Ova ranjivost, dio komunikacijskog protokola WebRTC, još uvijek nije u potpunosti zakrpljena i još uvijek je moguće da web stranice na koje se povezujete, čak i kada su iza VPN-a, ispitaju vaš pretraživač i dobiju vašu pravu adresu. Krajem 2015. otkrivena je manje rasprostranjena (ali i dalje problematična) ranjivost u kojoj su korisnici na istom VPN servisu mogli demaskirati druge korisnike.
Ove vrste ranjivosti su najgore jer ih je nemoguće predvidjeti, kompanije ih sporo zakrpe, a vi morate biti informirani potrošač kako biste osigurali da se vaš VPN provajder na odgovarajući način nosi s poznatim i novim prijetnjama. Ipak, kada se otkriju, možete poduzeti korake da se zaštitite (kao što ćemo za trenutak istaknuti).
DNS Leaks
Čak i bez potpunih grešaka i sigurnosnih propusta, međutim, uvijek postoji problem curenja DNS-a (što može nastati zbog lošeg izbora zadane konfiguracije operativnog sistema, greške korisnika ili greške VPN provajdera). DNS serveri razlažu one adrese prilagođene ljudima koje koristite (poput www.facebook.com) u adrese prilagođene mašinama (kao što je 173.252.89.132). Ako vaš računar koristi drugačiji DNS server od lokacije vašeg VPN-a, može odati informacije o vama.
DNS curenje nije tako loše kao curenje IP-a, ali i dalje može odati vašu lokaciju. Ako vaše DNS curenje pokazuje da vaši DNS serveri pripadaju malom ISP-u, na primjer, onda to uvelike sužava vaš identitet i može vas brzo geografski locirati.
Svaki sistem može biti ranjiv na curenje DNS-a, ali Windows je istorijski bio jedan od najgorih prestupnika, zbog načina na koji OS rukuje DNS zahtjevima i rješavanju. U stvari, rukovanje DNS-om Windows 10 s VPN-om je toliko loše da je ogranak za kompjutersku sigurnost Ministarstva domovinske sigurnosti, Tim Sjedinjenih Američkih Država za spremnost za hitne slučajeve, zapravo izdao brifing o kontroli DNS zahtjeva u avgustu 2015. godine.
IPv6 curenja
Konačno, IPv6 protokol može uzrokovati curenje koje može odati vašu lokaciju i omogućiti trećim stranama da prate vaše kretanje preko interneta. Ako niste upoznati sa IPv6, pogledajte naše objašnjenje ovdje – to je u suštini nova generacija IP adresa i rješenje za svijet koji ostaje bez IP adresa kako broj ljudi (i njihovih proizvoda povezanih s internetom) vrtoglavo raste.
Iako je IPv6 odličan za rješavanje tog problema, trenutno nije sjajan za ljude koji brinu o privatnosti.
Ukratko: neki VPN provajderi obrađuju samo IPv4 zahtjeve i ignorišu IPv6 zahtjeve. Ako su vaša konfiguracija mreže i ISP nadograđeni da podržavaju IPv6, ali vaš VPN ne rješava IPv6 zahtjeve, možete se naći u situaciji da treća strana može uputiti IPv6 zahtjeve koji otkrivaju vaš pravi identitet (jer ih VPN samo slijepo propušta zajedno na vašu lokalnu mrežu/računalo, koji iskreno odgovara na zahtjev).
U ovom trenutku, IPv6 curenja su najmanje prijeteći izvor procurelih podataka. Svijet je bio toliko spor u usvajanju IPv6 da, u većini slučajeva, vaš ISP koji se povlači čak i da ga podržava, zapravo vas štiti od problema. Ipak, trebali biste biti svjesni potencijalnog problema i proaktivno se zaštitite od njega.
Kako provjeriti curenje
Pa gdje sve ovo ostavlja vas, krajnjeg korisnika, kada je sigurnost u pitanju? Ostavlja vas u poziciji u kojoj morate aktivno paziti na svoju VPN vezu i često testirati vlastitu vezu kako biste bili sigurni da ne curi. Ipak, nemojte paničariti: mi ćemo vas provesti kroz cijeli proces testiranja i zakrpa poznatih ranjivosti.
