शीर्ष वीपीएन सेवाओं में खोजी गई वीपीएन सुरक्षा कमजोरियां (04.26.24)
इंटरनेट उपयोगकर्ताओं द्वारा वीपीएन सेवा की सदस्यता लेने का मुख्य कारण उनकी गोपनीयता और ऑनलाइन सुरक्षा की रक्षा करना है। वीपीएन एक एन्क्रिप्टेड डिजिटल सुरंग का उपयोग करते हैं जिसके माध्यम से उपयोगकर्ता का कनेक्शन गुजरता है, उपयोगकर्ता के डेटा को दुर्भावनापूर्ण तृतीय-पक्ष उपयोगकर्ताओं की चुभती नज़रों से दूर रखता है।
लेकिन अगर आपके वीपीएन से समझौता हो जाता है तो क्या होगा?
खतरे के शोधकर्ताओं की एक अग्रणी टीम, सिस्को टैलोस ने हाल ही में कुछ शीर्ष वीपीएन सेवाओं में सुरक्षा खामियों का खुलासा किया है, खासकर नॉर्डवीपीएन और प्रोटॉन वीपीएन। टैलोस इन वीपीएन बग जैसे ऑनलाइन खतरों का पता लगाने, विश्लेषण करने और सुरक्षा समाधान बनाने में माहिर हैं।
शोधकर्ताओं ने पाया कि ये खामियां नॉर्डवीपीएन और प्रोटॉन वीपीएन क्लाइंट दोनों में डिज़ाइन कमजोरियों से उत्पन्न होती हैं, जो हमलावरों को मनमाने कोड निष्पादित करने की अनुमति देती हैं। .
वीपीएन सुरक्षा खामियांइन कमजोरियों की पहचान CVE-2018-3952 और CVE-2018-4010 के रूप में की गई है, जो इस साल की शुरुआत में VerSprite द्वारा पाई गई खामियों के समान हैं। VerSprite द्वारा खोजे गए पहले सुरक्षा दोष को CVE-2018-10169 के रूप में ट्रैक किया गया था, और हालांकि सुरक्षा छेद को ठीक करने के लिए दोनों क्लाइंट्स पर पैच लागू किए गए हैं, फिर भी इसका अन्य तरीकों से फायदा उठाया जा सकता है। वास्तव में, टैलोस ने कहा कि वे इन सुधारों के आसपास काम करने में सक्षम थे जिन्हें पिछले अप्रैल में लागू किया गया था।
वीपीएन सुरक्षा दोष कैसे काम करता हैसीवीई-2018-10169 एक ही डिजाइन के कारण विंडोज विशेषाधिकार वृद्धि दोष था नॉर्डवीपीएन और प्रोटॉन वीपीएन दोनों में समस्याएं।
इन दोनों वीपीएन क्लाइंट का इंटरफ़ेस लॉग-इन उपयोगकर्ता को बायनेरिज़ निष्पादित करने की अनुमति देता है, जिसमें वीपीएन कॉन्फ़िगरेशन विकल्प शामिल हैं, जैसे आपका पसंदीदा वीपीएन सर्वर स्थान चुनना। जब उपयोगकर्ता 'कनेक्ट' पर क्लिक करता है, तो यह जानकारी एक OpenVPN कॉन्फ़िग फ़ाइल के माध्यम से एक सेवा को अग्रेषित की जाती है। भेद्यता वहाँ निहित है - VerSprite एक अलग OpenVPN कॉन्फ़िगरेशन फ़ाइल बनाने और इसे लोड करने और निष्पादित करने के लिए सेवा में भेजने में सक्षम था।
कोई भी OpenVPN फ़ाइल को दुर्भावनापूर्ण इरादे से बना सकता है, और इसके साथ छेड़छाड़ कर सकता है। VPN सेवा या आपका डेटा चोरी।
दोनों VPN सेवा प्रदाताओं ने OpenVPN फ़ाइल की सामग्री को नियंत्रित करने के लिए डिज़ाइन किया गया एक ही पैच लागू किया। हालांकि, सिस्को ने बताया कि कोड में एक छोटा कोडिंग दोष है जो हमलावरों को पैच को दरकिनार करने की अनुमति देता है।
टैलोस ने दो वीपीएन क्लाइंट के पैच किए गए संस्करणों का परीक्षण किया, विशेष रूप से प्रोटॉन वीपीएन वीपीएन संस्करण 1.5.1 और नॉर्डवीपीएन संस्करण 6.14.28.0, और पाया कि पिछले अप्रैल में लागू किए गए पैच हमलावरों द्वारा बायपास किए जा सकते हैं।
द इन वीपीएन उपकरण कमजोरियों के परिणामस्वरूप उत्पन्न बग विशेषाधिकार वृद्धि के साथ-साथ मनमाने ढंग से कमांड निष्पादन में परिणाम कर सकते हैं। CVE-2018-3952 बग नॉर्डवीपीएन और दुनिया भर में इसके एक मिलियन से अधिक उपयोगकर्ताओं को प्रभावित करता है, जबकि CVE-2018-4010 अपेक्षाकृत नए वीपीएन सेवा प्रदाता, प्रोटॉन वीपीएन को प्रभावित करता है।
