Black Hat Asia 2021

ระวัง !! VPN ยอดนิยมหลายเจ้าเสี่ยงต่อข้อมูลรั่วไหล

บริการ Virtual Private Network หรือ VPN เป็นบริการที่อนุญาตให้ผู้ใช้งานระบบอินเตอร์เน็ตสามารถปกปิดร่องรอยและตัวตนของตนเองได้ ซึ่งนับว่าเป็นบริการยอดนิยมในปัจจุบันสำหรับผู้ที่ต้องการท่องโลกอินเตอร์เน็ตด้วยความปลอดภัยสูง อย่างไรก็ตาม ทีมนักวิจัยจากมหาวิทยาลัยในอิตาลีและสหราชอาณาจักรระบุว่า บริการ VPN ยอดนิยมหลายเจ้าไม่ได้นำเสนอการปกปิดข้อมูลที่แข็งแกร่งเพียงพอ ซึ่งอาจเสี่ยงต่อการรั่วไหลของข้อมูลได้

ทดสอบ VPN ยอดนิยม 14 เจ้า ไม่พบเจ้าที่ปลอดภัย 100%

ทีมนักวิจัยจากมหาวิทยาลัย Sapienza แห่งโรม และมหาวิทยาลัย Queen Mary แห่งลอนดอน ได้ทำการทดสอบบริการ VPN เชิงพาณิชย์จำนวน 14 เจ้ายอดนิยม ได้แก่ Hide My Ass, IPVanish, Astrill, ExpressVPN, StrongVPN, PureVPN, TorGuard, AirVPN, PrivateInternetAccess, VyprVPN, Tunnelbear, proXPN, Mullvad และ Hotspot Shield Elite พบว่า 10 ใน 14 เจ้าเสี่ยงต่อข้อมูล IP รั่วไหล และมีเพียง 1 เจ้าเท่านั้นที่สามารถป้องกันการโจมตีแบบ IPv6 DNS Hijacking ได้

vpns_leak_data

ตรวจสอบการใช้งาน พบเทคโนโลยีที่ใช่ค่อนข้างล้าสมัย

ทีมนักวิจัยได้ทดลองลงทะเบียนเพื่อใช้บริการ VPN ทั้ง 14 เจ้า เพื่อตรวจสอบโครงสร้างของระบบ VPN เทคโนโลยี Tunnelling ที่ใช้ และซอฟต์แวร์ที่ติดตั้งลงบน Client พบว่า หลายเจ้ายังคงใช้เทคโนโลยีที่ค่อนข้างล้าหลัง ซึ่งง่ายต่อการถูกโจมตีแบบ Brute Force ส่งผลให้ข้อมูล IPv6 บางส่วน เช่น Browsing History เสี่ยงต่อการรั่วไหลสู่สาธารณะได้ นอกจากนี้ ทีมนักวิจัยยังได้ทดลองโจมตี DNS Hijacking ก็พบว่า ส่งผลให้ข้อมูลทราฟฟิค IPv4 รั่วไหลออกจาก VPN Tunnel ได้เช่นเดียวกัน

ทีมนักวิจัยแนะนำว่า ถ้าผู้ใช้งานต้องการปกปิดร่องรายและตัวตนจริงๆ ควรให้บริการของ Tor ซึ่งตอบโจทย์ได้ตรงกว่า แทนที่จะใช้ VPN

อ่านรายละเอียดงานวิจัยฉบับเต็มได้ที่ http://www.eecs.qmul.ac.uk/~hamed/papers/PETS2015VPN.pdf

ที่มา: http://www.net-security.org/secworld.php?id=18571

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ฟรี eBook: Advanced Image Processing (Revised Edition)

รศ. ดร. สนั่น ศรีสุข อาจารย์จากภาควิชาวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยนครพนม ออกหนังสือเรื่อง “การะประมวลผลภาพขั้นสูง (Advanced Image Processing)” ฉบับปรับปรุงครั้งที่ 1 ในรูปแบบ eBook …

สรุป Red Hat Webinar: พัฒนา Microservice Application ที่มีความปลอดภัยโดยใช้ OpenID ด้วย Keycloak

ประเด็นด้านความมั่นคงปลอดภัยนั้นถือเป็นอีกหนึ่งสิ่งที่นักพัฒนา Software ต้องให้ความสำคัญ Red Hat จึงได้จัด Webinar ในหัวข้อ พัฒนา Microservice Application ที่มีความปลอดภัยโดยใช้ OpenID ด้วย Keycloak …