Обнаружен метод атаки, отключающий практически все VPN

Исследователи разработали атаку, названную TunnelVision, которая практически способна направить часть или весь трафик виртуальной частной сети (VPN) за пределы зашифрованного туннеля. Это серьезно ослабляет способность VPN инкапсулировать входящий и исходящий интернет-трафик, скрывая IP-адрес пользователя, что является основной целью и преимуществом использования VPN. Исследователи утверждают, что атака затрагивает практически все приложения VPN, когда они подключаются к враждебной сети, и, за исключением случаев, когда VPN работает на Linux или Android, предотвратить такие атаки практически невозможно. Они также отмечают, что подобные методы атаки могли быть возможны с 2002 года и могли использоваться с тех пор.

Возможность чтения и изменения VPN-трафика

Эффект TunnelVision объясняется в видео следующим образом: "Трафик жертвы маскируется и направляется непосредственно через злоумышленника. Это позволяет злоумышленнику читать, удалять или изменять утечку трафика, даже когда жертва поддерживает подключение через VPN к Интернету".

Атака заключается в манипулировании DHCP-сервером, который назначает IP-адреса устройствам, пытающимся подключиться к локальной сети. Параметр, известный как опция 121, позволяет DHCP-серверу отменять правила маршрутизации по умолчанию, которые направляют VPN-трафик через локальный IP-адрес, инициирующий зашифрованный туннель. Атака использует опцию 121 для перенаправления VPN-трафика через DHCP-сервер, что позволяет атакующему контролировать передачу данных.

Атака позволяет направить часть или весь трафик через незашифрованный туннель. В обоих случаях приложение VPN считает, что все данные передаются через защищенное соединение. Однако любой трафик, маршрутизируемый через этот туннель, не будет зашифрован VPN. Кроме того, IP-адрес в Интернете, видимый удаленному пользователю, будет принадлежать сети, к которой подключен пользователь VPN, а не сети, определенной приложением VPN.

Атаке не подвержена только операционная система Android

Интересно, что Android — единственная операционная система, которая полностью защищает VPN-приложения от взлома. Это происходит потому, что Android не реализует опцию 121. Для всех остальных операционных систем не существует комплексного решения для данной проблемы. Хотя существует настройка, которая помогает снизить последствия запуска приложений в Linux, даже в этом случае TunnelVision может использовать побочный канал для деанонимизации целевого трафика и осуществления целевых атак, таких как "отказ в обслуживании". Сетевые брандмауэры также могут быть настроены для блокировки трафика, входящего и исходящего от физического интерфейса. Однако у этого решения есть две проблемы. Во-первых, пользователь VPN, подключающийся к ненадежной сети, не может контролировать брандмауэр. Во-вторых, это позволяет открыть в Linux побочные каналы, о которых мы говорили.

Наиболее эффективными решениями являются запуск VPN внутри виртуальной машины, сетевой адаптер которой не находится в режиме моста, или подключение VPN к Интернету через сеть Wi-Fi мобильного устройства.