NordVPN gibt zu, dass es gehackt wurde

NordVPN, einer der bekanntesten und angesehensten VPN-Anbieter für Endverbraucher, hat bestätigt, dass auf einen seiner Server ohne Autorisierung zugegriffen wurde.

Die Geschichte brach ab, nachdem NordVPN eine impulsive und tollkühne Erklärung auf Twitter gepostet hatte.

NordVPN-Tweet

Anstatt eine Feststellung zu treffen, betrachtete das Twitterverse dies als Herausforderung und es dauerte nicht lange, bis eine Gruppe, die sich KekSec nannte, herausfand, dass Hacker auf einen Server zugegriffen und Nords OpenVPN-Konfiguration und den zugehörigen privaten Schlüssel sowie TLS-Zertifikate durchgesickert waren.

Keksec Twitter Antwort

NordVPN hat nun die Sicherheitsverletzung anerkannt und erklärt, dass ein Angreifer durch die Ausnutzung eines unsicheren Fernverwaltungssystems, das der Rechenzentrumsanbieter hinterlassen hat, Zugang zu einem gemieteten Server in Finnland erhalten hat.

Hintergrund

Im März 2018 wurden TLS-Zertifikate der Webserver NordVPN, VikingVPN und TorGuard auf 8chan veröffentlicht. Diese Zertifikate sind inzwischen abgelaufen, waren jedoch zum Zeitpunkt der Veröffentlichung aktuell. Trotz der Bemühungen von NordVPN, den Verstoß herunterzuspielen, beweist die Veröffentlichung ohne Zweifel, dass NordVPN in der Vergangenheit irgendwann kompromittiert wurde.

Wer diese Zertifikate erhalten hat, muss über Root-Zugriff auf den Webcontainer der betroffenen Server verfügen und daher die volle Kontrolle über die Server haben, einschließlich der Möglichkeit, Daten, die über diese Server übertragen werden, aufzuspüren und zu manipulieren.

Theoretisch bedeutet dies auch, dass jeder eine Dummy-Website eingerichtet haben könnte, die angeblich zu NordVPN, VikingVPN oder TorGuard gehört, was Ihr Browser als echt akzeptiert hätte. In der Tat hat jemand sogar ein Beispiel für einen solchen Angriff in Aktion gepostet:

Tianyu Zhu Homepage

NordVPN teilte uns jedoch mit, dass ein solcher MitM-Angriff nur möglich wäre, wenn ein Angreifer in den Computer eines Benutzers eindringen oder dessen Netzwerkverkehr abfangen und ändern könnte.

Das größere Problem

Es hat sich auch herausgestellt, dass die privaten SSL-Schlüssel für die OpenVPN-Zertifikate von NordVPN „ebenfalls seit einiger Zeit zum größten Teil unbemerkt im Umlauf sind“. Huch! Dies hat zu Spekulationen geführt, dass ein Angreifer die VPN-Sitzungen der Benutzer, einschließlich früherer VPN-Sitzungen, entschlüsseln könnte, um zu sehen, was NordVPN-Kunden online gemacht haben.

Auch hier wollte NordVPN kaltes Wasser auf diese Idee gießen. "Weder TLS-Zertifikat noch VPN-Schlüssel können zum Entschlüsseln des regulären VPN-Verkehrs oder der zuvor aufgezeichneten VPN-Sitzung verwendet werden", teilten sie ProPrivacy mit.

Es sei daran erinnert, dass die OpenVPN-Sitzungen von NordVPN während des TLS-Schlüsselaustauschs eine perfekte Vorwärtsgeheimnis (ephemere Verschlüsselungsschlüssel) über DHE-2096 Diffie-Hellman-Schlüssel verwenden. Selbst wenn eine VPN-Sitzung mit enormen Kosten für Geld, Aufwand und Rechenleistung brutal erzwungen würde, wäre nur eine Stunde der VPN-Sitzung gefährdet, bevor der Schlüssel geändert würde.

Obwohl dieser Punkt strittig sein kann, da der Angreifer eindeutig Root-Zugriff auf den VPN-Server hatte.

