Kadangi internetinės technologijos tampa vis labiau paplitusios ir rodo tendenciją nepaisyti vartotojų privatumo, nepaprastai svarbu spręsti privatumo pažeidimus. Aptarsime problemas, susijusias su privatumu ir jų sprendimo būdus.
Adresavimas
Kaip minėta aukščiau, 128 bitų IPv6 adresą sudaro tinklo priešdėlis ir sąsajos identifikatorius. Pirmąjį pateikia tinklas, kuriame yra pagrindinis kompiuteris, tačiau sąsajos identifikatorių nepriklausomai sukuria pagrindinis kompiuteris. Iš pradžių sąsajos identifikatoriui generuoti buvo pasiūlytas modifikuotas EUI formatas, kuriame yra MAC adresas. Kadangi naudojant aparatūros adresą unikalūs identifikatoriai gaunami net skirtinguose potinkliuose, nesunku stebėti mazgo judėjimą tinkle. Projekte dabar netgi siūlomas jų nuvertėjimas.
- Kaip alternatyva buvo pasiūlyta daugybė adresų formatų: (1) Privatumo plėtinys sugeneruoja MD5 maišalyną įprastu laiko intervalu - paprastai 24 valandomis - ir naudoja jį kaip identifikatorių. Nors tai trukdo ilgalaikiam stebėjimui, trumpalaikis stebėjimas vis dar įmanomas, nes identifikatorius nesikeičia kartu su priešdėliu. (2) Kita dažnai siūloma alternatyva yra DHCPv6. Tačiau jis remiasi statiniu DHCP unikaliu identifikatoriumi (DUID). Vietinis uostinėjimas DUID arba tiesiogiai užklausus atitinkamų DHCP serverių, užpuolikas vis tiek gali susieti mazgą su jo dabartiniu adresu. Naudojant mobilųjį „IPv6“, yra kompromisas tarp visų seansų stebėjimo tinklo perjungimo metu ir privatumo pažeidimo, leidžiantį juos atsekti skirtinguose tinkluose. Į vieną paketą įtraukus namų adresą ir laikiną adresą, potencialus priešininkas gali paslėpti ryšių kanalą ir nustatyti įrenginio vietą. Tam gali užkirsti kelią šifravimas, pvz. „IPsec“. Tačiau mazgai, bendraujantys su mobiliuoju prietaisu, vis tiek gali juos sekti. Siekiant užkirsti kelią tokiems privatumo pažeidimams, priežiūros ir namų adresas taip pat turi būti keičiami vienu metu.
Žvalgyba (Reconnaissance)
Paprastai nežinomas mazgas yra pirmasis išpuolio ar skverbties bandymo žingsnis, tačiau dėl vienodo adreso diapazono neįmanoma priversti atlikti brutalaus darbo. Taigi būtini sudėtingesni metodai: (1) 2007 m. atlikta IPv6 adresų analizė pirmą kartą parodė dažnas adresų struktūras. Nors serveriai ir maršrutizatoriai linkę sekti modifikuotą EUI formatą ir „žemus“ adresus, klientai turi didelę dalį adresų, kuriuos sukuria privatumo plėtinys. Tolesnę analizę įmanoma atlikti pagal adresą6. Tokių analizių rezultatai leido nuskaityti tą patį priemonių rinkinį6. Šis įrankis ieško žemo baito, IPv4 pagrindu, prievado pagrindu arba modifikuotų EUI adresų.
- (2) Kitas adresų šaltinis yra DNS, kuris dėl adreso ilgio populiarės su IPv6. Pirmiausia galima užklausti žinomų domenų. Antra, atvirkštiniai įrašai gali būti naudojami įgyvendinant BIND arba NDS. Kadangi atsakymas į tuščią neterminalą skiriasi nuo kitų klaidų pranešimų, galima nuspręsti, ar adresai, prasidedantys šiuo prefiksu, yra žinomi šiam serveriui. (3) Be DNS, svarbūs ir visi kiti adresų šaltiniai, pvz. Mazgo informacijos užklausos (Node information queries), atvirkštinis atradimas (Inverse Discovery), arba whois.net. (4) Modifikuota smurf atakos versija taip pat yra tinkama žvalgybai. Užuot klaidinęs šaltinio adresą, užpuolikas įterpia savo adresą ir gauna atsakymus su anksčiau nežinomais šaltinio adresais. Tačiau reikia žinoti, kad didelis atsakymų skaičius gali sukelti atsisakymą pačiam sau tarnauti. Kad neatskleistų atskirų adresų, serveriai, klausantys bet kokių adresų, taip pat turėtų naudoti šį bet kokio perdavimo adresą kaip šaltinio adresą atsakyme. Tačiau būdingos „IPv6“ savybės taip pat palengvina žvalgybą: (1) Daugiau nei vieno adreso priskyrimas sąsajai yra teisėtas, tačiau norint žvalgyti, pakanka jį sužinoti. (2) Adresai netenka galios po tinkamiausio galiojimo laiko, tačiau tam tikrą laiką vis tiek naudojami esamam ryšiui palaikyti. (3) Privatumo plėtinį naudojantys klientai taip pat turi stabilų adresą, kurį galima priskirti atsitiktine tvarka arba pagal pakeistą EUI formatą. (4) ICMP neturi būti visiškai filtruojamas naudojant IPv6. Dar labiau sakoma, kad aido užklausų ir atsakymų filtravimas yra mažiau svarbus dėl tariamai galimos skenavimo rizikos.
Paslėpti kanalai
Slapti kanalai yra komunikacijos kanalai, pažeidžiantys sistemos politiką. Iš viso „IPv6“ antraštėje ir jos plėtiniuose rasti 22 galimi slapti kanalai. Labiausiai žinomi slapti kanalai yra srauto etiketė su 20 bitų ir srauto klasė su 8 bitų, nes jų naudojimas vis dar neapibrėžtas. Nors pastarąjį leidžiama keisti pakeliui, srauto etiketės modifikavimas anksčiau buvo draudžiamas. Tačiau tai pasikeitė: atkurti leidžiama tuo atveju, jei slaptas kanalas kelia rimtą pavojų. Kitas 64 bitų slaptas kanalas pateikiamas sąsajos identifikatoriais. Kadangi dėl privatumo pratęsimo dažnai keičiasi atsitiktiniai adresai, labai mažai tikėtina, kad šie slapti pranešimai būtų aptikti.
Išvados
Kadangi IPv6 yra dar naujas ir vis dar kuriamas protokolas, jo saugumo ir privatumo problemos atrandamos ir tiriamos jau įdiegtuose tinkluose, kitaip sakant vyksta įdiegimo ir tyrimo simbiozė. Mes aptarėme tris pagrindines privatumo problemas ir kaip jos yra sprendžiamos. Inžinieriai, sukūrę IPv6, buvo labai susirūpinę, kad IPv6 privatumas yra pažeidžiamas, todėl dar 2007 m. jie paskelbė RFC 4941, apibrėždami „IPv6 privatumo plėtinius“. Šis standartas nusako mechanizmą, kai įrenginys generuoja atsitiktinį pagrindinio kompiuterio adresą ir naudoja jį vietoj įrenginio MAC adreso.
- Įrenginys taip pat reguliariai keičia tą IPv6 adresą. Intervalas gali būti nustatytas bet kaip, bet paprastai jis sukonfigūruotas daugumoje operacinių sistemų į 24 valandas. Mobiliuosiuose tinkluose IPv6 adresas gali keistis atsižvelgiant į nuorodą, prie kurios jungiatės, taigi, naršydami, visą laiką generuosite ir naudosite naujus IPv6 adresus. Šiose operacinėse sistemose naudojami „IPv6“ privatumo plėtiniai pagal nutylėjimą:
- Visos „Windows“ versijos po „Windows XP“;
- Visos „Mac OS X“ versijos nuo 10.7;
- Visos „iOS“ versijos nuo „iOS 4.3“;
- Visos „Android“ versijos nuo 4.0 (ICS);
- Kai kurios versijos „Linux“ (ir kitiems ją galima lengvai sukonfigūruoti).
- Taigi, jei naudojate „Windows“, „Mac OS X“ kompiuterį ar bet kurį iš pagrindinių mobiliųjų įrenginių, jau naudojate „IPv6“ privatumo adresus.