NordVPN ammette che è stato violato

NordVPN, uno dei provider VPN consumer più importanti e rispettati, ha confermato che uno dei suoi server era accessibile senza autorizzazione.

La storia è scoppiata dopo che NordVPN ha pubblicato una dichiarazione piuttosto impulsiva e insensata su Twitter.

Tweet di NordVPN

Piuttosto che una dichiarazione di fatto, Twitterverse ha visto questa come una sfida e non passò molto tempo prima che un gruppo che si autodefinisse KekSec rivelasse che gli hacker avevano avuto accesso a un server e trapelato la configurazione OpenVPN di Nord e la chiave privata associata nonché i certificati TLS.

Risposta Twitter di Keksec

NordVPN ha ora riconosciuto la violazione, affermando che un utente malintenzionato ha ottenuto l'accesso a un server noleggiato in Finlandia sfruttando un sistema di gestione remota non sicuro lasciato dal fornitore del datacenter.

sfondo

A marzo 2018, i certificati TLS appartenenti ai server Web NordVPN, VikingVPN e TorGuard sono stati pubblicati su 8chan. Questi certificati sono ora scaduti ma erano aggiornati al momento della pubblicazione. Nonostante gli sforzi di NordVPN per minimizzare la violazione, la pubblicazione dimostra senza dubbio che NordVPN è stata compromessa ad un certo punto in passato.

Chiunque abbia ottenuto questi certificati deve avere avuto accesso root al container web dei server interessati e avrebbe quindi avuto il pieno controllo sui server, inclusa la possibilità di annusare e manomettere i dati che li attraversano.

In teoria, ciò significa anche che chiunque avrebbe potuto configurare un sito Web fittizio che pretendeva di appartenere a NordVPN, VikingVPN o TorGuard, che il tuo browser avrebbe accettato come autentico. In effetti, qualcuno ha persino pubblicato un esempio di tale attacco in azione:

Homepage di Tianyu Zhu

NordVPN, tuttavia, ci ha detto che un simile attacco MitM non sarebbe possibile se un attaccante non fosse in grado di hackerare il computer di una persona dell'utente o di intercettare e modificare il traffico di rete.

Il problema più grande

È anche diventato evidente che le chiavi SSL private per i certificati OpenVPN di NordVPN "hanno anche fluttuato per lo più inosservati" da un po 'di tempo. Yikes! Ciò ha alimentato la speculazione che un utente malintenzionato potrebbe decrittografare le sessioni VPN degli utenti, comprese le sessioni VPN passate, consentendo loro di vedere ciò che i clienti di NordVPN hanno ottenuto online.

Ancora una volta, NordVPN desiderava versare acqua fredda su questa idea. "Né il certificato TLS né le chiavi VPN possono essere utilizzati per decrittografare il traffico VPN normale o la sessione VPN precedentemente registrata", hanno detto a ProPrivacy.

Vale la pena ricordare che le sessioni OpenVPN di NordVPN usano un perfetto segreto in avanti (chiavi di crittografia effimere) tramite le chiavi Diffie-Hellman DHE-2096 durante lo scambio di chiavi TLS. Quindi, anche se una sessione VPN fosse forzata ad un costo enorme in denaro, fatica e potenza di calcolo, solo un'ora della sessione VPN sarebbe compromessa prima che la chiave fosse cambiata.

Sebbene questo punto possa essere discutibile poiché l'attaccante aveva chiaramente l'accesso root al server VPN.

Il gioco della colpa

NordVPN ha pubblicato una dichiarazione ufficiale sull'incidente, in cui spiega che è stato interessato solo un singolo server situato in Finlandia. Dice anche che l'errore è del personale del server center:

“L'aggressore ha ottenuto l'accesso al server sfruttando un sistema di gestione remota non sicuro lasciato dal provider del datacenter. Non eravamo a conoscenza dell'esistenza di un tale sistema. "

Dobbiamo dire, tuttavia, che riteniamo che un'azienda grande come NordVPN dovrebbe inviare i propri tecnici per configurare i propri server VPN bare metal, piuttosto che fare affidamento su personale di server di terze parti potenzialmente inaffidabile per configurare i propri server VPN.

