Vpn sono grandi per la sicurezza, ma uno dei motivi per molte persone usano uno è quello di maschera o cambiare il loro indirizzo IP. Ciò consente di aggirare le restrizioni basate sulla posizione sui contenuti o verificare se il provider sta limitando la connessione., Sfortunatamente, una nuova falla di sicurezza può rivelare il tuo vero indirizzo IP a occhi indiscreti, anche se stai usando una VPN, ed è facile da sfruttare. Ecco come funziona, e cosa si può fare al riguardo.

Che cosa è tutto questo ora? I miei dati sono a rischio?

torniamo indietro un po’., Una rete privata virtuale, o una VPN, è ottima per crittografare i tuoi dati e aumentare la sicurezza, ma è anche utile per oscurare il tuo indirizzo IP. Il tuo indirizzo IP viene assegnato alla tua connessione Internet dal tuo fornitore di servizi e può rivelare chi è il tuo fornitore di servizi e (in generale) dove ti trovi. Se hai mai visitato YouTube e hai visto” Scusa, questo video non è disponibile nel tuo paese ” o hai provato a registrarti a un nuovo servizio solo per scoprire che il tuo paese non è supportato, il tuo indirizzo IP è come lo sanno.,

Molte persone usano VPN specificamente per aggirare queste restrizioni di posizione. Quando accedi a una VPN, di solito puoi scegliere un ” server di uscita “o una posizione in cui la tua VPN” fingerà” di trovarti effettivamente., Di solito questo è sufficiente per convincere un servizio che sei in un paese supportato.

Tuttavia, una recente scoperta falla di sicurezza consente di siti remoti per usufruire di WebRTC (Web Real Time Communication, una funzione integrata per la maggior parte dei browser) per rivelare un utente vero indirizzo IP, anche se sei connesso a una rete VPN., Per quanto ne sappiamo, i siti non stanno ancora approfittando del difetto, ma considerando che servizi come Hulu, Spotify, Netflix e altri stanno prendendo provvedimenti per identificare e bloccare gli utenti VPN, non è un tratto supporre che inizieranno.

Poche righe di codice sono tutto ciò che serve per rimuovere la protezione della posizione che si ottiene dall’utilizzo di una VPN e capire dove si trova effettivamente e chi è veramente il tuo provider di servizi Internet (chi può quindi legare il tuo indirizzo a chi sei specificamente.,) Mentre la vulnerabilità è principalmente basata su browser in questo momento, qualsiasi applicazione che può rendere le pagine web (e utilizza WebRTC) è influenzata, il che significa che chiunque voglia può vedere oltre la tua VPN dove sei veramente e chi sei veramente. Inserzionisti, broker di dati e governi possono usarlo per sbirciare attraverso la tua VPN per scoprire da dove proviene realmente la tua connessione., Se si utilizzano servizi come BitTorrent, avere un set-top box come un Roku, o semplicemente lo streaming di musica o film sul computer attraverso un sito che non è disponibile nel vostro paese (o sei un expat e vivere all’estero), le applicazioni e servizi che si utilizza potrebbe improvvisamente smettere di funzionare.

Come posso controllare se la mia VPN è interessata?,

Il difetto è stato documentato da sviluppatore Daniel Roesler oltre a GitHub. Roesler spiega come funziona il processo:

Firefox e Chrome hanno implementato WebRTC che consentono di effettuare richieste di STORDIRE i server che restituiranno gli indirizzi IP locali e pubblici per l’utente., Questi risultati della richiesta sono disponibili per javascript, quindi ora puoi ottenere un indirizzo IP locale e pubblico degli utenti in javascript. Questa demo è un esempio di implementazione di questo.

