ExpressVPN odpravlja ranljivost za stiskanje Voracle v aplikacijah

Logotip ExpressVPN z močnim primežem, ki simbolizira našo trdno varnost. Močni smo, kot medved.

Posodobitev: Od 24. oktobra 2018 naši ročni konfiguracijski strežniki niso izpostavljeni izkoriščanju VORACLE.

Na brifingu Black Hat avgusta 2018 je raziskovalec Ahamed Nafeez razkril novo ranljivost v protokolu OpenVPN. Ranljivost, imenovana Voracle, vpliva na vse povezave TLS, ki uporabljajo stiskanje.

OpenVPN uporablja širok spekter vodilnih potrošniških VPN storitev. Nafeez je znal uporabiti povezavo OpenVPN, ki jo je sam postavil, brskal je po spletnem mestu s pomočjo Firefoxa, vendar učinka ni mogel ponoviti z brskalnikom Google Chrome.

ExpressVPN uporablja predvsem protokole OpenVPN in IPsec. V našem primeru so povezave, ki so vplivale na Voracle, nastavile z ročno konfiguracijo ali povezavami, vzpostavljenimi prek naših aplikacij s pomočjo TCP OpenVPN. Povezave UDP OpenVPN, čeprav aplikacije niso vplivale.

Kako deluje Voracle

Stiskanje teoretično poveča zmogljivost shranjevanja in pasovne širine z nadomeščanjem pogostih vzorcev z referencami, podobno kot zamenjava besed z emojisom omogoča več informacij, da se prilegajo tvitu. Toda pri vsakodnevni uporabi stiskanje pri uporabi VPN ponuja malo koristi.

Z vbrizgavanjem podatkov v nešifriran tok se napadalec lahko nauči, ali je določeno besedilo vključeno v nekodificiran in stisnjen podatkovni tok z opazovanjem sprememb dolžine šifriranega toka.

Za zanesljivo spoznavanje vsebine povezave napadalec potrebuje, da uporabnik večkrat zahteva isto vsebino, kar omogoča, da se v uporabnikov tok vbrizgajo majhne različice testnih podatkov napadalca..

Te podatke je mogoče vnašati prek zahtevkov med domenami ali piškotki, napadalec pa je nato lahko opazoval promet z nadzorom omrežnega stikala ali usmerjevalnika. Če so podatki že šifrirani, preden vstopijo v tunel VPN, te ranljivosti ni mogoče izkoristiti. Napadalec v nobenem primeru ne bi mogel uporabljati tega proti HTTPS ali PGP / OTR povezavam.

Rešitev: Onemogoči stiskanje

Da bi ublažili Voracle, ExpressVPN je onemogočil stiskanje na vseh povezavah aplikacij. Uporabnikom ni treba posodabljati svojih aplikacij.

Če uporabljate ročno konfiguracijsko datoteko pred napadom VORACLE, prenesite novo konfiguracijsko datoteko ali posodobite datoteko, da vključuje vrstico »comp-lzo off«.

ExpressVPN meni, da je izkoriščanje resno, vendar je v uporabi omejeno, saj bi moral napadalec ne samo opazovati šifriranega prometa, ampak tudi imeti možnost, da podatke vbrizga v nešifriran podatkovni tok. Kljub temu morajo uporabniki interneta pri uporabi katerega koli spletnega mesta ali storitve, pri kateri so občutljivi podatki, uporabljati HTTPS za šifriranje od konca do konca..

ExpressVPN odpravlja ranljivost za stiskanje Voracle v aplikacijah
admin Author
Sorry! The Author has not filled his profile.