Voidaanko VPN:t hakkeroida? Perehdymme asiaan tarkemmin
Mikä on VPN?
Virtuaalinen erillisverkko (VPN) mahdollistaa suojatun virtuaalisen tunnelin luomisen toiseen verkkoon tai laitteeseen Internetin kautta. Jos käytät Internetiä tämän virtuaalisen tunnelin kautta, kenen tahansa – mukaan lukien Internet palveluntarjoajasi – on hankalaa vakoilla selailutoimintaasi.
VPN:t auttavat myös salaamaan sijaintisi ja kiertämään palveluiden maantieteellisiä rajoituksia. VPN turvaa viestien tietosuojaa (tiedot säilyvät salaisina) ja yhtenäisyyttä (tiedot säilyvät koskemattomina) niiden liikkuessa julkisessa Internetissä.
Tällaisen suojatun yhteyden luominen on suhteellisen helppoa. Käyttäjä yhdistää ensin Internetiin palveluntarjoajansa kautta, ja käynnistää sitten VPN-yhteyden VPN-palvelimella käyttäen paikallisesti asennettua isäntäohjelmaa. VPN-palvelin hakee pyydetyt verkkosivut ja palauttaa ne käyttäjälle suojattujen tunneleiden kautta. Näin käyttäjän tiedot säilyvät suojattuna ja yksityisinä Internetissä.
Kuinka VPN salaus toimii?
VPN-protokollalla tarkoitetaan sovittuja sääntöjä tietojen siirtämiselle ja salaamiselle. Useimmat VPN-palveluntarjoajat antavat käyttäjälle mahdollisuuden valita useiden eri VPN-protokollien väliltä. Joitakin eniten käytetyimpiä protokollia ovat mm. Point to Point Tunnelling Protocol (PPTP), Layer 2 Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) ja OpenVPN (SSL/TLS).
Ymmärtääkseemme täysin, miten VPN suojaa käyttäjän yksityisyyttä, meidän tulee perehtyä tarkemmin salausmenetelmiin. VPN käyttää salaustekniikkaa, jonka avulla se tekee luettavista tiedoistasi (selkoteksti eli plaintext) lukukelvottomia (salateksti eli ciphertext) niitä sieppaaville henkilöille tietojen liikkuessa Internetissä. Algoritmi tai salain määrittää, kuinka salaus ja salauksen purkaminen toteutuu VPN-protokollissa. VPN-protokollat käyttävät näitä kryptografisia algoritmeja tietojesi piilottamiseen, jotta selailutoimintasi säilyy yksityisenä ja luottamuksellisena.
Jokaisella VPN-protokollalla on omat vahvuutensa ja heikkoutensa riippuen sen kryptografisesta algoritmista. Jotkut VPN-palveluntarjoajat antavat käyttäjille mahdollisuuden valita eri salaimien välillä. Algoritmi tai salain voi pohjautua jollekin kolmesta luokituksesta: symmetrinen, epäsymmetrinen tai yksisuuntainen tiiviste algoritmi.
Symmetrisessä salauksessa käytetään yhtä avainta tietojen lukitsemiseen (salaaminen) ja avaamiseen (purkaminen). Epäsymmetrisessä salauksessa käytetään kahta avainta: toista avainta tietojen lukitsemiseen (salaaminen) ja toista avaamiseen (purkaminen). Alla olevaan taulukkoon on tiivistetty vertailumuotoisesti eroavaisuudet symmetrisen ja epäsymmetrisen salauksen välillä.
