nordvpn hack


Deze gids neemt een diepe duik in de recente NordVPN-hack en onderzoekt de feiten rondom de situatie, met de nieuwste ontwikkelingen.

Onlangs hebben mediakanalen een spervuur ​​van rapporten gepubliceerd over een NordVPN-hack op een server in Finland. Geruchten en aantijgingen verspreiden zich snel, waarbij NordVPN een van de grootste VPN's op de markt is.

Hoewel het nieuws voor sommigen misschien alarmerend is, is de tastbare impact van dit probleem voor NordVPN-gebruikers vrij beperkt.

NordVPN-hack: samenvatting van de feiten

Ten eerste, om dingen in perspectief te plaatsen, deze hack getroffen één NordVPN-server in Finland uit een netwerk van ongeveer 5.000 servers. Laten we nu eens kijken wat er precies met deze server is gebeurd.

In maart 2018 heeft iemand gepost TLS-certificaten van NordVPN, TorGuard en VikingVPN op 8chan. Hoewel de post van 2018 onder de radar lijkt te zijn gevallen, brak het probleem onlangs uit op Twitter, wat culmineerde in een artikel van TechCrunch dat NordVPN was "gehackt".

Wat zou een hacker kunnen doen met een verlopen TLS-sleutel?

Als mensen het woord 'hack' horen, gaan ze uit van het ergste. Maar laten we dieper graven.

Zoals NordVPN in hun officiële antwoord aangaf,

De indringer heeft wel een gevonden TLS-sleutel dat heeft al verlopen. Met deze sleutel kon een aanval alleen op internet worden uitgevoerd tegen een specifiek doel en zou buitengewone toegang nodig zijn tot het apparaat of netwerk van het slachtoffer (zoals een reeds aangetast apparaat, een kwaadwillende netwerkbeheerder of een gecompromitteerd netwerk). Een dergelijke aanval zou erg moeilijk zijn om uit te voeren. Verlopen of niet, deze TLS-sleutel kon op geen enkele manier worden gebruikt om NordVPN-verkeer te decoderen. Dat is niet wat het doet.

Dit was een op zichzelf staand geval, en geen andere servers of datacenterproviders die we gebruiken zijn getroffen.

Dit brengt ons bij de volgende vraag.

Zijn NordVPN-gebruikers gecompromitteerd?

Op basis van al het beschikbare bewijs lijkt het antwoord te zijn Nee. NordVPN-gebruikers zijn niet gecompromitteerd door een aanvaller die toegang heeft tot één verlopen TLS-sleutel voor een enkele server in Finland.

Ten eerste zou de hacker geen toegang hebben tot serverlogboeken omdat NordVPN een VPN-provider zonder logboeken is die niets op zijn servers opslaat. NordVPN is geslaagd voor een externe audit door PricewaterhouseCoopers en verifieert zijn beleid zonder logboeken.

Ten tweede maakt NordVPN gebruik van perfect forward geheimhouding, die een unieke sleutel genereert voor elke sessie met behulp van kortstondige Diffie-Hellman-sleutels. Dit betekent dat er zelfs een TLS-sleutel is een beetje een hacker zou zelfs kunnen doen, sinds de sleutels worden gebruikt voor serverauthenticatie en geen verkeerscodering. Zoals NordVPN hierboven opmerkte, zou de hacker directe toegang tot het apparaat of netwerk van de gebruiker nodig hebben voor een effectieve aanval (uiterst onwaarschijnlijk).

Heeft deze hack zelfs invloed op iemand?

Er is geen manier om 100% zeker te zijn met iets, maar het antwoord lijkt te zijn Nee.

Er zijn geen aanwijzingen dat verkeer of privégegevens van NordVPN-gebruikers in deze hack zijn misbruikt. Zonder datalek is er geen wettelijke verplichting om iemand te waarschuwen.

Hoe heeft de hacker de TLS-sleutels gekregen?

Het antwoord op deze vraag lijkt niet duidelijk - althans voor mij.

NordVPN geeft de schuld aan het datacenter in Finland, zoals zij in hun officiële antwoord hebben verklaard:

De inbreuk is mogelijk gemaakt door een slechte configuratie van het datacenter van een derde partij waarvan we nooit op de hoogte zijn gebracht. Er zijn aanwijzingen dat toen het datacenter zich bewust werd van de inbreuk, de accounts die de beveiligingslekken hadden veroorzaakt, werden verwijderd in plaats van ons op de hoogte te stellen van hun fout. Zodra we van de inbreuk hoorden, werden de server en ons contract met de provider beëindigd en begonnen we met een uitgebreide audit van onze service.

