NordVPN przyznaje, że został zhakowany

NordVPN, jeden z najbardziej znanych i cenionych dostawców VPN dla konsumentów, potwierdził, że dostęp do jednego z jego serwerów uzyskano bez autoryzacji.

Historia wybuchła po tym, jak NordVPN opublikował na Twitterze dość impulsywne i nierozsądne oświadczenie.

Tweet NordVPN

Zamiast oświadczenia faktycznego, twitterverse uznał to za wyzwanie i nie minęło dużo czasu, zanim grupa nazywająca się KekSec ujawniła, że ​​hakerzy uzyskali dostęp do serwera i ujawnili konfigurację Nord OpenVPN oraz powiązany klucz prywatny, a także certyfikaty TLS.

Odpowiedź Keksec na Twitterze

NordVPN potwierdził naruszenie, stwierdzając, że osoba atakująca uzyskała dostęp do wynajętego serwera w Finlandii, wykorzystując niepewny system zdalnego zarządzania pozostawiony przez dostawcę centrum danych.

tło

W marcu 2018 r. Certyfikaty TLS należące do serwerów NordVPN, VikingVPN i TorGuard zostały opublikowane na 8chan. Certyfikaty te wygasły, ale były aktualne w momencie publikacji. Pomimo starań NordVPN o zlekceważenie naruszenia, publikacja bez wątpienia dowodzi, że w przeszłości NordVPN był zagrożony.

Ktokolwiek uzyskał te certyfikaty, musiał mieć dostęp do konta root do kontenera WWW serwerów, których dotyczy problem, a zatem miałby pełną kontrolę nad serwerami, w tym możliwość wąchania i manipulowania przepływającymi przez nie danymi.

Teoretycznie oznacza to również, że każdy mógł skonfigurować fałszywą stronę internetową rzekomo należącą do NordVPN, VikingVPN lub TorGuard, którą przeglądarka zaakceptowałaby jako oryginalną. Rzeczywiście, ktoś nawet opublikował przykład takiego ataku w akcji:

Strona domowa Tianyu Zhu

NordVPN powiedział nam jednak, że taki atak MitM nie będzie możliwy, chyba że osoba atakująca będzie w stanie włamać się do komputera użytkownika lub przechwycić i zmodyfikować ruch sieciowy.

Większy problem

Stało się również oczywiste, że prywatne klucze SSL dla certyfikatów NordVPN OpenVPN „również po prostu unosiły się w większości niezauważone” od jakiegoś czasu. Yikes! To podsyciło spekulacje, że osoba atakująca może odszyfrować sesje VPN użytkowników, w tym poprzednie sesje VPN, pozwalając im zobaczyć, co klienci NordVPN dostali w Internecie.

Ponownie NordVPN chętnie polał ten pomysł zimną wodą. „Ani certyfikatu TLS, ani kluczy VPN nie można użyć do odszyfrowania zwykłego ruchu VPN lub wcześniej zarejestrowanej sesji VPN”, powiedzieli ProPrivacy.

Warto pamiętać, że sesje OpenVPN NordVPN wykorzystują idealną tajemnicę przekazywania (efemeryczne klucze szyfrowania) za pośrednictwem kluczy Diffie-Hellman DHE-2096 podczas wymiany kluczy TLS. Nawet gdyby sesja VPN została brutalnie zmuszona do ogromnego kosztu pieniędzy, wysiłku i mocy obliczeniowej, tylko jedna godzina sesji VPN byłaby zagrożona przed zmianą klucza.

Chociaż ten punkt może być dyskusyjny, ponieważ atakujący miał wyraźny dostęp root do serwera VPN.

Gra o winy

NordVPN opublikował oficjalne oświadczenie o incydencie, w którym wyjaśnia, że ​​dotyczy to tylko jednego serwera zlokalizowanego w Finlandii. Mówi także, że wina leży po stronie personelu centrum serwerów:

„Osoba atakująca uzyskała dostęp do serwera, wykorzystując niepewny system zdalnego zarządzania pozostawiony przez dostawcę centrum danych. Nie wiedzieliśmy, że taki system istnieje. ”

Musimy jednak powiedzieć, że uważamy, że firma tak wielka jak NordVPN powinna wysyłać swoich techników do konfiguracji własnych serwerów VPN typu bare-metal, zamiast polegać na potencjalnie niewiarygodnym personelu serwerów zewnętrznych w celu konfiguracji serwerów VPN.

