Kan VPNer hackes? Vi gjorde undersøkelsene, her er guiden

Mange lurer ofte på om VPN tjenester har rom for at man kan bli hacket eller utnyttet. Finn det definitive svaret på dette spørsmålet i vår grundige analyse. Del

Hva er en VPN?

Et Virtuelt Privat Nettverk (VPN) lar deg skape en sikret virtuell tunell gjennom internett til et annet nettverk eller enhet. Dersom du bruker internett via denne virtuelle tunnelen blir det vanskelig for andre, inklusiv din ISP å overvåke hva du gjør på internett.

VPN hjelper deg også med å skjule din lokasjon til hvor som helst i verden og låser opp tjenester som er geografisk låst. En VPN beskytter konfidensialiteten (data holdes hemmelig) og integritet (data holdes uendret) til meldinger når de reiser over internett.

Å etablere en slik tilkobling er relativt enkelt. Brukeren kobler først til internett gjennom en ISP og initierer deretter en VPN tilkobling med VPN serveren ved bruk av en klientprogramvare (lokalt installert). VPN serveren henter websidene og kommer tilbake til brukeren via den sikre tunnelen, dermed holdes brukerdata trygg og privat over internett.

Hvordan fungerer VPN kryptering?

VPN protokollen er et sett med regler for dataoverføring og kryptering. De fleste VPN leverandører gir brukerne muligheten til å velge fra flere forskjellige VPN protokoller. Noen av de mest brukte protokollene inkluderer: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) og OpenVPN (SSL/TLS).

For å fullstendig forstå hvordan en VPN beskytter ditt personvern, trenger vi å grave litt dypere hvordan kryptering fungerer, VPN bruker en teknikk kjent som «kryptering» for å gjøre din leselige tekst (klartekst) fullstendig ulesbar (chiffrert tekst) for noen som klarer å få tak i den når den reiser gjennom internett. En algoritme eller chiffer dikterer hvordan krypteringen og dekrypteringsprosessen fungerer med VPN protokollene. VPN protokoller bruker disse kryptografiske algoritmene for å skjule data for å holde dine aktiviteter private og konfidensielle.

Hver av disse VPN protokollene har sine styrker og svakheter avhengig av den kryptografiske algoritmen som er implementert sammen med den. Enkelte VPN leverandører gir brukere muligheten til å velge fra forskjellige chiffere. Algoritmene eller chifferne kan være basert på en av disse tre klassifiseringene: symmetrisk, asymmetrisk, og hashing algoritme.

Symmetrisk kryptering bruker en nøkkel til å låse (kryptere) og en anne til å låse opp (dekryptere) data. Asymmetrisk kryptering bruker to nøkler, en for låsing (kryptering) og en annen for opplåsning (dekryptering) av data. Tablennen nedenfor er en sammenligning mellom symmetrisk og asymmetrisk kryptering.

Egenskap Symmetrisk Asymmetrisk
Nøkler En nøkkel er delt blant flere enheter En enhet har den offentlige nøkkelen, den andre har den private
Nøkkelutveksling Krever en sikker mekanisme for å sendte og motta nøklene Den private nøkkelen holdes hemmelig av eieren mens den offentlige nøkkelen er tilgjengelig for alle
Hastighet Mindre kompleks og raskere Mer kompleks og tregere
Styrke Mindre vanskelig å brye opp Vanskeligere å bryte opp
Skalerbarhet God skalerbarhet Bedre skalerbarhet
Bruk Bulk-kryptering f.eks alt Kun nøkkeldistribusjon og digitale signaturer
Tilbudt sikkerhetstjeneste Konfidensialitet Konfidensialitet, autentisering og Ikke-benekting
Eksempler DES, trippel DES, AES, Blowfish, IDEA, RC4, RC5 og RC6 RSA, ECC, DSA, og Diffie-Hellman

Asymmetrisk kryptografi er løsningen på begrensningene iboende symmetrisk kryptografi (som vist i tabellen ovenfor). Whitfield Diffie og Martin Hellman var en av de første som startet med retting av disse manglene ved å utvikle en asymmetrisk algoritme kalt Diffie-Hellman.

Det er en populær kryptografisk algoritme som er fundamental for mange VPN protokoller, deeriblant HTTPS, SSH, IPsec, og OpenVPN. Algoritme lar to parter som aldri har møtes før dele en hemmelig nøkkel selv når de kommuniserer over en usikret offentlig kanal som Internett.

Hashing er en enveis (irreversibel) kryptering som brukes for å beskytte integriteten av overført data. De fleste VPN protokoller bruker hashing algoritmer til å verifisere autentisiteten til meldinger sendt via VPNen. Eksempler er blant annet MD5, SHA-1, og SHA-2. Både MD5 og SHA-1 er ikke lenger ansett som sikre.

VPNer kan hackes, men det er vanskelig å gjøre det. Sjansene for å bli hacket uten en VPN er betydelig større enn å bli hacket med en VPN.

Er det egentlig mulig å hacke en VPN?

VPNer forblir en av de mest effektive måtene på å opprettholde personvern på internett. Uansett er det viktig å bemerke at så og si alt kan hackes, spesielt dersom man er et viktig mål og dersom motparten har nok tid, midler og ressurser. De gode nyhetene er at de fleste brukere ikke er et viktig mål og dermed er det svært usannsynlig at man vil ende opp i en slik situasjon.

