Hlavní navigace

Studie: devět z deseti SSL VPN je beznadějně nebezpečných

Autor: Jan Sedlák
Daniel Dočekal

Používat VPN je v dnešních dnech jedna z důležitých součástí bezpečnější komunikace po internetu. Ale co když samy VPN služby nejsou bezpečné?

Devět z deseti SSL VPN je nebezpečných pro uživatele, používá zastaralé či nedostatečné formy šifrování a představuje hrozbu pro data, která skrz ně posíláte. To je výsledek testu 10 436 veřejně dostupných SSL VPN serverů (z celkového počtu asi 4 milionů náhodně vybraných adres) od těch největších výrobců jako je Cisco, Fortinet či Dell.

77 % z nich používá SSLv3 protokol, zhruba stovka dokonce SSLv2. Oba tyto protokoly jsou nejenom zastaralé, ale hlavně mohou být zneužité řadou zranitelností a útoků. Ani jeden není považován za bezpečný.

76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.

74 % má certifikáty s nebezpečným SHA-1 podpisem, 5 % dokonce používá ještě starší MD5 technologie.

41 % používá nebezpečné 1024 bitové klíče pro RSA certifikáty. Obecně se předpokládá, že cokoliv pod 2048 bitů délky není bezpečné.

10 % SSL VPN serverů je založeno na Open SSL a zároveň stále napadnutelné nyní již hodně starým Heartbleed útokem (zranitelnost objevená v dubnu 2014).

FIN17_bilka

Pouze 3 % vyhovují PCI DSS požadavkům a žádné SSL VPN nevyhovují NIST pravidlům.

Podrobnější informace najdete v 90% of SSL VPNs use insecure or outdated encryption, putting your data at risk, tedy přímo u autorů studie (testu), společnosti High-Tech Bridge.

Našli jste v článku chybu?
7. 3. 2016 13:33
Jarda Kuba (neregistrovaný)

Různé VPN implementace poskytují různou úroveň zabezpečení, to není žádná novinka, ale ani problém. Na stavbě také nepoužíváme cylindrickou vložku čtvrté bezpečnostní třídy a nikdo se kvůli tomu za hlavu nechytá. Celkem se mi v tomto případě líbí výraz "zabezpečení přiměřené míře rizika" - kde není riziko, není problém použít i "méně bezpečné" VPN.

7. 3. 2016 9:45

Zítra se jistě dozvíme, jaký start-up nám všem tento problém elegantně vyřeší. Pan Teska třebas :-)