Das Schuldspiel

NordVPN hat eine offizielle Erklärung zu dem Vorfall veröffentlicht, in der erklärt wird, dass nur ein einziger Server in Finnland betroffen war. Es heißt auch, dass der Fehler beim Personal des Serverzentrums liegt:

„Der Angreifer erlangte Zugriff auf den Server, indem er ein unsicheres Remoteverwaltungssystem ausnutzte, das vom Rechenzentrumsanbieter hinterlassen wurde. Wir wussten nicht, dass es ein solches System gibt. “

Wir müssen jedoch sagen, dass wir der Meinung sind, dass ein so großes Unternehmen wie NordVPN seine eigenen Techniker entsenden sollte, um seine eigenen Bare-Metal-VPN-Server einzurichten, anstatt sich beim Einrichten seiner VPN-Server auf potenziell nicht vertrauenswürdige Server-Mitarbeiter von Drittanbietern zu verlassen.

Aus unserer Sicht sollte ein VPN-Dienst die vollständige Kontrolle über seine Server haben. Dies würde einen großen Beitrag zur Absicherung eines VPN-Servernetzwerks gegen alle Bedrohungen leisten. Interessanterweise ist dies auch eine Ansicht von Niko Viskari, CEO des fraglichen Serverzentrums:

"Ja, wir können bestätigen, dass [Nord] unsere Kunden waren," Viskari erzählte The Register. "Und sie hatten ein Problem mit ihrer Sicherheit, weil sie sich nicht selbst darum gekümmert haben.

...Sie hatten ein Problem mit ihrer Sicherheit, weil sie sich nicht selbst darum gekümmert haben

Niko Viskari

"Wir haben viele Kunden und einige große VPN-Dienstleister unter ihnen, die sich sehr stark um ihre Sicherheit kümmern “, sagte er und fügte hinzu:„ NordVPN hat anscheinend der Sicherheit von sich aus nicht mehr Beachtung geschenkt und versucht, dies irgendwie zu tun unsere Schultern."

In seiner Erklärung führt Viskari weiter aus, dass alle von seinem Unternehmen bereitgestellten Server die iLO- oder iDRAC-Remotezugriffstools verwenden. Diese haben von Zeit zu Zeit bekannte Sicherheitsprobleme, werden jedoch vom Server-Center mit den neuesten Firmware-Updates von HP und Dell aktualisiert.

Im Gegensatz zu anderen Kunden forderte NordVPN keine Einschränkung dieser Tools, indem sie „in private Netze gesteckt oder Ports heruntergefahren werden, bis sie benötigt werden“.

NordVPN behauptet, dass es nicht einmal wusste, dass diese Tools existieren. Aber wenn es seine eigenen Server eingerichtet hätte, wäre das Problem nie aufgetreten.

"Wir haben den Exploit nicht sofort veröffentlicht, weil wir sicherstellen mussten, dass keine unserer Infrastrukturen für ähnliche Probleme anfällig ist."

Dies erklärt nicht, warum das Problem 18 Monate in Anspruch genommen hat, nachdem NordVPN es nach einem Twittersturm, der im Internet weit verbreitete verdammte Beweise enthielt, endlich zugegeben hatte.

Letztendlich hat der Ruf von NordVPN jedoch mehr Schaden angerichtet als die Privatsphäre der Nutzer.

"Obwohl nur einer von mehr als 3000 Servern, die wir zu diesem Zeitpunkt hatten, betroffen war, versuchen wir nicht, den Schweregrad des Problems zu untergraben" sagte der anbieter in seiner aussage.

Wir haben versagt, indem wir einen unzuverlässigen Server-Anbieter beauftragt haben, und hätten besser für die Sicherheit unserer Kunden sorgen sollen

"Wir haben versagt, indem wir einen unzuverlässigen Server-Anbieter beauftragt haben, und hätten besser für die Sicherheit unserer Kunden sorgen sollen. Wir ergreifen alle erforderlichen Maßnahmen, um unsere Sicherheit zu verbessern. Wir haben ein Application Security Audit durchlaufen, arbeiten gerade an einem zweiten No-Log-Audit und bereiten ein Bug-Bounty-Programm vor. Wir werden unser Bestes geben, um die Sicherheit aller Aspekte unseres Service zu maximieren, und nächstes Jahr werden wir eine unabhängige externe Prüfung unserer gesamten Infrastruktur durchführen, um sicherzustellen, dass wir nichts anderes verpassen."

Datenschutzerklärung

ProPrivacy widmet sich der Beratung seiner Benutzer, denen sie vertrauen können. Wir nehmen NordVPN regelmäßig in unsere Empfehlungen auf, da es einen fantastischen Service bietet. Angesichts dieser bahnbrechenden Geschichte werden wir NordVPN aus unseren Artikeln zu Sicherheit und Datenschutz entfernen, bis wir zuversichtlich sind, dass ihr Service unseren Erwartungen und denen unserer Leser entspricht.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me