As VPNs podem ser hackeadas? Nós analisamos em profundidade

O que é uma VPN?

Uma Rede Privada Virtual (VPN) permite que você crie um túnel virtual seguro através da Internet para outra rede ou dispositivo. Se você acessar a Internet a partir desse túnel virtual, é difícil para qualquer pessoa, inclusive o seu ISP, espionar as suas atividades de navegação.

As VPNs também ajudam você a disfarçar a sua localização em qualquer lugar do mundo e desbloquear serviços restritos geograficamente. Uma VPN protege a confidencialidade (os dados permanecem secretos) e a integridade (os dados permanecem inalterados) das mensagens à medida que elas viajam pela Internet pública.

Estabelecer uma dessas conexões seguras é relativamente fácil. O usuário primeiro se conecta à Internet através de um ISP e, em seguida, inicia uma conexão VPN com o servidor VPN usando um software cliente (instalado localmente). O servidor VPN obtém as páginas Web solicitadas e retorna ao usuário através do túnel seguro, mantendo, dessa forma, os dados do usuário seguros e privados pela Internet.

Como a criptografia de VPN funciona?

O protocolo de VPN é um conjunto acordado de regras para transmissão e criptografia de dados. A maioria dos provedores de VPN oferece aos usuários a opção de escolher entre vários protocolos VPN. Alguns dos protocolos mais utilizados incluem: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) e OpenVPN (SSL/TLS).

Para entender completamente como uma VPN protege a sua privacidade, precisamos ir um pouco mais fundo na ciência da criptografia. A VPN usa uma técnica conhecida como “criptografia” para tornar os seus dados legíveis (texto simples) completamente ilegíveis (texto cifrado) para qualquer pessoa que o intercepte à medida que eles viajam pela Internet. Um algoritmo ou cifra estabelece como o processo de criptografia e descriptografia ocorre nos protocolos VPN. Os protocolos de VPN empregam esses algoritmos criptográficos para obscurecer os seus dados, a fim de manter as suas atividades de navegação privadas e confidenciais.

Cada um desses protocolos VPN tem os seus pontos fortes e fracos dependendo do algoritmo criptográfico implementado dentro dele. Alguns provedores de VPN oferecem aos usuários a opção de escolher entre diferentes cifras. O algoritmo ou cifra pode ser baseado em qualquer uma dessas três classificações: algoritmo simétrico, assimétrico e de hashing.

A criptografia simétrica usa uma chave para bloquear (criptografar) e outra para desbloquear (descriptografar) os dados. A criptografia assimétrica usa duas chaves, uma para bloquear (criptografar) e outra para desbloquear (descriptografar) os dados. A tabela abaixo é uma comparação resumida entre criptografia simétrica e assimétrica.

Atributo Simétrico Assimétrico
Chaves Uma chave é compartilhada entre múltiplas entidades Uma entidade possui a chave pública, a outra tem a chave privada
Troca de chaves Requer mecanismo seguro para enviar e receber chaves A chave privada é mantida em segredo pelo proprietário enquanto a chave pública está disponível para todos
Velocidade Menos complexo e mais rápido Mais complexo e mais lento
Força Menos difícil de quebrar Mais difícil de quebrar
Escalabilidade Boa escalabilidade Melhor escalabilidade
Uso Criptografia em massa, ou seja, tudo Apenas distribuição de chaves e assinaturas digitais
Serviço de segurança oferecido Confidencialidade Confidencialidade, autenticação e não repúdio
Exemplos DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 e RC6 RSA, ECC, DSA e Diffie-Hellman

A criptografia assimétrica é a solução para as limitações inerentes à criptografia simétrica (como mostrado na tabela acima). Whitfield Diffie e Martin Hellman estiveram entre os primeiros grupos que se propuseram a abordar essas falhas ao desenvolver um algoritmo assimétrico chamado Diffie-Hellman.

É um algoritmo criptográfico popular fundamental para muitos protocolos VPN, incluindo HTTPS, SSH, IPsec e OpenVPN. O algoritmo permite que duas partes que nunca se encontraram antes negociem uma chave secreta mesmo quando se comunicam em um canal público não seguro, como a Internet.

O Hashing é uma criptografia unidirecional (irreversível) usada para proteger a integridade dos dados transmitidos. A maioria dos protocolos VPN usa algoritmos de hash para verificar a autenticidade das mensagens enviadas via VPN. Os exemplos incluem MD5, SHA-1 e SHA-2. Tanto MD5 como SHA-1 já não são considerados seguros.

As VPNs podem ser pirateadas, mas é difícil fazer isso. As chances de serem invadidas sem uma VPN são significativamente maiores do que serem pirateadas com uma.

Alguém pode realmente hackear uma VPN?

