NordVPN, unul dintre cei mai proeminenți și respectați furnizori VPN de consum, a confirmat că unul dintre serverele sale a fost accesat fără autorizație.

Povestea s-a rupt după ce NordVPN a postat pe Twitter o declarație destul de impulsivă și neplăcută.

Tweet NordVPN

În loc de o declarație de fapt, twitterverse a văzut aceasta ca o provocare și nu a trecut mult timp până când un grup care s-a numit KekSec a dezvăluit că hackerii au accesat un server și au scăpat configurația OpenVPN a Nordului și cheia privată asociată, precum și certificatele TLS..

Răspunsul Keksec pe twitter


NordVPN a recunoscut acum încălcarea, afirmând că un atacator a obținut acces la un server închiriat în Finlanda, exploatând un sistem de management de la distanță nesigur lăsat de furnizorul de centre de date..

fundal

În martie 2018, certificatele TLS aparținând serverelor web NordVPN, VikingVPN și TorGuard au fost postate pe 8chan. Aceste certificate au expirat acum, dar erau actuale la momentul publicării. În ciuda eforturilor NordVPN de a compensa încălcarea, publicația dovedește fără îndoială că NordVPN a fost compromisă la un moment dat în trecut.

Cine a obținut aceste certificate trebuie să fi avut acces rădăcină la containerul web al serverelor afectate și, prin urmare, ar fi avut un control deplin asupra serverelor, inclusiv capacitatea de a adulma și de a manipula datele care le transmit..

În teorie, acest lucru înseamnă, de asemenea, că oricine ar putea să configureze un site web fals, care pretindea că aparține NordVPN, VikingVPN sau TorGuard, pe care browserul tău ar fi acceptat-o ​​ca fiind autentic. Într-adevăr, cineva a postat chiar un exemplu de astfel de atac în acțiune:

Pagina principală Tianyu Zhu

Totuși, NordVPN ne-a spus că un astfel de atac MitM nu va fi posibil decât dacă un atacator nu a putut să hack în computerul persoanei utilizatorului sau să intercepteze și să modifice traficul din rețea..

Problema mai mare

De asemenea, a devenit evident faptul că cheile private SSL pentru certificatele OpenVPN de la NordVPN „au trecut doar de cele mai multe ori neobservate” de ceva timp. Hopa! Acest lucru a generat speculațiile că un atacator ar putea decripta sesiunile VPN ale utilizatorilor, inclusiv sesiunile VPN anterioare, permițându-le să vadă ce au primit clienții NordVPN online.

Din nou, NordVPN a dorit să toarne apă rece pe această idee. „Nici certificatul TLS sau cheile VPN nu pot fi utilizate pentru a decripta traficul VPN obișnuit sau sesiunea VPN înregistrată anterior”, au spus pentru ProPrivacy.

Merită să ne amintim, sesiunile OpenVPN de la NordVPN utilizează secretul perfect perfect (chei de criptare efemere) prin cheile Diffie-Hellman DHE-2096 în timpul schimbului de chei TLS. Deci, chiar dacă o sesiune VPN a fost forțată brutal cu costuri uriașe în bani, efort și putere de calcul, doar o oră din sesiunea VPN ar fi compromisă înainte de schimbarea cheii.

Deși acest punct poate fi fals, deoarece atacatorul a avut în mod clar acces root la serverul VPN.

Jocul de vină

NordVPN a publicat o declarație oficială cu privire la incident, în care explică faptul că doar un singur server situat în Finlanda a fost afectat. De asemenea, se spune că greșeala revine personalului central al serverului:

„Atacatorul a obținut acces la server prin exploatarea unui sistem de administrare de la distanță nesigur lăsat de furnizorul de centru de date. Nu știam că există un astfel de sistem. ”

Trebuie să spunem, însă, că ne simțim o companie la fel de mare ca NordVPN ar trebui să-și trimită proprii tehnicieni pentru a-și configura propriile servere VPN metal-bare, mai degrabă decât să se bazeze pe personalul serverului terț potențial de încredere pentru a-și configura serverele VPN.

În opinia noastră, un serviciu VPN ar trebui să aibă un control complet asupra serverelor sale. Dacă faceți acest lucru, veți merge mult spre întărirea unei rețele de server VPN împotriva tuturor amenințărilor. Este interesant că aceasta este și o părere de către Niko Viskari, CEO al centrului de server în cauză:

"Da, putem confirma că [Nord] au fost clienții noștri," Viskari a declarat pentru The Register. "Și au avut o problemă cu securitatea lor pentru că nu au avut grijă de ei înșiși.

...au avut o problemă cu securitatea lor pentru că nu au avut grijă de ei înșiși

Niko Viskari

"Avem mulți clienți și unii mari furnizori de servicii VPN printre ei, care se ocupă foarte mult de securitatea lor ”, a spus el, adăugând:„ NordVPN pare că nu a acordat mai multă atenție securității de la sine și, într-un fel, încercați să le puneți pe umerii noștri."

În declarația sa, Viskari explică faptul că toate serverele furnizate de compania sa folosesc instrumentele de acces la distanță iLOAC sau iDRAC. Acestea au cunoscut probleme de securitate din când în când, dar centrul de server le păstrează cu cele mai recente actualizări de firmware de la HP și Dell.

Spre deosebire de ceilalți clienți ai săi, NordVPN nu a solicitat restricționarea acestor instrumente prin plasarea lor „în interiorul rețelelor private sau închiderea porturilor până când nu sunt necesare”.

NordVPN, la rândul său, susține că nici măcar nu știa că aceste instrumente există; dar dacă ar fi configurat propriile servere, problema nu ar fi apărut niciodată.

„Nu am dezvăluit exploatarea imediată, deoarece trebuie să ne asigurăm că niciuna dintre infrastructurile noastre nu poate fi predispusă la probleme similare.”

Ceea ce nu explică de ce problema a luat vreo 18 luni să apară, NordVPN recunoscând-o în cele din urmă doar în urma unei Twitterstorm care a văzut dovezi amăgitoare publicate pe scară largă pe internet.

La sfârșitul zilei, însă, s-au făcut mai multe prejudicii reputației NordVPN decât a vieții private a utilizatorilor săi.

"Chiar dacă doar 1 din mai mult de 3000 de servere pe care le aveam la momentul respectiv a fost afectat, nu încercăm să subminați gravitatea problemei" a declarat furnizorul în declarația sa.

Nu am reușit să contractăm un furnizor de server nesigur și ar fi trebuit să facem mai bine pentru a asigura securitatea clienților noștri

"Nu am reușit să contractăm un furnizor de server nesigur și ar fi trebuit să facem mai bine pentru a asigura securitatea clienților noștri. Luăm toate mijloacele necesare pentru a ne îmbunătăți securitatea. Am trecut printr-un audit de securitate a aplicației, lucrăm acum la un al doilea audit fără jurnal și pregătim un program de recompense pentru buguri. Vom oferi tot posibilul pentru a maximiza securitatea fiecărui aspect al serviciului nostru, iar anul viitor vom lansa un audit extern independent pentru toată infrastructura noastră, pentru a ne asigura că nu am pierdut nimic altceva."

Declarație de confidențialitate

ProPrivacy este dedicat să ofere utilizatorilor săi sfaturi în care pot avea încredere. Includem în mod regulat NordVPN în recomandările noastre datorită serviciului fantastic pe care îl oferă. În lumina acestei povești, vom elimina NordVPN din articolele noastre legate de securitate și confidențialitate până când vom fi siguri că serviciul lor răspunde așteptărilor noastre și ale cititorilor noștri.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me