Muitas pessoas usam redes privadas virtuais (VPNs) para mascarar sua identidade, criptografar suas comunicações ou navegar na web de um local diferente. Todos esses objetivos podem falhar se suas informações reais vazarem por uma falha de segurança, o que é mais comum do que você pensa. Vejamos como identificar e corrigir esses vazamentos.
Índice
Como Ocorrem Vazamentos de VPN
Os fundamentos do uso de VPN são bastante diretos: você instala um pacote de software em seu computador, dispositivo ou roteador (ou usa seu software VPN integrado). Este software captura todo o tráfego de sua rede e o redireciona, por meio de um túnel criptografado, para um ponto de saída remoto. Para o mundo exterior, todo o seu tráfego parece vir daquele ponto remoto, e não de sua localização real. Isso é ótimo para privacidade (se você quiser garantir que ninguém entre o seu dispositivo e o servidor de saída possa ver o que você está fazendo), é ótimo para pular de fronteira virtual (como assistir a serviços de streaming dos EUA na Austrália ) e é uma maneira geral excelente para ocultar sua identidade online.
No entanto, a segurança e a privacidade do computador são perpetuamente um jogo de gato e rato. Nenhum sistema é perfeito e, com o tempo, vulnerabilidades são descobertas e podem comprometer sua segurança – e os sistemas VPN não são exceção. Aqui estão as três principais maneiras de sua VPN vazar suas informações pessoais.
Protocolos e bugs com falhas
Em 2014, o bug bem divulgado Heartbleed revelou vazar as identidades de usuários VPN . No início de 2015, foi descoberta uma vulnerabilidade do navegador da web que permite a um terceiro emitir uma solicitação para um navegador da web para revelar o endereço IP real do usuário (evitando a ofuscação que o serviço VPN fornece).
Essa vulnerabilidade, parte do protocolo de comunicação WebRTC, ainda não foi completamente corrigida e ainda é possível para os sites aos quais você se conecta, mesmo quando por trás da VPN, pesquisar seu navegador e obter seu endereço real. No final de 2015, uma vulnerabilidade menos difundida (mas ainda problemática) foi descoberta, em que os usuários no mesmo serviço VPN podiam desmascarar outros usuários.
Esses tipos de vulnerabilidades são os piores porque são impossíveis de prever, as empresas demoram a corrigi-los e você precisa ser um consumidor informado para garantir que seu provedor de VPN esteja lidando com ameaças novas e conhecidas de maneira adequada. No entanto, uma vez que eles sejam descobertos, você pode tomar medidas para se proteger (como iremos destacar em breve).
Vazamentos de DNS
Mesmo sem bugs e falhas de segurança, no entanto, sempre há o problema de vazamento de DNS (que pode surgir de escolhas de configuração padrão do sistema operacional inadequadas, erro do usuário ou erro do provedor de VPN). Os servidores DNS resolvem aqueles endereços amigáveis para humanos que você usa (como www.facebook.com) em endereços amigáveis para máquinas (como 173.252.89.132). Se o seu computador usa um servidor DNS diferente do local da VPN, ele pode fornecer informações sobre você.
Os vazamentos de DNS não são tão ruins quanto os de IP, mas ainda podem revelar sua localização. Se o vazamento de DNS mostrar que seus servidores DNS pertencem a um pequeno ISP, por exemplo, isso restringirá muito sua identidade e poderá localizá-lo geograficamente rapidamente.
Qualquer sistema pode ser vulnerável a um vazamento de DNS, mas o Windows tem sido historicamente um dos piores criminosos, devido à maneira como o sistema operacional lida com solicitações e resolução de DNS. Na verdade, o tratamento de DNS do Windows 10 com uma VPN é tão ruim que o braço de segurança de computador do Departamento de Segurança Interna, a Equipe de Preparação para Emergências de Computadores dos Estados Unidos, emitiu um briefing sobre o controle de solicitações de DNS em agosto de 2015 .
Vazamentos IPv6
Por fim, o protocolo IPv6 pode causar vazamentos que podem revelar sua localização e permitir que terceiros rastreiem sua movimentação pela Internet. Se você não está familiarizado com IPv6, verifique nosso explicador aqui – é essencialmente a próxima geração de endereços IP e a solução para o mundo que fica sem endereços IP conforme o número de pessoas (e seus produtos conectados à Internet) dispara.
