VPN не гарантируют анонимности пользователей — американские эксперты
![Ремедиос Варо. Феномен.](/static/files/3bb0110f6e84.jpg)
Виртуальные частные сети (VPN), использование которых постоянно растет, уязвимы для атак, которые лишают пользователей обещанной анонимности. Эти выводы своей работы представили на прошлой неделе Уильям Толли и его коллеги из Университета штата Аризона в ходе виртуального симпозиума по безопасности Usenix, рассказало 17 августа издание New Scientist.
Технология долгое время считалась защищенной от внешних атак, но теперь, как говорят исследователи, виден фундаментальный недостаток в инфраструктуре VPN.
Уязвимость выявляется при мониторинге того, что VPN не могут скрыть: наличие и размер пакетов данных, проходящих через них. Толли утверждает, что этот метод срабатывает против всех VPN. «Это фундаментальная уязвимость сети», — говорит он.
Отслеживая трафик через VPN-туннель и размер пакетов данных, которые проходят через него, идентифицируется порт пользователя. Затем хакеры могут управлять пакетом, в котором они изменили исходный адрес так, чтобы это выглядело как будто он поступает с одного из законных терминалов. Таким образом можно «уводить» пользователей на мошеннический веб-сайт или вводить вредоносные данные на любые веб-сайты, которые они посещают.
Ученые сообщили о методике возможных атак ряду провайдеров VPN, но не уверены, что все они займутся устранением уязвимости. «Наш совет, говорят они, — избегать VPN, если вы пытаетесь сохранить свою информацию в тайне от государственных органов или что-то в этом роде», — считает эксперт.
Использование VPN стало более популярным, поскольку люди работают из дома и требуют безопасного доступа к рабочим файлам, хранящимся на бизнес-серверах, отмечает издание. Некоторые с их помощью подрывают блокировки географических регионов на таких сервисах, как Netflix, или прибегают к ним в странах, где правят репрессивные режимы, чтобы попытаться избежать слежки.
«Мне действительно нравится то, что сделали авторы», — говорит Гарет Тайсон из Лондонского университета королевы Марии. Тем не менее, по его словам, уровень навыков, необходимых для успешной атаки, должен быть выше, чем у среднего хакера.
Тайсон указывает, что злоумышленникам потребуется физическое присутствие в правильных частях ИТ-сети, чтобы обеспечить необходимый уровень мониторинга навязчивых пакетов. «В авторитарном режиме, где государство контролирует всю инфраструктуру, это было бы намного проще, — говорит он. — В Великобритании, например, где сети приватизированы, а государственный контроль находится далеко от них, это было бы сложнее».