¿Qué tan seguros son el proxy y la VPN libres?

1

Preámbulo : Vivo en Rusia, donde algunos sitios web (linkedin y g.) Están bloqueados por el gobierno (Roskomnadzor). Así que yo y muchos ciudadanos utilizamos populares extensiones de navegador gratuitas (y aplicaciones móviles de las mismas marcas) como Hola o FriGate .

Por lo que puedo entender, los complementos del navegador utilizan webRequest API (de WebExtensions API) y las aplicaciones móviles simplemente instalan el perfil VPN en el dispositivo.

Veo dos posibles vulnerabilidades:

  1. Lectura de todo el tráfico (MITM)
  2. Leyendo DOM (solo se aplica a las extensiones del navegador). La extensión puede leer la entrada de todos los formularios y robar sus credenciales.

No hay nada que pueda hacer con la lectura de DOM, pero creo que es bastante seguro ingresar su contraseña con estas extensiones.

Pero temo el ataque MITM. ¿Hola, por ejemplo, puede leer el contenido de las conexiones con seguridad TLS tanto en la edición móvil como en la web? ¿La extensión del navegador crea un túnel con algún protocolo L2 punto a punto o redirige las solicitudes http? ¿Quién está validando los certificados: navegador o extensión?

    
pregunta yanpas 21.07.2018 - 00:44
fuente

1 respuesta

1

No puedo hablar sobre FriGate u otros servicios VPN de freemium, aunque he utilizado los servicios de pago sin ningún problema y proporcionaré algunas alternativas al final de la respuesta.

Hola, al menos la versión gratuita, funciona al permitir que su computadora sea un nodo dentro de un sistema P2P de compartir ancho de banda cuando está inactivo, lo que ayuda a las personas a evitar las restricciones geográficas en el contenido, lo que parece ser lo que está buscando. Como participante en esta red, usted es responsable de ayudar a dirigir aún más el tráfico de otros usuarios de Hola, lo cual, como se indica en sus Preguntas frecuentes - Lamentablemente no siempre está totalmente encriptado. Y dado que el tráfico de otros usuarios de Hola se envía a través de usted, cualquier comportamiento malicioso o perturbador que pueda obtenerlos normalmente en una lista negra de un sitio web ahora está asociado a su IP, lo que puede ocasionar que usted no pueda acceder al contenido debido a las acciones de este par.

El mejor artículo que he leído sobre el servicio Hola proporciona información detallada. El análisis técnico de la oferta de VPN y es creado por Vectra .

En mi opinión, el artículo más importante del es que el servicio Hola VPN es permitido para descargar software adicional sin que el sistema operativo o el navegador notifiquen al usuario debido a la creación de su propio certificado de firma de código en el sistema host durante la instalación.

Además, Hola, y su empresa matriz, Luminati , han sido conocidos en el pasado por haber tenido a los usuarios de su oferta de VPN como Participantes involuntarios en ataques DDoS.

Si va a utilizar una VPN, depende de usted determinar si vale la pena vivir con las preocupaciones anteriores. De lo contrario, puede considerar usar una oferta pagada como PIA o NordVPN .

Otras fuentes para su consideración:

respondido por el waymobetta 21.07.2018 - 02:02
fuente

Lea otras preguntas en las etiquetas