hack nordvpn


Questa guida fa un tuffo nel recente hack di NordVPN ed esamina il fatti che circonda la situazione, con gli ultimi sviluppi.

Recentemente i media hanno pubblicato una raffica di rapporti riguardanti un hack di NordVPN che si è verificato su un server in Finlandia. Voci e accuse si sono diffuse rapidamente, con NordVPN una delle più grandi VPN sul mercato.

Mentre le notizie potrebbero essere allarmanti per alcuni, l'impatto tangibile di questo problema per gli utenti di NordVPN è piuttosto limitato.

Hack NordVPN: sintesi dei fatti

Innanzitutto, per mettere le cose in prospettiva, questo trucco interessato un server NordVPN in Finlandia da una rete di circa 5.000 server. Ora esaminiamo cosa è successo esattamente a questo server.

Nel marzo 2018, qualcuno ha pubblicato Certificati TLS da NordVPN, TorGuard e VikingVPN su 8chan. Mentre il post del 2018 sembra essere caduto sotto il radar, il problema è recentemente scoppiato su Twitter, culminato in un articolo di TechCrunch secondo il quale NordVPN era stato "hackerato".

Cosa potrebbe fare un hacker con una chiave TLS scaduta?

Quando le persone sentono la parola "hack", assumono il peggio. Ma scaviamo più a fondo.

Come ha sottolineato NordVPN nella loro risposta ufficiale,

L'intruso ha trovato e acquisito un Chiave TLS che ha già scaduto. Con questa chiave, un attacco potrebbe essere eseguito sul Web solo contro un obiettivo specifico e richiederebbe un accesso straordinario al dispositivo o alla rete della vittima (come un dispositivo già compromesso, un amministratore di rete dannoso o una rete compromessa). Un simile attacco sarebbe molto difficile da realizzare. Scaduta o meno, questa chiave TLS non avrebbe potuto essere utilizzata per decrittografare il traffico NordVPN in alcun modo. Non è quello che fa.

Si è trattato di un caso isolato e nessun altro server o provider di data center utilizzato è stato interessato.

Questo ci porta alla domanda successiva.

Gli utenti di NordVPN sono compromessi?

Sulla base di tutte le prove disponibili, la risposta sembra essere no. Gli utenti di NordVPN non sono stati compromessi da un utente malintenzionato che ottiene l'accesso a una chiave TLS scaduta per un singolo server in Finlandia.

Innanzitutto, l'hacker non avrebbe alcun accesso ai registri del server perché NordVPN è un provider VPN senza registri che non memorizza nulla sui suoi server. NordVPN ha superato un audit di terze parti da parte di PricewaterhouseCoopers verificando la sua politica di non accesso.

In secondo luogo, NordVPN utilizza un perfetto segreto in avanti, che genera una chiave unica per ogni sessione utilizzando le effimere chiavi Diffie-Hellman. Ciò significa che anche con una chiave TLS c'è un piccolo hacker potrebbe persino fare, dal momento che il le chiavi vengono utilizzate per l'autenticazione del server e non la crittografia del traffico. Come NordVPN ha sottolineato sopra, l'hacker avrebbe bisogno dell'accesso diretto al dispositivo o alla rete dell'utente per un attacco efficace (estremamente improbabile).

Questo hack influisce anche su chiunque?

Non c'è modo di esserne certi al 100%, ma la risposta sembra essere no.

Non ci sono prove che suggeriscano che il traffico o i dati privati ​​degli utenti di NordVPN siano stati sfruttati in questo hack. Senza violazione dei dati, non vi è alcun obbligo legale di allertare nessuno.

In che modo l'hacker ha ottenuto le chiavi TLS?

La risposta a questa domanda non sembra chiara - almeno per me.

NordVPN sta incolpando il data center in Finlandia, come hanno spiegato nella loro risposta ufficiale:

La violazione è stata resa possibile dalla scarsa configurazione da parte di un datacenter di terze parti di cui non siamo mai stati informati. Le prove suggeriscono che quando il datacenter è venuto a conoscenza dell'intrusione, hanno eliminato gli account che avevano causato le vulnerabilità anziché avvisarci del loro errore. Non appena abbiamo appreso della violazione, il server e il nostro contratto con il fornitore sono stati risolti e abbiamo iniziato un controllo approfondito del nostro servizio.