Inoltre, queste richieste stordenti sono fatte al di fuori della normale procedura XMLHttpRequest, quindi non sono visibili nella console degli sviluppatori o possono essere bloccate da plugin come AdBlockPlus o Ghostery. Questo rende questi tipi di richieste disponibili per il monitoraggio online se un inserzionista imposta un server STUN con un dominio jolly.,

Per vedere se la VPN è interessato:

1. Visitare un sito come Quello che È il Mio Indirizzo IP e annotare il vostro attuale ISP-condizione indirizzo IP.
2. Accedi alla tua VPN, scegli un server di uscita in un altro paese (o usa il server di uscita che preferisci) e verifica di essere connesso.
3. Torna a Qual è il mio indirizzo IP e controlla di nuovo il tuo indirizzo IP. Si dovrebbe vedere un nuovo indirizzo, uno che corrisponde con la VPN e il paese selezionato.,
4. Visita la pagina di test WebRTC di Roseler e annota l’indirizzo IP visualizzato sulla pagina.

Se entrambi gli strumenti mostrano l’indirizzo IP della tua VPN, allora sei in chiaro. Tuttavia, se What Is My IP Address mostra la tua VPN e il test WebRTC mostra il tuo normale indirizzo IP, allora il tuo browser perde il tuo indirizzo fornito dall’ISP al mondo.,

Quando TorrentFreak ha parlato di fornitori di VPN sul problema, tra cui il nostro preferito, Accesso Internet Privato, che ha notato che non potrebbe riprodurre il problema, ma non erano sicuri di come potrebbero interrompere la vulnerabilità sulla loro fine. Poiché il controllo IP avviene direttamente tra l’utente e il sito a cui sono connessi, è difficile bloccarlo. Anche così, hanno pubblicato un post sul blog che avverte gli utenti del problema., TorGuard, un altro dei nostri fornitori preferiti, ha anche emesso un avviso ai propri utenti. Questi avvertimenti dicono anche che il problema sembra interessare solo gli utenti Windows, ma non è necessariamente il caso—molti commenti (e il nostro test) notano che a seconda della tua VPN e di come è configurata, il tuo indirizzo IP potrebbe essere trapelato anche se usi un sistema Mac o Linux.

Come posso proteggermi?,

per Fortuna, non aspettare per i fornitori di VPN per affrontare il problema sulla loro estremità per proteggere se stessi. Ci sono un certo numero di cose che puoi fare in questo momento, e la maggior parte di loro sono facili come l’installazione di un plug-in, o disabilitare WebRTC nel browser.,

Il modo più semplice: Disabilita WebRTC nel tuo browser

Chrome, Firefox e Opera (e i browser basati su di essi) generalmente hanno WebRTC abilitato per impostazione predefinita. Safari e Internet Explorer non lo fanno, e quindi non sono interessati (a meno che tu non abbia specificamente abilitato WebRTC.) In entrambi i casi, se il test sopra ha funzionato nel tuo browser, sei interessato. Puoi sempre passare a un browser che non ha WebRTC abilitato, ma poiché alla maggior parte di noi piacciono i browser che usiamo, ecco cosa fare:

• Chrome e Opera: installa l’estensione ScriptSafe dal Chrome Web Store., È eccessivo, ma disabiliterà WebRTC nel tuo browser. Gli utenti di Opera possono utilizzare questo add on pure, dovrete solo saltare attraverso alcuni cerchi prima.
• Firefox: Hai due opzioni. È possibile installare l’addon Disabilita WebRTC da Mozilla Add-ons (h/t a @YourAnonNews per il link), o disabilitare WebRTC direttamente aprendo una scheda e andando su “about:config” nella barra degli indirizzi. Trova e imposta il ” media.peerconnection.abilitato ” impostazione su false. (Puoi anche installare NoScript, che è molto simile a ScriptSafe, ma come abbiamo detto, probabilmente è eccessivo.,)

Mentre Roeseler note privacy protezione del browser estensioni come AdBlock, uBlock, Ghostery, e Scollegare non interrompere questo comportamento, questi metodi sarà sicuramente fare il lavoro. Li abbiamo testati per assicurarci che funzionino e tenere d’occhio: il tuo ad blocker preferito o il componente aggiuntivo per la privacy si aggiorneranno probabilmente per bloccare WebRTC nel prossimo futuro.,

Dovremmo notare che disabilitare WebRTC potrebbe interrompere alcune webapp e servizi. Le app basate su browser che utilizzano il microfono e la fotocamera (come alcuni siti di chat o Google Hangouts) o che conoscono automaticamente la tua posizione (come i siti di consegna di cibo), ad esempio, smetteranno di funzionare fino a quando non la riattiverai.,

