[GTER] Qual a real ameaça de usar VPN desconhecida?
R0me0 ***
knight.neo at gmail.com
Thu Dec 24 23:03:58 -02 2015
Nice reply
(:
Em 22 de dezembro de 2015 19:21, Patrick Tracanelli <
eksffa at freebsdbrasil.com.br> escreveu:
>
> > On 18/12/2015, at 15:08, Leonardo Rodrigues <leolistas at solutti.com.br>
> wrote:
> >
> > Em 18/12/15 14:54, suporte salvador escreveu:
> >> Boa tarde,
> >> Nos últimos dias creio que no mínimo 50% dos usuários
> >> descobriram o que é uma VPN ou até mesmo instalaram sem saber, mas
> puderam
> >> constatar a eficácia no bloqueio que deu o que falar...
> >> A pergunta que fica, que tipo de informações esses provedores de VPN
> >> conseguem visualizar, apenas http, https entre outro protocolos.
>
> Por definição “a VPN is a secure tunnel which extends your private trusted
> network over a public non-trusted connection like the Internet” (Cisco CCNA
> doc #15048).
>
> Ou seja provavelmente esses 50% dos usuários não descobriram, não tem a
> menor idéia ou tem uma idéia distorcida do que seja uma VPN. Se você
> “desconfia” da rede privada onde você está passando, a noção básica do
> propósito da VPN já se perdeu ou foi deturpado. A rede não confiável era
> pra ser a publica, não a privada hehehe.
>
> A VPN é pra ser fechada entre 2 redes privadas que você tenha controle ou
> confiança. Se não é o caso e você não confia o certo é simplesmente não
> usar. Provedores de “serviço de VPN” por si só eu vejo como uma deturpação
> do propósito original. Vender como serviço o que não era pra ser provido
> por terceiros. Mas va la, na teoria a prática é outra… então qual o maior
> risco?
>
> Se você desconfia ou simplesmente não confia na rede privada onde está
> passando, tecnicamente o risco é o mesmo de passar pela Internet, ou se
> esta usando um “serviço gratuito” de “procedência duvidosa” pode ser ainda
> pior que passar pela rede pública, mas seu risco é o mesmo.
>
> - Ataques de MITM SSL
> - Ataques de MITM SSH
> - DNS spoofing
> - Sniffing de todo tráfego “plain”
>
> Então a questão vai se resumir em, o seu “provedor VPN” é confiável?
>
> Que eu tenha acompanhado, ja fizeram testes com a PureVPN e Betternet e
> não existe nenhum indício claro de ataque, apesar de alguns acusarem (nada
> concreto) a Betternet de vender as informações de forma anônima, do acesso
> feito, a seus parceiros. Essa “métrica” anônima a própria PureVPN diz que é
> um diferencial do que ela nunca vai fazer frente aos termos de uso da
> Betternet que aparentemente deixam essa “brecha”.
>
> Ainda dentro do que eu tenho acompanhado, provedores como PIA e ExpressVPN
> tem algum nível de sniffing. Testaram plantando URLs secretas que só seriam
> acessadas por dentro dessas VPN e após algumas semanas de uso essa “URL
> secreta” foi acessada. Grande coisa? Coisa grande? A relevância depende do
> seu nível de paranóia e a importância que você da no que está fazendo
> dentro dessas VPN “inseguras”.
>
> Só pra constar a própria rede TOR tem indícios (bem fortes alias) de
> diversos exit nodes sniffarem e acessarem não apenas URL mas também
> credenciais de acesso[1]. Então na pior das hipóteses usar uma VPN não
> confiável te coloca no mesmo nível de risco de não usar VPN alguma, ficando
> a critério do grau de confiança que você tem no seu provedor convencional
> de acesso e dos caminhos pelos quais seu provedor te roteia. Na melhor das
> hipóteses você tem um provedor de VPN honesto que não fica fuçando ou
> quantificando seus acessos.
>
> No fim o quão você está seguro vai depender mesmo da aplicação que você
> está usando.
>
> Então direto ao ponto:
>
> - WhatsApp faz SSL Cert Pinning? Não!
> - Wickr faz SSL Cert Pinning? Faz!
> - Chrome faz Cert Pinning pra sites do Google
> - O Mobile Banking faz SSL Cert Pinning? Teste e descubra!
>
> No fim se a aplicação for projetada com foco em segurança, passar por uma
> VPN insegura ou um exit node TOR mal intencionado ou a boa e velha Internet
> plana, não fará diferença.
>
> Se segurança não é algo a se contar nem do lado aplicação nem nos hábitos
> do usuário (o mais provável) no fim a relação de confiança é entre o
> usuário e o provedor VPN. Se o usuário não conhece, não confia… melhor não
> usar.
>
> Mas convenhamos, estamos falando de usuários finais, e nesse caso, usar
> VPN sem procedência provavelmente será um novo habito inseguro menor e
> menos relevante do que todos os outros hábitos desses usuários. Com alguma
> sorte até arrumam um provedor VPN sério e conseguem alguma segurança a mais
> hehehe.
>
> [1]https://chloe.re/2015/06/20/a-month-with-badonions/
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list