Provjera curenja je prilično jednostavna stvar – iako je njihovo popravljanje, kao što ćete vidjeti u sljedećem odjeljku, malo teže. Internet je pun ljudi koji brinu o sigurnosti i ne postoji nedostatak resursa dostupnih na mreži koji će vam pomoći da provjerite ranjivosti veze.
Napomena: Iako možete koristiti ove testove curenja da biste provjerili curi li informacije iz vašeg proxy web pretraživača, proksiji su potpuno drugačija zvijer od VPN-ova i ne bi se trebali smatrati sigurnim alatom za privatnost.
Prvi korak: Pronađite svoj lokalni IP
Prvo odredite koja je stvarna IP adresa vaše lokalne internet veze. Ako koristite svoju kućnu vezu, to bi bila IP adresa koju vam daje vaš internet provajder (ISP). Ako koristite Wi-Fi na aerodromu ili hotelu, na primjer, to bi bila IP adresa njihovog ISP-a. Bez obzira na to, moramo shvatiti kako izgleda gola veza od vaše trenutne lokacije do šireg interneta.
Svoju pravu IP adresu možete pronaći tako što ćete privremeno onemogućiti svoj VPN. Alternativno, možete preuzeti uređaj na istoj mreži koji nije povezan s VPN-om. Zatim jednostavno posjetite web stranicu kao što je WhatIsMyIP.com da vidite svoju javnu IP adresu.
Zabilježite ovu adresu, jer je to adresa koju ne želite da vidite iskačući u VPN testu koji ćemo uskoro provesti.
Drugi korak: Pokrenite osnovni test curenja
Dalje, isključite svoj VPN i pokrenite sljedeći test curenja na vašoj mašini. Tako je, ne želimo da VPN još uvijek radi – prvo moramo dobiti neke osnovne podatke.
Za naše potrebe koristićemo IPLeak.net, pošto on istovremeno testira vašu IP adresu, da li vaša IP adresa curi preko WebRTC-a i koje DNS servere koristi vaša veza.
Na gornjoj snimci ekrana, naša IP adresa i naša WebRTC adresa su identične (iako smo ih zamaglili) – obje su IP adrese koje nam je dao naš lokalni ISP prema provjeri koju smo izvršili u prvom korak ovog odjeljka.
Dalje, svi DNS unosi u "DNS Address Detection" na dnu se poklapaju sa DNS postavkama na našoj mašini (naš računar je podešen da se poveže na Googleove DNS servere). Dakle, za naš početni test curenja, sve se provjerava, pošto nismo povezani na naš VPN.
Kao konačni test, također možete provjeriti da li vaša mašina propušta IPv6 adrese sa IPv6Leak.com. Kao što smo ranije spomenuli, iako je ovo još uvijek rijedak problem, nikada ne škodi biti proaktivan.
Sada je vrijeme da uključite VPN i izvršite još testova.
Treći korak: povežite se na svoj VPN i ponovo pokrenite test curenja
Sada je vrijeme da se povežete na vaš VPN. Koju god rutinu vaš VPN zahtijeva za uspostavljanje veze, sada je vrijeme da se prođe kroz nju – pokrenite VPN program, omogućite VPN u postavkama vašeg sistema ili šta god da radite da biste se povezali..
Kada se poveže, vrijeme je da ponovo izvršite test curenja. Ovoga puta bi trebali (nadajmo se) vidjeti potpuno drugačije rezultate. Ako sve radi savršeno, imat ćemo novu IP adresu, nema curenja WebRTC-a i novi DNS unos. Opet ćemo koristiti IPLeak.net:
Na gornjoj slici ekrana možete vidjeti da je naš VPN aktivan (pošto naša IP adresa pokazuje da smo povezani iz Holandije umjesto iz Sjedinjenih Država), a naša otkrivena IP adresa i WebRTC adresa su isto (što znači da ne propuštamo našu pravu IP adresu preko WebRTC ranjivosti).
Međutim, DNS rezultati na dnu pokazuju iste adrese kao i prije, koje dolaze iz Sjedinjenih Država – što znači da naš VPN propušta naše DNS adrese.
Ovo nije kraj svijeta sa stanovišta privatnosti, u ovom konkretnom slučaju, budući da koristimo Googleove DNS servere umjesto DNS servera našeg ISP-a. Ali još uvijek identifikuje da smo iz SAD-a i još uvijek pokazuje da naš VPN propušta DNS zahtjeve, što nije dobro.
