Wiele osób korzysta z wirtualnych sieci prywatnych (VPN) do maskowania swojej tożsamości, szyfrowania komunikacji lub przeglądania sieci z innej lokalizacji. Wszystkie te cele mogą się rozpaść, jeśli twoje prawdziwe informacje wyciekają przez lukę bezpieczeństwa, która jest bardziej powszechna, niż ci się wydaje. Spójrzmy, jak zidentyfikować i załatać te wycieki.
Podstawy korzystania z VPN są dość proste: instalujesz pakiet oprogramowania na komputerze, urządzeniu lub routerze (lub używasz wbudowanego oprogramowania VPN). To oprogramowanie przechwytuje cały ruch sieciowy i przekierowuje go przez zaszyfrowany tunel do zdalnego punktu wyjścia. Dla świata zewnętrznego cały ruch wydaje się pochodzić z tego punktu zdalnego, a nie z rzeczywistej lokalizacji. To świetnie nadaje się do prywatności (jeśli chcesz, aby nikt między twoim urządzeniem a serwerem wyjścia nie widział, co robisz), doskonale nadaje się do wirtualnego przeskakiwania po granicy (jak oglądanie amerykańskich serwisów streamingowych w Australii) i jest to ogólnie doskonały sposób aby ukryć swoją tożsamość online.
Jednak bezpieczeństwo komputera i prywatność to wieczna gra w kotka i myszkę. Żaden system nie jest idealny, a wraz z upływem czasu odkryto luki w zabezpieczeniach, które mogą zagrozić bezpieczeństwu - a systemy VPN nie są wyjątkiem. Oto trzy główne sposoby, w jakie VPN może ujawnić Twoje dane osobowe.
W 2014 r. Opublikowano dobrze nagłośniony błąd Heartbleed, który ujawnił tożsamość użytkowników VPN. Na początku 2015 roku wykryto usterkę przeglądarki internetowej, która umożliwia stronie trzeciej wysłanie żądania do przeglądarki internetowej, aby ujawnić prawdziwy adres IP użytkownika (omijając zaciemnianie usługi VPN).
Ta luka w zabezpieczeniach, będąca częścią protokołu komunikacyjnego WebRTC, wciąż nie została całkowicie załatana, a witryny internetowe, z którymi się łączysz, są nadal możliwe, nawet gdy są za VPN, aby odpytać przeglądarkę i uzyskać swój prawdziwy adres. Pod koniec 2015 roku wykryto mniej powszechną (ale wciąż problematyczną) lukę w zabezpieczeniach, w której użytkownicy tej samej usługi VPN mogli zdemaskować innych użytkowników.
Tego typu luki są najgorsze, ponieważ nie można ich przewidzieć, firmy powoli owijają je, a ty musisz być świadomym konsumentem, aby upewnić się, że twój dostawca VPN radzi sobie odpowiednio ze znanym i nowym zagrożeniem. Niemniej jednak, gdy zostaną odkryte, możesz podjąć kroki w celu ochrony siebie (jak za chwilę podkreślimy).
Nawet bez jawnych błędów i luk w zabezpieczeniach, zawsze istnieje kwestia wycieku DNS (co może wynikać z błędnych wyborów konfiguracji systemu operacyjnego, błędu użytkownika lub błędu dostawcy VPN). Serwery DNS rozwiązują te przyjazne dla człowieka adresy, z których korzystasz (np. Www.facebook.com) na przyjazne dla komputera adresy (takie jak 173.252.89.132). Jeśli Twój komputer korzysta z innego serwera DNS niż lokalizacja VPN, może podać informacje o Tobie.
Wycieki DNS nie są tak złe, jak wycieki IP, ale nadal mogą ujawnić Twoją lokalizację. Jeśli twój wyciek DNS pokazuje, że twoje serwery DNS należą do małego dostawcy Internetu, na przykład, znacznie zawęża twoją tożsamość i może szybko zlokalizować ciebie geograficznie.
