WebRTC: Advarsel til alle de som bruker VPN - sikkerhetshull gjør din virkelige IP synlig

[myhken]

Så akkurat dette innlegget, og testet selvsagt det med en gang, og så at i alle fall med Astrill VPN sammen med Firefox og Chrome, så viste den testen min virkelige IP.

 

Testen kan du kjøre herfra fra Firefox og Chrome (de eneste nettleserene som ser ut til å være berørt)(og gjelder kun Windows pcer)(Edit 2: Gjelder også Opera)

 

Heldigvis finnes det enkle løsninger på problemet, beskrevet i innlegget fra linken øverst i innlegget mitt.

 

 

Chrome users can install the WebRTC block extension or ScriptSafe, which both reportedly block the vulnerability.

 

Firefox users should be able to block the request with the NoScript addon. Alternatively, they can type “about:config” in the address bar and set the “media.peerconnection.enabled” setting to false.

 

Testet disse løsningene og de fungerer som de skal.

 

Er jo litt skremmende egentlig når man tror man er sikker når man bruker en VPN løsning, og så kan folk enkelt finne din virkelige IP ved å bruke den koden nevnt i innlegget.

 

Hadde vært bra om folk med ulike VPN løsninger (selskaper) og kanskje sine egne tester seg og ser om hullet gjelder alle løsninger, eller om noen selskaper er bedre (sikrere) enn andre?

Er vel en del her som bruker VPN i det daglige?

Endret 30. januar 2015 av myhken

[Runar]

Jeg bruker VPN de gangene jeg kobler meg til offentlige nettverk (tog, hotell, osv.), men jeg bruker Mac og Safari, så jeg er tydeligvis ikke berørt av denne feilen.

[myhken]

Jeg bruker VPN de gangene jeg kobler meg til offentlige nettverk (tog, hotell, osv.), men jeg bruker Mac og Safari, så jeg er tydeligvis ikke berørt av denne feilen.

 

 

Sjekket min egen OpenVPN server nå, og den har samme feilen den også. Så det betyr at alle med egne OpenVPN servere som bruker Firefox og/eller Chrome er utsatt for denne feilen.

 

I tillegg har jo i alle fall Private Internet Access og TorGuard kommet med advarsler på sine sider ang denne feilen, og jobber med å se om de kan løse problemet.

 

Trolig gjelder dette nok alle VPN løsninger som finnes. Så et nokså stort sikkerhetshull. Får håpe tek.no sjekker litt og lager en sak av det, for VPN har jo blitt promotert/skrevet om mang enn gang på hardware/tek.

Kanskje håpe tek.no kommer digi.no i forkjøpet også? Men det er vel for mye å håpe på.

[Bjonness406]

Jeg fikk ihvertfall forskjellig public ip address (det er den jeg skal skjekke?), bruker mac og private internett access

[myhken]

Ja glemte å si at det kun gjelder Windows pcer og de to nettleserene.

[Bjonness406]

Åja, flaks for meg

[myhken]

Åja, flaks for meg

 

Men uheldigvis for dette sikkerhetshullet så er det jo en eller to andre der ute som bruker Windows pcer...

[Bjonness406]

Ja :/

[myhken]

Ikke mange som brukte VPN på Windows maskiner her på forumet skjønner jeg.

Så mye prat det har vært om VPN løsninger, og så virker det som om nesten ingen bruker disse løsningene.

Dette hullet er ganske så alvorlig når det kommer til privatlivet når man surfer via VPN.

[Runar]

Jeg er litt mer paranoid enn de fleste, men jeg ser ikke behovet for å bruke VPN når jeg sitter hjemme eller på jobb. Jeg bruker det som sagt når jeg er koblet til nettverk jeg ikke stoler på, som offentlige nettverk eller hos bekjente.

[Horrorbyte]

Ikke mange som brukte VPN på Windows maskiner her på forumet skjønner jeg.

Så mye prat det har vært om VPN løsninger, og så virker det som om nesten ingen bruker disse løsningene.

Dette hullet er ganske så alvorlig når det kommer til privatlivet når man surfer via VPN.

Nå er det viktig å huske på at VPN ikke er laget for anonymitet. Videre er det viden kjent at dersom man er avhengig av anonymitet så bør man deaktivere JavaScript. Ja, VPN kan potensielt gi en viss form for anonymitet, men en tradisjonell ett-hopps VPN medfører fortsatt at man må stole på noen – nemlig VPN-leverandøren og datasenteret – og mot en angriper med store ressurser (f.eks. etterretningsorganisasjoner) er det nærmest en bagatell. Vil du ha en viss grad av anonymitet, så bruk Tor med JavaScript deaktivert – men gå ut fra at trafikk som ikke er kryptert ende-til-ende vil bli logget og analysert.

[myhken]

Kommersielle VPN løsninger er jo ikke greia for de som virkelig trenger å være anonyme, type Snowden. Går ut i fra at det finnes andre løsninger for slikt. Men de fungerer neppe godt om du f.eks skal laste ned litt fra bukta osv, for hastigheten på slike tjenester er ofte nokså lav.

 

Nå er vel ikke WebRTC et javascript? Eller så fikser man i alle fall hullet uten å deaktivere Java scripts, for jeg bruker fortsatt Java på bl.a fil behandleren på de fleste Linux serverne mine. Også etter jeg deaktiverte hullet i Firefox.

[Horrorbyte]

 

 

 

Firefox and Chrome have implemented WebRTC that allow requests to STUN servers be made that will return the local and public IP addresses for the user. These request results are available to javascript, so you can now obtain a users local and public IP addresses in javascript. This demo is an example implementation of that.

[myhken]

Ok, men å tette sikkerhetshullet stopper ikke å kjøre Javascript i alle fall.

[Ruki]

Er jo skummelt, bruker ikke de fleste nettsider javascript samtidig

som flere tjenester går over til nettsider med masse javascript?

Endret 7. februar 2015 av Ruki

[Redshift]

Får ikke WebRTC block til å fungere i Chrome. Derimot så funker den manuelle innstillingen i Firefox for meg.

 

For min del bruker jeg mye vpn til usikre og felles nettverk, så dette er ingen dealbreaker for min del. Likevel skal jeg ha det i bakhodet om jeg besøker bukta.

Endret 9. februar 2015 av IT_Predator