Ondertussen is de datacenter geeft NordVPN de schuld in een stuk gepubliceerd in The Register:

"Ja, we kunnen bevestigen dat zij onze klanten waren," ging Viskari verder. “En ze hadden een probleem met hun veiligheid omdat ze er zelf niet voor zorgden.

“Alle servers die we bieden, hebben de iLO of iDRAC RAS-tool en in feite heeft deze RAS-tool van tijd tot tijd beveiligingsproblemen, zoals bijna alle software ter wereld. We hebben deze tool gepatcht omdat er nieuwe firmware van HP of Dell is uitgebracht.

Ten slotte kan er een derde verklaring zijn - a ontevreden werknemer. De oprichter van VikingVPN, die niet langer geassocieerd is met VikingVPN, suggereerde dat hij dat reddit,

dit klinkt meer als een ontevreden medewerker bij Nord of het datacenter dat de sleutels lekt in plaats van een "hacker".

Dus hier hebben we drie verschillende mogelijkheden voor hoe de hacker de verlopen TLS-sleutel van de NordVPN-server in Finland had kunnen verkrijgen. Hoe dan ook, zoals we hierboven hebben uitgelegd, is de impact voor NordVPN-gebruikers in wezen nul.

NordVPN biedt een samenvatting van evenementen

Voordat ik dit artikel publiceerde, vroeg ik NordVPN om op enkele punten opheldering. Een van hun vertegenwoordigers gaf me de volgende samenvatting:

  • Er zijn geen tekenen die aantonen dat een van onze klanten is getroffen of dat hun gegevens zijn geopend door de kwaadwillende acteur.
  • De server zelf bevatte geen logboeken van gebruikersactiviteiten. Geen van onze applicaties verzendt door de gebruiker gemaakte referenties voor authenticatie, dus gebruikersnamen en wachtwoorden konden niet worden onderschept.
  • Onze service als geheel werd niet gehackt; onze code is niet gehackt; de VPN-tunnel is niet doorbroken. De NordVPN-applicaties worden niet beïnvloed. Het was een individuele instantie van ongeautoriseerde toegang tot 1 van de meer dan 5000 servers die we hebben.
  • De hacker heeft toegang gekregen tot deze server vanwege de fouten die zijn gemaakt door de eigenaar van het datacenter, waarvan we ons niet bewust waren.
  • Zodra we het probleem ontdekten, stopten we onze relatie met dit specifieke datacenter en versnipperden de server.
  • Het is niet mogelijk om een ​​lopende of opgenomen VPN-sessie te decoderen, zelfs niet als iemand persoonlijke sleutels van een VPN-server heeft verkregen. Perfect Forward Secrecy (met Diffie-Hellman sleuteluitwisselingsalgoritme) is in gebruik. Sleutels van VPN-server worden alleen gebruikt om de server te verifiëren en niet voor codering.

Tijdlijn van evenementen van NordVPN:

  1. De getroffen server is online gebracht op 31 januari 2018.
  2. Bewijs van de inbreuk verscheen op 5 maart 2018 in het openbaar. * Verder bewijs suggereert dat deze informatie pas beschikbaar kwam kort nadat de inbreuk daadwerkelijk plaatsvond.
  3. Het potentieel voor ongeautoriseerde toegang tot onze server was beperkt toen het datacenter het niet-openbaargemaakte beheeraccount op 20 maart 2018 verwijderde.
  4. De server is versnipperd op 13 april 2019 - het moment dat we een mogelijke inbreuk vermoedden.

NordVPN's netwerkbeveiligingsupgrades

Om de beveiliging verder te verbeteren, kondigde NordVPN de volgende plannen aan in hun reactie:

Sinds de ontdekking hebben we alle nodige middelen genomen om onze beveiliging te verbeteren. We hebben een applicatie-beveiligingsaudit ondergaan, werken momenteel aan een tweede no-logs audit en bereiden een bug bounty-programma voor. We zullen ons uiterste best doen om de beveiliging van elk aspect van onze service te maximaliseren en volgend jaar zullen we een onafhankelijke externe audit van al onze infrastructuur starten.