Ominaisuus | Symmetrinen | Epäsymmetrinen |
Avaimet | Yksi avain jaetaan useille osapuolille | Toisella osapuolella on julkinen avain, toisella yksityinen avain |
Avaimen siirtäminen | Vaatii turvallisen mekanismin avainten lähettämiseksi ja vastaanottamiseksi | Omistaja pitää yksityisen avaimen salaisena ja julkinen avain on kaikkien saatavilla |
Nopeus | Yksinkertaisempi ja nopeampi | Monimutkaisempi ja hitaampi |
Vahvuus | Helpompi murtaa | Vaikeampi murtaa |
Skaalautuvuus | Hyvä skaalautuvuus | Parempi skaalautuvuus |
Käyttö | Massamuistilla salaaminen eli kaikki | Vain avainten jakaminen ja digitaaliset allekirjoitukset |
Tarjottu turvallisuus | Luottamuksellisuus | Luottamuksellisuus, oikeaksi todentaminen ja kiistattomuus |
Esimerkkejä | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 ja RC6 | RSA, ECC, DSA, ja Diffie-Hellman |
Epäsymmetrinen kryptografia on ratkaisu symmetriselle kryptografialle luontaisiin rajoituksiin (kuten yllä olevassa taulukossa on kuvattu). Whitfield Diffie ja Martin Hellman olivat ensimmäisten joukossa vastaamassa näihin puutteisiin kehittämällä epäsymmetrisen algoritmin nimeltä Diffie-Hellman.
Se on suosittu kryptografinen algoritmi, joka toimii perustana monille VPN-protokollille, mukaan lukien HTTPS, SSH, Ipsec ja OpenVPN. Algoritmin avulla kaksi osapuolta, jotka eivät ole koskaan tavanneet toisiaan, voivat sopia salaisesta avaimesta myös Internetin kaltaisen turvattoman julkisen kanavan kautta.
Tiivistäminen (hashing) on yksisuuntainen (peruuttamaton) salausmenetelmä, jota käytetään suojaamaan lähetettyjen tietojen yhtenäisyyttä. Useimmat VPN-protokollat käyttävät tiivistealgoritmeja varmentaakseen VPN:n kautta lähetettyjen viestien aitouden. Esimerkkeinä näistä ovat mm. MD5, SHA-1 ja SHA-2. Nykyään MD5:tä ja SHA-1:tä ei enää pidetä turvallisina.
VPN:t voidaan hakkeroida, mutta se on vaikeaa. Mahdollisuudet joutua hakkeroinnin kohteeksi ilman VPN:ää ovat huomattavasti suuremmat, kuin VPN:ää käyttäessä.
Voidaanko VPN-verkkoon hakkeroitua?
VPN:t ovat edelleen yksi tehokkaimmista tavoista turvata yksityisyys verkossa. On kuitenkin tärkeää huomioida, että käytännössä mikä tahansa voidaan hakkeroida, etenkin jos olet kohteena erityisen arvokas ja vihollisellasi on riittävästi aikaa, varoja ja resursseja. Hyvät uutiset ovat, että useimmat käyttäjät eivät lukeudu ”arvokkaiden kohteiden” kategoriaan, ja tästä syystä kohteeksi joutuminen on epätodennäköistä.
VPN-yhteyteen hakkeroituminen vaatii joko salauksen murtamista käyttämällä hyväksi tunnettuja haavoittuvuuksia tai avaimen varastamista kieroilla tavoilla. Hakkerit ja kryptoanalyytikot käyttävät kryptografisia hyökkäyksiä palauttamaan selkotekstejä niiden salatuista versioista ilman avainta. Salauksen murtaminen on kuitenkin tietoteknisesti vaativaa ja hidasta, ja sen toteuttamiseen voi kulua useita vuosia.
Useimmiten toteutukseen kuuluu avaimien varastaminen, mikä on paljon helpompaa kuin salauksen murtaminen. Vakoiluvirastot toimivat yleensä näin, kun he kohtaavat tämän kaltaisia haasteita. Niiden onnistuminen ei perustu matematiikkaan vaan yhdistelmään teknisiä hämäyskeinoja, vahvaa tietotekniikkaa, huijaamista, oikeuden määräyksiä ja kulissien takana tapahtuvaa suostuttelua (takaovet). Salauksen takana oleva matematiikka on äärimmäisen vahvaa ja tietoteknisesti monimutkaista.
VPN haavoittuvuuksia ja niiden hyväksikäyttöjä
Yhdysvaltalaisen ilmiantajan Edward Snowdenin ja turvallisuustutkijoiden aiemmat paljastukset ovat osoittaneet, että USA:n tiedusteluvirasto (NSA) onnistui murtamaan potentiaalisesti suuren internet-liikenteen takana olevan salauksen. Tämä koski myös VPN-yhteyksiä. Snowdenin asiakirjat näyttävät, että NSA:n VPN-purkamisinfrastruktuurissa siepataan salattua liikennettä ja välitetään sitä tehokkaille tietokoneille, jotka palauttavat avaimen.
