NordVPN medger att det var hackat

NordVPN, en av de mest framstående och respekterade VPN-leverantörerna för konsumenter, har bekräftat att en av dess servrar har åtkomst utan tillstånd.

Berättelsen bröt efter att NordVPN publicerade ett ganska impulsivt och dumt uttalande på Twitter.

NordVPN tweet

I stället för ett faktumuttalande såg twitterverse detta som en utmaning och det tog inte lång tid innan en grupp som kallade sig KekSec avslöjade att hackare hade åtkomst till en server och läckt Nords OpenVPN-konfiguration och tillhörande privat nyckel samt TLS-certifikat.

Keksec twitter svar

NordVPN har nu erkänt brottet och konstaterat att en angripare fick tillgång till en hyrd server i Finland genom att utnyttja ett osäkert fjärrhanteringssystem kvar av datacenterleverantören.

Bakgrund

I mars 2018 publicerades TLS-certifikat som tillhör NordVPN, VikingVPN och TorGuard webbservrar på 8chan. Dessa certifikat har nu gått ut men var aktuella vid publiceringen. Trots NordVPN: s ansträngningar att bagatellisera brottet, bevisar publikationen utan tvekan att NordVPN har äventyrats någon gång i det förflutna.

Den som erhållit dessa certifikat måste ha haft root-åtkomst till de berörda servrarnas webbehållare och skulle därför ha haft full kontroll över servrarna, inklusive möjligheten att sniffa och manipulera med data som passerar genom dem.

I teorin innebär detta också att vem som helst kan ha installerat en dummy-webbplats som påstår sig tillhöra NordVPN, VikingVPN eller TorGuard, som din webbläsare skulle ha accepterat som äkta. Någon har faktiskt till och med publicerat ett exempel på en sådan attack i aktion:

Tianyu Zhu hemsida

NordVPN berättade emellertid att en sådan MitM-attack inte skulle vara möjlig om inte en angripare kunde hacka in en användares dator eller fånga upp och ändra deras nätverkstrafik.

Den större frågan

Det har också blivit uppenbart att de privata SSL-nycklarna för NordVPNs OpenVPN-certifikat "också har svävat runt mestadels obemärkt" under en längre tid. Usch! Detta har gett upphov till spekulationer om att en angripare kan dekryptera användarnas VPN-sessioner, inklusive tidigare VPN-sessioner, så att de kan se vad NordVPN-kunder fick upp till online.

Återigen var NordVPN angelägen om att hälla kallt vatten på denna idé. "Varken TLS-certifikat eller VPN-nycklar kan användas för att dekryptera vanlig VPN-trafik eller tidigare inspelad VPN-session," sa de till ProPrivacy.

Det är värt att komma ihåg, NordVPN: s OpenVPN-sessioner använder perfekt sekretess framåt (kortvariga krypteringsnycklar) via DHE-2096 Diffie-Hellman-tangenter under TLS-nyckelutbytet. Så även om en VPN-session var brute tvingad till enorma kostnader för pengar, ansträngning och datorkraft, skulle bara en timme av VPN-sessionen äventyras innan nyckeln ändrades.

Även om den här punkten kan vara en del eftersom angriparen helt klart hade root-åtkomst till VPN-servern.

Skuld spelet

NordVPN har publicerat ett officiellt uttalande om händelsen, där den förklarar att endast en enda server i Finland drabbades. Det säger också att felet ligger hos servicecentrets personal:

"Angriparen fick tillgång till servern genom att utnyttja ett osäkert fjärrhanteringssystem kvar av datacenterleverantören. Vi var inte medvetna om att ett sådant system fanns. ”

Vi måste dock säga att vi känner att ett företag som är så stort som NordVPN ska skicka ut sina egna tekniker för att ställa in sina egna bara metall VPN-servrar, snarare än att förlita sig på potentiellt otillförlitliga servicepersonal från tredje part för att installera sina VPN-servrar.

Enligt vår uppfattning bör en VPN-tjänst ha fullständig kontroll över sina servrar. Om du gör detta skulle det gå långt mot att härda ett VPN-servernätverk mot alla hot. Intressant nog är detta också en uppfattning som innehas av Niko Viskari, VD för servercentret i fråga:

"Ja, vi kan bekräfta att [Nord] var våra kunder," Viskari berättade för The Register. "Och de hade problem med deras säkerhet eftersom de inte tog hand om det själva.

...de hade ett problem med sin säkerhet eftersom de inte tog hand om det själva

Niko Viskari

"Vi har många kunder, och några stora VPN-tjänsteleverantörer bland dem, som tar hand om deras säkerhet väldigt starkt, ”sade han och tilllade:” NordVPN verkar att det inte ägde mer uppmärksamhet åt säkerheten av sig själva och på något sätt försöker sätta på detta våra axlar."

I sitt uttalande förklarar Viskari att alla servrar som tillhandahålls av hans företag använder iLO eller iDRAC fjärråtkomstverktyg. Dessa har kända säkerhetsproblem från tid till annan, men servercentret håller dem korrigerade med de senaste firmwareuppdateringarna från HP och Dell.

Till skillnad från andra sina andra kunder bad NordVPN inte om att dessa verktyg skulle begränsas genom att placera dem "i privata nät eller stänga av hamnar förrän de behövs."

NordVPN på sin sida hävdar att de inte ens visste att dessa verktyg fanns; men om den hade konfigurerat sina egna servrar skulle problemet aldrig ha uppstått.

"Vi avslöjade inte utnyttjandet omedelbart eftersom vi var tvungna att se till att ingen av vår infrastruktur kunde vara benägna till liknande problem."

Vilket inte förklarar varför frågan tog cirka 18 månader att komma fram, med NordVPN som bara äntligen erkände det i kölvattnet av en Twitterstorm som såg fördömande bevis allmänt publicerade på internet.

I slutet av dagen har dock större skador gjorts på NordVPN: s rykte än för användarnas integritet.

"Även om endast en av mer än 3000 servrar vi hade vid den tiden påverkades försöker vi inte undergräva svårighetsgraden av problemet" sade leverantören i sitt uttalande.

Vi misslyckades med att kontrahera en opålitlig serverleverantör och borde ha gjort bättre för att säkerställa våra kunders säkerhet

"Vi misslyckades med att kontrahera en opålitlig serverleverantör och borde ha gjort bättre för att säkerställa våra kunders säkerhet. Vi tar alla nödvändiga medel för att öka vår säkerhet. Vi har genomgått en applikationssäkerhetsrevision, arbetar med en andra granskning utan loggar just nu och förbereder ett bounty-program. Vi kommer att ge allt för att maximera säkerheten för alla aspekter av vår tjänst, och nästa år kommer vi att lansera en oberoende extern revision av all vår infrastruktur för att se till att vi inte missade något annat."

ProPrivacy-uttalande

ProPrivacy ägnar sig åt att ge sina användare råd som de kan lita på. Vi inkluderar regelbundet NordVPN i våra rekommendationer på grund av den fantastiska tjänsten de erbjuder. Mot bakgrund av den här historien kommer vi att ta bort NordVPN från våra säkerhets- och sekretessrelaterade artiklar tills vi är övertygade om att deras tjänst uppfyller våra förväntningar och våra läsares förväntningar..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me