Государственная Дума РФ приняла в третьем чтении изменения в Федеральный закон "Об информации, информационных технологиях и о защите информации", связанные с регулированием мессенджеров и анонимайзеров. Для окончательного принятия данных законопроектов требуется получить одобрение Совета Федерации и президента. Вступление в силу изменений, связанных с анонимайзерами запланировано на 1 ноября 2017 года, а с мессенджерами - на 1 января 2018 года. Напомним, что изменения связанные с анонимайзерами обязывают владельцев анонимных сетей, VPN и прокси-сервисов на своей стороне обеспечить блокировку ресурсов, включённых в реестр сайтов, запрещённых в РФ. В случае невыполнения данного требования в течение 30 дней, отказавшиеся от сотрудничества сервисы будут помещены в список блокировки на срок до начала выполнения требований Роскомнадзора. Ожидается, что одним из первых будет заблокирован сервис Tor, так как его разработчики принципиально отказываются выполнять подобные условия. Изменения связанные с
Опубликованы итоги исследования защищённости 283 мобильных приложений с реализаций функций VPN, представленных в каталоге Google Play. Отбор приложений был осуществлён по запросу полномочий BIND_VPN_SERVICE. Результаты превзошли все ожидания и позволили сделать вывод, что в большинстве случаев вместо ожидаемой защиты своего трафика и усиления конфиденциальности пользователь получает неявные проблемы с безопасностью, сомнительные гарантии сохранения анонимности или даже явные вредоносные действия и слив информации заинтересованным третьим лицам. Некоторые факты: В 18% изученных VPN-приложений вообще не используется шифрование и весь трафик передаётся в открытом виде. При использовании публичных или не заслуживающих доверия беспроводных сетей пользователь оказывается не защищён от MITM-атак; 16% VPN-приложений применяют технику прозрачного проксирования для модификации транзитного HTTP-трафика пользователя, подставляя или удаляя заголовки или выполняя перекодирование изображений для ускорения их
После почти четырёх лет с момента публикации ветки 2.3 выпущен релиз OpenVPN 2.4.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты подготовлены для Debian, Ubuntu, CentOS, RHEL и Windows. Из добавленных в новой версии улучшений можно отметить: Добавлена возможность бесшовной смены IP-адреса и номера сетевого порта клиента без разрыва соединения VPN. В новой версии представлен новый протокол P_DATA_V2, в котором для идентификации клиента используется универсальный Peer-ID. При изменении IP-адреса/порта, но сохранении Peer-ID, серевер считает соединение мигрировавшим, проверяет HMAC и обновляет сетевые параметры клиента в своих внутренних структурах без повторного согласования соединения; Реализована возможность использования режима блочного шифрования
В списке рассылки разработчиков ядра Linux представлена новая реализация виртуального интерфейса для создания шифрованных и аутентифицированных туннелей. Новый VPN-интерфейс развивается в рамках проекта WireGuard, сочетающего применение проверенных современных методов шифрования с предоставлением минималистичной реализации (около 4000 строк кода), лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN. Отмечается, что продукт развивается уже несколько лет и прошёл стадию рецензирования применяемых криптографических методов, что позволяет начать его публичное продвижение в основной состав ядра. Проект позиционируется как многоплатформенный - после стабилизации реализации для Linux планируется создание вариантов и для других операционных систем. Автором проекта является Джейсон Доненфилд (Jason A. Donenfeld), исследователь безопасности, возглавляющий компанию Edge Security. Код распространяется под лицензией GPLv2. Для шифрования применяются потоковый шифр ChaCha20 и алгоритм аутентификации
Состоялся релиз свободного VPN-демона GoVPN 5.0, предназначенного для создания шифрованных, аутентифицированных и цензуроустойчивых каналов связи поверх UDP или TCP. Реализация ориентирована на высокую безопасность, простоту реализации и лёгкость чтения исходного кода. Программа полностью написана на языке Go и распространяется под лицензией GPLv3. Поддерживается работа в GNU/Linux и FreeBSD. Для двусторонней несбалансированной (augmented) аутентификации сторон и согласования ключей используется аутентифицируемый по парольной фразе протокол DH-A-EKE (Diffie-Hellman Augmented Encrypted Key Exchange). Протокол имеет свойство нулевого неразглашения при котором невозможна offline атака по словарю. Даже при компрометации БД сервера злоумышленник не сможет замаскироваться под клиента. Также имеется защита от атак повторного воспроизведения, дешифровки перехваченного трафика даже при компрометации парольной фразы (свойство совершенной прямой секретности). Кроме обеспечения конфиденциальности есть возможность