Embora o IPv6 seja ótimo para resolver esse problema, não é tão bom no momento para pessoas preocupadas com privacidade.
Resumindo: alguns provedores de VPN apenas lidam com solicitações IPv4 e ignoram solicitações IPv6. Se sua configuração de rede particular e ISP forem atualizados para suportar IPv6, mas sua VPN não lida com solicitações IPv6, você pode se encontrar em uma situação em que um terceiro pode fazer solicitações IPv6 que revelam sua verdadeira identidade (porque a VPN as transmite cegamente junto com sua rede / computador local, que responde à solicitação honestamente).
No momento, os vazamentos de IPv6 são a fonte menos ameaçadora de dados vazados. O mundo tem demorado tanto para adotar o IPv6 que, na maioria dos casos, o seu ISP se arrastando, mesmo apoiando-o, está na verdade protegendo você do problema. No entanto, você deve estar ciente do problema potencial e se proteger proativamente contra ele.
Como verificar se há vazamentos
Então, onde tudo isso deixa você, o usuário final, quando se trata de segurança? Ele o deixa em uma posição em que você precisa estar ativamente vigilante sobre sua conexão VPN e testar frequentemente sua própria conexão para garantir que não haja vazamentos. Mas não entre em pânico: vamos guiá-lo por todo o processo de teste e correção de vulnerabilidades conhecidas.
Verificar se há vazamentos é uma tarefa bastante simples – embora consertá-los, como você verá na próxima seção, seja um pouco mais complicado. A Internet está cheia de pessoas preocupadas com a segurança e não faltam recursos disponíveis online para ajudá-lo a verificar vulnerabilidades de conexão.
Nota: Embora você possa usar esses testes de vazamento para verificar se o seu navegador proxy está vazando informações, os proxies são completamente diferentes das VPNs e não devem ser considerados uma ferramenta de privacidade segura.
Etapa um: encontre seu IP local
Primeiro, determine qual é o endereço IP real de sua conexão local com a Internet. Se você estiver usando sua conexão doméstica, este seria o endereço IP fornecido a você pelo seu provedor de serviços de Internet (ISP). Se você estiver usando o Wi-Fi em um aeroporto ou hotel, por exemplo, seria o endereço IP de seu ISP. Independentemente disso, precisamos descobrir como é uma conexão simples de sua localização atual com a Internet.
Você pode encontrar seu endereço IP real desativando temporariamente sua VPN. Como alternativa, você pode pegar um dispositivo na mesma rede que não está conectado a uma VPN. Em seguida, basta visitar um site como WhatIsMyIP.com para ver seu endereço IP público.
Anote este endereço, pois é o endereço que você não deseja que apareça no teste de VPN que realizaremos em breve.
Etapa dois: execute o teste de vazamento de linha de base
Em seguida, desconecte sua VPN e execute o seguinte teste de vazamento em sua máquina. Isso mesmo, não queremos a VPN em execução ainda – precisamos primeiro obter alguns dados básicos.
Para nossos propósitos, usaremos IPLeak.net , uma vez que testa simultaneamente o seu endereço IP, se o seu endereço IP está vazando via WebRTC e quais servidores DNS a sua conexão está usando.
Na captura de tela acima, nosso endereço IP e nosso endereço de vazamento de WebRTC são idênticos (embora os tenhamos borrado) – ambos são o endereço IP fornecido por nosso ISP local de acordo com a verificação que realizamos na primeira etapa desta seção.
Além disso, todas as entradas DNS na “Detecção de endereço DNS” na parte inferior correspondem às configurações DNS em nossa máquina (temos nosso computador configurado para se conectar aos servidores DNS do Google). Portanto, para o nosso teste de vazamento inicial, tudo verifica, uma vez que não estamos conectados à nossa VPN.
Como teste final, você também pode verificar se sua máquina está vazando endereços IPv6 com IPv6Leak.com . Como mencionamos anteriormente, embora esse ainda seja um problema raro, nunca é demais ser proativo.
Agora é hora de ligar a VPN e fazer mais testes.
Etapa três: conecte-se à sua VPN e execute o teste de vazamento novamente
Agora é hora de se conectar à sua VPN. Qualquer que seja a rotina que sua VPN exija para estabelecer uma conexão, agora é a hora de executá-la – inicie o programa da VPN, habilite a VPN nas configurações do sistema ou o que quer que você faça normalmente para se conectar.
