Wanneer enkele veiligheidsfirma’s onlangs globale waarschuwingen uitsturen omtrent het gebruik van (hun of andere) VPN diensten, dan begin ik mij eerlijk gezegd toch wat zorgen te maken. Waarom blijken deze diensten, die voorheen werden aangeprezen als een extra beveiliging voor het werken via internet, plots géén afscherming voor inbreuken meer te bieden ? Waar wringt het schoentje, waardoor blijkbaar vreemden zouden kunnen meekijken in ons dataverkeer ?
Vooraf even een korte herhaling : VPN over internet wordt gebruikt als een extra beveiliging, zodat het dataverkeer volledig gescheiden en versleuteld verloopt tussen jouw computer en de ‘bestemmeling’. Ook kan je het bron-IP op deze wijze verdoken gebruiken, zodat dit niet kan getraceerd worden tot aan jouw computer. Meer en meer is VPN in gebruik, zeker sinds het thuiswerken tijdens de Corona-crisis het nieuwe normaal is gaan vormen. Tot zover lijkt alles goed.
Maar er zijn toch enkele aandachtspunten die je steeds voor ogen moet houden. Zelf had ik het niet meteen verwacht…
Nu er meer wordt gerekend op VPN en op internet gebaseerde applicaties, blijkt duidelijk uit uitgevoerde pentesting, dat er massaal véél kwetsbaarheden worden gevonden in deze VPN software. De pre-authenticatie verloopt onveilig, de uitwisseling van de versleuteling laat via tijdelijke bestanden te veel traceerbare sporen na, enz. De opbouw van de communicatie tussen bron en doel laat het injecteren van andere opdrachten toe, waardoor de VPN-verbinding kan misbruikt of uitgelezen worden. Deze extra onveiligheden kunnen ook gevonden worden in de zwakke bescherming van de transportlaag, het te zwakke paswoord binnen de systemen, het ontbreken van strikte transportbeveiliging, enz.
Een simpele oplossing bestaat er alvast in om de laatste versie (met de nodige veiligheidspatches) te installeren, en hierop dus geen uitzonderingen te maken. Maar zelfs dan blijkt die niet altijd 100% waterdicht te zijn. Immers, alle informatie -zelfs van de laatste, nieuwe versie- over de patches voor de gedocumenteerde kwetsbaarheden, staan volop gedocumenteerd op het internet. Deze documentatie laat dus ook toe aan hackers en pentesters om hiervan misbruik te maken.
Misschien zijn we zelfs toe aan een “bi-VPN-aanpak”, waarbij de beide gebruikte softwares telkens van een andere VPN-bron komen. Geen eenvoudige opdracht qua beheer en wellicht geeft ook dit nog geen zekerheid op een veilige verbinding.
Dat men daarnaast zeker ook gebruik maakt van MFA, multi-factor authenticatie, voor het inloggen is zeker een meerwaarde.
Tel de beide kwetsbaarheden bij elkaar op en hou in het achterhoofd dat alle versies “lager dan TLS 1.3” (transport layer security) bekende veiligheidsproblemen kennen. Deze gekende kwetsbaarheden zullen ook door de hackers worden misbruikt. Blijf dus alert, maar activeer zeker ook de recentste versie van VPN-sofware ! Het is een goed begin om veilig te surfen…