nordvpn hack


Den här guiden tar ett djupt dyk ned i det senaste NordVPN-hacket och undersöker fakta kring situationen, med den senaste utvecklingen.

Nyligen har medier publicerat en barrage med rapporter om ett NordVPN-hack som förekommer på en server i Finland. Rykten och anklagelserna har spridit sig snabbt, med NordVPN som en av de största VPN på marknaden.

Medan nyheterna kan vara alarmerande för vissa, är den materiella effekten av detta problem för NordVPN-användare ganska begränsad.

NordVPN hack: sammanfattning av fakta

Först, för att sätta saker i perspektiv, detta hack påverkade en NordVPN-server i Finland ur ett nätverk med cirka 5 000 servrar. Låt oss nu undersöka exakt vad som hände med den här servern.

I mars 2018 postade någon TLS-certifikat från NordVPN, TorGuard och VikingVPN på 8chan. Medan 2018-inlägget verkar ha fallit under radaren, utbröt frågan nyligen på Twitter, vilket kulminerade i en artikel från TechCrunch som påstod att NordVPN hade "hackats".

Vad kan en hacker göra med en giltig TLS-nyckel?

När människor hör ordet "hack" antar de det värsta. Men låt oss gräva djupare.

Som NordVPN påpekade i deras officiella svar,

Den inkräktare hittade och förvärvade en TLS-nyckel det har redan gått ut. Med den här nyckeln kan en attack bara utföras på webben mot ett specifikt mål och kräver extra tillgång till offerets enhet eller nätverk (som en redan kompromitterad enhet, en skadlig nätverksadministratör eller ett komprometterat nätverk). En sådan attack skulle vara mycket svår att dra av. Utgått eller inte, denna TLS-nyckel kunde inte ha använts för att dekryptera NordVPN-trafik på något sätt. Det är inte vad den gör.

Detta var ett isolerat fall, och inga andra servrar eller datacenterleverantörer som vi använder har påverkats.

Detta leder oss till nästa fråga.

Är NordVPN-användare komprometterade?

Baserat på alla tillgängliga bevis tycks svaret vara Nej. NordVPN-användare har inte äventyrats av att en angripare får tillgång till en TLS-nyckel som löpt ut för en enda server i Finland.

För det första skulle hackaren inte ha tillgång till serverloggar eftersom NordVPN är en VPN-leverantör av ingen loggar som inte lagrar någonting på sina servrar. NordVPN godkände en tredjepartsrevision av PricewaterhouseCoopers för att verifiera sin policy för icke-loggar.

För det andra använder NordVPN perfekt framåtriktad sekretess, vilket genererar en unik nyckel för varje session med flyktiga Diffie-Hellman-nycklar. Det betyder att även med en TLS-nyckel finns det lite en hacker kunde till och med göra, sedan nycklar används för serververifiering och inte trafikkryptering. Som NordVPN påpekade ovan skulle hackaren behöva direkt åtkomst till användarens enhet eller nätverk för en effektiv attack (extremt osannolikt).

Påverkar detta hack även någon?

Det finns inget sätt att vara 100% säker med någonting, men svaret verkar vara Nej.

Det finns inga bevis som tyder på att trafik eller privat data från NordVPN-användare utnyttjades i detta hack. Utan dataöverträdelse finns det ingen juridisk skyldighet att varna någon.

Hur fick hackaren TLS-nycklarna?

Svaret på denna fråga verkar inte vara klart - åtminstone för mig.

NordVPN skyller på datacentret i Finland, som de förklarade i sitt officiella svar:

Överträdelsen möjliggjordes av dålig konfiguration på en tredje parts datacenter som vi aldrig fick meddelande om. Bevis tyder på att när datacentret blev medvetet om intrånget, de raderade de konton som hade orsakat sårbarheterna snarare än att meddela oss om deras misstag. Så snart vi fick veta om överträdelsen avslutades servern och vårt avtal med leverantören och vi inledde en omfattande revision av vår tjänst.

Samtidigt datacenter skyller på NordVPN i ett stycke publicerat i The Register:

”Ja, vi kan bekräfta att de var våra kunder,” fortsatte Viskari. ”Och de hade problem med sin säkerhet eftersom de inte tog hand om det själva.

”Alla servrar vi tillhandahåller har iLO- eller iDRAC-fjärråtkomstverktyget, och faktiskt har detta fjärråtkomstverktyg då och då säkerhetsproblem, som nästan all programvara i världen. Vi lappade detta verktyg när ny firmware släpptes från HP eller Dell.

Slutligen kan det finnas en tredje förklaring - a missnöjd anställd. Grundaren av VikingVPN, som inte längre är associerad med VikingVPN, föreslog på reddit det,

detta låter mer som en missnöjd anställd på Nord eller datacentret som läcker nycklarna snarare än en "hacker."

Så här har vi tre olika möjligheter för hur hackaren kunde ha erhållit den löpt ut TLS-nyckeln på NordVPN-servern i Finland. Oavsett, som vi har förklarat ovan, är påverkan för NordVPN-användare i huvudsak noll.