Każdy system może być podatny na wyciek DNS, ale system Windows był historycznie jednym z najgorszych przestępców, ze względu na sposób, w jaki system operacyjny obsługuje żądania i rozwiązania DNS. W rzeczywistości obsługa DNS systemu Windows 10 przez sieć VPN jest tak zła, że dział bezpieczeństwa komputerowego Departamentu Bezpieczeństwa Wewnętrznego, amerykańskiego zespołu gotowości na awarie komputerowe, faktycznie wydał odprawę dotyczącą kontrolowania żądań DNS w sierpniu 2015 r.
Wreszcie protokół IPv6 może powodować przecieki, które mogą ujawnić Twoją lokalizacjęi pozwól stronom trzecim śledzić ruchy w Internecie. Jeśli nie znasz protokołu IPv6, zapoznaj się z naszym wytłumacznikiem tutaj - jest to w zasadzie następna generacja adresów IP i rozwiązanie dla świata, w którym brakuje adresów IP, jako liczba osób (i ich produktów podłączonych do internetu).
Podczas gdy IPv6 doskonale nadaje się do rozwiązania tego problemu, w chwili obecnej nie jest to tak wspaniałe dla ludzi obawiających się prywatności.
Krótko mówiąc: niektórzy dostawcy VPN obsługują tylko żądania IPv4 i ignorują żądania IPv6. Jeśli twoja konkretna konfiguracja sieci i dostawca usług internetowych są uaktualnione do obsługi IPv6ale twoja sieć VPN nie obsługuje żądań IPv6, możesz znaleźć się w sytuacji, w której osoba trzecia może wysyłać żądania IPv6, które ujawnią twoją prawdziwą tożsamość (ponieważ sieć VPN ślepo przekazuje je do twojej lokalnej sieci / komputera, która uczciwie odpowiada na żądanie ).
W tej chwili wycieki IPv6 są najmniej groźnym źródłem wycieków danych. Świat tak wolno adoptował IPv6, że w większości przypadków twój ISP, który ciągnie stopy, nawet wspierając go, faktycznie chroni cię przed tym problemem. Niemniej jednak powinieneś zdawać sobie sprawę z potencjalnego problemu i aktywnie go chronić.
Więc gdzie to wszystko pozostawia ciebie, końcowego użytkownika, jeśli chodzi o bezpieczeństwo? Pozostawia cię w sytuacji, w której musisz być aktywnie czujny na temat połączenia VPN i często testować własne połączenie, aby upewnić się, że nie wycieka. Nie wpadaj jednak w panikę: przeprowadzimy Cię przez cały proces testowania i łatania znanych luk.
Sprawdzanie przecieków jest dość proste - chociaż ich łatanie, jak zobaczycie w następnej sekcji, jest nieco trudniejsze. Internet jest pełen ludzi dbających o bezpieczeństwo i nie brakuje zasobów dostępnych online, aby pomóc ci w sprawdzaniu luk w połączeniach.
Uwaga: Podczas gdy możesz użyć tych testów szczelności, aby sprawdzić, czy twoja wyszukiwarka internetowa zawiera nieszczelne informacje, serwery proxy są zupełnie inną bestią niż VPN i nie powinny być uważane za bezpieczne narzędzie ochrony prywatności.
Najpierw określ rzeczywisty adres IP lokalnego połączenia internetowego. Jeśli korzystasz z połączenia domowego, będzie to adres IP dostarczony przez Twojego dostawcę usług internetowych (ISP). Jeśli korzystasz na przykład z Wi-Fi na lotnisku lub w hotelu, będzie to adres IPich ISP. Niezależnie od tego musimy dowiedzieć się, jak wygląda nagie połączenie z Twojej obecnej lokalizacji do większego Internetu.
Możesz znaleźć swój prawdziwy adres IP, tymczasowo wyłączając VPN. Alternatywnie możesz pobrać urządzenie w tej samej sieci, która nie jest połączona z VPN. Następnie wystarczy odwiedzić witrynę internetową, na przykład WhatIsMyIP.com, aby zobaczyć swój publiczny adres IP.
Zanotuj ten adres, ponieważ jest to twój adresnie rób chcesz zobaczyć wyskakujące okienko w teście VPN, który przeprowadzimy wkrótce.
