Zo check je of jouw VPN-verbinding 'gekaapt' kan worden

Een kwetsbaarheid in onder andere macOS, Linux, iOS en Android maakt het mogelijk om VPN-verbindingen te 'kapen' en 'willekeurige code in dataverkeer te injecteren', zo melden onderzoekers. Maar wat betekent dat precies en hoeveel risico loop je nu eigenlijk? David Janssen van VPNGids.nl helpt om de technische termen begrijpelijk te maken.

Onderzoekers van Breakingpoint Bad en de Universiteit van New Mexico meldden woensdag 4 december dat een kwetsbaarheid in onder andere Linux-distro's, Unix, macOS, Android en iOS het kapen van VPN (Virtueel Particulier Netwerk) mogelijk maakt. Hierover berichtten Tweakers en Security.nl vorige week met het nodige jargon.

Families van besturingssystemen: van Linux tot Unix en van iOS tot Android
Om meteen maar even wat termen uit te leggen: Linux is een 'familie' van besturingssystemen en 'distro's' betekent in dit geval 'varianten'. Android is het bekende besturingssysteem waarop veel smartphones en tablets draaien. Dit is gebaseerd op Linux.

Ook Unix is een besturingssysteem-familie waarop weer andere systemen gebaseerd zijn. Voorbeelden zijn macOS (het besturingssysteem van Applecomputers) en iOS (het systeem waarop iPhones en iPads draaien).

Als je op apparaten met zulke systemen een VPN-verbinding gebruikt, is die dus kwetsbaar voor kwaadwillenden.

Lees ook deze uitleg van VPN:

Wat is VPN en hoe veilig is deze versleutelde verbinding?

Gegevensstromen aanpassen
Tweakers schreef over de onthulling: Het lek maakt het (...) mogelijk om te bepalen dat een gebruiker een actieve VPN-verbinding heeft, en welk virtueel IP-adres ze toegewezen hebben gekregen van de VPN-aanbieder. Vervolgens kunnen aanvallers de sequentie- en acknowledge-nummers bepalen door de versleutelde pakketjes te tellen en hun grootte af te leiden. Daarna kunnen ze de tcp-sessie in de VPN-tunnel kapen en via het lek willekeurige payloads in versleutelde connecties injecteren'.

Aan David Janssen, analist online veiligheid en privacy van de website VPNGids.nl, leggen we de vraag voor of deze abacadabra betekent dat kwaadwillenden bijvoorbeeld virussen of andere kwaadaardige bestanden op je computer kunnen zetten.

Janssen: 'Nee, kwaadwillenden kunnen niet zomaar autonoom dingen op je pc zetten, maar ze kunnen, als aan enkele randvoorwaarden wordt voldaan, mogelijk gegevensstromen aanpassen.'

Hij geeft een voorbeeld: 'Als je een installer aan het downloaden bent (een exe-bestand bijvoorbeeld) over een http-verbinding, dan zouden kwaadwillenden wel hun eigen malware kunnen bundelen in die installer.

Effectief kan de aanval weliswaar een grote impact hebben, maar de waarschijnlijkheid van een geslaagde aanval is gering, volgens de VPNGids-man. 'Mocht er toch een geslaagde aanval plaatsvinden, dan kan de impact wel degelijk groot zijn. In principe kan een hacker allerlei soorten malware meesturen, bijvoorbeeld een keylogger, met alle gevolgen van dien.'

Een keylogger is een programma dat de toetsaanslagen op je computer registreert. Zo kunnen criminelen bijvoorbeeld inloggegevens buitmaken.

'Met een beetje geluk merkt het antimalware-programma van het slachtoffer dit op, maar dit is niet altijd het geval, weet Janssen. 'Ze kunnen echter niet te pas en te onpas bestanden installeren zonder actie van de gebruiker.'

Daarnaast is het volgens Janssen zo dat je echt getarget moet worden door een aanvaller. 'Deze kwetsbaarheid faciliteert geen grootschalige ongerichte aanvallen: iemand moet het echt op je voorzien hebben.'

De analist voegt toe: 'Als aanvaller en slachtoffer op hetzelfde netwerk zitten, dan hoeft de aanvaller geen zogenaamde sequence nummers te raden en is een aanval gemakkelijker uit te voeren. Zit een aanvaller op een ander netwerk, dan moeten sequence nummers dus wél worden geraden. Dit is theoretisch mogelijk, maar een ervaren ethisch hacker vertelt ons dat hij dit dusver alleen nog heeft zien werken in geoptimaliseerde lab-opstellingen, niet in the real world.'

