hack nordvpn


W tym przewodniku zagłębiam się w ostatni hack NordVPN i analizujemy fakty otaczające sytuację, z najnowszymi osiągnięciami.

Ostatnio media opublikowały szereg raportów dotyczących hackowania NordVPN na serwerze w Finlandii. Pogłoski i zarzuty rozprzestrzeniają się szybko, a NordVPN jest jedną z największych sieci VPN na rynku.

Chociaż niektóre wiadomości mogą być niepokojące, odczuwalny wpływ tego problemu na użytkowników NordVPN jest dość ograniczony.

Hack NordVPN: streszczenie faktów

Po pierwsze, z perspektywy czasu ten hack dotyczy jednego serwera NordVPN w Finlandii z sieci około 5000 serwerów. Teraz sprawdźmy, co dokładnie stało się z tym serwerem.

W marcu 2018 r. Ktoś opublikował Certyfikaty TLS od NordVPN, TorGuard i VikingVPN na 8chan. Chociaż wydaje się, że post z 2018 r. Znalazł się pod radarem, ostatnio na Twitterze pojawił się problem, którego kulminacją był artykuł opublikowany przez TechCrunch, w którym twierdzono, że NordVPN został „zhakowany”.

Co haker może zrobić z wygasłym kluczem TLS?

Kiedy ludzie słyszą słowo „hack”, zakładają najgorsze. Ale zagłębmy się głębiej.

Jak wskazał NordVPN w swojej oficjalnej odpowiedzi,

Intruz znalazł i nabył Klucz TLS który ma już wygasło. Za pomocą tego klucza atak może zostać przeprowadzony w sieci tylko przeciwko konkretnemu celowi i wymagałby nadzwyczajnego dostępu do urządzenia lub sieci ofiary (np. Urządzenia już zagrożonego, administratora złośliwej sieci lub zagrożonej sieci). Taki atak byłby bardzo trudny do przeprowadzenia. Wygasł lub nie, tego klucza TLS nie można było użyć do odszyfrowania ruchu NordVPN w żaden sposób. Nie to robi.

To był odizolowany przypadek i nie wpłynęło to na żaden inny serwer lub dostawcę centrum danych, którego używamy.

To prowadzi nas do następnego pytania.

Czy zagrożeni są użytkownicy NordVPN?

Na podstawie wszystkich dostępnych dowodów wydaje się, że odpowiedź jest Nie. Użytkownicy NordVPN nie zostali narażeni na atak atakującego uzyskującego dostęp do jednego wygasłego klucza TLS dla jednego serwera w Finlandii.

Po pierwsze, haker nie miałby dostępu do dzienników serwera, ponieważ NordVPN jest dostawcą VPN bez dzienników, który nie przechowuje niczego na swoich serwerach. NordVPN przeszedł kontrolę zewnętrzną przeprowadzoną przez firmę PricewaterhouseCoopers, weryfikującą jej politykę braku dzienników.

Po drugie, NordVPN wykorzystuje idealną tajemnicę przekazywania, która generuje unikalny klucz dla każdej sesji za pomocą efemerycznych kluczy Diffie-Hellman. Oznacza to, że istnieje nawet klucz TLS haker mógłby nawet zrobić, od czasu klucze są używane do uwierzytelniania serwera a nie szyfrowanie ruchu. Jak wskazał powyżej NordVPN, haker potrzebowałby bezpośredniego dostępu do urządzenia lub sieci użytkownika w celu skutecznego ataku (wyjątkowo mało prawdopodobne).

Czy ten hack w ogóle wpływa na kogokolwiek?

Nie ma sposobu, aby być w 100% pewnym, ale odpowiedź wydaje się, że tak Nie.

Nie ma dowodów sugerujących, że ten hack wykorzystano dane o ruchu lub dane prywatne użytkowników NordVPN. Bez naruszenia danych nie ma prawnego obowiązku powiadamiania kogokolwiek.

W jaki sposób haker zdobył klucze TLS?

Odpowiedź na to pytanie nie wydaje się jasna - przynajmniej dla mnie.

NordVPN obwinia centrum danych w Finlandii, jak wyjaśnili w swojej oficjalnej odpowiedzi:

Naruszenie stało się możliwe dzięki złej konfiguracji części centrum danych innej firmy, o której nigdy nie otrzymaliśmy powiadomienia. Dowody sugerują, że kiedy centrum danych dowiedziało się o włamaniu, usunęło konta, które spowodowały luki, zamiast powiadomić nas o swoim błędzie. Gdy tylko dowiedzieliśmy się o naruszeniu, serwer i nasza umowa z dostawcą zostały rozwiązane i rozpoczęliśmy szeroko zakrojony audyt naszej usługi.