Depois de conectado, é hora de executar o teste de vazamento novamente. Desta vez, devemos (com sorte) ver resultados totalmente diferentes. Se tudo estiver funcionando perfeitamente, teremos um novo endereço IP, sem vazamentos de WebRTC e uma nova entrada DNS. Novamente, usaremos IPLeak.net:
Na captura de tela acima, você pode ver que nossa VPN está ativa (já que nosso endereço IP mostra que estamos conectados da Holanda em vez dos Estados Unidos), e tanto nosso endereço IP detectado quanto o endereço WebRTC são os mesmos (o que significa que nós não estamos vazando nosso verdadeiro endereço IP por meio da vulnerabilidade WebRTC).
No entanto, os resultados de DNS na parte inferior mostram os mesmos endereços de antes, vindos dos Estados Unidos – o que significa que nossa VPN está vazando nossos endereços de DNS.
Este não é o fim do mundo do ponto de vista da privacidade, neste caso específico, uma vez que estamos usando os servidores DNS do Google em vez dos servidores DNS do nosso ISP. Mas ainda identifica que somos dos EUA e ainda indica que nossa VPN está vazando solicitações de DNS, o que não é bom.
NOTA: Se o seu endereço IP não mudou nada, então provavelmente não é um “vazamento”. Em vez disso, 1) sua VPN está configurada incorretamente e não está se conectando, ou 2) seu provedor de VPN deixou a bola cair totalmente de alguma forma, e você precisa entrar em contato com a linha de suporte e / ou encontrar um novo provedor de VPN.
Além disso, se você executou o teste IPv6 na seção anterior e descobriu que sua conexão respondeu às solicitações IPv6, você também deve executar novamente o teste IPv6 agora para ver como a VPN está lidando com as solicitações.
Então, o que acontece se você detectar um vazamento? Vamos conversar sobre como lidar com eles.
Como prevenir vazamentos
Embora seja impossível prever e prevenir todas as vulnerabilidades de segurança possíveis, podemos facilmente prevenir vulnerabilidades WebRTC, vazamentos de DNS e outros problemas. Veja como se proteger.
Use um provedor VPN respeitável
Em primeiro lugar, você deve usar um provedor de VPN confiável que mantenha seus usuários informados sobre o que está acontecendo no mundo da segurança (eles farão o dever de casa para que você não precise) e aja com base nas informações para tapar buracos de forma proativa (e notificá-lo quando você precisar fazer alterações). Para isso, recomendamos fortemente o StrongVPN – um ótimo provedor de VPN que não apenas recomendamos antes, mas que usamos nós mesmos.
Quer um teste rápido e preciso para ver se o seu provedor de VPN é remotamente confiável? Execute uma pesquisa por seu nome e palavras-chave como “WebRTC”, “portas com vazamento” e “vazamentos de IPv6”. Se o seu provedor não possui postagens de blog públicas ou documentação de suporte discutindo esses problemas, você provavelmente não deseja usar esse provedor de VPN, pois ele não está abordando e informando seus clientes.
Desativar solicitações WebRTC
Se estiver usando o Chrome, Firefox ou Opera como navegador da web, você pode desativar as solicitações WebRTC para fechar o vazamento WebRTC. Os usuários do Chrome podem baixar e instalar uma das duas extensões do Chrome: WebRTC Block ou ScriptSafe . Ambos bloquearão solicitações WebRTC, mas o ScriptSafe tem o bônus adicional de bloquear arquivos JavaScript, Java e Flash maliciosos.
Os usuários do Opera podem, com um pequeno ajuste , instalar extensões do Chrome e usar as mesmas extensões para proteger seus navegadores. Os usuários do Firefox podem desativar a funcionalidade WebRTC no menu about: config. Basta digitar about:config
na barra de endereços do Firefox, clicar no botão “Terei cuidado” e, em seguida, role para baixo até ver a media.peerconnection.enabled
entrada. Clique duas vezes na entrada para alterná-la para “falsa”.
Depois de aplicar qualquer uma das correções acima, limpe o cache do seu navegador e reinicie-o.