Zoals hierboven vermeld, is NordVPN al een van de weinige VPN-providers die een volledige externe audit hebben ondergaan om hun no-logs-claims te verifiëren. Deze audit is voltooid in november 2018 en er lijkt momenteel een tweede audit aan de gang te zijn.

Bovendien heeft NordVPN me verteld dat ze hun zullen herconfigureren server netwerk binnen te rennen RAM-schijf alleen modus. Dit is inderdaad een veiligere instelling dan traditionele harde schijven, omdat er niets op de server kan worden opgeslagen. Perfect Privacy beheert hun netwerk op deze manier en ExpressVPN is ook overgestapt op het draaien van alle servers op RAM-schijf, die zij de .

Resterende zorgen met NordVPN

In tegenstelling tot veel andere sites die VPN's bespreken, is NordVPN nooit onze topaanbeveling hier bij Restore Privacy geweest. Hoewel het een betaalbare VPN met goede functies is, heeft het nooit de # 1 plek op de beste VPN-lijst bekleed. En ondanks alle recente opschudding maak ik me niet al te veel zorgen over het TLS-sleutelprobleem met een server in Finland.

Hier zijn echter drie aanhoudende zorgen.

1. Snellere melding

Volgens de verstrekte tijdlijn vermoedde NordVPN een mogelijke inbreuk in april 2019. Hun reden voor de vertraagde kennisgeving was om ervoor te zorgen dat de rest van hun netwerk was beveiligd tegen verdere aanvallen. Een andere mogelijke rechtvaardiging voor de vertraging is dat de gegevens van niemand door deze "hack" zijn beïnvloed.

Toch was het waarschijnlijk niet het beste om maanden te wachten om hun gebruikers te waarschuwen.

2. Marketing boven beveiliging

De afgelopen jaren heb ik gekeken hoe NordVPN onnoemelijke hoeveelheden geld in marketing heeft gedumpt. NordVPN-advertenties zijn overal op internet, op televisie, en nu is er een leger van YouTubers die ook de VPN promoot.

Hoewel de VPN-markt inderdaad concurrerend is, lijkt marketing nu een topprioriteit te zijn, wat ten koste kan gaan van de beveiliging. Hopelijk kan dit laatste evenement NordVPN helpen zijn prioriteiten opnieuw af te stemmen met een hernieuwde focus op beveiliging en minder op marketing en promotie.

3. Prestaties

Vroeg deze afgelopen zomer, toen ik tests voor de NordVPN-beoordeling uitvoerde, merkte ik dat de prestaties een hit hebben genomen. De snelheden waren over het algemeen over het algemeen langzamer in vergelijking met eerdere tests van NordVPN's servernetwerkprestaties.

Ik heb ook soortgelijke feedback ontvangen van enkele NordVPN-gebruikers. Enkele bronnen van het marketingbudget omzetten in server- en bandbreedte-upgrades kunnen hierbij helpen.

Sluitende gedachten over de NordVPN "hack"

NordVPN is waarschijnlijk de meest populaire VPN-provider op de markt. Bijgevolg heeft het een groot doelwit op zijn rug in een vicieuze concurrentiesector. Dit kan verklaren waarom deze "hack" in de eerste plaats is opgeblazen met media-uitingen die op de clickbait bandwagon, voordat u onderzoek doet naar de omvang van het probleem en hoe het zelfs NordVPN-gebruikers beïnvloedt.

Mensen lijken wat verdeeld over de kwestie. Sommigen beweren dat dit niet eens een 'hack' moet worden genoemd, omdat het een verlopen TLS-sleutel op een enkele server in Finland betrof zonder toegang tot gebruikersgegevens of verkeer. Anderen volgen het nummer van TechCrunch en veroordelen NordVPN.

Ondanks de recente verontwaardiging en het spervuur ​​van clickbait-headlines, lijkt er weinig of geen impact te zijn op NordVPN-gebruikers - zelfs degenen die de Finland-server in maart 2018 gebruikten. Als zodanig zie ik geen reden om alarm te slaan en pleiten voor een massale uittocht weg van NordVPN. Hoewel het huidige probleem betreft, is het niet catastrofaal door een verbeelding.

Hopelijk zal NordVPN dit gebruiken als een kans om hun prioriteiten opnieuw af te stemmen met meer aandacht voor beveiliging en het verbeteren van hun VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me