[GTER] Qual a real ameaça de usar VPN desconhecida?

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Tue Dec 22 19:21:55 -02 2015 

> On 18/12/2015, at 15:08, Leonardo Rodrigues <leolistas at solutti.com.br> wrote:
> 
> Em 18/12/15 14:54, suporte salvador escreveu:
>> Boa tarde,
>>                Nos últimos dias creio que no mínimo 50% dos usuários
>> descobriram o que é uma VPN ou até mesmo instalaram sem saber, mas puderam
>> constatar a eficácia no bloqueio que deu o que falar...
>> A pergunta que fica, que tipo de informações esses provedores de VPN
>> conseguem visualizar, apenas http, https entre outro protocolos.

Por definição “a VPN is a secure tunnel which extends your private trusted network over a public non-trusted connection like the Internet” (Cisco CCNA doc #15048).

Ou seja provavelmente esses 50% dos usuários não descobriram, não tem a menor idéia ou tem uma idéia distorcida do que seja uma VPN. Se você “desconfia” da rede privada onde você está passando, a noção básica do propósito da VPN já se perdeu ou foi deturpado. A rede não confiável era pra ser a publica, não a privada hehehe. 

A VPN é pra ser fechada entre 2 redes privadas que você tenha controle ou confiança. Se não é o caso e você não confia o certo é simplesmente não usar. Provedores de “serviço de VPN” por si só eu vejo como uma deturpação do propósito original. Vender como serviço o que não era pra ser provido por terceiros. Mas va la, na teoria a prática é outra… então qual o maior risco?

Se você desconfia ou simplesmente não confia na rede privada onde está passando, tecnicamente o risco é o mesmo de passar pela Internet, ou se esta usando um “serviço gratuito” de “procedência duvidosa” pode ser ainda pior que passar pela rede pública, mas seu risco é o mesmo.

- Ataques de MITM SSL
- Ataques de MITM SSH
- DNS spoofing
- Sniffing de todo tráfego “plain”

Então a questão vai se resumir em, o seu “provedor VPN” é confiável?

Que eu tenha acompanhado, ja fizeram testes com a PureVPN e Betternet e não existe nenhum indício claro de ataque, apesar de alguns acusarem (nada concreto) a Betternet de vender as informações de forma anônima, do acesso feito, a seus parceiros. Essa “métrica” anônima a própria PureVPN diz que é um diferencial do que ela nunca vai fazer frente aos termos de uso da Betternet que aparentemente deixam essa “brecha”.

Ainda dentro do que eu tenho acompanhado, provedores como PIA e ExpressVPN tem algum nível de sniffing. Testaram plantando URLs secretas que só seriam acessadas por dentro dessas VPN e após algumas semanas de uso essa “URL secreta” foi acessada. Grande coisa? Coisa grande? A relevância depende do seu nível de paranóia e a importância que você da no que está fazendo dentro dessas VPN “inseguras”.

Só pra constar a própria rede TOR tem indícios (bem fortes alias) de diversos exit nodes sniffarem e acessarem não apenas URL mas também credenciais de acesso[1]. Então na pior das hipóteses usar uma VPN não confiável te coloca no mesmo nível de risco de não usar VPN alguma, ficando a critério do grau de confiança que você tem no seu provedor convencional de acesso e dos caminhos pelos quais seu provedor te roteia. Na melhor das hipóteses você tem um provedor de VPN honesto que não fica fuçando ou quantificando seus acessos.

No fim o quão você está seguro vai depender mesmo da aplicação que você está usando.

Então direto ao ponto:

- WhatsApp faz SSL Cert Pinning? Não!
- Wickr faz SSL Cert Pinning? Faz!
- Chrome faz Cert Pinning pra sites do Google
- O Mobile Banking  faz SSL Cert Pinning? Teste e descubra!

No fim se a aplicação for projetada com foco em segurança, passar por uma VPN insegura ou um exit node TOR mal intencionado ou a boa e velha Internet plana, não fará diferença.

Se segurança não é algo a se contar nem do lado aplicação nem nos hábitos do usuário (o mais provável) no fim a relação de confiança é entre o usuário e o provedor VPN. Se o usuário não conhece, não confia… melhor não usar.

Mas convenhamos, estamos falando de usuários finais, e nesse caso, usar VPN sem procedência provavelmente será um novo habito inseguro menor e menos relevante do que todos os outros hábitos desses usuários. Com alguma sorte até arrumam um provedor VPN sério e conseguem alguma segurança a mais hehehe.

[1]https://chloe.re/2015/06/20/a-month-with-badonions/

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list