Το NordVPN παραδέχεται ότι ήταν hacked

Το NordVPN, ένας από τους πιο σημαντικούς και σεβαστούς παρόχους VPN καταναλωτών, επιβεβαίωσε ότι ένας από τους διακομιστές του είχε πρόσβαση χωρίς άδεια.


Η ιστορία έσπασε αφού η NordVPN δημοσίευσε μια μάλλον παρορμητική και ανόητη δήλωση στο Twitter.

NordVPN tweet

Αντίθετα από μια δήλωση γεγονότων, το twittervers είδε αυτό ως πρόκληση και δεν ήρθε πολύς καιρός πριν από μια ομάδα καλώντας τον εαυτό του KekSec αποκάλυψε ότι οι χάκερ είχαν πρόσβαση σε ένα διακομιστή και διαρρεύσει τη διαμόρφωση OpenVPN Nord και το συσχετιζόμενο ιδιωτικό κλειδί, καθώς και πιστοποιητικά TLS.

Keksec απάντηση twitter

Το NordVPN αναγνώρισε τώρα την παραβίαση, δηλώνοντας ότι ένας εισβολέας είχε πρόσβαση σε ένα ενοικιαζόμενο διακομιστή στη Φινλανδία εκμεταλλευόμενος ένα ανασφαλές απομακρυσμένο σύστημα διαχείρισης που άφησε ο πάροχος του datacenter.

Ιστορικό

Τον Μάρτιο του 2018, τα πιστοποιητικά TLS που ανήκαν στους διακομιστές web NordVPN, VikingVPN και TorGuard δημοσιεύθηκαν στο 8chan. Αυτά τα πιστοποιητικά έχουν πλέον λήξει, αλλά ήταν διαθέσιμα την ώρα της ανάρτησης. Παρά τις προσπάθειες του NordVPN να υποβαθμίσει την παραβίαση, η δημοσίευση αποδεικνύει αναμφισβήτητα ότι το NordVPN έχει συμβιβαστεί σε κάποιο σημείο στο παρελθόν.

Όποιος έχει αποκτήσει αυτά τα πιστοποιητικά πρέπει να έχει πρόσβαση ριζικά στο δοχείο διαδικτυακών περιουσιακών στοιχείων των επηρεαζόμενων διακομιστών και συνεπώς θα είχε τον πλήρη έλεγχο των διακομιστών, συμπεριλαμβανομένης της δυνατότητας να οσφραίνομαι και να παραβιάζει τα δεδομένα που διέρχονται από αυτά.

Θεωρητικά, αυτό σημαίνει επίσης ότι ο καθένας θα μπορούσε να έχει εγκαταστήσει έναν εικονικό ιστότοπο που υποτίθεται ότι ανήκει στο NordVPN, το VikingVPN ή το TorGuard, το οποίο το πρόγραμμα περιήγησής σας θα είχε δεχθεί ως γνήσιο. Πράγματι, κάποιος έχει δημοσιεύσει ακόμη ένα παράδειγμα μιας τέτοιας επίθεσης στη δράση:

Αρχική σελίδα Tianyu Zhu

Το NordVPN, ωστόσο, μας είπε ότι μια τέτοια επίθεση MitM δεν θα ήταν δυνατή εκτός εάν ένας εισβολέας ήταν σε θέση να εισβάλει στον υπολογιστή ενός χρήστη ενός χρήστη ή να παρακολουθήσει και να τροποποιήσει την κυκλοφορία του δικτύου.

Το μεγαλύτερο θέμα

Έχει γίνει επίσης εμφανές ότι τα ιδιωτικά κλειδιά SSL για τα πιστοποιητικά OpenVPN του NordVPN "έχουν επίσης επιπλεύσει σχεδόν απαρατήρητα" εδώ και αρκετό καιρό. Yikes! Αυτό τροφοδότησε την εικασία ότι ένας εισβολέας θα μπορούσε να αποκρυπτογραφήσει τις συνεδρίες VPN των χρηστών, συμπεριλαμβανομένων των προηγούμενων περιόδων σύνδεσης VPN, επιτρέποντάς τους να δουν τι πελάτες του NordVPN έφτασαν στο διαδίκτυο.