Turvallisuustutkijat Alex Halderman ja Nadia Heninger esittivät myös vakuuttavia tutkimustuloksia, joiden mukaan NSA todella onnistui kehittämään kyvyn purkaa suuria määriä Diffie-Hellman algoritmia käyttävien HTTPS-, SSH- ja VPN-liikenteen salauksista hyökkäyksessä, joka tunnetaan nimellä Logjam.
Tässä onnistuminen perustui Diffie-Hellman algoritmista löytyvän haavoittuvuuden hyväksikäyttöön. Perimmäinen syy tälle heikkoudelle on, että salausohjelmisto käyttää vakioitua alkulukua toteutuksessaan. Tutkijat arvioivat, että tarpeeksi tehokkaan tietokoneen rakentamiseksi - joka kykenisi murtamaan yksittäisen 1024-bittisen Diffie-Hellman alkuluvun - kuluisi noin yksi vuosi ja muutamia satoja miljoonia dollareita. Tämä mahtuu ongelmitta NSA:n vuosibudjettiin.
Valitettavasti ilmeni, että varsinaiset salausmenetelmiä hyödyntävät sovellukset, kuten VPN, käyttävät vain muutamia alkulukuja (pienempi kuin 1024 bittiä) – mikä tekee siitä entistä helpomman murtaa. Bruce Schneierin mukaan ”matematiikka on hyvää, mutta matematiikalla ei ole edustusta. Koodilla on edustus ja koodi on kukistettu”.
Kannattaisiko sinun käyttää edelleen VPN:ää?
Tutkijatiimi suosittelee palveluntarjoajille 2048-bittisten tai suurempien Diffie-Hellman avainten käyttämistä, ja julkaisi myös oppaan tämän käyttöön ottamiseksi TLS:lle. The Internet Engineering Task Force (IETF) suosittelee myös uusimpien korjattujen protokollien käyttämistä, jotka vaativat pidempiä alkulukuja.
Vakoojat voivat mahdollisesti murtaa Diffie-Hellman avaimissa yleisesti käytettyjä alkukuja 1024-bittiin (noin 309 merkkiä) saakka. 2048-bittisten avainten alkuluvut tulevat aiheuttamaan kuitenkin hankaluuksia. Näin vakoojat eivät kykene purkamaan näillä avaimilla suojattuja tietoja vielä pitkään aikaan.
Vaikka vakoojilla on käytössään keinoja käyttää hyväksi VPN:iä ja muita salausprotokollia hyökätessään salattuun liikenteeseen, käyttäjä on kuitenkin paremmin suojattu, kuin kommunikoidessaan selkotekstillä. Tietokonetta voidaan vahingoittaa, mutta tämä vaatii aikaa ja rahaa – mikä tekee siitä kallista vakoojille. Mitä vähemmän ilmeinen olet toimissasi, sitä paremmin olet turvassa.
Edward Snowdenin mukaan ”Salaus toimii. Kunnolla käytetyt vahvat kryptojärjestelmät ovat yksi harvoista asioista, joihin voit luottaa.” Mikäli mahdollista, vältä VPN-palveluita, jotka perustuvat ensisijaisesti MD5 tai SHA-1 tiivistealgoritmeihin ja PPTP tai L2TP/IPSec-protokolliin. Valitse palvelu, joka tukee ajankohtaisia OpenVPN-versioita (pidetään äärimmäisen turvallisena) ja SHA-2:sta. Jos olet epävarma siitä, mitä algoritmia VPN:si käyttää, voit tarkistaa sen VPN:n dokumentaatiosta tai ottaa yhteyttä asiakastukeen.
VPN on ystäväsi. Luota salaukseen, luota matematiikkaan. Maksimoi sen käyttö ja tee parhaasi varmistaaksesi että oma päätepisteesi on myös suojattu. Näin pysyt turvassa myös silloin, kun salattuihin yhteyksiin hyökätään.
Kirjoita ajatuksesi tämän artikkelin parantamiseksi. Palautteesi on meille tärkeää!