Następnie odłącz swoją sieć VPN i uruchom następujący test szczelności na swoim komputerze. Właśnie tak, my nie rób tego chcemy, aby sieć VPN działała jeszcze - najpierw musimy uzyskać dane bazowe.
Dla naszych celów użyjemy IPLeak.net, ponieważ testuje on jednocześnie twój adres IP, jeśli twój adres IP przecieka przez WebRTC i jakie serwery DNS używa twoje połączenie.
Na powyższym zrzucie ekranu nasz adres IP i nasz adres wycieku WebRTC są identyczne (mimo że je zamazaliśmy) - to jest adres IP dostarczony przez naszego lokalnego dostawcę usług internetowych na podstawie czeku, który przeprowadziliśmy w pierwszym etapie tej sekcji.
Co więcej, wszystkie wpisy DNS w "Wykrywaniu adresów DNS" w dolnej części są zgodne z ustawieniami DNS na naszym komputerze (nasz komputer ma połączenie z serwerami DNS Google). Tak więc dla naszego pierwszego testu szczelności wszystko się sprawdza, ponieważ nie jesteśmy połączeni z naszą VPN.
Jako ostateczny test możesz również sprawdzić, czy Twój komputer nie przecieka adresów IPv6 za pomocą IPv6Leak.com. Jak wspomnieliśmy wcześniej, choć jest to nadal rzadki problem, nigdy nie boli, aby być proaktywnym.
Teraz należy włączyć VPN i uruchomić więcej testów.
Czas połączyć się z VPN. Niezależnie od tego, jaką rutynę potrzebuje twoja sieć VPN do nawiązania połączenia, teraz jest czas, aby to zrobić - uruchom program VPN, włącz VPN w ustawieniach systemu lub cokolwiek innego, co normalnie łączysz.
Po podłączeniu nadszedł czas, aby ponownie przeprowadzić test szczelności. Tym razem powinniśmy (miejmy nadzieję) zobaczyć zupełnie inne wyniki. Jeśli wszystko działa idealnie, otrzymamy nowy adres IP, brak wycieków WebRTC i nowy wpis DNS. Ponownie użyjemy IPLeak.net:
Na powyższym zrzucie ekranu widać, że nasza sieć VPN jest aktywna (ponieważ nasz adres IP pokazuje, że jesteśmy połączeni z Holandii zamiast ze Stanów Zjednoczonych) i nasz wykryty adres IPi adres WebRTC jest taki sam (co oznacza, że nie wyciekamy z naszego prawdziwego adresu IP przez lukę WebRTC).
Jednak wyniki DNS u dołu pokazują te same adresy co wcześniej, pochodzące ze Stanów Zjednoczonych - co oznacza, że nasza sieć VPN przecieka adresy DNS.
To nie koniec świata z punktu widzenia prywatności, w tym konkretnym przypadku, ponieważ korzystamy z serwerów DNS Google zamiast serwerów DNS naszych dostawców ISP. Nadal jednak stwierdza, że pochodzimy z USA i nadal wskazuje, że nasza sieć VPN przerywa żądania DNS, co nie jest dobre.
UWAGA: Jeśli twój adres IP w ogóle się nie zmienił, prawdopodobnie nie jest to "wyciek". Zamiast tego: 1) twoja sieć VPN jest skonfigurowana niepoprawnie i nie łączy się w żaden sposób lub 2) Twój dostawca VPN całkowicie upuścił piłkę i musisz skontaktować się z linią wsparcia i / lub znaleźć nowego dostawcę VPN.
Jeśli uruchomiłeś test IPv6 w poprzedniej sekcji i odkryłeś, że twoje połączenie odpowiedziało na żądania IPv6, powinieneś ponownie uruchomić test IPv6, aby zobaczyć, jak VPN obsługuje żądania.
Co się stanie, jeśli wykryjesz wyciek? Porozmawiajmy o tym, jak sobie z nimi radzić.
Choć nie można przewidzieć i zapobiec każdej możliwej luce w zabezpieczeniach, możemy łatwo zapobiec usterkom WebRTC, wyciekom DNS i innym problemom. Oto jak się chronić.
