NordVPN – Întrebări și răspunsuri despre cea mai recentă breșă de securitate  

NordVPN – Întrebări și răspunsuri despre cea mai recentă breșă de securitate  

NordVPN, unul dintre cele mai populare și utilizate servicii VPN din întreaga lume, a dezvăluit în decursul săptămânii detalii despre un incident de securitate care a compromis, aparent, unul dintre miile de servere cu sediul în Finlanda. Zilele acestea, un cercetător de securitate a dezvăluit pe Twitter că NordVPN a fost compromis la un moment dat, susținând că atacatorii necunoscuți au furat chei private de criptate utilizate pentru a proteja traficul utilizatorilor VPN dirijați prin serverul compromis. Drept răspuns, NordVPN a publicat o postare pe blog în care se detaliază incidentul de securitate, cu toate informațiile necesare.

Unele dintre informațiile expuse au o relevanță cu atât mai mare cu cât impactul ar putea fi imens.

Cine a fost compromis?

NordVPN are mii de servere în întreaga lume care sunt găzduite cu centre de date terțe. Un astfel de server, găzduit cu un centru de date din Finlanda, a fost accesat în mod neautorizat în luna martie a anului 2018.

Cum s-a întâmplat?

Compania a dezvăluit că un atacator necunoscut a obținut acces la serverul respectiv, exploatând un sistem nesigur de management de la distanță operat de către furnizorul centrului de date, în timp ce NordVPN nu știa că un astfel de sistem există.

Ce s-a furat?

Întrucât NordVPN nu înregistrează activitățile utilizatorilor săi, serverul compromis nu conține nici un fișier de jurnalizare al utilizatorului. De altfel, niciuna dintre aplicații nu trimite credențiale create de utilizator pentru autentificare, astfel încât numele de utilizator (sau parolele) nu au putut fi interceptate. Cu toate acestea, compania a confirmat faptul că atacatorii au reușit să intre în posesia a trei chei de criptare TLS responsabile pentru protejarea traficului utilizatorilor VPN, dirijat prin intermediul serverului compromis.

Deși NordVPN a încercat să expună incidentul de securitate din postarea sa de pe blog, sugerând că toate cheile de criptare furate sunt expirate, până la proba contrarie aceștia au recunoscut că erau valabile în momentul identificării vulnerabilității, expirând în luna octombrie a anului 2018, la aproape 7 luni de la încălcare.

Ce ar fi reușit atacatorii?

Aproape fiecare site web utilizează astăzi HTTPS pentru a proteja traficul de rețea al utilizatorilor săi, iar VPN-urile nu fac altceva decât să adauge un strat suplimentar de autentificare și criptare a traficului de rețea existent prin tunelarea acestuia printr-un număr mare de servere (noduri de ieșire), restricționând chiar și ISP-urile să monitorizeze activitățile tale online.

Întrucât la momentul actual atacatorii dețin o serie de chei de criptare, aceștia ar fi putut decripta doar acel strat suplimentar de protecție acoperit prin traficul trecut prin serverul compromis care, însă, nu poate fi abuzat pentru a decripta sau compromite traficul criptat HTTPS al utilizatorilor.

Chiar dacă hackerul ar fi putut vedea traficul în tot timpul în care a fost conectat la server, acesta ar putea observa doar ce ar vedea un ISP obișnuit, fără însă a putea fi personalizat sau legat de un anumit utilizator. Iar dacă nu fac acest lucru printr-un server, ar putea-o face utilizând MiTM. În aceeași notă, singurul mod posibil de a abuza de traficul de pe site-uri a fost prin realizarea unui atac MiTM personalizat și complicat, pentru a intercepta o singură conexiune care a încercat să acceseze nordvpn.com.

În alte cuvinte, este posibil ca atacul să fi permis atacatorilor să capteze doar date necriptate ale utilizatorilor, schimbate cu site-uri care nu sunt HTTPS, dacă există, sau căutări DNS pentru unii utilizatori și, de asemenea, au învins scopul utilizării unui serviciu VPN.

Conform NordVPN, nu există fișiere de jurnalizare, deci nu se știe exact câți utilizatori au folosit acest server. Cu toate acestea, prin evaluarea încărcărilor de server, acesta a avut în jur de 50 până la 200 de sesiuni active.

Este de menționat faptul că acele chei de criptare furate nu ar fi putut fi folosite pentru a decripta traficul VPN al oricărui alt server.

Cum a abordat NordVPN problema de securitate?

După ce a descoperit incidentul în urmă cu câteva luni, compania a reziliat imediat contractul cu furnizorul de server, închizând toate serverele pe care NordVPN le închiriase. De asemenea, aceasta a lansat imediat un audit intern complet al serverelor sale, pentru a verifica întreaga infrastructură, verificând de două ori că nici un alt serer nu ar putea fi exploatat în acest fel.

Compania a afirmat faptul că anul viitor va lansa, de asemenea, un audit extern independent pentru întreaga infrastructură, pentru a ne asigura că totul este în regula.

NordVPN a recunoscut că nu a reușit să asigure securitatea clienților săi prin contractarea unui furnizor de server nesigur, motiv pentru care va lua toate mijloacele necesare pentru a îmbunătăți securitatea.

Ar trebui utilizatorii VPN să fie îngrijorați?

Nu prea mult. Oamenii folosesc VPN-ul din mai multe motive, iar dacă îl folosești pentru menținerea confidențialității sau evitarea cenzurii de pe Internet, clienții nu ar trebui să renunțe la folosirea VPN-ului în urma unor astfel de evenimente. Cu toate acestea, înainte de a alege un serviciu, utilizatorilor li se recomanda întotdeauna să facă unele cercetări și să plătească doar serviciile care consideră că sunt de încredere.

TorGuard și VikingVPN au fost, de asemenea, compromise

Aparent, NordVPN nu este singurul compromis. Alte servicii VPN populare, inclusiv TorGuard și VIkingVPN, au suferit un incident similar de securitate în aceeași perioadă a anului.

În postarea de pe blog publicată luni, TorGuard a confirmat că un singur server a fost compromis și eliminat din rețeaua sa la începutul anului 2018, iar de atunci acesta a încheiat toate afacerile cu distribuitorul de gazdă aferent, datorită activității suspecte repetate.

Întrucât TorGuard a depus o plângere legală împotriva NordVPN pe data de 27 iunie 2019, în care a plasat vina, cel mai probabil, companiei pentru vulnerabilitate, aceasta a refuzat să ofere detalii despre distribuitorul de gază specific sau despre modul în care atacatorul a obținut acces neautorizat.

Cu toate acestea, TorGuard a precizat că serverul său nu a fost compromis extern, neexistând niciodată o amenințare pentru alte servere sau utilizatori TorGuard.

Compania a mai afirmat faptul că, dintre toate cele trei, TorGuard a fost singura care a utilizat secure PKI management, ceea ce se traduce prin faptul că principala sa cheie CA (Certified Authorization) nu se află pe serverul VPN afectat.

Astfel, în cazul în care unul dintre cele mai rele scenarii are loc, iar un server VPN este confiscat sau chiar compromis, nimeni nu poate altera sau decripta traficul utilizatorilor, neputând să lanseze atacuri de tip MiTM pe alte servere TorGuard.

Pe de altă parte, VikingVPN nu a răspuns încă la incidentul de securitate.

No Comments

Post a Comment

Comment
Name
Email
Website