Taggat med: vpn

Ett flertal sårbarheter uppdagade i OpenVPN

OpenVPN har utsatts för ett antal olika oberoende granskningar och jag har skrivit om några av dessa. Nu har även en person vid namn Guido Vranken fuzzat OpenVPN och identifierat en hel del bunt med säkerhetsbuggar.

För att citera Guido:

I’ve discovered 4 important security vulnerabilities in OpenVPN. Interestingly, these were not found by the two recently completed audits of OpenVPN code

Att fuzza OpenVPN var dock inte helt trivialt. Bland annat för att OpenVPN anropar externa binärer via execve samt att koden är full av ASSERT:s.

För fuzzing användes LLVM libFuzzer tillsammans med AddressSanitizer (ASAN), UndefinedBehaviorSanitizer (UBSAN) och MemorySanitizer (MSAN).

Buggarna har fått följande CVE:er: CVE-2017-7521, CVE-2017-7520, CVE-2017-7508, CVE-2017-7522.

Uppgradera till OpenVPN version 2.4.3 som innehåller säkerhetsfixar för ovan sårbarheter.

Gratis VPN (med hjälp av Tor)

gratis VPN med TorEn av de populärare sökningarna till denna sida är hur man hittar och använder gratis VPN. Det finns så klart flertalet alternativ och den gyllene regeln när det gäller gratis VPN är att du får vad du betalar för: Är det gratis så får du en tjänst därefter.

Det bästa alternativet enligt mig när det gäller ett kostnadsfritt VPN är så klart Tor (The Onion Router). Projektet skapades med hjälp av medel från amerikanska militärens US Naval Research Laboratory. Att det just är en lök i logotypen samt att lök ingår i namnet för Tor är för att krypteringen sker enligt en lökprincip: kryptering/säkerhet i flera lager.

Söker du ett VPN. Testa då OVPN genom denna länk >

Sedan 2004 så ligger projektet under EFF och svenska biståndsmyndigheten Sida har medverkat med stora medel genom åren.

Så kommer du igång med gratis VPN och Tor

Att börja använda Tor är mycket enkelt i dess enklaste utformning som enbart är en webbläsare.

Första steget är att ladda hem och installera Tor och dess inbyggda webbläsare från följande länk:

Innan du klickar på filen du har laddat hem så bör du verifiera att din nedladdning av Tor är korrekt. Detta genomförs lättast med GPG och jag har skrivit en guide till detta som du hittar här.

Efter du verifierat din nedladdning är det bara att klicka på filen du har laddat hem, om du har Windows så får du först en varningsruta enligt följande där du bara klickar på Kör:

Installera Tor

Sen får du välja vart Tor ska installeras. För enkelhetens skull så kan man installera Tor direkt under en katalog på skrivbordet men vi väljer c:\test\tor

Tor installation katalog

Sedan är installationen klar. Som du märker så installeras Tor inte som ett vanligt program utan ligger enbart i en katalog och en avinstallation kan då ske genom att katalogen raderas.

För att sedan starta Tor så går du till mappen där du installerat programmvaran och klickar på ”Start Tor Browser”:

Starta Tor

Sedan väntar du ett tag så startas Tor och statusen uppdateras löpande med vad som händer med etableringen av din krypterade anslutning:

Tor igång

Och sedan startas webbläsaren och bekräftar att du är ansluten anonymt samt vad din anonyma IP-adress är:

Ansluten till Tor

Obs: Läs detta innan du använder Tor

Innan du använder Tor så bör du även läsa igenom de varningar som är utfärdade om vad du inte bör göra under tiden då du är ansluten till Tor:

VPN Tunnel

VPN Tunnel är en benämning på där en klient kopplar upp sig krypterat eller okrypterat mot en server. VPN står för Virtual Private Network (virtuellt privat nätverk).

En vanlig mjukvara för att skapa en VPN-Tunnel är OpenVPN som är gratis och finns till Linux, Windows samt OS X.

Vanliga protokoll är IP Sec eller SSL/TLS som transportprotkoll. Några av de svenska tjänster som tillhandahåller VPN-tunnlar är:

  • Relakks
  • VPNTunnel.se
  • Anonine
  • PrivatVPN.se

Har du någon erfarenhet av ovan tjänster? Lämna gärna en kommentar med dina erfarenheter.