Tymczasem centrum danych obwinia NordVPN w artykule opublikowanym w Rejestrze:

„Tak, możemy potwierdzić, że byli naszymi klientami”, kontynuował Viskari. „I mieli problem ze swoim bezpieczeństwem, ponieważ sami się tym nie zajęli.

„Wszystkie serwery, które udostępniamy, mają narzędzie do zdalnego dostępu iLO lub iDRAC, a tak naprawdę od czasu do czasu to narzędzie do zdalnego dostępu ma problemy z bezpieczeństwem, podobnie jak prawie całe oprogramowanie na świecie. Poprawiliśmy to narzędzie, ponieważ nowe oprogramowanie układowe zostało wydane przez HP lub Dell.

Wreszcie może istnieć trzecie wyjaśnienie - a niezadowolony pracownik. Założyciel VikingVPN, który nie jest już powiązany z VikingVPN, zasugerował na reddit to,

brzmi to bardziej jak niezadowolony pracownik Nord lub centrum danych wyciekające z klucza, a nie „haker”.

Więc mamy trzy różne możliwości jak haker mógł uzyskać wygasły klucz TLS serwera NordVPN w Finlandii. Niezależnie od tego, jak wyjaśniliśmy powyżej, wpływ dla użytkowników NordVPN jest zasadniczo zerowy.

NordVPN zapewnia podsumowanie wydarzeń

Przed opublikowaniem tego artykułu poprosiłem NordVPN o wyjaśnienie kilku kwestii. Jeden z ich przedstawicieli przedstawił mi następujące streszczenie:

  • Nic nie wskazuje na to, że złośliwy aktor uzyskał dostęp do któregokolwiek z naszych klientów lub że dostęp do ich danych miał dostęp.
  • Sam serwer nie zawierał żadnych dzienników aktywności użytkownika. Żadna z naszych aplikacji nie wysyła poświadczeń utworzonych przez użytkownika w celu uwierzytelnienia, więc nazwy użytkowników i hasła nie mogły zostać przechwycone.
  • Nasza usługa jako całość nie została zhakowana; nasz kod nie został zhakowany; tunel VPN nie został naruszony. Aplikacje NordVPN pozostają nienaruszone. Był to indywidualny przypadek nieautoryzowanego dostępu do 1 z ponad 5000 serwerów, które mamy.
  • Hakerowi udało się uzyskać dostęp do tego serwera z powodu błędów popełnionych przez właściciela centrum danych, o których nie byliśmy świadomi.
  • Gdy tylko dowiedzieliśmy się o problemie, przestaliśmy być związani z tym konkretnym centrum danych i zniszczył serwer.
  • Nie można odszyfrować żadnej trwającej lub zarejestrowanej sesji VPN, nawet jeśli ktoś uzyskał klucze prywatne z serwera VPN. Używana jest Perfect Forward Secrecy (z algorytmem wymiany kluczy Diffie-Hellmana). Klucze z serwera VPN służą wyłącznie do uwierzytelnienia serwera, a nie do szyfrowania.

Oś czasu wydarzeń z NordVPN:

  1. Serwer, którego dotyczy problem, został udostępniony online w dniu 31 stycznia 2018 r.
  2. Dowody naruszenia pojawiły się publicznie 5 marca 2018 r. * Dalsze dowody sugerują, że informacje te stały się dostępne wkrótce po faktycznym naruszeniu.
  3. Potencjał nieautoryzowanego dostępu do naszego serwera został ograniczony, gdy centrum danych usunęło niejawne konto zarządzania 20 marca 2018 r..
  4. Serwer został zniszczony 13 kwietnia 2019 r. - w chwili, gdy podejrzewaliśmy możliwe naruszenie.

Aktualizacje bezpieczeństwa sieci NordVPN

W celu dalszej poprawy bezpieczeństwa NordVPN ogłosił w odpowiedzi następujące plany:

Od momentu odkrycia podjęliśmy wszelkie niezbędne środki, aby zwiększyć nasze bezpieczeństwo. Przeszliśmy audyt bezpieczeństwa aplikacji, pracujemy teraz nad drugim audytem bez logów i przygotowujemy program premiowy za błędy. Damy z siebie wszystko, aby zmaksymalizować bezpieczeństwo każdego aspektu naszych usług, aw przyszłym roku uruchomimy niezależny zewnętrzny audyt całej naszej infrastruktury.