As VPNs continuam sendo um dos meios mais eficazes para manter a privacidade online. No entanto, é importante notar que praticamente qualquer coisa pode ser hackeada, especialmente se você for um alvo de alto valor e seu adversário tiver tempo, fundos e recursos suficientes. A boa notícia é que a maioria dos usuários não se enquadra na categoria “de alto valor” e, portanto, é improvável que seja identificado.

Hackear uma conexão de VPN envolve quebrar a criptografia, aproveitando vulnerabilidades conhecidas ou roubando a chave através de alguns meios tortuosos. Os ataques criptográficos são usados ​​por hackers e criptoanalistas para recuperar texto simples de suas versões criptografadas sem a chave. No entanto, quebrar uma criptografia é computacionalmente exigente e demorado, e pode levar muitos anos para ser concluído.

A maioria dos esforços geralmente envolve roubar as chaves, o que é muito mais fácil do que quebrar a criptografia. Isto é o que as agências de espionagem costumam fazer quando confrontadas com tais desafios. O sucesso deles ao fazer isso não é por matemática, mas por uma combinação de artimanha técnica, poder de computação, trapaças, ordens judiciais e persuasão nos bastidores (backdoors). A matemática por trás da criptografia é incrivelmente forte e computacionalmente complexa.

Vulnerabilidades e explotações de VPN existentes

As revelações anteriores do denunciante dos Estados Unidos, Edward Snowden, e pesquisadores de segurança demonstraram que a agência de espionagem dos EUA (NSA) criou a criptografia por trás da enorme quantidade de tráfego na Internet, incluindo VPNs. Os documentos de Snowden mostram que a infraestrutura de descriptografia de VPN da NSA envolve a interceptação de tráfego criptografado e a transmissão de dados para computadores poderosos, que retornam a chave.

Os pesquisadores de segurança Alex Halderman e Nadia Heninger também apresentaram uma pesquisa convincente sugerindo que, de fato, a NSA desenvolveu a capacidade de descriptografar um grande número de tráfego HTTPS, SSH e VPN em um ataque conhecido como Logjam em implementações comuns do algoritmo Diffie-Hellman.

O sucesso deles se baseou na exploração de uma fraqueza na implementação do algoritmo Diffie-Hellman. A causa raiz dessa fraqueza é que o software de criptografia usa um número primitivo padronizado em sua implementação. Os pesquisadores estimaram que levaria cerca de um ano e cerca de 100 milhões de dólares para construir um computador poderoso que seria capaz de quebrar um único Diffie-Hellman prime de 1024 bits (que está dentro do orçamento anual da NSA).

Infelizmente, aconteceu que apenas alguns números primos (menos de 1024 bits) são comumente usados ​​em aplicativos de criptografia da vida real, como a VPN – o que torna ainda mais fácil de ser quebrado. De acordo com Bruce Schneier, “a matemática é boa, mas a matemática não tem nenhuma agência. O código tem agência e o código foi subvertido”.

Você ainda deveria usar uma VPN?

Para os prestadores de serviços, a equipe de pesquisa recomenda o uso de chaves Diffie-Hellman de 2048 bits ou mais e também publicou um guia para sua implantação para TLS. A Internet Engineering Task Force (IETF) também recomenda o uso das últimas revisões de protocolos que exigem números primos mais longos.

Os espiões podem ser capazes de quebrar primos comumente usados ​​nas chaves Diffie-Hellman até 1024 bits (cerca de 309 dígitos) de comprimento. Os primos em chaves de 2048 bits vão ser uma verdadeira dor de cabeça para eles, o que significa que os espiões não serão capazes de descriptografar dados protegidos usando essas chaves por muito tempo.

Para os usuários, embora seja verdade que as agências de espionagem usem VPN e outros protocolos de criptografia que se usa para segmentar o tráfego criptografado, você ainda está muito melhor protegido do que se você se comunicar em texto limpoEnquanto o seu computador pode ser comprometido, isso lhes custaria tempo e dinheiro, isso faz com que seja caro para eles. Quanto menos óbvio você for, mais seguro você está.

De acordo com Edward Snowden: “A criptografia funciona. Os sistemas de criptografia fortes implementados corretamente são uma das poucas coisas na qual você pode confiar”. Tanto quanto possível, evite VPNs que se baseiam principalmente em algoritmos de hash MD5 ou SHA-1 e protocolos PPTP ou L2TP/IPSec. Escolha os que suportam versões atuais do OpenVPN (considerado extremamente seguro) e SHA-2. Se não tiver certeza de qual algoritmo a sua VPN usa, consulte a documentação da VPN ou entre em contato com o suporte.

A VPN é sua amiga. Confie na criptografia, confie na matemática. Maximize o seu uso e dê o seu melhor para garantir que o seu ponto final também esteja protegido. É assim que você pode permanecer seguro mesmo em face da repressão de conexões criptografadas.

Isto foi útil? Compartilhe.
Compartilhe no Facebook
0
Tweet isso
0
Compartilhe se você acha que o Google não sabe muito sobre você
0