Detta är ett inlägg i en serie där vi förklarar grundläggande begrepp inom kryptering och IT-säkerhet.

Gratis VPN via Tor

För att använda ett gratis VPN så rekommenderar vi Tor. Med hjälp av Tor så kan du surfa anonymt och gratis, det enda som krävs är att du laddar hem och installerar dess klient. En nackdel dock kan vara att det går trögt att surfa då bandbredden kan vara begränsad på många exitnoder.

Sedan klickar du bara och extraherar samt startar klienten via Play-knappen så startas automatiskt webbläsaren Firefox och visar ett meddelande att du är ansluten till Tor-nätverket.

Så lätt är det att komma igång och använda Tor som ett gratis VPN.

Här kan du ladda hem Tor-klienten och dess tillbehör:

Uppdatering för att förtydliga: Tor krypterar ej mellan slutpunkter om du använder dess publika noder och går ut mot Internet. Du kan läsa mer här på engelska.

10 stycken kostnadsfria VPN-tjänster

OBS denna artikel är från 2011 och således gäller den ej

I dag är många surfare medvetna om den öppenhet som råder på Internet och som därmed väljer att anonymisera sig så att de inte lämnar några spår över var de har varit och vad det har gjort. Det finns en hel del kostnadsfria VPN-tjänster som låter användarna surfa anonymt på Internet. Ofta fungerar dessa VPN-tjänster lika bra som betaltjänsterna men det kan finnas vissa begränsningar i nedanstående VPN-tjänster som bland annat hastighetsbegränsningar, låg bandbredd och att det inte tillhandahålls någon teknisk support för tjänsten.

UltraVPN
UltraVPN använder en VPN-klient utvecklad med OpenVPN. Genom UltraVPN surfar man anonymt, med kryptering samtidigt som varken trafikloggar eller anslutningsinformation sparas hos leverantören . VPN-klienten är enkel och tydlig att använda och man ansluter enkelt genom en ikon som placeras i aktivitetsfältet. Man laddar ned VPN-klienten gratis från UltraVPN:s hemsida, finns för operativsystemen Mac och Windows. Efter att man har registrerat ett konto på samma hemsida kan man logga in och surfa anonymt.

Läs mer på: http://ultravpn.fr


PacketiX.NET är en online-miljö för PacketiX VPN där servrarna finns i Japan. När man använder PacketiX VPN kan man själv skapa privata virtuella VPN hubbar, med hjälp av ett webbgränssnitt, som man kan använda för att ansluta sig på distans till eget hemnätverk, där all kommunikation över Internet är krypterad samtidigt som anslutningar är anonymiserade.

Läs mer på: www.packetix.net/en

Gpass
GPass är en anonymiseringstjänst som är gratis för privata användare i länder där Internetcensur är vanligt. Genom tjänsten kan man komma åt blockerade hemsidor, som annars är spärrade från det land man befinner sig i. Alla som använder tjänsten är anonyma och all kommunikation sker krypterat.

Hotspot Shield
Hotspot Shield är en onlinetjänst som döljer användarens egen IP-adress genom en server på Internet, vilket gör användaren helt anonym. All kommunikation är krypterad vilket gör tjänsten användbar för att skydda användaren vid näthandel och när man hanterar privat information. VPN-klienten finns för operativsystem Mac och Windows.

Läs mer på: www.hotspotshield.com

Loke Network Project
Loke Network Project tillhandahåller en kostnadsfri VPN-tjänst som gör alla anslutningar anonyma och all kommunikation krypterad genom SSL. Tjänsten gör att besökaren skyddar sin IP-adress och den information som hanteras som bland annat nedladdning av filer, e-post och känsliga uppgifter som till exempel lösenord och kortnummer. Genom tjänsten kan man även komma åt blockerade hemsidor.

Läs mer på: www.projectloki.com

ProXPN
ProXPN tillhandahåller en VPN-tjänst som gör alla anslutningar anonyma. Tjänsten har även en mycket stark kryptering, i nivå med militära hög-bitars kryptering, vilket innebär att den information som man hanterar på Internet är väl skyddad. Genom tjänsten kan man surfa helt anonymt och allt man gör på Internet är dolt. VPN-klienten finns för operativsystemen Windows, 32 & 64 bitars, och Mac, men fungerar även med flera smarta mobiltelefoner som bland annat IPhone, IPod och Windows Mobile.