Jak wspomniano powyżej, NordVPN jest już jednym z niewielu dostawców VPN, którzy przeszli pełny audyt strony trzeciej w celu zweryfikowania ich roszczeń dotyczących braku logów. Audyt został zakończony w listopadzie 2018 r. I wydaje się, że drugi audyt jest obecnie w toku.

Ponadto NordVPN powiedział mi, że dokonają ponownej konfiguracji sieć serwerów wpaść Dysk RAM tylko tryb. Jest to rzeczywiście bezpieczniejsza konfiguracja w porównaniu z tradycyjnymi dyskami twardymi, ponieważ nic nie może być przechowywane na serwerze. Perfect Privacy działa w ten sposób w swojej sieci, a ExpressVPN również przeszedł na obsługę wszystkich serwerów na dysku RAM, które nazywają .

Pozostałe obawy dotyczące NordVPN

W przeciwieństwie do wielu innych witryn omawiających sieci VPN, NordVPN nigdy nie była naszą najlepszą rekomendacją tutaj w Restore Privacy. Chociaż jest niedrogą siecią VPN z dobrymi funkcjami, nigdy nie zajmowała pierwszego miejsca na najlepszej liście VPN. I pomimo wszystkich niedawnych wrzaw, nie martwię się zbytnio kluczowym problemem TLS z serwerem w Finlandii.

Niemniej jednak istnieją trzy długotrwałe obawy.

1. Szybsze powiadomienie

Zgodnie z podanym harmonogramem NordVPN podejrzewało możliwe naruszenie w kwietniu 2019 r. Ich powodem opóźnionego powiadomienia było zapewnienie pozostałej części ich sieci zabezpieczenia przed dalszymi atakami. Innym potencjalnym uzasadnieniem opóźnienia jest to, że ten „hack” nie wpłynął na żadne dane.

Niemniej czekanie miesięcy na ostrzeżenie użytkowników nie było prawdopodobnie najlepszym pomysłem.

2. Marketing nad bezpieczeństwem

W ciągu ostatnich kilku lat obserwowałem, jak NordVPN wrzucił niezliczone kwoty na marketing. Reklamy NordVPN były w Internecie, w telewizji, a teraz armia YouTuberów promuje VPN.

Chociaż rynek VPN jest rzeczywiście konkurencyjny, wydaje się, że marketing jest teraz najwyższym priorytetem, co może kosztować bezpieczeństwo. Mamy nadzieję, że to ostatnie wydarzenie może pomóc NordVPN w dostosowaniu swoich priorytetów, ponownie koncentrując się na bezpieczeństwie, a mniej na marketingu i promocji.

3. Wydajność

Na początku zeszłego lata, kiedy przeprowadzałem testy do oceny NordVPN, zauważyłem, że wydajność spotkała się z dużym sukcesem. Prędkości były ogólnie wolniejsze w porównaniu do poprzednich testów wydajności sieci serwerów NordVPN.

Otrzymałem również podobne opinie od kilku użytkowników NordVPN. Przekierowanie niektórych zasobów z budżetu marketingowego na ulepszenia serwera i przepustowości może pomóc w rozwiązaniu tego problemu.

Końcowe przemyślenia na temat „hacka” NordVPN

NordVPN jest prawdopodobnie najpopularniejszym dostawcą VPN na rynku. W związku z tym ma bardzo duży cel w wyjątkowo zawziętej konkurencji. To może wyjaśniać, dlaczego ten „hack” wybuchł przede wszystkim, gdy media skoczyły na internet modne kliknięcie, przed zbadaniem zakresu problemu i jego wpływu na użytkowników NordVPN.

Ludzie wydają się być nieco podzieleni w tej kwestii. Niektórzy twierdzą, że nie należy tego nawet nazywać „hackowaniem”, ponieważ dotyczyło ono wygasłego klucza TLS na jednym serwerze w Finlandii bez dostępu do danych użytkownika ani ruchu. Inni podążają za melodią TechCruncha i potępiają NordVPN.

Pomimo niedawnego oburzenia i zalewu nagłówków z kliknięciami wydaje się, że wpływ na użytkowników NordVPN jest niewielki - nawet jeśli korzystali oni z fińskiego serwera w marcu 2018 r. W związku z tym nie widzę powodu, aby uruchamiać alarm i popieraj masowy exodus z dala od NordVPN. Chociaż obecny problem jest niepokojący, nie jest katastrofalny w żadnym stopniu wyobraźni.

Mamy nadzieję, że NordVPN wykorzysta to jako okazję do zmiany priorytetów z większym naciskiem na bezpieczeństwo i poprawę swojej sieci VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me