Και πάλι, η NordVPN ήταν πρόθυμη να χυθεί κρύο νερό σε αυτή την ιδέα. "Ούτε το Πιστοποιητικό TLS ούτε τα κλειδιά VPN μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση της κανονικής κυκλοφορίας VPN ή για την προηγούμενη εγγραφή VPN", δήλωσαν στους χρήστες του ProPrivacy.

Αξίζει να θυμηθούμε ότι οι συνεδρίες OpenVPN του NordVPN χρησιμοποιούν τέλεια εμπιστευτικότητα (εφήμερα κλειδιά κρυπτογράφησης) μέσω των πλήκτρων DHE-2096 Diffie-Hellman κατά την ανταλλαγή κλειδιών TLS. Επομένως, ακόμα και αν μια συνεδρία VPN αναγκάστηκε με τεράστιο κόστος σε χρήμα, προσπάθεια και υπολογιστική ισχύ, μόνο μία ώρα της σύσκεψης VPN θα διακυβευόταν πριν αλλάξει το κλειδί.

Παρόλο που αυτό το σημείο μπορεί να είναι αμφιλεγόμενο, αφού ο εισβολέας είχε σαφώς πρόσβαση στο διακομιστή VPN.

Το παιχνίδι φταίει

Η NordVPN δημοσίευσε επίσημη δήλωση σχετικά με το περιστατικό, όπου εξηγεί ότι επηρεάστηκε μόνο ένας μόνο διακομιστής που βρίσκεται στη Φινλανδία. Λέει επίσης ότι το σφάλμα έγκειται στο προσωπικό του διακομιστή:

"Ο εισβολέας απέκτησε πρόσβαση στο διακομιστή εκμεταλλευόμενο ένα ανασφαλές απομακρυσμένο σύστημα διαχείρισης που άφησε ο πάροχος του datacenter. Δεν γνωρίζαμε ότι υπάρχει ένα τέτοιο σύστημα. "

Ωστόσο, πρέπει να πούμε ότι αισθανόμαστε μια εταιρεία τόσο μεγάλη όσο η NordVPN θα πρέπει να στέλνει τους δικούς της τεχνικούς για να ρυθμίσει τους δικούς της κεντρικούς διακομιστές VPN αντί να στηρίζεται σε δυνητικά αναξιόπιστο προσωπικό διακομιστών τρίτων για να ρυθμίσει τους διακομιστές VPN.

Κατά την άποψή μας, μια υπηρεσία VPN θα πρέπει να έχει πλήρη έλεγχο στους διακομιστές της. Κάνοντας αυτό θα προχωρούσε πολύ προς την κατεύθυνση της σκλήρυνσης ενός δικτύου VPN server έναντι όλων των απειλών. Είναι ενδιαφέρον ότι πρόκειται για μια άποψη που κατέχει ο Niko Viskari, Διευθύνων Σύμβουλος του εν λόγω κέντρου εξυπηρετητών:

"Ναι, μπορούμε να επιβεβαιώσουμε ότι οι [Nord] ήταν πελάτες μας," Δήλωσε ο Βισκάρι στο The Register. "Και είχαν ένα πρόβλημα με την ασφάλειά τους, επειδή δεν έβλεπαν τον εαυτό τους.

...είχαν ένα πρόβλημα με την ασφάλειά τους επειδή δεν το έδιναν

Νίκο Βισκάρι

"Έχουμε πολλούς πελάτες και μερικούς μεγάλους παρόχους υπηρεσιών VPN μεταξύ τους, οι οποίοι φροντίζουν πολύ καλά την ασφάλειά τους », είπε, προσθέτοντας:« Το NordVPN φαίνεται ότι δεν έδινε περισσότερη προσοχή στην ασφάλεια από μόνο του και προσπαθούσε κάπως να το βάλει αυτό στους ώμους μας."

