Kunnen VPN’s gehackt worden? We bekijken het van dichterbij

We checken de specificaties van VPN’s en of er zwakke plekken zijn voor hackers. Deel

Wat is een VPN?

Een Virtual Private Network (VPN) stelt u in staat om via het internet een beveiligde virtuele tunnel te creëren naar een ander netwerk of apparaat. Als u het internet benadert via deze virtuele tunnel, is het lastig – zelfs voor uw internetprovider – om uw internetactiviteit te achterhalen.

VPN’s helpen ook uw locatie verbergen, zodat u content met geografische restricties kunt ontsluiten. Een VPN beschermt uw vertrouwelijke informatie (data blijft privé) en de integriteit (data blijft ongewijzigd) wanneer u berichten verzendt via het internet.

Een dergelijke beveiligde verbinding opzetten is relatief makkelijk. Eerst maakt de gebruiker verbinding met het internet via een provider, dan start hij een VPN-verbinding op met behulp van (lokaal geïnstalleerde) software die hem aanmeldt bij de VPN-server. De VPN-server haalt de opgevraagde webpagina’s binnen om ze aan de gebruiker te tonen via de beveiligde tunnel, zodat gebruikersinformatie veilig en afgeschermd van en naar het internet gaat.

Hoe werkt VPN-encryptie?

Het VPN-protocol is een set regels voor datatransmissie en encryptie. De meeste VPN-aanbieders geven gebruikers de optie om te kiezen uit verschillende VPN-protocollen. Enkele van de meest gebruikte protocollen zijn: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) en OpenVPN (SSL/TLS).

Om echt te begrijpen hoe een VPN uw privacy beschermt, moeten we wat dieper graven in hoe encryptie werkt. VPN maakt gebruik van een techniek die ‘encryptie’ genoemd wordt om uw leesbare data (platte tekst) volstrekt onleesbaar (gecodeerde tekst) te maken voor wie dan ook die hem afvangt op de reis door het internet. Een algoritme of ‘cipher’ bepaalt hoe het encryptie- en decryptieproces plaatsvindt binnen de VPN-protocollen. VPN-protocollen maken gebruik van deze coderingsalgoritmes om uw data te versleutelen zodat uw internetactiviteit privé en vertrouwelijk blijft.

Elk van deze VPN-protocollen heeft sterke en zwakke punten, afhankelijk van het coderingsalgoritme dat erin is gebouwd. Sommige VPN-aanbieders geven de gebruikers de mogelijkheid om uit verschillende versleutelmethoden te kiezen. Het algoritme of ‘cipher’ kan gebaseerd zijn op een van deze drie classificaties: symmetrische en asymmetrische algoritmes, en algoritmes die gebruikmaken van een hashfunctie.

Sommige encryptie maakt gebruik van één versleutelingsmechanisme (encryptie) en één ontsleutelingsmechanisme (decryptie).
De onderstaande tabel biedt een samenvattende vergelijking tussen symmetrische en asymmetrische encryptie.

Kenmerk Symmetrisch Asymmetrisch
Versleuteling Eén versleutelmethode voor alle doeleinden Een mix van openbare versleuteling en privéversleuteling
Uitwisseling van versleutelde data Vereist een beveiligd mechanisme voor het versturen en ontvangen van versleutelde data Privéversleuteling wordt geheimgehouden door de eigenaar, terwijl iedereen de openbare versleuteling kan gebruiken
Snelheid Minder complex en sneller Complexer en langzamer
Sterkte Makkelijker te kraken Moeilijker te kraken
Schaalbaarheid Goed schaalbaar Beter schaalbaar
Gebruik Encryptie in bulk, oftewel: alles Alleen versleutelde data en digitale handtekeningen
Aangeboden veiligheidsservice Vertrouwelijkheid Vertrouwelijkheid, authenticatie en onweerlegbaarheid
Voorbeelden DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 en RC6 RSA, ECC, DSA en Diffie-Hellman

Asymmetrische versleuteling is het antwoord op de inherente beperkingen van symmetrische versleuteling (zoals te zien valt in de bovenstaande table). Whitfield Diffie en Martin Hellman waren een van de eersten die deze tekortkomingen ondervingen door een asymmetrisch algoritme te ontwikkelen dat Diffie-Hellman heet.

Dat is een populair coderingsalgoritme dat aan de basis ligt van veel VPN-protocollen, waaronder HTTPS, SSH, IPsec en OpenVPN. Het algoritme stelt twee partijen die elkaar nooit hebben ontmoet in staat om een geheime versleuteling te creëren, zelfs als ze met elkaar communiceren via een onbeveiligd publiek kanaal zoals het internet.

Hashing is eenrichtingsencryptie (niet terug te draaien) die bedoeld is om de integriteit van verzonden data te beschermen. De meeste VPN-protocollen maken gebruik van hybride algoritmes om de authenticiteit van berichten die via de VPN worden verzonden, te controleren. Voorbeelden hiervan zijn MD5, SHA-1 en SHA-2. MD5 en SHA-1 worden niet langer als veilig beschouwd.

VPN’s kunnen gehackt worden, maar het is niet makkelijk. De kans op hacks is zonder VPN beduidend groter dan mét VPN.

