NordVPN připouští, že byl hacknut

Společnost NordVPN, jeden z nejvýznamnějších a nejuznávanějších poskytovatelů spotřebitelských VPN, potvrdila, že na jeden z jejích serverů byl přistupován bez oprávnění.


Příběh se zlomil poté, co společnost NordVPN zveřejnila na Twitteru poněkud impulzivní a hloupé prohlášení.

NordVPN tweet

Spíše než ve skutečnosti to twitterverse viděl jako výzvu a netrvalo dlouho, než skupina, která sama sebe volala, KekSec odhalila, že hackeři přistupovali k serveru a unikli konfiguraci NordV OpenVPN a přidruženému soukromému klíči a certifikátům TLS..

Keksec twitter odpověď

Společnost NordVPN nyní uznala porušení a uvedla, že útočník získal přístup k pronajatému serveru ve Finsku tím, že využil nezabezpečený systém vzdálené správy ponechaný poskytovatelem datového centra..

Pozadí

V březnu 2018 byly certifikáty TLS, které patří webovým serverům NordVPN, VikingVPN a TorGuard, zveřejněny na 8 kanálů. Platnost těchto certifikátů již vypršela, ale byla aktuální v době zveřejnění. Navzdory snahám NordVPN o porušení tohoto pravidla publikace bezpochyby dokazuje, že NordVPN byl v minulosti v minulosti ohrožen.

Každý, kdo získal tyto certifikáty, musel mít root přístup k webovému kontejneru postižených serverů, a měl by tedy plnou kontrolu nad servery, včetně možnosti čichat a manipulovat s daty, která jimi procházejí..

Teoreticky to také znamená, že kdokoli by mohl nastavit fiktivní web, který by údajně patřil k NordVPN, VikingVPN nebo TorGuard, který by váš prohlížeč akceptoval jako originální. Někdo dokonce zveřejnil příklad takového útoku v akci:

Domovská stránka Tianyu Zhu

NordVPN nám však řekl, že takový útok MitM by nebyl možný, pokud by útočník nebyl schopen proniknout do počítače uživatele uživatele nebo zachytit a upravit jejich síťový provoz.

Větší problém

Ukázalo se také, že soukromé SSL klíče pro certifikáty OpenVPN od NordVPN „již nějakou dobu plují téměř většinou bez povšimnutí“. Yikes! To vyvolalo spekulace, že by útočník mohl dešifrovat relace VPN uživatelů, včetně minulých relací VPN, což jim umožní vidět, co zákazníci NordVPN získali online.

Společnost NordVPN opět chtěla nalít studenou vodu na tento nápad. "Certifikát TLS ani klíče VPN nelze použít k dešifrování běžného provozu VPN nebo dříve zaznamenané relace VPN," řekli ProPrivacy..

Je třeba si uvědomit, že relace OpenVPN NordVPN využívají během výměny klíčů TLS perfektní dopředné tajemství (efemérní šifrovací klíče) prostřednictvím klíčů DHE-2096 Diffie-Hellman. Takže i kdyby byla relace VPN brutálně nucena za obrovské peníze, úsilí a výpočetní výkon, před změnou klíče by byla ohrožena pouze jedna hodina relace VPN..

I když tento bod může být nepříznivý, protože útočník měl jasně přístup root k serveru VPN.

Hra viny

Společnost NordVPN zveřejnila oficiální prohlášení o incidentu, ve kterém vysvětluje, že byl zasažen pouze jediný server umístěný ve Finsku. Říká se také, že chyba leží na personálu serveru:

„Útočník získal přístup k serveru využíváním nezabezpečeného systému vzdálené správy, který zanechal poskytovatel datového centra. Nevěděli jsme, že takový systém existuje. “

Musíme však říci, že se domníváme, že společnost tak velká, jako je NordVPN, by měla vysílat své vlastní techniky, aby si nastavili vlastní holé kovové servery VPN, než aby se spoléhali na potenciálně nedůvěryhodné zaměstnance serverů třetích stran, aby nastavili své servery VPN.

Podle našeho názoru by služba VPN měla mít úplnou kontrolu nad svými servery. Pokud tak učiníte, půjde dlouhá cesta k zatvrdnutí sítě serveru VPN proti všem hrozbám. Je zajímavé, že toto je také názor, který zastává Niko Viskari, generální ředitel dotyčného serverového centra:

"Ano, můžeme potvrdit, že [Nord] byli našimi klienty," Viskari řekl The Register. "A měli problém se svou bezpečností, protože se o to sami nestarali.

...měli problém se svou bezpečností, protože se o to sami nestarali

Niko Viskari

"Máme mezi sebou mnoho klientů a několik velkých poskytovatelů služeb VPN, kteří se velmi pečlivě starají o jejich zabezpečení, “řekl a dodal:„ Zdá se, že společnost NordVPN nevěnovala více bezpečnosti samotnému zabezpečení a nějak se o to pokusila naše ramena."

Ve svém prohlášení Viskari dále vysvětluje, že všechny servery poskytované jeho společností používají nástroje pro vzdálený přístup iLO nebo iDRAC. Jedná se o občasné bezpečnostní problémy, ale serverové centrum je udržuje opravené nejnovějšími aktualizacemi firmwaru od společností HP a Dell..

Na rozdíl od ostatních zákazníků NordVPN nepožadoval, aby tyto nástroje byly omezeny jejich umístěním „do privátních sítí nebo vypnutím portů, dokud nebudou potřeba.“

Společnost NordVPN tvrdí, že ani nevěděla, že tyto nástroje existují; ale pokud by nastavil své vlastní servery, problém by nikdy nevznikl.

"Využití jsme nezveřejnili okamžitě, protože jsme se museli ujistit, že žádná z naší infrastruktury nemůže být náchylná k podobným problémům."

Což nevysvětluje, proč se tento problém objevil asi 18 měsíců, s tím, že k němu NordVPN konečně připustil v důsledku Twitterstorm, který viděl na internetu široce publikované prokazující důkazy.

Nakonec však došlo k většímu poškození pověsti společnosti NordVPN než v soukromí uživatelů.

"Přestože byl ovlivněn pouze 1 z více než 3000 serverů, které jsme měli v té době, nesnažíme se podkopat závažnost problému" poskytovatel uvedl ve svém prohlášení.

Neúspěch jsme uzavřeli s dodavatelem nespolehlivého serveru a měli jsme udělat lépe pro zajištění bezpečnosti našich zákazníků

"Neúspěch jsme uzavřeli s dodavatelem nespolehlivého serveru a měli jsme udělat lépe pro zajištění bezpečnosti našich zákazníků. Bereme všechny potřebné prostředky k posílení naší bezpečnosti. Právě jsme prošli bezpečnostním auditem aplikace, právě teď pracujeme na druhém auditu bez protokolování a připravujeme program odměn za chyby. Dáme všem, abychom maximalizovali bezpečnost všech aspektů naší služby, a příští rok zahájíme nezávislý externí audit celé naší infrastruktury, abychom se ujistili, že nám nic neuniklo."

ProPrivacy prohlášení

ProPrivacy je odhodlána poskytovat svým uživatelům rady, kterým mohou důvěřovat. Pravidelně zařazujeme NordVPN do našich doporučení kvůli fantastické službě, kterou nabízejí. Ve světle tohoto příběhu odstraníme NordVPN z našich článků týkajících se zabezpečení a ochrany soukromí, dokud si nebudeme jisti, že jejich služba splňuje naše očekávání a očekávání našich čtenářů.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me