马克斯-普朗克信息学研究所(Max Planck Institute for Informatics)的研究人员对VPN流量进行了分析,以评估VPN生态系统的整体安全性。
由此产生的技术文件提出了严重的问题,特别是SSTP和OpenVPN协议,如许多VPN服务器容易受到已知加密缺陷的攻击,如ROBOT攻击。
延迟最低的加速器下载
对于WireGuard和AnyConnect协议来说,在野外检测VPN流量的挑战太大,因此科学家们将重点放在IPsec/L2TP、OpenVPN、SSTP和PPTP上。
通过对5.3亿个IPv6地址和整个IPv4地址范围内的连接请求(探测)进行全网搜索,研究小组发现了9,817,450个可识别为VPN服务器的响应。
Arxiv.org
在检测到的VPN服务器中,约有700万台使用IPsec协议,240万台使用PPTP,140万台使用OpenVPN,只有18.7万台使用SSTP。
在140万台OpenVPN服务器中,约70%是通过UDP检测到的,30%是通过TCP检测到的,TCP被认为是后备选项。
电脑小火箭加速器下载
该论文称,大约90%的SSTP检测都容易受到ROBOT(Return of Bleichenbacher's Oracle Threat)攻击。 这种加密攻击利用了RSA加密标准中的一个弱点。
这将允许攻击者通过向目标服务器发送特制请求来解密TLS流量内容。 出于这个原因,论文建议完全避免使用SSTP,因为它是基于过时的SSL版本。
在OpenVPN方面,研究小组发现32,294台服务器易受RC4攻击,232台服务器易受Heartbleed攻击,7,005台服务器易受Poodle攻击,31台服务器易受FREAK攻击,8台服务器易受Logjam攻击,95,301台服务器易受ROBOT攻击。
Arxiv.org
这意味着134,891台OpenVPN服务器容易受到危险攻击,约占使用该协议检测到的服务器的9.64%。
除了上述缺陷外,研究人员还发现许多VPN服务器使用自发和自签的证书,其中约4.7%是 "蛇油 "TLS证书,这意味着它们是无效的,没有真正的实际用途。
还应注意的是,相当大比例的OpenVPN服务器(3.8%)和SSTP服务器(9%)使用过期证书,这有可能允许攻击者拦截和操纵客户端与服务器之间的通信。
Arxiv.org
最后,研究发现,许多VPN服务器没有在TLS握手中提供SNI扩展,这使得客户端难以验证服务器的身份,从而为服务器欺骗和中间人攻击开辟了道路。
Arxiv.org
尽管这项研究受到实际条件的限制,但它证明了SSTP非常不安全和OpenVPN在当前形势下可能存在很大风险。 一些VPN产品要实现其市场承诺还有很多工作要做。 VPN协议领域的最新发展之一是缆线防护与传统协议相比,它具有更高的安全性和更好的性能。
欲了解所有安全/隐私调查结果的更多详情,以及VPN命中列表和可用于重现结果的探针生成模块,请查阅Arxiv.org上的技术论文.
如果夏时npv加速器下载还没有被列入VPN评测名单,你们能评测一下吗? 非常感谢你们的工作,Sven和Heinrich!
这是否意味着开放式VPN协议变得容易受到攻击,或者VPN公司应用该协议的方式受到了影响? 在Wireguard之前,它一直被吹捧为 "黄金标准"。
你好@Bronco,这是个很好的问题! 我本来想看看能不能看看这篇论文,然后注意到Heinrich说这是一篇技术论文,但我还是想看看结论。 我没有满腔热情地去搜索,因为我不确定我能理解它。
我找到了这个链接:
如果该链接指的是Heinrich提到的那篇论文,那么它将为您的问题提供一点启示。 我的理解是,研究人员正在测试 "漏洞",我认为这意味着 "已知漏洞"。
此外,Sven还指出,报告中没有列出RP推荐的VPN。
因此我推断,在这里被指责的不是协议,而是执行;
尽管如此,该论文并不意味着RP推荐的VPN不会受到所测试的攻击,因为该方法指出这是一个两步方法,研究人员首先对服务器进行分类识别,然后针对识别出的服务器进行测试,因此如果服务器没有被识别出来,就不会进行测试。
问得好--这就是我的推断。
GL、
易受攻击的不是协议,而是VPN提供商使用的实现方式。 根据文章
" 140万用户使用OpenVPN .... "
"这意味着134,891台OpenVPN服务器容易受到危险攻击,约占检测到的使用该协议的服务器的9.64%。
如果这是协议的固有缺陷,那么研究中引用的140万条信息都将受到影响,而不是9.64%。
海因里希
有趣的文章。 多年来,Restoreprivacy.com一直是我处理隐私问题的首选网站。
这篇文章是另一个获得他人未提供信息的例子。 干得好
由于本网站评论和推荐了许多安全相关产品/服务,本报告是否会影响任何之前评论过的产品? 举例说明: 夏时npv加速器下载。
再次感谢您为我们提供的信息。
ExpressVPN和我们的其他推荐产品在文件中未发现安全问题,因此目前不会对推荐产品进行重大修改。
嗨,斯文、
RP推荐的VPN中是否有使用这些潜在漏洞协议的?
注意到、
大多数VPN仍然提供OpenVPN,但它正在被WireGuard取代,成为首选协议。
您好,能否请您谈谈使用ChatGPT时的安全和隐私问题? 谢谢。
您好,Liu XIngshen,ChatGPT的隐私非常容易阅读,请点击这里:
如果您一直在RP阅读并喜欢这里的文章,您会发现上述内容非常直观。
如果您有相关问题,可以在聊天中提出,可能会有人回答。
ChatGTP要求注册时提供电话号码,因此如果您提供真实的电话号码,他们就会知道您的真实身份。
如果您真的担心隐私问题,我会使用RP指南中建议的类似指纹识别技术:
在阅读了相关政策并对该技术的强大功能有了一定了解后,我愿意这样做。
此外,在简单使用过该服务之后,它的功能非常强大,它可以从您以前的查询中学习,并在随后的查询中猜测您想要的答案、
而微软刚刚投入了100亿美元:
GL、
目前,没有任何选项可以绕过ChatGPT的手机号码要求。
感谢您对 ChatGPT 的无耻/虚假宣传。 继续使用它并放弃您的隐私。 话又说回来,您可能已经没有或不在乎隐私了,所以这是一个没有意义的话题。