网页服务器。
他们的测试结果是令人瞠目的:14家提供商中有11家都有信息泄露,包括用户访问的站点信息和用户通信的实际内容。其中TorGuard宣称他们提供了一种避免此问题的方法,但讽刺的是,这种方法默认情况下是不开启的。
“即使采用了配置良好的VPN,也有其他方法识别出用户身份,侵犯他们的隐私。”
这项研究同样检测了不同移动平台在使用VPN时的安全性,结果发现:在iOS上用VPN就更安全一些,而在安卓上仍然存在泄漏问题。
值得注意的是,使用VPN访问用HTTPS进行加密的网站则没有泄露。
那么,泄露到底归罪于谁呢?其中一个因素是,尽管网络运营商IPv6部署不断增长,很多VPN却依然停留在只保护IPv4流量的程度。另一个问题则在于很多VPN服务提供商仍然依赖于过时的隧道协议,比如像PPTP这种很容易被暴力破解的协议。
论文为想寻求匿名上网的人指出了一项可能的选择,在诸如Tails这样的Linux发行版中用Tor。相较之下,企业版VPN倒是大部分不受泄露问题影响。
不过,依赖VPN服务保护隐私的用户,应该“经常关注一下自己的系统使用什么传输协议,选择覆盖了这些协议的VPN服务,或者至少关闭那些没有在用的协议。”
同样值得一提的是,VPN技术不是设计来提供隐私保护,而是提供一种更安全的方式经由非受信网络接入公司内部网络基础设施的。
赞赏
看原图
赞赏
雪币:
留言: