A NordVPN, az egyik legszembetűnőbb és elismertbb VPN-szolgáltató a fogyasztókban, megerősítette, hogy egyik szerveréhez engedély nélkül hozzáfértek.


A történet akkor bontakozott ki, amikor az NordVPN meglehetősen impulzív és bolond nyilatkozatot tett a Twitterbe.

NordVPN tweet

A tények megállapítása helyett a twitterverse ezt kihívásnak tekintette, és nem sokkal később, amikor egy KekSec-nek hívó csoport felfedte, hogy a hackerek hozzáfértek egy szerverhez, és kiszivárogtattak a Nord OpenVPN konfigurációját és a hozzá kapcsolódó privát kulcsot, valamint a TLS tanúsítványokat.

Keksec twitter válasz

Az NordVPN elismerte a jogsértést, kijelentve, hogy a támadó hozzáférést kapott egy bérelt szerverhez Finnországban az adatközpont-szolgáltató által hagyott nem biztonságos távoli felügyeleti rendszer kihasználásával..

Háttér

2018 márciusában a 8chan webhelyen közzétették a NordVPN, a VikingVPN és a TorGuard webszerverekhez tartozó TLS tanúsítványokat. Ezek a tanúsítványok már lejártak, de a kiküldetés idején érvényesek voltak. Annak ellenére, hogy a NordVPN arra törekedett, hogy aláássák a jogsértést, a kiadvány kétségtelenül bizonyítja, hogy a NordVPN a múltban valamikor veszélybe került.

Aki megszerezte ezeket a tanúsítványokat, root hozzáféréssel kell rendelkeznie az érintett szerverek webtárolójához, és ezért teljes ellenőrzése alatt állhatott a szerverek felett, ideértve a szippantás és az azokon áthaladó adatok megváltoztatásának lehetőségét is..

Elméletileg ez azt is jelenti, hogy bárki beállíthatott egy dummy webhelyet, amely állítólag az NordVPN, a VikingVPN vagy a TorGuard tulajdonához tartozik, amelyet az Ön böngészője valódiként elfogadott volna. Valójában valaki még tett példát egy ilyen támadásra akcióban:

Tianyu Zhu honlap

A NordVPN azonban azt mondta nekünk, hogy egy ilyen MitM támadás nem lehetséges, hacsak a támadó nem képes behatolni a felhasználó számítógépébe, vagy elfogni és módosítani hálózati forgalmát..

A nagyobb kérdés

Az is nyilvánvalóvá vált, hogy a NordVPN OpenVPN tanúsítványainak privát SSL kulcsa már egy ideje „többnyire észrevétlenül is lebeg.” Ajjaj! Ez támasztotta alá a spekulációt, miszerint a támadó visszafejteni tudja a felhasználók VPN-munkameneteit, ideértve a korábbi VPN-munkameneteket is, lehetővé téve számukra, hogy megnézhessék, mire jutottak az NordVPN ügyfelek online.

A NordVPN ismét vágyakozott arra, hogy hideg vizet öntsön erre az ötletre. "Sem a TLS tanúsítvány, sem a VPN-kulcsok nem használhatók a VPN-forgalom vagy a korábban rögzített VPN-munkamenet dekódolásához." - mondták a ProPrivacy-nak..

Érdemes megjegyezni, hogy a NordVPN OpenVPN munkamenetében a DHE-2096 Diffie-Hellman kulcsokon keresztül a DHE-2096 Diffie-Hellman kulcsain keresztül tökéletes előremeneti titkot (ideiglenes titkosítási kulcsokat) használnak a TLS kulcscsere során. Tehát akkor is, ha egy VPN-munkamenetet hatalmas pénz, erőfeszítés és számítási teljesítmény költségekkel kényszerítenének, a VPN-munkamenet csak egy órája veszélybe kerülne, mielőtt a kulcsot megváltoztatnák..

Bár ez a kérdés vitatható lehet, mivel a támadónak egyértelműen root hozzáférése volt a VPN szerverhez.

A hibás játék

A NordVPN hivatalos nyilatkozatot tett közzé az eseményről, amelyben kifejti, hogy csak egyetlen, Finnországban található szerver érintett. Azt is mondja, hogy a hiba a kiszolgálóközpont személyzetében rejlik:

„A támadó hozzáférést kapott a szerverhez az adatközpont-szolgáltató által hagyott nem biztonságos távoli felügyeleti rendszer kihasználásával. Nem tudtuk, hogy létezik ilyen rendszer. ”

Azt kell azonban mondanunk, hogy olyan nagy vállalkozásnak érezzük magunkat, mint amilyennek a NordVPN-nek ki kellene küldenie saját szakembereit, hogy telepítsék saját csupasz fém VPN szervereiket, ahelyett, hogy támaszkodnának a potenciálisan megbízhatatlan harmadik fél szerver személyzettel a VPN szervereik beállításához..