Zo controleer je of je 'systemd' hebt
Volgens het bericht op Tweakers zijn in ieder geval 'Linux-distro's met systemd-versies van ná 28 november 2018' kwetsbaar. Wat zijn dat en hoe kun je zien / controleren of je die hebt?

'Systemd is één van de bouwstenen van Linux-besturingssystemen,' legt Janssen uit. 'Heel veel processen worden door systemd beheerd en sinds 2015 is systemd de norm geworden voor veel Linux-distro's.'

'Echter, sommige distro's kunnen draaien zonder dat systemd ingeschakeld is. Je kunt erachter komen welke versie van Linux je hebt door in de terminal het volgende in te voeren: 'hostnamectl'

Vervolgens krijg je een lijstje met informatie over jouw apparaat, waaronder 'Operating System'. Vervolgens kun je in Google of een andere zoekmachine de vraag invoeren: 'Does … use systemd'.

Of je kunt kijken op de Wikipedia-pagina over systemd. Onder het kopje ''adoption'' kun je een lijst zien welke distro's systemd gebruiken en bij welke het nog uit te zetten valt.'

'Mét VPN alsno beter dan zónder VPN'
Betekent dit dat iedereen die een VPN-cliënt gebruikt en op macOS, Android of iOS zit, op zijn hoede moet zijn?

'De kans op een aanval is alsnog heel erg klein, al ben je wel iets kwetsbaarder zodra je op hetzelfde netwerk als een potentiële aanvaller zit. Dit vormt mogelijk een extra risico bij openbare wifi-netwerken,' vermoedt Janssen. 'Maar zelfs met deze vulnerability ben je mét een VPN een stuk beter beschermd dan zonder VPN, dus het gebruik van een betrouwbare VPN-aanbieder wordt sowieso aangeraden, zeker op openbare wifi-netwerken. Zelfs een gratis VPN kan volstaan, zolang je een betrouwbare gratis provider kiest (want er zijn veel malafide gratis VPN's, voornamelijk in de App Store en Play Store).'

LEES MEER OVER VPN
Wat is VPN en hoe veilig is deze versleutelde verbinding?
Wifi op je smartphone: bescherm je toestel tegen een hack!
Internetten met een VPN-verbinding: stel jouw vraag!
Filtering inschakelen: heb je daar iets aan?
'Het probleem is te verhelpen door Reverse path-filtering in te schakelen of Bogon-filtering te activeren', zo valt te lezen op Tweakers. Heb je daar als leek iets aan?

'Reverse path-filtering of Bogon-filtering kun je als leek maar beter niet aan beginnen,' adviseert de VPNGids-analist, 'al is het wel raadzaam een goede firewall te installeren (vaak geïncludeerd bij goede antimalware-software). Een goede firewall kan bijvoorbeeld wel bogon-filtering automatisch toepassen. Daarnaast ligt de mogelijkheid tot filtering ook bij de internetprovider; je zou eventueel jouw internetprovider kunnen contacteren of op zijn website kijken om te checken of die aan deze vormen van filtering doet.'

Binnenkort updates en patches verwacht
Echter, zo voegt hij toe, 'de onderzoekers van de Universiteit van New Mexico hebben al aangegeven dat deze methodes geen perfecte oplossing zijn. Het is beter om af te wachten tot er patches of updates komen voor Android, iOS, MacOS en Linux die dit probleem oplossen. Of wellicht patches van de VPN-providers zelf.

Het is een optie om tot die tijd openbare wifi-netwerken spaarzaam te gebruiken, al blijven de risico's erg minimaal. We verwachten dat de nodige updates en patches bovendien zeer snel zullen worden uitgerold. Meestal reageert de markt snel op dergelijke beveiligingslekken, zeker als ze op deze schaal wereldkundig worden gemaakt.'

Al met al: risico's zijn beperkt
'Alles in acht nemend beoordelen we de risico's die deze kwetsbaarheid met zich meebrengt als minimaal / beperkt,' colcludeert Janssen. 'Het is voor de doorsnee internetgebruiker (VPN-gebruiker) geen reden tot paniek.'