Nel frattempo, il il centro dati sta incolpando NordVPN in un pezzo pubblicato su The Register:

"Sì, possiamo confermare che erano nostri clienti", ha continuato Viskari. “E hanno avuto un problema con la loro sicurezza perché non se ne sono occupati da soli.

“Tutti i server che forniamo dispongono dello strumento di accesso remoto iLO o iDRAC e, di fatto, questo strumento di accesso remoto presenta periodicamente problemi di sicurezza, come quasi tutti i software al mondo. Abbiamo corretto questo strumento quando il nuovo firmware è stato rilasciato da HP o Dell.

Infine, potrebbe esserci una terza spiegazione: a impiegato scontento. Il fondatore di VikingVPN, che non è più associato a VikingVPN, ha suggerito su reddit che,

sembra più un impiegato scontento della Nord o del datacenter che perde le chiavi piuttosto che un "hacker".

Quindi qui abbiamo tre diverse possibilità per come l'hacker avrebbe potuto ottenere la chiave TLS scaduta del server NordVPN in Finlandia. Indipendentemente da ciò, come abbiamo spiegato sopra, l'impatto per gli utenti di NordVPN è sostanzialmente nullo.

NordVPN fornisce un riepilogo degli eventi

Prima di pubblicare questo articolo, ho chiesto a NordVPN di chiarire alcuni punti. Uno dei loro rappresentanti mi ha fornito il seguente riepilogo:

  • Non ci sono segni che dimostrino che qualcuno dei nostri clienti sia stato interessato o che i loro dati siano stati accessibili dall'attore malintenzionato.
  • Il server stesso non conteneva alcun registro delle attività dell'utente. Nessuna delle nostre applicazioni invia credenziali create dall'utente per l'autenticazione, quindi non è stato possibile intercettare nomi utente e password.
  • Il nostro servizio nel suo insieme non è stato violato; il nostro codice non è stato violato; il tunnel VPN non è stato violato. Le applicazioni NordVPN non sono interessate. Era un'istanza individuale di accesso non autorizzato a 1 degli oltre 5000 server che abbiamo.
  • L'hacker è riuscito ad accedere a questo server a causa degli errori commessi dal proprietario del data center, di cui non eravamo a conoscenza.
  • Non appena abbiamo scoperto il problema, abbiamo interrotto la nostra relazione con questo particolare centro dati e abbiamo distrutto il server.
  • Non è possibile decrittografare alcuna sessione VPN in corso o registrata anche se qualcuno ha ottenuto le chiavi private dal server VPN. Perfect Forward Secrecy (con algoritmo di scambio di chiavi Diffie-Hellman) è in uso. Le chiavi del server VPN vengono utilizzate solo per autenticare il server e non per la crittografia.

Cronologia degli eventi da NordVPN:

  1. Il server interessato è stato portato online il 31 gennaio 2018.
  2. La prova della violazione è apparsa in pubblico il 5 marzo 2018. * Ulteriori prove suggeriscono che questa informazione è diventata disponibile solo dopo che la violazione si è effettivamente verificata.
  3. Il potenziale di accesso non autorizzato al nostro server è stato limitato quando il data center ha eliminato l'account di gestione non divulgato il 20 marzo 2018.
  4. Il server è stato distrutto il 13 aprile 2019, nel momento in cui sospettavamo una possibile violazione.

Aggiornamenti di sicurezza della rete di NordVPN

Per migliorare ulteriormente la sicurezza, NordVPN ha annunciato i seguenti piani nella sua risposta:

Dalla scoperta, abbiamo preso tutti i mezzi necessari per migliorare la nostra sicurezza. Abbiamo subito un controllo di sicurezza delle applicazioni, stiamo lavorando a un secondo controllo senza log in questo momento e stiamo preparando un programma di ricompensa dei bug. Faremo del nostro meglio per massimizzare la sicurezza di ogni aspetto del nostro servizio e il prossimo anno avvieremo un audit esterno indipendente di tutta la nostra infrastruttura.

