Le Virtual Private Network esistono da qualche anno, pertanto dovrebbero essere aggiornate contro certe falle e vulnerabilità, soprattutto se hanno più di vent’anni. E invece Tunnel Vision sembra sia riuscita a scansare tutti i controlli e gli aggiornamenti di sistema delle VPN, visto che ancora non si riesce a fronteggiarla come si deve. Ed è un problema, dal momento che come vulnerabilità è abbastanza pericolosa.
Trovata la falla Tunnel Vision sulle VPN
Riporta Techspot, i ricercatori del Leviathan Security Group hanno reso roto l’esistenza di un exploit che può costringere un utente VPN a trasmettere il proprio flusso di informazioni non crittografato al di fuori del tunnel VPN, esponendolo così al monitoraggio da parte di potenziali hacker. Praticamente rendendo inutile la tecnologia della stessa VPN.
Sebbene i ricercatori non abbiano trovato prove di sfruttamento attivo, questa falla potrebbe esistere da oltre due decenni, appunto dal 2002, ed essere così sfuggita a ogni controllo negli ultimi anni.
Ma come funziona questa vulnerabilità? In pratica, eseguendo un server DHCP nella stessa rete della vittima, un hacker può manipolare il traffico destinato a una VPN attraverso un gateway, e leggerlo senza crittografia. Metodo particolarmente subdolo, visto che un utente qualsiasi non noterà nulla di insolito.
Così facendo, il canale VPN rimarrebbe indisturbato: qualsiasi dispositivo mostrerà sempre un corretto funzionamento, pertanto gli interruttori di disconnessione (altresì noti come kill switch, previsti in caso di violazione) non si attiveranno mai.
A sua volta, riportano i ricercatori, a essere esposti sono tutti gli algoritmi di crittografia e i protocolli VPN, poiché l’exploit aggira l’intero sistema. La vulnerabilità colpisce inoltre allo stesso modo i diversi protocolli VPN, non importa se il servizio in uso sfrutti WireGuard, OpenVPN, IPsec o altro.
Come evitare questa vulnerabilità
Attualmente, non esiste alcun metodo per affrontare completamente il problema, almeno su sistemi operativi popolari come Windows, macOS o iOS. Il principale punto debole dell’exploit è che richiede l’opzione DHCP 121. Poiché Android non supporta l’opzione 121, gli attacchi non influenzano i dispositivi Android.
In tutti gli altri casi, chi utilizza altri sistemi operativi deve ignorare l’opzione DHCP 121, anche se l’hacker potrebbe riuscire comunque a disconnettere un dispositivo da internet e negare l’accesso all’utente fino a quando l’opzione 121 non viene riabilitata.
Altra soluzione, più efficace, è quella di utilizzare i namespace di rete, ma solo Linux supporta questa funzione. Altrimenti, conviene aspettare l’aggiornamento dei rispettivi sistemi operativi Windows e Apple.
Opzioni minori per aumentare la protezione della propria VPN sono:
- disattivare il DHCP;
- aumentare le restrizioni del firewall;
- utilizzare un hotspot per accedere a una VPN.
Per finire, raccomandiamo agli utenti che utilizzano una VPN di essere più cauti nella scelta degli hotspot pubblici da utilizzare.