Plug DNS e IPv6 Leaks
Conectar vazamentos de DNS e IPv6 pode ser um grande aborrecimento ou trivialmente fácil de consertar, dependendo do provedor de VPN que você usa. Na melhor das hipóteses, você pode simplesmente dizer ao seu provedor de VPN, por meio das configurações de sua VPN, para tampar os buracos de DNS e IPv6, e o software VPN cuidará de todo o trabalho pesado para você.
Se o seu software VPN não oferece essa opção (e é muito raro encontrar um software que modifique o seu computador em seu nome), você precisará configurar manualmente o seu provedor de DNS e desabilitar o IPv6 no nível do dispositivo. Mesmo se você tiver um software VPN útil que fará o trabalho pesado para você, no entanto, recomendamos que você leia as seguintes instruções sobre como alterar as coisas manualmente, para que possa verificar novamente se o seu software VPN faz as alterações corretas.
Demonstraremos como fazer isso em um computador que executa o Windows 10, porque o Windows é um sistema operacional amplamente usado e também porque apresenta vazamentos surpreendentes nesse aspecto (em comparação com outros sistemas operacionais). O motivo do Windows 8 e 10 apresentarem vazamentos é a mudança na forma como o Windows lidou com a seleção do servidor DNS.
No Windows 7 e anteriores, o Windows simplesmente usaria os servidores DNS que você especificou na ordem em que você os especificou (ou, se não o fez, usaria apenas os especificados no nível do roteador ou ISP). A partir do Windows 8, a Microsoft introduziu um novo recurso conhecido como “Smart Multi-Homed Named Resolution”. Este novo recurso mudou a maneira como o Windows lidava com os servidores DNS. Para ser justo, ele realmente acelera a resolução de DNS para a maioria dos usuários, se os servidores DNS primários estiverem lentos ou não responderem. Para usuários VPN, entretanto, pode causar vazamento de DNS, já que o Windows pode recorrer a servidores DNS diferentes dos atribuídos por VPN.
A maneira mais infalível de consertar isso no Windows 8, 8.1 e 10 (ambas as edições Home e Pro) é simplesmente configurar os servidores DNS manualmente para todas as interfaces.
Para isso, abra “Conexões de rede” via Painel de controle> Rede e Internet> Conexões de rede e clique com o botão direito em cada entrada existente para alterar as configurações desse adaptador de rede.
Para cada adaptador de rede, desmarque “Protocolo da Internet Versão 6”, para proteger contra vazamento de IPv6. Em seguida, selecione “Protocolo da Internet Versão 4” e clique no botão “Propriedades”.
No menu de propriedades, selecione “Usar os seguintes endereços de servidor DNS”.
Nas caixas DNS “Preferencial” e “Alternativo”, insira os servidores DNS que deseja usar. O melhor cenário é usar o servidor DNS fornecido especificamente pelo serviço VPN. Se sua VPN não tiver servidores DNS para você usar, você pode usar servidores DNS públicos não associados à sua localização geográfica ou ISP, como servidores OpenDNS, 208.67.222.222 e 208.67.220.220.
Repeat this process of specifying the DNS addresses for every adapter on your VPN-enabled computer in order to ensure Windows can never fall back on the wrong DNS address.
Windows 10 Pro users can also disable the entire Smart Multi-Homed Named Resolution feature via the Group Policy Editor, but we recommend also performing the above steps (in case a future update enables the feature again your computer will begin leaking DNS data).
To do so, press Windows+R to pull up the run dialog box, enter “gpedit.msc” to launch the Local Group Policy Editor and, as seen below, navigate to Administrative Templates > Network > DNS-Client. Look for the entry “Turn off smart multi-homed name resolution”.
Double click on the entry and select “Enable” and then press the “OK” button (that’s a bit counterinuitive, but the setting is “turn off smart…” so enabling it actually activates the policy that turns the function off). Again, for emphasis, we recommend manually editing all your DNS entries so even if this policy change fails or is altered in the future you are still protected.
So with all these changes enacted, how does our leak test look now?
Clean as a whistle–our IP address, our WebRTC leak test, and our DNS address all comes back as belonging to our VPN exit node in the Netherlands. As far as the rest of the internet is concerned, we’re from the Lowlands.
Playing the Private Investigator game on your own connection isn’t exactly a thrilling way to spend an evening, but it’s a necessary step to ensure your VPN connection isn’t compromised and leaking your personal information. Thankfully with the help of the right tools and a good VPN, the process is painless and your IP and DNS information is kept private.