Come notato sopra, NordVPN è già uno dei pochi provider VPN che ha subito un controllo completo di terze parti per verificare le richieste di non log. Questo audit è stato completato a novembre 2018 e sembra che sia attualmente in corso un secondo audit.

Inoltre, NordVPN mi ha detto che avrebbero riconfigurato il loro rete di server correre dentro RAM-disk solo modalità. Questa infatti è una configurazione più sicura rispetto ai dischi rigidi tradizionali in quanto nulla può essere archiviato sul server. Perfect Privacy gestisce la propria rete in questo modo ed ExpressVPN è passato anche all'esecuzione di tutti i server nel disco RAM, che chiamano .

Restanti preoccupazioni con NordVPN

A differenza di molti altri siti che parlano di VPN, NordVPN non è mai stata la nostra migliore raccomandazione qui su Restore Privacy. Sebbene sia una VPN conveniente con buone funzionalità, non ha mai tenuto il primo posto nella migliore lista VPN. E nonostante tutto il recente clamore, non sono eccessivamente preoccupato per il problema chiave TLS con un server in Finlandia.

Tuttavia, qui ci sono tre preoccupazioni persistenti.

1. Notifica più rapida

Secondo la tempistica fornita, NordVPN sospettava una possibile violazione nell'aprile 2019. Il loro ragionamento per la notifica ritardata era garantire che il resto della loro rete fosse protetto da ulteriori attacchi. Un'altra potenziale giustificazione per il ritardo è che i dati di nessuno sono stati interessati da questo "hack".

Tuttavia, aspettare mesi per avvisare i loro utenti non è stata probabilmente la migliore idea.

2. Marketing sulla sicurezza

Nel corso degli ultimi anni, ho visto NordVPN che ha investito somme di denaro non dichiarate nel marketing. Le pubblicità di NordVPN sono state su Internet, in televisione e ora c'è un esercito di YouTuber che promuove anche la VPN.

Sebbene il mercato VPN sia effettivamente competitivo, sembra che il marketing sia ora una priorità assoluta, che può andare a scapito della sicurezza. Speriamo che questo ultimo evento possa aiutare NordVPN a riallineare le sue priorità con una rinnovata attenzione alla sicurezza e meno a marketing e promozione.

3. Prestazioni

All'inizio dell'estate scorsa, durante l'esecuzione dei test per la recensione del NordVPN, ho notato che le prestazioni hanno avuto un successo. Le velocità erano generalmente più lente su tutta la linea rispetto ai precedenti test delle prestazioni della rete del server di NordVPN.

Ho anche ricevuto un feedback simile da alcuni utenti NordVPN. Deviare alcune risorse dal budget di marketing agli aggiornamenti del server e della larghezza di banda potrebbe aiutare a risolvere questo problema.

Riflessioni conclusive sul "hack" di NordVPN

NordVPN è probabilmente il provider VPN più popolare sul mercato. Di conseguenza, ha un grande obiettivo sulla schiena in un settore ferocemente competitivo. Questo potrebbe spiegare perché questo "hack" è esploso in primo luogo con i media che saltano sul carrozzone clickbait, prima di ricercare l'ambito del problema e come influisce anche sugli utenti NordVPN.

Le persone sembrano essere in qualche modo divise sulla questione. Alcuni sostengono che questo non dovrebbe nemmeno essere chiamato "hack" in quanto comportava una chiave TLS scaduta su un singolo server in Finlandia senza accesso ai dati o al traffico degli utenti. Altri stanno seguendo la melodia di TechCrunch e denunciano NordVPN.

Nonostante le recenti proteste e la raffica di titoli clickbait, sembra esserci un impatto minimo, se non nullo, sugli utenti di NordVPN - anche quelli che stavano usando il server finlandese nel marzo 2018. Pertanto, non vedo alcun motivo per suonare l'allarme e difendere un esodo di massa lontano da NordVPN. Sebbene il problema attuale riguardi, non è catastrofico da alcun tratto dell'immaginazione.

Si spera che NordVPN lo utilizzerà come un'opportunità per riallineare le proprie priorità con maggiore attenzione alla sicurezza e al miglioramento della propria VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me