NAPOMENA: Ako se vaša IP adresa uopće nije promijenila, onda vjerovatno nije riječ o "curenju". Umjesto toga, ili 1) vaš VPN je pogrešno konfiguriran i uopće se ne povezuje, ili 2) vaš VPN provajder je nekako potpuno ispustio loptu i morate kontaktirati njihovu liniju podrške i/ili pronaći novog VPN provajdera.
Također, ako ste pokrenuli IPv6 test u prethodnom odjeljku i otkrili da je vaša veza odgovorila na IPv6 zahtjeve, također biste trebali ponovo pokrenuti IPv6 test sada da vidite kako vaš VPN obrađuje zahtjeve.
Šta se događa ako otkrijete curenje? Hajde da razgovaramo o tome kako se nositi s njima.
Kako spriječiti curenje
Iako je nemoguće predvidjeti i spriječiti svaku moguću sigurnosnu ranjivost koja se pojavi, lako možemo spriječiti WebRTC ranjivosti, curenje DNS-a i druge probleme. Evo kako da se zaštitite.
Koristite renomiranog VPN provajdera
Prvo i najvažnije, trebali biste koristiti renomiranog VPN provajdera koji svoje korisnike obavještava o tome šta se dešava u svijetu sigurnosti (oni će raditi domaći tako da ne morate) i postupa u skladu s tim informacije za proaktivno zapušavanje rupa (i obavijestiti vas kada trebate napraviti promjene). U tu svrhu, toplo preporučujemo StrongVPN – odličnog VPN provajdera kojeg ne samo da smo ranije preporučivali, već ga i sami koristimo.
Želite brz i prljav test da vidite da li je vaš VPN provajder renomiran ili ne? Pokrenite pretragu za njihovim imenom i ključnim riječima kao što su “WebRTC”, “curenje portova” i “IPv6 curenje”. Ako vaš provajder nema javne objave na blogu ili dokumentaciju za podršku u kojoj se raspravlja o ovim problemima, vjerovatno ne želite koristiti tog VPN provajdera jer oni ne uspijevaju obratiti se i obavijestiti svoje kupce.
Onemogući WebRTC zahtjeve
Ako koristite Chrome, Firefox ili Opera kao svoj web pretraživač, možete onemogućiti WebRTC zahtjeve da zatvorite curenje WebRTC-a. Korisnici Chromea mogu preuzeti i instalirati jedno od dva Chrome proširenja: WebRTC Block ili ScriptSafe. Oba će blokirati WebRTC zahtjeve, ali ScriptSafe ima dodatni bonus blokiranja zlonamjernih JavaScript, Java i Flash datoteka.
Opera korisnici mogu, uz manje podešavanje, instalirati Chrome ekstenzije i koristiti iste ekstenzije za zaštitu svojih pretraživača. Korisnici Firefoxa mogu onemogućiti WebRTC funkcionalnost iz menija about:config. Samo upišite
about:config
u adresnu traku Firefoxa, kliknite na dugme “Biću oprezan”, a zatim se pomičite prema dolje dok ne vidite
media.peerconnection.enabledunos. Dvaput kliknite na unos da ga prebacite na "false".
Nakon primjene bilo koje od gore navedenih popravki, obrišite keš vašeg web pretraživača i ponovo ga pokrenite.
Plug DNS i IPv6 curenja
Uklanjanje curenja DNS-a i IPv6-a može biti velika smetnja ili ga je trivijalno lako popraviti, ovisno o VPN provajderu kojeg koristite. U najboljem slučaju, možete jednostavno reći svom VPN provajderu, putem postavki vašeg VPN-a, da začepi DNS i IPv6 rupe, a VPN softver će se nositi sa svim teškim poslovima umjesto vas.
Ako vaš VPN softver ne pruža ovu opciju, (a prilično je rijetko pronaći softver koji će modificirati vaš računar u vaše ime na takav način) morat ćete ručno postaviti svog DNS provajdera i onemogućiti IPv6 na nivou uređaja. Čak i ako imate koristan VPN softver koji će učiniti težak zadatak umjesto vas, preporučujemo vam da pročitate sljedeće upute o tome kako ručno promijeniti stvari, tako da možete još jednom provjeriti da li vaš VPN softver pravi ispravne promjene.