Il modo migliore: configura la tua VPN sul tuo router

Aggiornamento: Abbiamo parlato con un certo numero di persone nella comunità della sicurezza di questo problema, e dopo quelle conversazioni, non siamo sicuri che configurare la tua VPN a livello di router sia più efficace (o meglio, terribilmente efficace) che bloccare WebRTC sul browser., Mentre raccomandiamo ancora di configurare la tua VPN a livello di router per una serie di motivi (descritti di seguito), per quanto riguarda questo problema, in questo momento, ti suggeriamo di utilizzare uno dei componenti aggiuntivi del browser menzionati sopra mentre tutti conduciamo ulteriori ricerche sulla causa principale e sulla riparazione sicura per questo.

Se si desidera un modo più sicuro per proteggersi al di là di installare componenti aggiuntivi e fare modifiche al browser ogni volta che si installa o aggiorna, c’è un metodo più permanente., Esegui la tua VPN sul tuo router anziché direttamente sul tuo computer.

Questo approccio offre una serie di vantaggi. Per uno, protegge tutti i dispositivi sulla rete domestica, anche se non sono vulnerabili a questo difetto specifico. Offre inoltre a tutti i tuoi dispositivi, come smartphone, tablet, set-top box e elettrodomestici intelligenti la stessa protezione e crittografia che la tua VPN offre al tuo desktop.

Ci sono avvertimenti, però., Per uno, se sei il tipo a cui piace cambiare spesso i server di uscita (ad esempio, un giorno vuoi navigare come se fossi in Giappone, un altro in Islanda e un altro negli Stati Uniti), questo significa che dovrai modificare la configurazione del router ogni volta che vuoi cambiare posizione. Allo stesso modo, se hai solo bisogno di essere connesso a volte ma non ad altri, come se usassi una VPN per lavoro ma non quando stai trasmettendo Netflix, dovrai abilitare o disabilitare la tua VPN sul tuo router ogni volta che devi passare. Questo processo può essere facile o complicato, a seconda del router e della VPN.,

Molti fornitori di servizi VPN suggeriscono di impostare la VPN a livello di router in ogni caso. Alcuni addirittura vendono router specifici che vengono pre-configurati per utilizzare il loro servizio, ma le probabilità sono che è possibile utilizzare il router esistente (fino a quando non è fornito dal provider di servizi Internet). Accedi alla pagina di amministrazione del router e controlla le opzioni” sicurezza “o” connessione”. A seconda del modello, verrà visualizzata una sezione VPN, in cui è possibile digitare il nome del provider VPN a cui ci si connette, i nomi host del server e il nome utente e la password., Una volta abilitato, tutto il tuo traffico verrà crittografato.

Se non lo vedi, non tutto è perduto. Verifica con il tuo provider VPN e fai sapere loro che tipo di router hai. Essi possono avere istruzioni per camminare attraverso il processo. In caso contrario, verifica se il tuo router è supportato da firmware router open source come DD-WRT ( cerca dispositivi supportati qui), Open WRT (vedi dispositivi supportati qui) o Tomato (vedi dispositivi supportati qui)., Ti abbiamo mostrato come installare e configurare DD-WRT e configurare Tomato prima, quindi se sei nuovo, inizia con le nostre guide. Tutti questi firmware personalizzati ti permetteranno di configurare la tua VPN a livello di router.

Questa vulnerabilità è grave, ma sul lato positivo, è facilmente mitigata. Se non altro, è un promemoria per non dare mai per scontata la tua privacy, anche se usi tutti gli strumenti giusti per proteggerla., Quando abbiamo parlato di come proteggersi dalle perdite DNS, abbiamo fatto lo stesso punto: fidarsi ciecamente di uno strumento di privacy perché dice le cose giuste è una cattiva idea. Fidati, ma verifica e prendi la tua privacy e sicurezza nelle tue mani.

Titolo foto realizzata con Nemo. Altre foto di James Lee, Paul Joseph e Walt Stoneburner.