वीपीएन सुरक्षा सुधारये सुरक्षा खामियां शीर्ष वीपीएन सेवाओं में पाया जाता है ने वीपीएन कंपनियों को एक वायुरोधी समाधान के लिए भेजा है। समस्या को हल करने के लिए नॉर्डवीपीएन ने पिछले अगस्त में एक पैच लागू किया है। कंपनी ने ओपनवीपीएन कॉन्फिग फाइल बनाने के लिए एक एक्सएमएल मॉडल का उपयोग किया है जिसे लॉग-इन किए गए उपयोगकर्ताओं द्वारा संपादित नहीं किया जा सकता है।
दूसरी ओर, ProtonVPN ने इसी महीने एक फिक्स बनाना समाप्त किया है। ProtonVPN ने OpenVPN कॉन्फ़िग फ़ाइलों को स्थापना निर्देशिका में स्थानांतरित करने का निर्णय लिया। इस तरह, मानक उपयोगकर्ता फ़ाइलों को आसानी से संशोधित नहीं कर सकते।
दोनों वीपीएन कंपनियों ने अपने उपयोगकर्ताओं को इन बगों को ठीक करने और संभावित खतरों से बचने के लिए अपने वीपीएन क्लाइंट को जल्द से जल्द अपडेट करने की सलाह दी है।
अन्य वीपीएन टूल्स भेद्यताएंइस जनवरी की शुरुआत में, सिस्को ने वेबवीपीएन के साथ कॉन्फ़िगर किए गए नेटवर्क सुरक्षा उपकरणों का उपयोग करने वाले उपयोगकर्ताओं के लिए एक उच्च तत्काल सुरक्षा चेतावनी जारी की है। इस क्लाइंट रहित वीपीएन सेवा प्रदाता को क्रिटिकल रेटिंग दी गई थी, जो कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम के तहत सर्वोच्च अलर्ट है। वीपीएन कंपनी वेब-आधारित नेटवर्क हमले के प्रति संवेदनशील थी, जिससे हमलावर सुरक्षा को बायपास कर सकता था और कमांड चला सकता था और नेटवर्किंग उपकरणों का कुल नियंत्रण हासिल कर सकता था। सिस्को ने बाद में इस भेद्यता को ठीक करने के लिए एक पैच जारी किया।
साथ ही, हाई-टेक ब्रिज (एचटीबी) द्वारा किए गए एक शोध के अनुसार, दस में से नौ वीपीएन सेवाएं पुरानी या असुरक्षित एन्क्रिप्शन तकनीकों का उपयोग करती हैं, जिससे उपयोगकर्ताओं को जोखिम होता है। अध्ययन में यह भी पता चला है कि अधिकांश एसएसएल वीपीएन या तो एक अविश्वसनीय एसएसएल प्रमाणपत्र का उपयोग करते हैं या अपने आरएसए प्रमाणपत्रों के लिए कमजोर 1024-बिट कुंजियों का उपयोग करते हैं। यह जानना भी परेशान करने वाला है कि दस में से एक एसएसएल वीपीएन सर्वर अभी भी कुख्यात हार्टब्लिड के लिए असुरक्षित है, एक बग जो हैकर्स को बेजोड़ सिस्टम की मेमोरी से डेटा निकालने की अनुमति देता है।
यह अध्ययन सिर्फ कमजोरियों को दिखाता है वीपीएन में भी मौजूद हैं, जो विडंबना यह है कि हमें इन सटीक खतरों से बचाने के लिए डिज़ाइन किया गया था।
अपनी ऑनलाइन सुरक्षा सुनिश्चित करने के लिए, विश्वसनीय और भरोसेमंद वीपीएन सेवाओं का उपयोग करना महत्वपूर्ण है। मुफ़्त वीपीएन सेवाएं आपको बुनियादी गोपनीयता प्रदान कर सकती हैं, लेकिन आप सुनिश्चित नहीं हैं कि कंपनी आपकी ऑनलाइन गतिविधियों पर नज़र रख रही है या नहीं। मुफ़्त वीपीएन भी बग और अन्य सुरक्षा मुद्दों से ग्रस्त हैं।
सर्वश्रेष्ठ वीपीएन अपने उपयोगकर्ताओं के लिए व्यापक सुरक्षा प्रदान करने के लिए उन्नत और हैक-प्रूफ वीपीएन तकनीकों में निवेश करेगा। एक मजबूत एन्क्रिप्शन तकनीक का उपयोग करने के अलावा, आपको वीपीएन की अन्य सुरक्षा सुविधाओं को देखने की जरूरत है, जैसे कि किल स्विच विकल्प, एंटी-लीक सुविधाएं, लॉगिंग नीतियां, रूटिंग विधियां, और अन्य।
इनमें निवेश करना एक पेशेवर वीपीएन सेवा जैसे कि आउटबाइट वीपीएन सबसे अच्छा समाधान है क्योंकि यह बिना किसी ट्रैकिंग के 100% ऑनलाइन सुरक्षा प्रदान करता है। आउटबाइट वीपीएन एक सैन्य-ग्रेड एन्क्रिप्शन तकनीक का भी उपयोग करता है, इसलिए इसकी सुरक्षा के बारे में कोई सवाल ही नहीं है।
यूट्यूब वीडियो: शीर्ष वीपीएन सेवाओं में खोजी गई वीपीएन सुरक्षा कमजोरियां
04, 2024