Hacking av en VPN tilkobling gjøres ved å enten bryte krypteringen ved å utnytte kjente svakheter eller ved å stjele nøkkelen gjennom suspekte metoder. Kryptografiske angrep brukes av hackere og kryptoanalytikere for å gjenopprette klartekst fra deres krypterte versjoner uten nøkkelen. Det er dog svært krevende både maskinvaremessig og ikke minst tidsmessig å knekke en kryptering, det er noe som kan ta flere år å gjøre.

De fleste tilfellene består av tyveri av nøklene, som er mye enklere enn å knekke krypteringen. Dette er hva spionbyråer vanligvis gjør når de konfronteres med slike utfordringer. De får suksess ikke gjennom matte, men via en kombinasjon av teknisk lureri, maskinvarekraft, juksing, rettsordre og overtalelse bak kulissene (bakdører). Matten bak krypteringen er utrolig sterk og Most of the efforts usually involve stealing the keys which is a lot easier than breaking the encryption. This is what spy agencies typically do when confronted with such challenges. Their success at doing this is not by math, but by a combination of technical trickery, computing power, cheating, court orders and behind-the-scenes persuasion (backdoors). The math behind encryption is incredibly strong and svært kompleks beregningsmessig.

Eksisterende VPN sårbarheter og utnyttelser

Tidligere avsløringer gjort av den amerikanske varsleren Edward Snowden og sikkerhetsforskere har vist at USAs spionbyrå (NSA) knakk krypteringen bak en potensiell enorm mengde internettrafikk, inklusiv VPNer. Snowden dokumentene viser at NSAs VPN dekrypteringsinfrastruktur involverer oppfanging av kryptert trafikk og videreføre data til kraftige datamaskiner som deretter returnerer med nøkkelen.

Sikkerhetsforskere Alex Halderman og Nadia Heninger presenterte også overbevisende forskning som tyder på at NSA faktisk utviklet evnen til å dekryptere en stor mengde HTTPS, SSH og VPN trafikk i et angrep kjent som Logjam på vanlige implementasjoner av Diffie-Hellman algoritmen.

Deres suksess var basert på utnyttelsen av en svakhet i implementasjonen av Diffie-Hellman algoritmen. Rotårsaken til denne svakheten er at krypteringsprogramvare bruker et standardisert primtall i dens implementasjon. Forskerne estimerte at det ville ta omtrent ett år og et par hundre millioner dollar å bygge en kraftig nok maskin som kunne være i stand til å knekke en enkelt 1024 bit Diffie-Hellman primtall (noe som er godt innenfor NSAs årlige budsjett).

Dessverre er det slik at kun få primtall (mindre enn 1024 bit) ofte brukes i kryptering av applikasjoner, deriblant VPN tjenester – noe som gjør de enda enklere å knekke. I følge Bruce Schneier, “matten er god, men matte har ingen byrå. Kode har byrå, og koden har blitt nedgravd”.

Bør du fortsatt bruke en  VPN?

For tjenesteleverandører, anbefaler forskningsteamet bruk av 2048-bit eller mer Diffie-Hellman nøkler og publiserte også en guide for distribusjon for TLS. The Internet Engineering Task Force (IETF) anbefaler også bruk av de seneste versjonener av protokoller som krever lengre primtall.

Spioner kan muligens være i stand til å knekke vanlige primtall som ofte brukes i Diffie-Hellman nøkler opptil 1024 bits (omtrent 309 sifre) i lengde. Primtall i 2048-bit nøkler vil dog være en stort problem for dem, som betyr at spionene ikke vil være i stand til å dekryptere data sikret med disse nøklene på lang tid.

For brukere, selv om det er sant at spionbyråene har utnyttelser mot VPNer og andre krypteringsprotokoller som de bruker mot kryptert trafikk, er du fortsatt mye bedre beskyttet enn dersom du kommuniserer i klartekst. Selv om maskinen din kan bli kompromittert, vil dette koste dem tid og penger – som gjør det dyrt for dem. Jo mindre tydelig du er, jo tryggere er du.

I følge Edward Snowden, «Kryptering fungerer. Sterke kryptosystemer som er ordentlig implementert er en av de få tingene man kan stole på.» Så langt det lar seg gjøre, unngå VPN tjenester som hovedsakelig er basert på MD5 eller SHA-1 hashing algoritmer og PPTP eller L2TP/IPSec protokollene. Gå for de som støtter nåværende versjoner av OpenVPN (ansett som ekstremt sikkert) og SHA-2. Dersom du er usikker på hvilken algoritme din VPN bruker, se VPN dokumentasjonen eller ta kontakt med kundestøtten.

VPN er din venn. Stol på krypteringen og stol på matten. Maksimer bruken og gjør ditt beste for å sørge for at ditt endepunkt også er beskyttet. Det er hvordan du kan holde deg trygg selv når du møter på aksjoner mot krypterte tilkoblinger. Her er en liste over de beste VPN tjenestene man kan stole på.

Var det hjelpsomt? Del det!
Del på Facebook
Tweet dette