Naszym zdaniem usługa VPN powinna mieć pełną kontrolę nad swoimi serwerami. W ten sposób znacznie wzmocnisz sieć serwerów VPN przed wszystkimi zagrożeniami. Co ciekawe, pogląd ten podziela także Niko Viskari, CEO wspomnianego centrum serwerów:

"Tak, możemy potwierdzić, że [Nord] byli naszymi klientami," Viskari powiedział The Register. "I mieli problem ze swoim bezpieczeństwem, ponieważ sami się tym nie zajęli.

...mieli problem ze swoim bezpieczeństwem, ponieważ sami się tym nie zajęli

Niko Viskari

"Mamy wielu klientów, a wśród nich kilku dużych dostawców usług VPN, którzy bardzo mocno dbają o swoje bezpieczeństwo ”, powiedział, dodając:„ NordVPN wydaje się, że sami nie zwracali większej uwagi na bezpieczeństwo, i jakoś starają się to włączyć nasze ramiona."

W swoim oświadczeniu Viskari wyjaśnia, że ​​wszystkie serwery dostarczone przez jego firmę korzystają z narzędzi zdalnego dostępu iLO lub iDRAC. Znane są od czasu do czasu problemy z bezpieczeństwem, ale centrum serwerów utrzymuje je na bieżąco z najnowszymi aktualizacjami oprogramowania HP i Dell.

W przeciwieństwie do innych swoich klientów, NordVPN nie zażądał ograniczenia tych narzędzi, umieszczając je „w prywatnych sieciach lub zamykając porty, dopóki nie będą potrzebne”.

Ze swojej strony NordVPN twierdzi, że nawet nie wiedział o istnieniu tych narzędzi; ale gdyby skonfigurował własne serwery, problem nigdy by się nie pojawił.

„Nie ujawniliśmy exploita od razu, ponieważ musieliśmy się upewnić, że żadna z naszej infrastruktury nie będzie podatna na podobne problemy”.

Co nie tłumaczy, dlaczego problem wyszedł na jaw około 18 miesięcy, a NordVPN dopiero w końcu przyznał się do niego w następstwie burzy na Twitterze, która spowodowała opublikowanie w Internecie przeklętych dowodów.

Jednak pod koniec dnia reputacja NordVPN została wyrządzona w większym stopniu niż prywatność użytkowników.

"Mimo że dotyczyło to tylko 1 z ponad 3000 serwerów, które mieliśmy w tym czasie, nie staramy się podważyć wagi problemu" dostawca powiedział w swoim oświadczeniu.

Nie udało nam się zawrzeć umowy z nierzetelnym dostawcą serwerów i powinniśmy byli zrobić lepiej, aby zapewnić bezpieczeństwo naszym klientom

"Nie udało nam się zawrzeć umowy z nierzetelnym dostawcą serwerów i powinniśmy byli zrobić lepiej, aby zapewnić bezpieczeństwo naszym klientom. Podejmujemy wszelkie niezbędne środki, aby zwiększyć nasze bezpieczeństwo. Przeszliśmy audyt bezpieczeństwa aplikacji, pracujemy teraz nad drugim audytem bez logów i przygotowujemy program premiowy za błędy. Damy z siebie wszystko, aby zmaksymalizować bezpieczeństwo każdego aspektu naszych usług, a w przyszłym roku uruchomimy niezależny audyt zewnętrzny całej naszej infrastruktury, aby upewnić się, że niczego nie przegapiliśmy."

Oświadczenie ProPrivacy

ProPrivacy zapewnia swoim użytkownikom porady, którym mogą zaufać. Regularnie uwzględniamy NordVPN w naszych rekomendacjach ze względu na fantastyczną obsługę, którą oferują. W świetle tej przełomowej historii będziemy usuwać NordVPN z naszych artykułów związanych z bezpieczeństwem i prywatnością, dopóki nie upewnimy się, że ich usługa spełnia nasze oczekiwania i oczekiwania naszych czytelników.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me