Στη δήλωσή του, ο Βισκάρι συνεχίζει να εξηγεί ότι όλοι οι διακομιστές που παρέχει η εταιρεία του χρησιμοποιούν τα εργαλεία απομακρυσμένης πρόσβασης iLO ή iDRAC. Αυτά έχουν από καιρό σε καιρό γνωστά ζητήματα ασφάλειας, αλλά το κέντρο των διακομιστών τα διατηρεί ενημερωμένα με τις πιο πρόσφατες ενημερώσεις υλικολογισμικού από την HP και την Dell.

Σε αντίθεση με τους άλλους πελάτες της, η NordVPN δεν ζήτησε να περιοριστούν αυτά τα εργαλεία, τοποθετώντας τα "μέσα σε ιδιωτικά δίκτυα ή κλείνοντας τα λιμάνια μέχρι να χρειαστούν".

Το NordVPN, από την πλευρά του, ισχυρίζεται ότι δεν γνώριζε καν ότι αυτά τα εργαλεία υπήρχαν. αλλά αν είχε εγκαταστήσει δικούς του διακομιστές το πρόβλημα δεν θα είχε ποτέ προκύψει.

"Δεν αποκαλύψαμε την εκμετάλλευση αμέσως επειδή έπρεπε να διασφαλίσουμε ότι καμία από τις υποδομές μας δεν θα μπορούσε να είναι επιρρεπής σε παρόμοια θέματα".

Το οποίο δεν εξηγεί γιατί το θέμα πήρε περίπου 18 μήνες για να φανεί στο φως, με το NordVPN να του επιδοθεί τελικά μόνο μετά από μια Twitterstorm που είδε τα καταδικαστικά στοιχεία που δημοσιεύθηκαν ευρέως στο Διαδίκτυο.

Ωστόσο, στο τέλος της ημέρας, έχει γίνει μεγαλύτερη ζημιά στη φήμη του NordVPN παρά στην ιδιωτικότητα των χρηστών του.

"Παρόλο που μόνο 1 από τους περισσότερους από 3000 διακομιστές που είχαμε τότε επηρεάστηκε, δεν προσπαθούμε να υπονομεύσουμε τη σοβαρότητα του προβλήματος" δήλωσε ο πάροχος στη δήλωσή του.

Αποτύχαμε αναθέτοντας έναν αναξιόπιστο πάροχο διακομιστή και έπρεπε να είχαμε κάνει καλύτερα για να διασφαλίσουμε την ασφάλεια των πελατών μας

"Αποτύχαμε αναθέτοντας έναν αναξιόπιστο πάροχο διακομιστή και έπρεπε να είχαμε κάνει καλύτερα για να διασφαλίσουμε την ασφάλεια των πελατών μας. Παίρνουμε όλα τα απαραίτητα μέσα για να ενισχύσουμε την ασφάλειά μας. Έχουμε υποβληθεί σε έλεγχο ασφάλειας των εφαρμογών, εργαζόμαστε για ένα δεύτερο έλεγχο χωρίς λογαρίσματα τώρα και προετοιμάζουμε ένα πρόγραμμα για τα δικαιώματα των κοριτσιών. Θα δώσουμε σε όλους μας να μεγιστοποιήσουμε την ασφάλεια κάθε πτυχής της υπηρεσίας μας και το επόμενο έτος θα ξεκινήσουμε έναν ανεξάρτητο εξωτερικό έλεγχο όλων των υποδομών μας για να βεβαιωθούμε ότι δεν χάσαμε τίποτα άλλο."

Δήλωση ProPrivacy

Το ProPrivacy είναι αφιερωμένο στην παροχή στους χρήστες του συμβουλών που μπορούν να εμπιστευτούν. Συμπεριλαμβάνουμε τακτικά το NordVPN στις συστάσεις μας, λόγω της φανταστικής υπηρεσίας που προσφέρουν. Υπό το φως αυτής της καταστροφικής ιστορίας, θα απομακρύνουμε το NordVPN από τα άρθρα που σχετίζονται με την ασφάλεια και το απόρρητο έως ότου είμαστε βέβαιοι ότι η υπηρεσία τους ανταποκρίνεται στις προσδοκίες μας και στις προσδοκίες των αναγνωστών μας.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me