Компания Juniper сообщила о выявлении в операционной системе ScreenOS, которой комплектуются межсетевые экраны NetScreen, скрытого бэкдора (CVE-2015-7755), снабжённого функциями дешифровки соединений VPN и позволяющего удалённо получить доступ администратора на устройстве. Бэкдор выявлен в процессе внутреннего аудита, который показал наличие в составе ScreenOS постороннего кода. В настоящее время компания проводит расследование и пытается выявить каким образом мог быть внедрён вредоносный код. Компания Juniper отмечает, что к ней не поступало никаких сообщений о проблемах, которые могли быть связаны с возможном проявлением бэкдора. Скорее всего бэкдор широко не использовался и был оставлен для проведения единичных целевых атак. Проблема проявляется начиная с сентября 2012 года и затрагивает выпуски ScreenOS с 6.2.0r15 по 6.2.0r18 и 6.3.0r12 по 6.3.0r20. Всем пользователям устройств NetScreen рекомендуется срочно установить обновление прошивки. Исправление доступно в обновлениях 6.3.0r12b, 6.3.0r13b,
Состоялся релиз свободного VPN-демона GoVPN 3.0, предназначенного для создания шифрованных аутентифицированных каналов связи поверх UDP. Реализация ориентирована на высокую безопасность и простоту реализации. Программа полностью написана на языке Go и распространяется под лицензией GPLv3. Поддерживается работа в GNU/Linux и FreeBSD. Для аутентификации участников соединения используется аутентифицируемый по парольным фразам протокол обмена ключами DH-A-EKE (Diffie-Hellman Augmented Encrypted Key Exchange), устойчивый к атакам по подбору паролей по словарю. При компрометации БД сервера DH-A-EKE всё-равно не позволит представиться клиентом, не зная целого пароля. Также имеется защита от атак повторного воспроизведения, дешифровки сохранённого трафика даже при компрометации парольной фразы. Кроме обеспечения конфиденциальности есть возможность скрывать как размер сообщений, так и время их возникновения, путём генерирования постоянного шумового трафика. Среди новшеств третьей версии, по-сравнению со второй,
Состоялся релиз свободного VPN-демона GoVPN 2.0, предназначенного для создания шифрованных аутентифицированных каналов связи поверх UDP. Реализация ориентирована на высокую безопасность, простоту и эффективность. Для аутентификации участников соединения используется протокол обмена ключами DH-EKE (Diffie-Hellman Encrypted Key Exchange), при этом разделяемый ключ (pre-shared key) и хэши от него не передаются другой стороне и обеспечивается защита от дешифровки захваченного трафика (даже при получении ключей и совершении атак повторного воспроизведения). Поддерживается работа в GNU/Linux и FreeBSD. Программа полностью написана на языке Go и распространяется под лицензией GPLv3. Среди новшеств второй версии можно отметить разделение клиентского и серверного кода, поддержку одновременного соединения к серверу нескольких клиентов и добавление в протокол установки соединения средств для идентификации клиента.
Известный исследователь компьютерной безопасности Якоб Аппельбаум (Jacob Appelbaum), являющийся одним из лиц, получивших доступ а архиву документов, захваченных Эдвардом Сноуденом, обнародовал на конференции Chaos Communication Congress (31C3) несколько десятков новых секретных докладов Агентства Национальной Безопасности США. Наибольший интерес представляет документ "Intro to the VPN Exploitation Process mentioning the protocols attacked - PPTP, IPSec, SSL, SSH", в котором утверждается о существовании методов, допускающих проведение атак на PPTP, IPSEC, SSL и SSH, в результате которых может быть осуществлена расшифровка трафика или получения параметров аутентификации. Никаких конкретных пояснений не приводится, только обобщённые заявления о возможности таких атак. Не исключено, что, несмотря на то, что в докладах говорится о расшифровке перехваченного трафика, проводимые АНБ атаки основаны на эксплуатации известных уязвимостей в конкретных реализациях протоколов, в результате которых происходит утечка
Цукубский университет (Япония) и компания SoftEther объявили об открытии исходных текстов мультипротокольного и мультиплатформенного VPN-сервера SoftEther VPN, развиваемого в качестве универсальной и высокопроизводительной альтернативы OpenVPN и VPN-продуктам компании Microsoft. Код опубликован под лицензией GPLv2. Особенностью SoftEther VPN является поддержка широкого спектра протоколов VPN, что позволяет использовать сервер на базе SoftEther VPN со штатными клиентами Windows (L2TP, SSTP), OS X (L2TP), iOS (L2TP) и Android (L2TP), а также в качестве прозрачной замены сервера OpenVPN. SoftEther VPN также отличается мощной поддержкой средств для обхода межсетевых экранов и систем глубокого инспектирования пакетов. Для затруднения обнаружения туннеля в SoftEther VPN поддерживается техника закамуфлированного проброса Ethernet поверх HTTPS, при этом на стороне клиента реализован виртуальный сетевой адаптер, а на стороне сервере - виртуальный коммутатор Ethernet. Кроме того поддерживается создание различных