NordVPN ger en sammanfattning av händelser

Innan jag publicerade denna artikel bad jag NordVPN om en förtydligning på några punkter. En av deras företrädare gav mig följande sammanfattning:

  • Det finns inga tecken som visar att någon av våra kunder påverkades eller att deras ondskefulla aktör fick tillgång till deras data.
  • Servern själv innehöll inga användaraktivitetsloggar. Ingen av våra applikationer skickar användarskapade referenser för verifiering, så användarnamn och lösenord kunde inte ha tagits upp.
  • Vår tjänst som helhet hackades inte; vår kod har inte hackats; VPN-tunneln bryts inte. NordVPN-applikationerna påverkas inte. Det var en enskild instans av obehörig åtkomst till 1 av mer än 5000 servrar vi har.
  • Hackaren lyckades få åtkomst till den här servern på grund av de misstag som gjordes av datacenterägaren, som vi inte var medvetna om.
  • Så snart vi fick reda på problemet, upphörde vi vårt förhållande till just detta datacenter och makade servern.
  • Det är inte möjligt att dekryptera någon pågående eller inspelad VPN-session även om någon skaffade privata nycklar från VPN-servern. Perfect Forward Secrecy (med Diffie-Hellman nyckelutbytesalgoritm) används. Nycklar från VPN-server används bara för att verifiera servern och inte för kryptering.

Tidslinje för händelser från NordVPN:

  1. Den drabbade servern kom online den 31 januari 2018.
  2. Bevis på överträdelsen dök upp offentligt den 5 mars 2018. * Ytterligare bevis tyder på att denna information först blev tillgänglig snart efter att överträdelsen faktiskt inträffade.
  3. Potentialen för obehörig åtkomst till vår server begränsades när datacentret raderade det oåterkallade hanteringskontot 20 mars 2018.
  4. Servern strimlades den 13 april 2019 - det ögonblick som vi misstänkte ett eventuellt brott.

NordVPNs nätverkssäkerhetsuppgraderingar

För att ytterligare förbättra säkerheten meddelade NordVPN följande planer i sitt svar:

Sedan upptäckten har vi tagit alla nödvändiga medel för att öka vår säkerhet. Vi har genomgått en applikationssäkerhetsrevision, arbetar med en andra revision utan loggar just nu och förbereder ett bounty-program. Vi kommer att ge allt för att maximera säkerheten för alla aspekter av vår tjänst, och nästa år kommer vi att inleda en oberoende extern revision av all vår infrastruktur.

Som nämnts ovan är NordVPN redan en av få VPN-leverantörer som har genomgått en fullständig revision från tredje part för att verifiera sina anspråk utan loggar. Denna revision avslutades i november 2018 och det verkar som om en andra revision pågår.

Dessutom har NordVPN sagt att de kommer att konfigurera sin servernätverk att springa in RAM-disk läge endast. Detta är verkligen en säkrare inställning över traditionella hårddiskar eftersom ingenting kan lagras på servern. Perfect Privacy driver deras nätverk på detta sätt och ExpressVPN har också övergått till att köra alla servrar på RAM-disk, som de kallar .

Återstående oro med NordVPN

Till skillnad från många andra webbplatser som diskuterar VPN har NordVPN aldrig varit vår bästa rekommendation här på Restore Privacy. Även om det är ett prisvärt VPN med bra funktioner, har det aldrig haft plats nr 1 på den bästa VPN-listan. Och trots det senaste upproret är jag inte alltför bekymrad över TLS-nyckelproblemet med en server i Finland.

Ändå är här tre kvarstående problem.

1. Snabbare anmälan

Enligt den angivna tidslinjen misstänkte NordVPN ett eventuellt brott i april 2019. Deras resonemang för den försenade anmälan var att se till att resten av deras nätverk var säkrade mot ytterligare attacker. En annan potentiell motivering för förseningen är att ingen data påverkades av detta "hack".

Trots detta var det troligtvis inte den bästa idén att vänta månader för att varna sina användare.

2. Marknadsföring över säkerhet

Under de senaste åren har jag sett att NordVPN har dumpat otaliga mängder pengar till marknadsföring. NordVPN-reklam har varit över hela internet, på TV, och nu finns det en armé av YouTubers som också marknadsför VPN.

Medan VPN-marknaden verkligen är konkurrenskraftig verkar det som marknadsföring nu är en högsta prioritet, vilket kan komma på bekostnad av säkerhet. Förhoppningsvis kan detta senaste evenemang hjälpa NordVPN att anpassa sina prioriteringar med ett förnyat fokus på säkerhet och mindre på marknadsföring och marknadsföring.

3. Prestanda

Tidigt den senaste sommaren, när jag körde test för NordVPN-granskningen, märkte jag att prestandan har slagit. Hastigheterna var generellt långsammare över hela linjen jämfört med tidigare tester av NordVPN: s servernätverksprestanda.

Jag har också fått liknande feedback från några NordVPN-användare. Att vidarebefordra vissa resurser från marknadsföringsbudgeten till uppgraderingar av server och bandbredd kan hjälpa till med detta problem.

Avsluta tankar om NordVPN “hack”

NordVPN är förmodligen den mest populära VPN-leverantören på marknaden. Följaktligen har det ett stort mål på ryggen i en ondskapsfull konkurrenssektor. Detta kan förklara varför denna "hack" sprängde i första hand med media som hoppade på clickbait bandwagon, innan man undersöker omfattningen av problemet och hur det till och med påverkar NordVPN-användare.

Människor verkar vara delade i frågan. En del hävdar att detta inte ens ska kallas en "hack" eftersom det innebar en utgått TLS-nyckel på en enda server i Finland utan tillgång till användardata eller trafik. Andra följer melodin av TechCrunch och fördömer NordVPN.

Trots den senaste tidens skrik och spridning av clickbait-rubriker verkar det vara liten, om någon, påverkan på NordVPN-användare - även de som använde Finlands server i mars 2018. Som sådan ser jag ingen anledning att ljuda larmet och förespråkar en massutflykt bort från NordVPN. Även om den aktuella frågan gäller är det inte katastrofalt av någon fantasi.

Förhoppningsvis kommer NordVPN att använda detta som en möjlighet att anpassa sina prioriteringar med mer fokus på säkerhet och förbättra deras VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me