NordVPN indrømmer, at det blev hacket

NordVPN, en af ​​de mest fremtrædende og respekterede VPN-udbydere af forbrugere, har bekræftet, at der var adgang til en af ​​dens servere uden tilladelse.

Historien brød, efter at NordVPN offentliggjorde en temmelig impulsiv og uhyggelig erklæring på Twitter.

NordVPN-tweet

I stedet for et faktumangivelse så twitterverse dette som en udfordring, og det varede ikke længe, ​​før en gruppe, der kalder sig KekSec, afslørede, at hackere havde adgang til en server og lækket Nord's OpenVPN-konfiguration og tilhørende privat nøgle samt TLS-certifikater.

Keksec twitter-svar

NordVPN har nu erkendt overtrædelsen og oplyser, at en angriberen fik adgang til en lejet server i Finland ved at udnytte et usikkert fjernstyringssystem, der blev efterladt af datacenterudbyderen.

Baggrund

I marts 2018 blev TLS-certifikater tilhørende NordVPN-, VikingVPN- og TorGuard-webserverne lagt ud på 8chan. Disse certifikater er nu udløbet, men var aktuelle på udgivelsestidspunktet. På trods af NordVPNs bestræbelser på at bagatellisere bruddet, beviser publikationen uden tvivl, at NordVPN er blevet kompromitteret på et tidspunkt i fortiden.

Den, der opnåede disse certifikater, skal have haft rodadgang til de berørte serveres webcontainer og ville derfor have haft fuld kontrol over serverne, herunder muligheden for at snuse og manipulere med data, der passerer dem..

I teorien betyder dette også, at enhver kunne have opsat et dummy-websted, der hævdes at tilhøre NordVPN, VikingVPN eller TorGuard, som din browser ville have accepteret som værende ægte. Faktisk har nogen endda lagt et eksempel på et sådant angreb i aktion:

Tianyu Zhu hjemmeside

NordVPN fortalte os dog, at et sådant MitM-angreb ikke ville være muligt, medmindre en hacker var i stand til at hacke ind i en brugers persons computer eller at aflytte og ændre deres netværkstrafik.

Det større problem

Det har også vist sig, at de private SSL-nøgler til NordVPNs OpenVPN-certifikater "også lige har svævet omkring det meste ubemærket" i nogen tid nu. Yikes! Dette har givet anledning til spekulation om, at en angriber kan dekryptere brugernes VPN-sessioner, inklusive tidligere VPN-sessioner, så de kan se, hvad NordVPN-kunder kom op til online.

Igen var NordVPN ivrig efter at hælde koldt vand på denne idé. "Hverken TLS-certifikat eller VPN-nøgler kan bruges til at dekryptere regelmæssig VPN-trafik eller tidligere optaget VPN-session," fortalte de ProPrivacy.

Det er værd at huske, NordVPNs OpenVPN-sessioner bruger perfekt fremad-hemmeligholdelse (kortvarige krypteringsnøgler) via DHE-2096 Diffie-Hellman-taster under TLS-nøgleudvekslingen. Så selvom en VPN-session blev brute-tvunget til enorme omkostninger i penge, kræfter og computerkraft, ville kun en time af VPN-sessionen kompromitteres, før nøglen blev ændret.

Selvom dette punkt kan være en smule, da angriberen tydeligvis havde rodadgang til VPN-serveren.

Skylden spillet

NordVPN har offentliggjort en officiel erklæring om hændelsen, hvori det forklares, at kun en enkelt server beliggende i Finland blev berørt. Det siger også, at fejl ligger hos servercentrets personale:

”Angriberen fik adgang til serveren ved at udnytte et usikkert fjernadministrationssystem, der blev efterladt af datacenterudbyderen. Vi var ikke klar over, at et sådant system eksisterede. ”

Vi må dog sige, at vi føler, at et firma, der er så stort som NordVPN, skal sende sine egne teknikere til at opsætte sine egne bare-metal VPN-servere, snarere end at stole på potentielt upålidelige tredjepart-serverpersonale til at opsætte deres VPN-servere.

Efter vores opfattelse skal en VPN-service have fuld kontrol over dets servere. At gøre dette ville gå meget langt mod at hærde et VPN-servernetværk mod alle trusler. Interessant nok er dette også et synspunkt, som Niko Viskari, administrerende direktør for det pågældende servercenter, har:

"Ja, vi kan bekræfte, at [Nord] var vores klienter," Viskari fortalte Registeret. "Og de havde et problem med deres sikkerhed, fordi de ikke selv tog sig af det.

...de havde et problem med deres sikkerhed, fordi de ikke selv tog sig af det

Niko Viskari

"Vi har mange klienter, og nogle store VPN-tjenesteudbydere blandt dem, der tager sig af deres sikkerhed meget stærkt, ”sagde han og tilføjede:“ NordVPN ser ud til, at det ikke var mere opmærksom på sikkerhed i sig selv, og på en eller anden måde forsøger at lægge dette på vores skuldre."

I sin erklæring forklarer Viskari, at alle servere leveret af hans firma bruger iLO eller iDRAC fjernadgangsværktøjer. Disse har kendte sikkerhedsproblemer fra tid til anden, men servercentret holder dem rettet med de nyeste firmwareopdateringer fra HP og Dell.

I modsætning til andre sine andre kunder bad NordVPN ikke om, at disse værktøjer blev begrænset ved at placere dem "i private net eller lukke havne, indtil det er nødvendigt."

NordVPN på sin side hævder, at den ikke engang vidste, at disse værktøjer eksisterede; men hvis den havde konfigureret sine egne servere, ville problemet aldrig have opstået.

”Vi afslørede ikke udnyttelsen straks, fordi vi var nødt til at sikre, at ingen af ​​vores infrastrukturer kunne være tilbøjelige til lignende problemer.”

Hvilket ikke forklarer, hvorfor problemet tog omkring 18 måneder at komme frem, hvor NordVPN først endelig indrømte det i kølvandet på en Twitterstorm, der så fordømmende beviser bredt udgivet på internettet.

I slutningen af ​​dagen er der dog sket mere skade på NordVPNs omdømme end for brugernes privatliv.

"Selvom kun 1 af mere end 3000 servere, vi havde på det tidspunkt, var berørt, forsøger vi ikke at undergrave alvorligheden af ​​problemet" sagde udbyderen i sin erklæring.

Vi mislykkedes ved at indgå en kontrakt med en upålidelig serverudbyder og burde have gjort det bedre for at sikre vores kunders sikkerhed

"Vi mislykkedes ved at indgå en kontrakt med en upålidelig serverudbyder og burde have gjort det bedre for at sikre vores kunders sikkerhed. Vi tager alle de nødvendige midler til at øge vores sikkerhed. Vi har gennemgået en applikationssikkerhedsrevision, arbejder på en anden no-logs-revision lige nu og forbereder et bugbelønningsprogram. Vi vil give vores alt for at maksimere sikkerheden i alle aspekter af vores service, og næste år lancerer vi en uafhængig ekstern revision af al vores infrastruktur for at sikre, at vi ikke går glip af noget andet."

ProPrivacy-erklæring

ProPrivacy er dedikeret til at give sine brugere råd, de kan stole på. Vi inkluderer regelmæssigt NordVPN i vores anbefalinger på grund af den fantastiske service, de tilbyder. I lyset af denne banebrydende historie fjerner vi NordVPN fra vores sikkerheds- og privatlivsrelaterede artikler, indtil vi er sikre på, at deres service opfylder vores forventninger og vores læsers forventninger..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me