VPN’s lekken informatie over gebruikers door IPv6 lek

  1. 30 jun 2015
  2. 0 reacties

hacker

Virtual Private Networks (VPN’s) zijn netwerken waarmee gebruikers hun internetverkeer kunnen beveiligen en afschermen. De netwerken worden onder andere gebruikt door gebruikers die censuur willen vermijden, online surveillance willen ontlopen of diensten willen gebruiken die alleen in bepaalde geografische gebieden beschikbaar zijn. Onderzoek wijst echter uit dat VPN’s minder veilig zijn dan gedacht. Door een kwetsbaarheid in IPv6 lekken veel VPN’s namelijk informatie over gebruikers, waarmee hun anonimiteit in gevaar komt.

Dit blijkt uit onderzoek van de Vasile C. Perta, Marco V. Barbera en Alessandro Mei van de Sapienza Universiteit van Rome in samenwerking met Gareth Tyson en Hamed Haddadi van de Queen Mary Universiteit van London. De onderzoekers hebben veertien VPN’s onder de loep genomen. Elf hiervan bleken informatie over gebruikers te lekken door een kwetsbaarheid die een IPv6 lek wordt genoemd.

IPv6 lek

Het probleem is ontstaan door de overstap van IPv4 naar IPv6. Steeds meer netwerkoperators implementeren IPv6, maar veel VPN’s beschermen nog uitsluitend IPv4 verkeer. Hierdoor ontstaat het zogenoemde IPv6 lek, waarbij informatie ongemerkt kon worden onderschept. Om hun theorie te testen hebben de onderzoekers twee aanvalsmethodes uitgeprobeerd: het passief monitoren van onversleuteld verkeer dat wordt verzonden en DNS hijacking, waarbij webbrowsers worden omgeleid naar malafide webservers door het Domain Name System aan te passen. Bezoekers denken hierdoor een legitieme en betrouwbare website te bezoeken, maar bezoeken in werkelijkheid een kopie op de server van een cybercrimineel.

De informatie die hierdoor over gebruikers verzameld kan worden loopt uiteen. Het gaat hierbij onder andere om websites die door gebruikers worden bezorgd, maar ook om content die gebruikers hierop plaatsen. Denk hierbij aan reacties die gebruikers achterlaten op bijvoorbeeld een forum. Alle interacties die via een HTTPS-verbinding worden uitgevoerd kunnen niet via de methode worden onderschept.