Véleményünk szerint a VPN-szolgáltatásoknak teljes irányítással kell rendelkezniük kiszolgálóik felett. Ha így tenné, akkor a VPN szerverhálózat minden fenyegetés elleni megszilárdításához nagy a lépés. Érdekes módon ez a nézet is, amelyet Niko Viskari, a kérdéses szerver központ vezérigazgatója tartott:

"Igen, megerősíthetjük, hogy az [Nord] ügyfeleink voltak," Viskari mondta a The Register-nek. "És problémájuk merült fel a biztonságukkal, mert maguk sem vigyáztak rá.

...ők voltak problémájuk a biztonságukkal, mert maguk sem vigyáztak rá

Niko Viskari

"Sok ügyfelünk van, köztük nagyszámú VPN-szolgáltató, akik nagyon erőteljesen gondoskodnak a biztonságukról. ”- mondta és hozzátette:„ A NordVPN úgy tűnik, hogy önmagában nem fordított nagyobb figyelmet a biztonságra, és valahogy megpróbálja ezt feltenni. a vállaink."

Nyilatkozatában Viskari folytatja a magyarázatot, hogy a társaság által biztosított összes szerver az iLO vagy iDRAC távoli elérési eszközöket használja. Ezekről időről időre ismertek a biztonsági problémák, de a kiszolgálóközpont folyamatosan javítja őket a HP és a Dell legújabb firmware-frissítéseivel..

Más ügyfeleivel ellentétben a NordVPN nem kérte ezen eszközök korlátozását azáltal, hogy „magánhálózatba helyezték vagy a portokat bezárták, amíg nem szükségesek”.

A NordVPN a maga részéről azt állítja, hogy még csak nem is tudta, hogy ezek az eszközök léteznek; de ha saját szervereket telepített volna, akkor a probléma soha nem merült fel.

"Nem azonnal nyilvánosságra hoztuk a kizsákmányolást, mert meg kellett győződnünk arról, hogy egyik infrastruktúránk sem hajlamos-e hasonló kérdésekre."

Ami nem magyarázza meg, hogy miért került körülbelül 18 hónap múlva a kérdés felbukkanása, amikor a NordVPN csak végül beismerte azt egy Twitterstorm nyomán, amely rohamos bizonyítékokat látott az interneten széles körben.

A nap végén azonban több károkat okoztak a NordVPN hírneve, mint a felhasználók magánélete.

"Annak ellenére, hogy az akkoriban több mint 3000 szerver közül csak egyre volt hatással, nem próbáljuk aláásni a probléma súlyosságát" mondta a szolgáltató nyilatkozatában.

Nem sikerült megbízatni egy megbízhatatlan szerver szolgáltatót, és jobban kellett volna tennünk ügyfeleink biztonságának biztosítása érdekében

"Nem sikerült megbízatni egy megbízhatatlan szerver szolgáltatót, és jobban kellett volna tennünk ügyfeleink biztonságának biztosítása érdekében. Minden szükséges eszközt megteszünk a biztonság fokozása érdekében. Végeztünk egy alkalmazásbiztonsági ellenőrzést, jelenleg dolgozunk egy második, naplózás nélküli ellenőrzésen, és előkészítünk egy bug bounty programot. Mindent megteszünk annak érdekében, hogy szolgáltatásunk minden aspektusának biztonságát maximalizáljuk, és jövőre elindítunk egy független külső ellenőrzést az egész infrastruktúránkkal, hogy megbizonyosodjunk arról, hogy mi sem hiányzott ki semmi más."

ProPrivacy nyilatkozat

A ProPrivacy célja, hogy felhasználóinak tanácsot adjon, amelyben megbízhatnak. Rendszeresen beépítjük az NordVPN-et az ajánlásainkba az általuk kínált fantasztikus szolgáltatások miatt. Ennek a történelemnek a fényében mindaddig eltávolítjuk a NordVPN-t a biztonsággal és a magánélettel kapcsolatos cikkeinkből, amíg biztosak vagyunk abban, hogy szolgáltatásaink megfelelnek az olvasóink és az olvasóink elvárásainak.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me