ระวัง !! VPN ยอดนิยมหลายเจ้าเสี่ยงต่อข้อมูลรั่วไหล

บริการ Virtual Private Network หรือ VPN เป็นบริการที่อนุญาตให้ผู้ใช้งานระบบอินเตอร์เน็ตสามารถปกปิดร่องรอยและตัวตนของตนเองได้ ซึ่งนับว่าเป็นบริการยอดนิยมในปัจจุบันสำหรับผู้ที่ต้องการท่องโลกอินเตอร์เน็ตด้วยความปลอดภัยสูง อย่างไรก็ตาม ทีมนักวิจัยจากมหาวิทยาลัยในอิตาลีและสหราชอาณาจักรระบุว่า บริการ VPN ยอดนิยมหลายเจ้าไม่ได้นำเสนอการปกปิดข้อมูลที่แข็งแกร่งเพียงพอ ซึ่งอาจเสี่ยงต่อการรั่วไหลของข้อมูลได้

ทดสอบ VPN ยอดนิยม 14 เจ้า ไม่พบเจ้าที่ปลอดภัย 100%

ทีมนักวิจัยจากมหาวิทยาลัย Sapienza แห่งโรม และมหาวิทยาลัย Queen Mary แห่งลอนดอน ได้ทำการทดสอบบริการ VPN เชิงพาณิชย์จำนวน 14 เจ้ายอดนิยม ได้แก่ Hide My Ass, IPVanish, Astrill, ExpressVPN, StrongVPN, PureVPN, TorGuard, AirVPN, PrivateInternetAccess, VyprVPN, Tunnelbear, proXPN, Mullvad และ Hotspot Shield Elite พบว่า 10 ใน 14 เจ้าเสี่ยงต่อข้อมูล IP รั่วไหล และมีเพียง 1 เจ้าเท่านั้นที่สามารถป้องกันการโจมตีแบบ IPv6 DNS Hijacking ได้

vpns_leak_data

ตรวจสอบการใช้งาน พบเทคโนโลยีที่ใช่ค่อนข้างล้าสมัย

ทีมนักวิจัยได้ทดลองลงทะเบียนเพื่อใช้บริการ VPN ทั้ง 14 เจ้า เพื่อตรวจสอบโครงสร้างของระบบ VPN เทคโนโลยี Tunnelling ที่ใช้ และซอฟต์แวร์ที่ติดตั้งลงบน Client พบว่า หลายเจ้ายังคงใช้เทคโนโลยีที่ค่อนข้างล้าหลัง ซึ่งง่ายต่อการถูกโจมตีแบบ Brute Force ส่งผลให้ข้อมูล IPv6 บางส่วน เช่น Browsing History เสี่ยงต่อการรั่วไหลสู่สาธารณะได้ นอกจากนี้ ทีมนักวิจัยยังได้ทดลองโจมตี DNS Hijacking ก็พบว่า ส่งผลให้ข้อมูลทราฟฟิค IPv4 รั่วไหลออกจาก VPN Tunnel ได้เช่นเดียวกัน

ทีมนักวิจัยแนะนำว่า ถ้าผู้ใช้งานต้องการปกปิดร่องรายและตัวตนจริงๆ ควรให้บริการของ Tor ซึ่งตอบโจทย์ได้ตรงกว่า แทนที่จะใช้ VPN

อ่านรายละเอียดงานวิจัยฉบับเต็มได้ที่ http://www.eecs.qmul.ac.uk/~hamed/papers/PETS2015VPN.pdf

ที่มา: http://www.net-security.org/secworld.php?id=18571



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google อัปเดตใช้ File Signature ตรวจสอบแอปพลิเคชันบน Android

Google เปลี่ยนวิธีการตรวจสอบความถูกต้องของแอปพลิเคชันบน Android ก่อนการติดตั้ง โดยทางบริษัทได้แก้ไข Header ของ APK ไฟล์เพื่อเพิ่ม metadata ข้อมูลที่เป็น Signature ของไฟล์ Application นั้นลงไป …

คนร้ายชาวยูเครน 4 คนถูกจับฐานตั้งเว็บปลอมเทรด Cryptocurrency

ตำรวจของยูเครเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก