НОВОЕ РУКОВОДСТВО ПО SD-WAN


Старые версии не гарантируют анонимность

Исследование работы сервиса Kaspersky Secure Connection (Kaspersky VPN) Лаборатории Касперского, обеспечивающего передачу данных через интернет в зашифрованном виде, выявило утечку DNS при подключении к любому произвольному виртуальному серверу. Проблема наблюдается при использовании версии 1.4.0.216 мобильного приложения.

Суть проблемы заключается в том, что приложение направляет запросы к DNS-серверам в обход защищенного туннеля, специально создаваемого для передачи данных в зашифрованном виде при активации сервиса.

Всякий раз, когда пользователь посещает какой-либо веб-сайт, ссылаясь на него по доменному имени, браузеру необходимо определить соответствующий этому имени IP-адрес ресурса. Для этого он обращается к специальным DNS-серверам, хранящим таблицы соответствия IP-адресов и доменных имен. Такие серверы могут поддерживаться интернет-провайдерами или сторонними компаниями (например, очень популярны DNS-серверы Google). Если подобные запросы к DNS-серверу осуществляются в обход VPN-туннеля, владелец сервера или третье лицо, перехватывающее трафик пользователя, может элементарно определить реальный адрес пользователя такого VPN-сервиса и адреса ресурсов, которые он посещает. Таким образом, все попытки пользователя сохранить собственную анонимность сводятся на нет, а использование VPN теряет смысл.

Без денег, но с репутацией

Дхирай Мишра (Dhiraj Mishra), обнаруживший ошибку в Kaspersky Secure Connection, утверждает, что сообщил о ней Лаборатории Касперского посредством платформы Hackerone еще 21 апреля 2018 г. Платформа соединяет бизнес и исследователей безопасности в рамках программы Bug Bounty, поощряющей обнаружение и раскрытие уязвимостей в программных продуктах, за что их разработчики выплачивают хакерам денежное вознаграждение.

В конце мая 2018 г., компания выпустила исправленную версию (1.4.0.453) приложения, но вознаграждения Мишра, по его собственным словам, до сих пор не получил. Вместо этого, Лаборатория Касперского начислила исследователю баллы репутации. По-видимому, этот факт и сподвиг хакера на публичное раскрытие информации о баге.

Хакер затаил обиду на Лабораторию Касперского из-за невыплаченной награды за раскрытие бага в Kaspersky VPN

Судя по всему, денежного перевода Мишра ожидает напрасно: в соответствии с условиями, опубликованными Лабораторией Касперского на Hackerone, денежное вознаграждение выплачивается в случае обнаружения проблем, которые ведут к раскрытию чувствительных данных пользователей. Тем не менее, поясняется, что таковыми являются: пароли, платежная информация и токены аутентификации. Информация о реальном IP-адресе или сайтах, посещенных пользователем, ни к одной из перечисленных категорий не относятся.

Мишра также опубликовал краткую инструкцию, позволяющую любому желающему воспроизвести ошибку. Сперва предлагается посетить сайт ipleak.net и обратить внимание на указанный на нем адрес DNS-сервера, на который отправляются соответствующие запросы. Затем нужно запустить Kaspersky Secure Connection и вновь перейти на ipleak.net. Если адрес DNS-сервера остался прежним, это значит, что утечка DNS имеет место.

Как позже пояснили в Лаборатории Касперского, баг, о котором поведал хакер, в действительности существовал, но был исправлен в июне 2018 г. Также в компании пояснили, что на данный момент программой Bug Bounty не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, но в будущем она может быть расширена.

Компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса. Лаборатория Касперского готова платить до $20 тыс. тем, кто найдет бреши в этих решениях, и до $100 тыс. за особо серьезные уязвимости. С самого начала программы Bug Bounty, запущенной в августе 2016 г. совместно с Hackerone, удалось успешно исправить 106 багов и уязвимостей. Лаборатория Касперского выплатила по ней исследователям $11,7 тыс.

Согласно статистике Google Play Market, официального магазина приложений ОС Android, Kaspersky Secure Connection загрузили свыше миллиона пользователей. Его средняя оценка равняется 4,6 балла, что свидетельствует о популярности и высоком уровне доверия к продукту.

Другие новости на эту тему

На сайте Avito появились объявления о продаже шлема от скафандра Юрия Гагарина, поздравительной открытки и оригинальной фотографии, на которой запечатлен советский космонавт.Сообщается, что шлем скафандра был предназначен для тренировок и может находиться в холодной воде в течение 12 часов. По словам владельца, деталь от скафандра подлинная и имеет сопроводительные документы...
Группа физиков, включая Роджера Пенроуза, нашла свидетельство в пользу конформной циклической космологии - теоретической модели, согласно которой отдаленное будущее одной Вселенной оказывается сингулярностью, с которой начинает свое расширение другая Вселенная...
Международная группа ученых обнаружила экзопланету с высоким содержанием железа в атмосфере. Газовый гигант KELT-9b из-за своей близости к родительской звезде обладает экстремально высокой температурой, которая позволяет испарить металл. Об этом сообщает издание Science Alert...
Дело о 90 гигабайтах В Австралии начался судебный процесс над подростком, успешно взломавшим внутренние системы корпорации Apple и выкачавшим оттуда не менее 90 ГБ конфиденциальной информации. Имя подростка не раскрывается в соответствии с законодательством: подсудимый несовершеннолетний...
Первый пилот На испытательной регулятивной площадке (песочнице) Центробанка был осуществлен первый пилотный проект по тестированию продукта. Проверку прошел сервис Сбербанка для удаленного управления полномочиями по счетам корпоративных клиентов, которые дают право совершать операции в банковских отделениях...
Новые NUC Intel официально представил сразу несколько компактных компьютеров семейства NUC. В их число вошли пять комплектов Bean Canyon без оперативной и постоянной памяти и ОС, а также два полноценных мини-ПК Crimson Canyon. Новинки поступят в продажу по всему миру в начале сентября 2018 г. Новые Bean Canyon получили названия NUC8i7BEH, NUC8i5BEH, NUC8i5BEK, NUC8i3BEH и NUC8i3BEK...
По ФСБ тараном В ходе многоступенчатого разбирательства ФАС в отношении закупки ФСБ IP-адреса участников аукциона стали одним из главных доказательств сговора на торгах, выразившемся в применении антиконкурентной схемы, в просторечии именуемой таран...
Ученые из Института механики МГУ определили, как случайные колебания скорости вращения, или шумы, влияют на количество вихрей в сферическом течении Куэтта. Оказалось, что между уровнем шума и режимом течения существует сложная нелинейная связь. Это позволит построить более точные модели природных течений, в том числе циркуляции атмосферы Земли. Результаты работы опубликованы в журнале Chaos...
ARM не на шутку заинтересовалась ноутбуками Британская компания ARM (Advanced RISC Machine), выпускающая 32-битные и 64-битные вычислительные ядра с одноименной архитектурой, представила свои обновленные планы по выпуску новых процессорных архитектур до 2020 г. В дополнение к подробностям о новой 64-битной архитектуре Cortex A76, представленной впервые в мае 2018 г...
DMF - в помощь разработчикам драйверов Microsoft выпустила программную платформу (фреймворк) Driver Module Framework (DMF), призванную упростить процесс разработки структурированных WDF-драйверов (Windows Driver Frameworks) устройств для операционной системы Windows...