NordVPN, uno de los proveedores de VPN para consumidores más destacados y respetados, ha confirmado que se accedió a uno de sus servidores sin autorización..

La historia surgió después de que NordVPN publicara una declaración bastante impulsiva e imprudente en Twitter.

En lugar de una declaración de hecho, Twitterverse vio esto como un desafío y no pasó mucho tiempo antes de que un grupo que se hacía llamar KekSec revelara que los piratas informáticos habían accedido a un servidor y filtraron la configuración OpenVPN de Nord y la clave privada asociada, así como los certificados TLS.

NordVPN ahora ha reconocido la violación, afirmando que un atacante obtuvo acceso a un servidor alquilado en Finlandia al explotar un sistema de gestión remota inseguro dejado por el proveedor del centro de datos.

Antecedentes

En marzo de 2018, los certificados TLS pertenecientes a los servidores web NordVPN, VikingVPN y TorGuard se publicaron en 8chan. Estos certificados ya caducaron pero estaban vigentes al momento de su publicación. A pesar de los esfuerzos de NordVPN para minimizar la violación, la publicación demuestra sin lugar a dudas que NordVPN se ha visto comprometida en algún momento en el pasado..

Quien haya obtenido estos certificados debe haber tenido acceso root al contenedor web de los servidores afectados y, por lo tanto, habría tenido un control total sobre los servidores, incluida la capacidad de detectar y alterar los datos que pasan a través de ellos..

En teoría, esto también significa que cualquiera podría haber configurado un sitio web ficticio que supuestamente pertenece a NordVPN, VikingVPN o TorGuard, que su navegador habría aceptado como genuino. De hecho, alguien incluso ha publicado un ejemplo de tal ataque en acción:

NordVPN, sin embargo, nos dijo que tal ataque MitM no sería posible a menos que un atacante pudiera piratear la computadora de la persona del usuario o interceptar y modificar su tráfico de red.

El mayor problema

También se ha hecho evidente que las claves SSL privadas para los certificados OpenVPN de NordVPN "también han estado pasando desapercibidas" desde hace algún tiempo. ¡Ay! Esto ha alimentado la especulación de que un atacante podría descifrar las sesiones VPN de los usuarios, incluidas las sesiones VPN anteriores, lo que les permite ver qué hicieron los clientes de NordVPN en línea..

Nuevamente, NordVPN estaba dispuesto a verter agua fría sobre esta idea. "Ni el Certificado TLS ni las Claves VPN se pueden usar para descifrar el tráfico VPN normal o la sesión VPN previamente grabada", dijeron a ProPrivacy.

Vale la pena recordar que las sesiones OpenVPN de NordVPN utilizan el secreto directo perfecto (claves de cifrado efímeras) a través de las claves DHE-2096 Diffie-Hellman durante el intercambio de claves TLS. Entonces, incluso si una sesión de VPN fuera forzada a un costo enorme en dinero, esfuerzo y potencia informática, solo una hora de la sesión de VPN se vería comprometida antes de cambiar la clave.

Aunque este punto puede ser discutible ya que el atacante claramente tenía acceso raíz al servidor VPN.

El juego de la culpa

NordVPN ha publicado una declaración oficial sobre el incidente, en la que explica que solo se vio afectado un único servidor ubicado en Finlandia. También dice que la falla recae en el personal del centro del servidor:

“El atacante obtuvo acceso al servidor al explotar un sistema de gestión remota inseguro que dejó el proveedor del centro de datos. No sabíamos que existía tal sistema ”.

Sin embargo, tenemos que decir que creemos que una empresa tan grande como NordVPN debería enviar sus propios técnicos para configurar sus propios servidores VPN, en lugar de depender de un personal de servidores de terceros potencialmente no confiable para configurar sus servidores VPN..

En nuestra opinión, un servicio VPN debería tener un control completo sobre sus servidores. Hacer esto contribuiría en gran medida a fortalecer una red de servidor VPN contra todas las amenazas. Curiosamente, esta es también una opinión de Niko Viskari, CEO del centro de servidores en cuestión:

"Sí, podemos confirmar [Nord] fueron nuestros clientes," Viskari le dijo a The Register. "Y tenían un problema con su seguridad porque no se ocuparon de eso ellos mismos.

...tenían un problema con su seguridad porque no se ocuparon de eso ellos mismos

Niko Viskari

"Tenemos muchos clientes, y algunos grandes proveedores de servicios VPN entre ellos, que cuidan su seguridad muy fuertemente ", dijo, y agregó:" NordVPN parece que no prestó más atención a la seguridad por sí mismos, y de alguna manera intentan poner esto en práctica nuestros hombros."

En su declaración, Viskari continúa explicando que todos los servidores proporcionados por su compañía usan las herramientas de acceso remoto iLO o iDRAC. Éstos tienen problemas de seguridad conocidos de vez en cuando, pero el centro del servidor los mantiene actualizados con las últimas actualizaciones de firmware de HP y Dell.

A diferencia de otros clientes, NordVPN no solicitó que se restringieran estas herramientas al colocarlas "dentro de redes privadas o cerrar puertos hasta que se necesiten".

NordVPN, por su parte, afirma que ni siquiera sabía que existían estas herramientas; pero si hubiera configurado sus propios servidores, el problema nunca habría surgido.

"No revelamos el exploit de inmediato porque teníamos que asegurarnos de que ninguna de nuestra infraestructura pudiera ser propensa a problemas similares".

Lo que no explica por qué el problema tardó unos 18 meses en salir a la luz, y NordVPN solo finalmente lo admitió a raíz de una Twitterstorm que vio pruebas condenatorias ampliamente publicadas en Internet..

Al final del día, sin embargo, se ha hecho más daño a la reputación de NordVPN que a la privacidad de sus usuarios..

"Aunque solo 1 de los más de 3000 servidores que teníamos en ese momento se vio afectado, no estamos tratando de socavar la gravedad del problema" el proveedor dijo en su comunicado.

Fracasamos al contratar un proveedor de servidores poco confiable y debería haberlo hecho mejor para garantizar la seguridad de nuestros clientes

"Fracasamos al contratar un proveedor de servidores poco confiable y debería haberlo hecho mejor para garantizar la seguridad de nuestros clientes. Estamos tomando todos los medios necesarios para mejorar nuestra seguridad. Nos hemos sometido a una auditoría de seguridad de la aplicación, estamos trabajando en una segunda auditoría sin registros en este momento y estamos preparando un programa de recompensa por errores. Daremos todo para maximizar la seguridad de cada aspecto de nuestro servicio, y el próximo año lanzaremos una auditoría externa independiente de toda nuestra infraestructura para asegurarnos de que no nos falte nada más.."

Declaración ProPrivacy

ProPrivacy se dedica a proporcionar a sus usuarios consejos en los que pueden confiar. Regularmente incluimos NordVPN en nuestras recomendaciones debido al fantástico servicio que ofrecen. A la luz de esta historia de última hora, eliminaremos NordVPN de nuestros artículos relacionados con la seguridad y la privacidad hasta el momento en que estemos seguros de que su servicio cumple con nuestras expectativas y las de nuestros lectores.