Läs mer på: www.proxpn.com

Securitykiss
SecurityKISS tjänst omdirigerar användarens trafik genom en högkrypterad tunnel som hanteras av Securitykiss egen Gateway. All trafik och data som passerar genom denna krypterade tunnel är helt skyddad vilket innebär att tjänsten lämpar sig väl för att hemlighålla information som lösenord, korttransaktioner och informationshantering men även blockering av spionprogram, vilket är vanligt på öppna trådlösa nätverk som finns på flygplatser och i andra kommersiella lokaler.

Läs mer på: www.securitykiss.com

Free USA VPN Service
VPN-PPT är en amerikansk VPN-tjänst som är gratis. Man är helt anonym när man är ute på Internet och ingen information om anslutningar eller trafik sparas. Med tjänsten kan man även gå förbi blockerade hemsidor. Man får en garanterad bredbandshastighet på 2 Mbit ned och 1 Mbit upp. Dock kräver tjänsten ett byte av lösenord var 12:e timme och det nya lösenordet hämtas på deras hemsida.

Läs mer på: http://freeusvpn.com

Expatshield
Expat Shield är en VPN-tjänst som har sina servrar placerade i Storbritannien. När man ansluter till VPN-tjänsten så dolds den egna IP-adressen och man använder istället en brittisk IP-adress. Tjänsten anonymiserar allt man gör på Internet och all data och trafik skyddas av kryptering.

Läs mer på: http://expatshield.com

LogMeIn Hamachi
LogMeIn Hamachi är en VPN-tjänst där man ansluter säkert mellan enheter och nätverk vilket sker genom att man skapar säkra virtuella nätverk. All trafik genom de virtuella nätverken är skyddad av kryptering. Man lägger upp tjänsterna och underhåller dessa genom ett webbgränssnitt på Internet. Gratisversionen kan användas för privat bruk men är begränsad till max 16 stycken datorer i det virtuella nätverket.

Läs mer på: https://secure.logmein.com/products/hamachi/features.aspx

 

IPSec bakdörr i OpenBSD

Theo de Raadt som är chefsutvecklare för OpenBSD skickade nyligen ut ett meddelande gällande rykten om att FBI skulle ha lagt till enbakdörr i OpenBSDs IPSec implementation. OpenBSD är öppen källkod vilket medger att vem som helst kan granska koden och upptäcka en eventuell bakdörr.

Här är meddelandet från Gregory Perry till Theo de Raadt:

Long time no talk.  If you will recall, a while back I was the CTO at NETSEC and arranged funding and donations for the OpenBSD Crypto Framework.  At that same time I also did some consulting for the FBI, for their GSA Technical Support Center, which was a cryptologic reverse engineering project aimed at backdooring and implementing key escrow mechanisms for smart card and other hardware-based computing technologies.

 

My NDA with the FBI has recently expired, and I wanted to make you aware of the fact that the FBI implemented a number of backdoors and side channel key leaking mechanisms into the OCF, for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI.  Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC.

This is also probably the reason why you lost your DARPA funding, they more than likely caught wind of the fact that those backdoors were present and didn’t want to create any derivative products based upon the same.

This is also why several inside FBI folks have been recently advocating the use of OpenBSD for VPN and firewalling implementations in virtualized environments, for example Scott Lowe is a well respected author in virtualization circles who also happens top be on the FBI payroll, and who has also recently published several tutorials for the use of OpenBSD VMs in enterprise VMware vSphere deployments.

Merry Christmas…

Gregory Perry
Chief Executive Officer
GoVirtual Education

Läs även: blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd

Uppdatering: Nu har Jason som pekats ut som en av de ansvariga svarat via E-post.

Firesheep-attack mot Facebook etc.

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta:

Telecomix konferensen

Krypto-konferensen som Telecomix anordnade och vi skrev om tidigare har fått internationell mediebevakning då de beskrev om ett nytt problem som gör att det går att ta reda på vem som är bakom ett dolt IP-nummer där en anonymiseringstjänst används.

Konferensen finns även inspelad här:

Uppdatering: Nu har även IDG skrivit om detta. Dock så näms inte Telecomix krypto-konferensen som källa.