A nostro avviso, un servizio VPN dovrebbe avere il controllo completo sui suoi server. Questo farebbe molto per rafforzare la rete di un server VPN contro tutte le minacce. È interessante notare che questo è anche un punto di vista di Niko Viskari, CEO del server center in questione:

"Sì, possiamo confermare che [Nord] era nostro cliente," Viskari ha detto al Registro. "E hanno avuto un problema con la loro sicurezza perché non se ne sono occupati da soli.

...hanno avuto un problema con la loro sicurezza perché non se ne sono occupati da soli

Niko Viskari

"Abbiamo molti clienti e alcuni grandi fornitori di servizi VPN tra loro, che si occupano molto della loro sicurezza ", ha detto, aggiungendo:" NordVPN sembra non aver prestato più attenzione alla sicurezza da solo, e in qualche modo cerca di metterlo su le nostre spalle."

Nella sua dichiarazione, Viskari prosegue spiegando che tutti i server forniti dalla sua azienda utilizzano gli strumenti di accesso remoto iLO o iDRAC. Di tanto in tanto sono noti problemi di sicurezza, ma il server center li mantiene aggiornati con gli ultimi aggiornamenti del firmware di HP e Dell.

A differenza di altri suoi altri clienti, NordVPN non ha richiesto la limitazione di questi strumenti posizionandoli "all'interno di reti private o chiudendo le porte fino a quando non sono necessari".

NordVPN, da parte sua, afferma di non sapere nemmeno che esistessero questi strumenti; ma se avesse installato i propri server il problema non si sarebbe mai presentato.

"Non abbiamo rivelato immediatamente l'exploit perché dovevamo assicurarci che nessuna delle nostre infrastrutture potesse essere soggetta a problemi simili".

Il che non spiega perché alla questione siano occorsi circa 18 mesi, con NordVPN che l'ha finalmente ammesso sulla scia di una tempesta di Twitter che ha visto prove dannose ampiamente pubblicate su Internet.

Alla fine della giornata, tuttavia, sono stati fatti più danni alla reputazione di NordVPN che alla privacy dei suoi utenti.

"Anche se solo 1 degli oltre 3000 server che avevamo in quel momento era interessato, non stiamo cercando di minare la gravità del problema" ha dichiarato il fornitore nella sua dichiarazione.

Abbiamo fallito stipulando un contratto con un fornitore di server inaffidabile e avremmo dovuto fare di meglio per garantire la sicurezza dei nostri clienti

"Abbiamo fallito stipulando un contratto con un fornitore di server inaffidabile e avremmo dovuto fare di meglio per garantire la sicurezza dei nostri clienti. Stiamo prendendo tutti i mezzi necessari per migliorare la nostra sicurezza. Abbiamo subito un controllo di sicurezza delle applicazioni, stiamo lavorando a un secondo controllo senza log in questo momento e stiamo preparando un programma di ricompensa dei bug. Faremo del nostro meglio per massimizzare la sicurezza di ogni aspetto del nostro servizio e l'anno prossimo lanceremo un audit esterno indipendente su tutta la nostra infrastruttura per assicurarci di non perdere altro."

Dichiarazione ProPrivacy

ProPrivacy è dedicato a fornire ai propri utenti consigli di cui si possono fidare. Includiamo regolarmente NordVPN nei nostri consigli a causa del fantastico servizio che offrono. Alla luce di questa storia rivoluzionaria, rimuoveremo NordVPN dai nostri articoli sulla sicurezza e sulla privacy fino a quando non saremo sicuri che il loro servizio soddisfi le nostre aspettative e quelle dei nostri lettori.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me