nordvpn hack


Este guia faz um mergulho profundo no recente corte do NordVPN e examina as fatos envolvente da situação, com os últimos desenvolvimentos.

Recentemente, os meios de comunicação publicaram uma enxurrada de relatórios sobre um hack NordVPN ocorrendo em um servidor na Finlândia. Os boatos e as alegações estão se espalhando rapidamente, com o NordVPN sendo uma das maiores VPNs do mercado.

Embora as notícias possam ser alarmantes para alguns, o impacto tangível desse problema para os usuários do NordVPN é bastante limitado.

NordVPN hack: resumo dos fatos

Primeiro, para colocar as coisas em perspectiva, esse truque afetou um servidor NordVPN na Finlândia de uma rede de aproximadamente 5.000 servidores. Agora vamos examinar o que exatamente aconteceu com este servidor.

Em março de 2018, alguém postou Certificados TLS de NordVPN, TorGuard e VikingVPN em 8chan. Embora o post de 2018 pareça ter caído no radar, o problema surgiu recentemente no Twitter, que culminou em um artigo do TechCrunch alegando que o NordVPN havia sido "hackeado".

O que um hacker poderia fazer com uma chave TLS expirada?

Quando as pessoas ouvem a palavra "hackear", elas assumem o pior. Mas vamos nos aprofundar.

Como a NordVPN apontou em sua resposta oficial,

O invasor encontrou e adquiriu um Chave TLS isso tem já expirou. Com essa chave, um ataque só poderia ser realizado na Web contra um alvo específico e exigiria acesso extraordinário ao dispositivo ou rede da vítima (como um dispositivo já comprometido, um administrador de rede mal-intencionado ou uma rede comprometida). Tal ataque seria muito difícil de realizar. Expirada ou não, essa chave TLS não poderia ter sido usada para descriptografar o tráfego do NordVPN de nenhuma maneira. Isso não é o que faz.

Este foi um caso isolado e nenhum outro servidor ou provedor de datacenter que usamos foi afetado.

Isso nos leva à próxima pergunta.

Os usuários do NordVPN estão comprometidos?

Com base em todas as evidências disponíveis, a resposta parece ser não. Os usuários do NordVPN não foram comprometidos por um invasor ao acessar uma chave TLS expirada para um único servidor na Finlândia.

Primeiro, o hacker não teria acesso aos logs do servidor porque o NordVPN é um provedor de VPN sem registro que não armazena nada em seus servidores. O NordVPN passou por uma auditoria de terceiros pela PricewaterhouseCoopers, verificando sua política de não registro.

Segundo, o NordVPN utiliza o sigilo direto perfeito, que gera uma chave única para cada sessão usando as efêmeras chaves Diffie-Hellman. Isso significa que, mesmo com uma chave TLS, há pouco um hacker poderia fazer, desde o chaves são usadas para autenticação do servidor e não criptografia de tráfego. Como o NordVPN apontou acima, o hacker precisaria de acesso direto ao dispositivo ou à rede do usuário para um ataque eficaz (extremamente improvável).

Esse hack afeta até alguém?

Não há como ter 100% de certeza de nada, mas a resposta parece ser não.

Não há evidências que sugiram que o tráfego ou dados privados dos usuários do NordVPN foram explorados nesse hack. Sem violação de dados, não há obrigação legal de alertar ninguém.

Como o hacker conseguiu as chaves TLS?

A resposta a esta pergunta não parece clara - pelo menos para mim.

NordVPN está culpando o data center na Finlândia, como explicaram em sua resposta oficial:

A violação foi possível devido à má configuração por parte de um datacenter de terceiros de que nunca fomos notificados. As evidências sugerem que, quando o datacenter tomou conhecimento da invasão, eles excluíram as contas que haviam causado as vulnerabilidades, em vez de nos notificarem sobre seu erro. Assim que soubemos da violação, o servidor e nosso contrato com o provedor foram rescindidos e iniciamos uma extensa auditoria de nosso serviço.

Enquanto isso, o data center está culpando NordVPN em um artigo publicado no The Register:

"Sim, podemos confirmar que eles eram nossos clientes", continuou Viskari. “E eles tiveram um problema com sua segurança porque não cuidaram deles mesmos.

“Todos os servidores que fornecemos possuem a ferramenta de acesso remoto iLO ou iDRAC e, de fato, essa ferramenta de acesso remoto apresenta problemas de segurança de tempos em tempos, como quase todos os softwares do mundo. Corrigimos esta ferramenta quando um novo firmware foi lançado pela HP ou Dell.

Finalmente, pode haver uma terceira explicação - uma funcionário descontente. O fundador do VikingVPN, que não está mais associado ao VikingVPN, sugeriu no reddit que,

isso parece mais um funcionário descontente da Nord ou o datacenter vazando as chaves em vez de um "hacker".

Então aqui temos três possibilidades diferentes sobre como o hacker poderia ter obtido a chave TLS expirada do servidor NordVPN na Finlândia. Independentemente disso, como explicamos acima, o impacto para os usuários do NordVPN é essencialmente nulo.