Przede wszystkim powinieneś używać renomowanego dostawcy VPN, który informuje użytkowników o tym, co dzieje się w świecie bezpieczeństwa (wykonają oni pracę domową, więc nie musisz), i działa na tych informacjach, aby aktywnie podłączyć dziury (i powiadamia, kiedy trzeba wprowadzić zmiany). W tym celu gorąco polecamy StrongVPN - świetnego dostawcę sieci VPN, którego nie tylko wcześniej rekomendowaliśmy, ale używaliśmy samych siebie.
Chcesz szybki i brudny test, aby sprawdzić, czy twój dostawca VPN jest zdalnie szanowany? Przeprowadź wyszukiwanie pod kątem ich nazwy i słów kluczowych, takich jak "WebRTC", "wyciekające porty" i "przecieki IPv6". Jeśli Twój dostawca nie ma publicznych postów na blogu lub dokumentacji technicznej omawiającej te problemy, prawdopodobnie nie chcesz korzystać z tego dostawcy sieci VPN, ponieważ nie adresują i nie informują swoich klientów.
Jeśli używasz przeglądarki Chrome, Firefox lub Opera, możesz wyłączyć żądania WebRTC, aby zamknąć wyciek WebRTC. Użytkownicy Chrome mogą pobrać i zainstalować jedno z dwóch rozszerzeń Chrome: WebRTC Block lub ScriptSafe.Oba będą blokować żądania WebRTC, ale ScriptSafe ma dodatkową zaletę blokowania złośliwych plików JavaScript, Java i Flash.
Użytkownicy Opery mogą z drobnymi zmianami instalować rozszerzenia Chrome i używać tych samych rozszerzeń, aby chronić swoje przeglądarki. Użytkownicy Firefoksa mogą wyłączyć funkcję WebRTC z menu about: config. Po prostu wpisz about: config w pasku adresu Firefoksa kliknij przycisk "Będę ostrożny", a następnie przewiń w dół, aż zobaczysz media.peerconnection.enabled wejście. Kliknij dwukrotnie wpis, aby przełączyć go na "fałsz".
Po zastosowaniu którejkolwiek z powyższych poprawek wyczyść pamięć podręczną przeglądarki i uruchom ją ponownie.
Podłączanie wycieków DNS i IPv6 może być ogromną uciążliwością lub łatwą do naprawienia, w zależności od dostawcy VPN, z którego korzystasz. W najlepszym przypadku możesz po prostu poinformować swojego dostawcę sieci VPN, za pośrednictwem ustawień VPN, o podłączeniu otworów DNS i IPv6, a oprogramowanie VPN obsłuży cały proces podnoszenia ciężarów.
Jeśli twoje oprogramowanie VPN nie zapewnia tej opcji (i rzadko zdarza się znaleźć oprogramowanie, które zmodyfikuje twój komputer w twoim imieniu w taki sposób) będziesz musiał ręcznie ustawić dostawcę DNS i wyłączyć IPv6 na poziomie urządzenia. Nawet jeśli masz przydatne oprogramowanie VPN, które zrobi dla ciebie ciężki lifting, zalecamy zapoznanie się z poniższymi instrukcjami, jak ręcznie zmieniać rzeczy, aby można było dwukrotnie sprawdzić, czy oprogramowanie VPN wprowadza poprawne zmiany.
Pokażemy, jak to zrobić na komputerze z systemem Windows 10, ponieważ system Windows jest bardzo szeroko stosowanym systemem operacyjnymi ponieważ jest to również zdumiewająco nieszczelne pod tym względem (w porównaniu z innymi systemami operacyjnymi). Powodem, dla którego Windows 8 i 10 są tak nieszczelne, jest zmiana sposobu, w jaki system Windows obsługuje wybór serwera DNS.