Kan men echt een VPN hacken

VPN’s zijn en blijven een van de meest effectieve manieren om online privacy te waarborgen. Toch is het belangrijk om te weten dat vrijwel alles gehackt kan worden, vooral als u een geliefd doelwit bent en uw belager genoeg tijd, geld en middelen heeft. Het goede nieuws is dat de meeste gebruikers geen geliefde doelwitten zijn.

Een VPN-verbinding hacken kan ofwel door de encryptie te verbreken door bekende zwakke punten te pakken, of door de versleutelmethode via een achterdeur te jatten. Hackers en analytici voeren aanvallen uit waarbij ze platte tekst terug proberen te halen uit de versleutelde variant, zonder de sleutel zelf te kennen. Encryptie verbreken vergt veel computercapaciteit en vreet tijd – tot wel vele jaren.

De meeste pogingen gaan om het stelen van de sleutels, wat een stuk makkelijker is dan de encryptie verbreken. Het behaalde succes is geen gevolg van wiskunde, maar van een combinatie van technisch vernuft, computerkracht, valsspelen, rechtszaken en achterkamertjespolitiek. Wiskundig is encryptie namelijk heel sterk en ingewikkeld.

VPN-zwaktes en uitwassen

Onthullingen van de Amerikaanse klokkenluider Edward Snowden en veiligheidsonderzoekers hebben aangetoond dat de Amerikaanse geheime dienst NSA de encryptie van een potentieel enorme hoeveelheid internetverkeer had gekraakt, waaronder VPN’s. De Snowden documents toonden aan dat de VPN-decryptie-infrastructuur van de NSA onder meer versleuteld internetverkeer onderving en sommige data doorstuurde naar krachtige computers, die zo de sleutel konden achterhalen.

Veiligheidsonderzoekers Alex Halderman en Nadia Heninger hebben ook overtuigend onderzoek naar buiten gebracht waaruit blijkt dat de NSA inderdaad veel HTTPS-, SSH- en VPN-verkeer kon ontcijferen waarbij gebruik werd gemaakt van enkele verschijningsvormen van het Diffie-Hellman-algoritme, met een aanval die bekendstaat als Logjam.

Hun succes was gebaseerd op de exploitatie van een zwakte in de implementatie van het Diffie-Hellman-algoritme. De kern van deze zwakte is dat encryptiesoftware een gestandaardiseerd priemgetal gebruikt. De onderzoekers schatten dat het ongeveer een jaar en een paar honderd miljoen dollar zou kosten om een krachtige computer te bouwen die een enkel 1024-bit Diffie-Hellman-priemgetal zou kunnen kraken (en dat past makkelijk binnen het jaarbudget van de NSA).

Helaas wilde het geval dat slechts enkele priemgetallen (minder dan 1024-bit) in daadwerkelijke encryptiemethodes zoals VPN’s gebruikt worden, waardoor het nog makkelijker is om ze te kraken. In de woorden van Bruce Schneier “klopt de wiskunde, maar de wiskunde is niet bepalend. De code is bepalend, en de code is ondermijnd.”

Zou u nog een VPN moeten gebruiken?

Voor dienstverleners raadt het onderzoeksteam een 2048-bit Diffie-Hellman of hoger aan, en er is een handleiding gepubliceerd voor het gebruik daarvan in TLS. De Internet Engineering Task Force (IETF) raadt ook aan om de meest recente versie te gebruiken van protocollen die langere priemgetallen vereisen.

Spionnen kunnen eventueel priemgetallen kraken die veel worden gebruikt in Diffie-Hellman versleutelingen met een lengte tot aan 1024-bit (ongeveer 309 tekens). Priemgetallen in 2048-bit versleutelingen zullen een flinke kluif voor ze worden, en voorlopig zijn spionnen niet in staat om data die volgens deze method is versleuteld, te ontcijferen.

Voor gebruikers is het weliswaar een feit dat er hackers op uit zijn om VPN’s en andere encryptieprotocollen te kraken om versleutelde data te kunnen uitlezen, maar u bent alsnog een stuk beter beschermd dan wanneer u platte tekst verzendt. Hoewel uw computer kan worden gehackt, zou het veel tijd en geld kosten – dat maakt het een kostbare exercitie. Hoe minder gewild u bent, hoe veiliger u bent.

Volgens Edward Snowden “werkt encryptie. Goed gebruik van versleutelingssystemen is een van de weinige dingen waarop u kunt vertrouwen.” Vermijd VPN’s die gebaseerd zijn op de hashmethoden MD5 of SHA-1 zo veel mogelijk, net als PPTP of L2TP/IPSec-protocollen. Ga voor een VPN die huidige versies van OpenVPN (dat wordt als zeer veilig beschouwd) en SHA-2 ondersteunt. Als u niet zeker weet op welk algoritme uw VPN draait, check dan de VPN-documentatie of neem contact op met de klantenservice.

VPN staat aan uw kant. Vertrouw op encryptie, vertrouw de wiskunde. Maak er zo goed mogelijk gebruik van en doe uw best om u ervan te verzekeren dat de ontvanger ook een beschermde omgeving is. Zo kunt u veilig blijven terwijl om u heen versleutelde verbindingen worden gekraakt.

Was dit nuttig? Deel het!
Deel op Facebook
0
Tweet dit
0
Deel als u denkt dat Google niet genoeg over u weet
0