NordVPN fornece um resumo dos eventos

Antes de publicar este artigo, solicitei esclarecimentos à NordVPN sobre alguns pontos. Um de seus representantes me forneceu o seguinte resumo:

  • Não há sinais de que algum de nossos clientes tenha sido afetado ou que seus dados foram acessados ​​pelo agente malicioso.
  • O próprio servidor não continha nenhum registro de atividade do usuário. Nenhum de nossos aplicativos envia credenciais criadas pelo usuário para autenticação, portanto, nomes de usuário e senhas não poderiam ter sido interceptados.
  • Nosso serviço como um todo não foi hackeado; nosso código não foi hackeado; o túnel da VPN não foi violado. Os aplicativos NordVPN não são afetados. Foi uma instância individual de acesso não autorizado a 1 dos mais de 5.000 servidores que temos.
  • O hacker conseguiu acessar esse servidor por causa dos erros cometidos pelo proprietário do data center, dos quais não tínhamos conhecimento.
  • Assim que descobrimos o problema, encerramos nosso relacionamento com esse data center em particular e destruímos o servidor.
  • Não é possível descriptografar nenhuma sessão VPN em andamento ou gravada, mesmo que alguém tenha obtido chaves privadas do servidor VPN. O Perfect Forward Secrecy (com o algoritmo de troca de chaves Diffie-Hellman) está em uso. As chaves do servidor VPN são usadas apenas para autenticar o servidor e não para criptografia.

Linha do tempo dos eventos do NordVPN:

  1. O servidor afetado foi colocado online em 31 de janeiro de 2018.
  2. As evidências da violação apareceram em público em 5 de março de 2018. * Mais evidências sugerem que essas informações só foram disponibilizadas logo após a ocorrência da violação..
  3. O potencial de acesso não autorizado ao nosso servidor foi restrito quando o data center excluiu a conta de gerenciamento não divulgada em 20 de março de 2018.
  4. O servidor foi fragmentado em 13 de abril de 2019 - no momento em que suspeitamos de uma possível violação.

Atualizações de segurança de rede do NordVPN

Para melhorar ainda mais a segurança, a NordVPN anunciou os seguintes planos em sua resposta:

Desde a descoberta, adotamos todos os meios necessários para aprimorar nossa segurança. Nós passamos por uma auditoria de segurança de aplicativos, estamos trabalhando em uma segunda auditoria sem registro de logs no momento e estamos preparando um programa de recompensa por erros. Faremos o possível para maximizar a segurança de todos os aspectos de nosso serviço e, no próximo ano, lançaremos uma auditoria externa independente de toda a nossa infraestrutura.

Como observado acima, o NordVPN já é um dos poucos provedores de VPN que foram submetidos a uma auditoria completa de terceiros para verificar suas reivindicações de não registro. Esta auditoria foi concluída em novembro de 2018 e parece que uma segunda auditoria está em andamento..

Além disso, o NordVPN me disse que eles reconfigurariam seus rede do servidor correr Disco RAM somente modo. Essa é realmente uma configuração mais segura sobre os discos rígidos tradicionais, pois nada pode ser armazenado no servidor. A Perfect Privacy executa a rede dessa maneira e o ExpressVPN também passou para a execução de todos os servidores no disco RAM, que eles chamam de .

Preocupações remanescentes com o NordVPN

Ao contrário de muitos outros sites que discutem VPNs, o NordVPN nunca foi nossa principal recomendação aqui em Restaurar Privacidade. Embora seja uma VPN acessível com bons recursos, nunca ocupou o primeiro lugar na melhor lista de VPNs. E, apesar de todo o alvoroço recente, não estou muito preocupado com a questão chave do TLS com um servidor na Finlândia.

No entanto, aqui estão três preocupações remanescentes.

1. Notificação mais rápida

De acordo com o cronograma fornecido, o NordVPN suspeitava de uma possível violação em abril de 2019. Seu motivo para a notificação atrasada era garantir que o restante de sua rede estivesse protegido contra novos ataques. Outra justificativa potencial para o atraso é que os dados de ninguém foram afetados por esse "hack".

No entanto, esperar meses para alertar seus usuários provavelmente não foi a melhor ideia.

2. Marketing sobre segurança

Nos últimos anos, assisti à NordVPN despejar quantias incontáveis ​​de dinheiro em marketing. Os anúncios do NordVPN estão por toda a Internet, na televisão, e agora há um exército de YouTubers promovendo a VPN.

Embora o mercado de VPN seja realmente competitivo, parece que o marketing agora é uma das principais prioridades, o que pode resultar às custas da segurança. Felizmente, este último evento pode ajudar a NordVPN a realinhar suas prioridades com um foco renovado em segurança e menos em marketing e promoção.

3. Desempenho

No início do verão passado, ao executar testes para a revisão do NordVPN, notei que o desempenho foi atingido. As velocidades eram geralmente mais lentas em comparação com os testes anteriores do desempenho da rede de servidores da NordVPN.

Também recebi comentários semelhantes de alguns usuários do NordVPN. Desviar alguns recursos do orçamento de marketing para atualizações de servidor e largura de banda pode ajudar com esse problema.

Pensamentos finais sobre o “hack” do NordVPN

O NordVPN é provavelmente o provedor de VPN mais popular do mercado. Consequentemente, ele tem um grande objetivo em um setor viciosamente competitivo. Isso pode explicar por que esse “hack” explodiu em primeiro lugar, com os meios de comunicação pulando no clickbait bandwagon, antes de pesquisar o escopo do problema e como ele afeta os usuários do NordVPN.

As pessoas parecem estar um pouco divididas sobre o assunto. Alguns argumentam que isso nem deveria ser chamado de "hack", pois envolvia uma chave TLS expirada em um único servidor na Finlândia sem acesso a dados ou tráfego do usuário. Outros estão seguindo a música do TechCrunch e denunciando o NordVPN.

Apesar do recente clamor e barragem de manchetes de clickbait, parece haver pouco ou nenhum impacto sobre os usuários do NordVPN - mesmo aqueles que estavam usando o servidor da Finlândia em março de 2018. Como tal, não vejo motivo para emitir o alarme e advogar um êxodo em massa do NordVPN. Embora a questão atual seja preocupante, não é catastrófico por nenhuma extensão da imaginação.

Felizmente, o NordVPN usará isso como uma oportunidade para realinhar suas prioridades, com mais foco na segurança e melhorando sua VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me