W systemie Windows 7 i starszych Windows po prostu używałby serwerów DNS określonych w kolejności, w jakiej je określił (lub, jeśli nie, używałby tylko tych określonych na poziomie routera lub ISP). Począwszy od Windows 8, Microsoft wprowadził nową funkcję znaną jako "Smart Multi-Homed Named Resolution". Ta nowa funkcja zmieniła sposób, w jaki system Windows obsługiwał serwery DNS. Prawdę mówiąc, w rzeczywistości przyspiesza rozpoznawanie DNS dla większości użytkowników, jeśli podstawowe serwery DNS są wolne lub nie reagują. Jednak w przypadku użytkowników VPN może to spowodować wyciek DNS, ponieważ system Windows może spaść na inne serwery DNS niż te z przypisanymi VPN.
Najskuteczniejszym sposobem naprawy w Windows 8, 8.1 i 10 (zarówno w wersji Home, jak i Pro) jest ręczne ustawienie serwerów DNS dla wszystkich interfejsów.
W tym celu otwórz "Połączenia sieciowe" w Panelu sterowania> Sieć i Internet> Połączenia sieciowe, a następnie kliknij prawym przyciskiem myszy każdy istniejący wpis, aby zmienić ustawienia tej karty sieciowej.
Dla każdej karty sieciowej usuń zaznaczenie "Protokół internetowy w wersji 6", aby zabezpieczyć się przed wyciekiem IPv6. Następnie wybierz "Protokół internetowy w wersji 4" i kliknij przycisk "Właściwości".
W menu właściwości wybierz "Użyj następujących adresów serwerów DNS".
W polach "Preferowane" i "Alternatywne" DNS wprowadź serwery DNS, których chcesz użyć. Najlepszym scenariuszem jest korzystanie z serwera DNS dostarczanego przez twoją usługę VPN. Jeśli twoja sieć VPN nie ma serwerów DNS, możesz użyć publicznych serwerów DNS niezwiązanych z twoją lokalizacją geograficzną lub ISP, takich jak serwery OpenDNS, 208.67.222.222 i 208.67.220.220.
Powtórz ten proces określania adresów DNS dla każdego adaptera na komputerze z obsługą sieci VPN, aby upewnić się, że system Windows nie może nigdy powrócić do niewłaściwego adresu DNS.
Użytkownicy systemu Windows 10 Pro mogą również wyłączyć całą funkcję Smart Multi-Homed Named Resolution za pomocą Edytora zasad grupy, ale zalecamy również wykonanie powyższych kroków (w przypadku, gdyby przyszła aktualizacja włączała tę funkcję, komputer zacznie wyciekać dane DNS).
Aby to zrobić, naciśnij Windows + R, aby otworzyć okno dialogowe uruchamiania, wpisz "gpedit.msc", aby uruchomić Edytor lokalnych zasad grupy i, jak widać poniżej, przejdź do Szablony administracyjne> Sieć> Klient DNS. Poszukaj wpisu "Wyłącz inteligentne rozpoznawanie nazw wieloosobowych".
Kliknij dwukrotnie wpis i wybierz "Włącz", a następnie naciśnij przycisk "OK" (jest to trochę przeciwstawne, ale ustawienie to "wyłącz inteligentne ...", co pozwala aktywować politykę, która wyłącza tę funkcję). Ponownie, dla podkreślenia, zalecamy ręczną edycję wszystkich wpisów DNS, więc nawet jeśli ta zmiana zasad nie powiedzie się lub zostanie zmieniona w przyszłości, nadal jesteś chroniony.
Po wprowadzeniu wszystkich tych zmian, jak wygląda teraz nasz test szczelności?
Wyczyść jako gwizdek - nasz adres IP, nasz test wycieku WebRTC, a nasz adres DNS wszystko wraca jako należące do naszego węzła wyjściowego VPN w Holandii. Jeśli chodzi o resztę internetu, jesteśmy z Niziny.
Granie w grę prywatnego detektywa na własnym połączeniu nie jest dokładnie ekscytującym sposobem na spędzenie wieczoru, ale jest to krok niezbędny do zapewnienia bezpieczeństwa połączenia VPN i wycieku danych osobowych. Na szczęście za pomocą odpowiednich narzędzi i dobrej sieci VPN proces jest bezbolesny, a informacje o adresie IP i DNS są przechowywane w tajemnicy.