Demonstriraćemo kako to učiniti na računaru koji koristi Windows 10, i zato što je Windows veoma široko korišćen operativni sistem i zato što je takođe zapanjujuće propuštan u tom pogledu (u poređenju sa drugim operativnim sistemima). Razlog zašto su Windows 8 i 10 tako propušteni je zbog promjene u načinu na koji je Windows upravljao odabirom DNS servera.
U operativnom sistemu Windows 7 i starijim, Windows bi jednostavno koristio DNS servere koje ste naveli redosledom kojim ste ih naveli (ili, ako niste, koristio bi samo one navedene na nivou rutera ili ISP-a). Počevši od Windowsa 8, Microsoft je predstavio novu funkciju poznatu kao “Smart Multi-Homed Named Resolution”. Ova nova funkcija promijenila je način na koji Windows rukuje DNS serverima. Da budemo pošteni, to zapravo ubrzava DNS rezoluciju za većinu korisnika, ako su primarni DNS serveri spori ili ne reagiraju. Za korisnike VPN-a, međutim, to može uzrokovati curenje DNS-a, jer Windows može da se vrati na DNS servere osim onih kojima je dodijeljen VPN.
Najsigurniji način da to popravite u Windows 8, 8.1 i 10 (i Home i Pro izdanje) je da jednostavno postavite DNS servere ručno za sva sučelja.
U tu svrhu otvorite “Mrežne veze” preko kontrolne table > Mreža i internet > Mrežne veze i kliknite desnim klikom na svaki postojeći unos da promijenite postavke za taj mrežni adapter.
Za svaki mrežni adapter, poništite izbor "Internet Protocol Version 6", da zaštitite od curenja IPv6. Zatim odaberite “Internet Protocol Version 4” i kliknite na dugme “Properties”.
U meniju sa svojstvima izaberite “Koristi sledeće adrese DNS servera”.
U okvirima “Preferred” i “Alternate” DNS unesite DNS servere koje želite da koristite. Najbolji scenario je da koristite DNS server koji je posebno obezbeđen od strane vaše VPN usluge. Ako vaš VPN nema DNS servere koje možete koristiti, umjesto toga možete koristiti javne DNS servere koji nisu povezani s vašom geografskom lokacijom ili ISP-om, kao što su OpenDNS serveri, 208.67.222.222 i 208.67.220.220.
Ponovite ovaj proces specificiranja DNS adresa za svaki adapter na vašem računaru na kojem je omogućen VPN kako biste osigurali da Windows nikada ne može vratiti pogrešnu DNS adresu.
Korisnici Windows 10 Pro također mogu onemogućiti cijelu funkciju Smart Multi-Homed Named Resolution putem uređivača grupnih pravila, ali preporučujemo i da izvršite gore navedene korake (u slučaju da buduće ažuriranje ponovo omogući ovu funkciju, vaš računar će početi da curi DNS podaci).
Da biste to uradili, pritisnite Windows+R da povučete dijaloški okvir za pokretanje, unesite “gpedit.msc” da pokrenete uređivač lokalnih grupnih pravila i, kao što se vidi ispod, idite na Administrativni predlošci > Mreža > DNS-klijent. Potražite unos "Isključi rezoluciju pametnih višenamjenskih imena".
Dvaput kliknite na unos i odaberite “Omogući”, a zatim pritisnite tipku “OK” (to je malo kontraintuitivno, ali postavka je “isključi pametno…” tako da omogućavanjem zapravo aktivira politiku koja uključuje funkciju isključeno). Opet, radi naglaska, preporučujemo da ručno uredite sve svoje DNS unose, tako da čak i ako ova promjena politike ne uspije ili bude izmijenjena u budućnosti, i dalje ste zaštićeni.
Dakle, sa svim ovim promjenama uvedenim, kako sada izgleda naš test curenja?
Čisto kao zvižduk – naša IP adresa, naš WebRTC test curenja i naša DNS adresa se vraćaju kao da pripadaju našem izlaznom VPN čvoru u Holandiji. Što se ostatka interneta tiče, mi smo iz Lowlanda.
Igranje igre Private Investigator na vlastitoj konekciji nije baš uzbudljiv način da provedete veče, ali je neophodan korak da osigurate da vaša VPN veza nije ugrožena i da ne procuri vaše lične informacije. Srećom, uz pomoć pravih alata i dobrog VPN-a, proces je bezbolan, a vaše IP i DNS informacije ostaju privatne.
