Lek maakt 'kapen' van je VPN-verbinding mogelijk. Hoe groot is het risico?
Een kwetsbaarheid in onder andere Android, iOS macOS maakt het mogelijk om VPN-verbindingen te 'kapen' en 'willekeurige code in dataverkeer te injecteren', zo melden onderzoekers. Maar wat betekent dat precies en hoeveel risico loop je nu eigenlijk? David Janssen van VPNGids.nl helpt om de technische termen begrijpelijk te maken.
Onderzoekers van Breakingpoint Bad en de Universiteit van New Mexico meldden woensdag 4 december dat een kwetsbaarheid in verschillende bestruingssystemen, waaronder die van populaire smartphones en computers, het kapen van VPN (Virtueel Particulier Netwerk) mogelijk maakt. Hierover berichtten Tweakers en Security.nl vorige week met het nodige jargon.
Het gaat onder andere om iOS (het systeem van Apple waarop iPhones en iPads werken), Android (het systeem van Google waarop de meeste niet-Apple telefoons draaien) en macOS (het systeem waarop computers van Apple, zoals de MacBook opereren).
Als je op apparaten met zulke systemen een VPN-verbinding gebruikt, is die dus kwetsbaar voor kwaadwillenden.
Lees ook deze uitleg van VPN:
Wat is VPN en hoe veilig is deze versleutelde verbinding?
Gevolgen kunnen groot zijn, maar het risico is klein
Tweakers schreef over de onthulling dat het lek het mogelijk maakt om 'de tcp-sessie in de VPN-tunnel kapen' en via het lek 'willekeurige payloads in versleutelde connecties [kunnen] injecteren'.
Aan David Janssen, analist online veiligheid en privacy van de website VPNGids.nl, leggen we de vraag voor of deze abacadabra betekent dat kwaadwillenden bijvoorbeeld virussen of andere kwaadaardige bestanden op je computer kunnen zetten.
Janssen: 'Nee, kwaadwillenden kunnen niet zomaar autonoom dingen op je pc zetten, maar ze kunnen, als aan enkele randvoorwaarden wordt voldaan, mogelijk gegevensstromen aanpassen.'
Hij geeft een voorbeeld: 'Als je een installer aan het downloaden bent (een exe-bestand bijvoorbeeld) over een http-verbinding, dan zouden kwaadwillenden wel hun eigen malware (schadelijke software) kunnen bundelen in die installer. Bijvoorbeeld een keylogger, met alle gevolgen van dien.'
Een keylogger is een programma dat de toetsaanslagen op je computer registreert. Zo kunnen criminelen bijvoorbeeld inloggegevens buitmaken.
'Met een beetje geluk merkt het antimalware-programma van het slachtoffer dit op, maar dit is niet altijd het geval, weet Janssen.
Zo'n aanval kan dus een grote impact hebben maar, zo relativeert de VPNGids-man, 'de waarschijnlijkheid van een geslaagde aanval is gering. Ze kunnen niet te pas en te onpas bestanden installeren zonder actie van de gebruiker.'
Zo moet je volgens Janssen echt specifiek 'getarget' worden door een aanvaller. 'Deze kwetsbaarheid faciliteert geen grootschalige ongerichte aanvallen: iemand moet het echt op je voorzien hebben.'
De analist voegt toe: 'Als aanvaller en slachtoffer op hetzelfde netwerk zitten, dan hoeft de aanvaller geen zogenaamde ''sequence nummers'' te raden en is een aanval gemakkelijker uit te voeren. Zit een aanvaller op een ander netwerk, dan moeten sequence nummers dus wél worden geraden. Dit is theoretisch mogelijk, maar een ervaren ethisch hacker vertelt ons dat hij dit dusver alleen nog heeft zien werken in geoptimaliseerde lab-opstellingen, niet in the real world.'
'Mét VPN alsnog beter dan zónder VPN'
Betekent dit dat iedereen die een VPN-cliënt gebruikt en op macOS, Android of iOS zit, op zijn hoede moet zijn?
'De kans op een aanval is heel erg klein, al ben je wel iets kwetsbaarder zodra je op hetzelfde netwerk als een potentiële aanvaller zit. Dit vormt mogelijk een extra risico bij openbare wifi-netwerken,' vermoedt Janssen. 'Maar zelfs met deze vulnerability ben je mét een VPN een stuk beter beschermd dan zonder VPN, dus het gebruik van een betrouwbare VPN-aanbieder wordt sowieso aangeraden, zeker op openbare wifi-netwerken. Zelfs een gratis VPN kan volstaan, zolang je een betrouwbare gratis provider kiest (want er zijn veel malafide gratis VPN's, voornamelijk in de App Store en Play Store).'
Filtering inschakelen: heb je daar iets aan?
'Het probleem is te verhelpen door Reverse path-filtering in te schakelen of Bogon-filtering te activeren', zo valt te lezen op Tweakers. Heb je daar als leek iets aan?
'Reverse path-filtering of Bogon-filtering kun je als leek maar beter niet aan beginnen,' adviseert de VPNGids-analist, 'al is het wel raadzaam een goede firewall te installeren (vaak geïncludeerd bij goede antimalware-software). Een goede firewall kan bijvoorbeeld wel Bogon-filtering automatisch toepassen. Daarnaast ligt de mogelijkheid tot filtering ook bij de internetprovider; je zou eventueel jouw internetprovider kunnen contacteren of op zijn website kijken om te checken of die aan deze vormen van filtering doet.'
Binnenkort updates en patches verwacht
Echter, zo voegt hij toe, 'de onderzoekers van de Universiteit van New Mexico hebben al aangegeven dat deze methodes geen perfecte oplossing zijn. Het is beter om af te wachten tot er patches of updates komen voor Android, iOS, MacOS die dit probleem oplossen. Of wellicht patches van de VPN-providers zelf.
Het is een optie om tot die tijd openbare wifi-netwerken spaarzaam te gebruiken, al blijven de risico's erg minimaal. We verwachten dat de nodige updates en patches bovendien zeer snel zullen worden uitgerold. Meestal reageert de markt snel op dergelijke beveiligingslekken, zeker als ze op deze schaal wereldkundig worden gemaakt.'
Geen reden tot paniek
'Alles in acht nemend beoordelen we de risico's die deze kwetsbaarheid met zich meebrengt als minimaal / beperkt,' concludeert Janssen. 'Het is voor de doorsnee internetgebruiker (VPN-gebruiker) geen reden tot paniek.'