Auditoria de infraestrutura concluída pela Radically Open Security

 (mullvad.net)
2 pontos por GN⁺ 2023-08-10 | 1 comentários | Compartilhar no WhatsApp
  • A Radically Open Security (RoS), empresa de segurança sediada na Holanda, concluiu a auditoria de infraestrutura da Mullvad VPN.
  • A auditoria se concentrou em servidores VPN executados em RAM, especificamente um servidor OpenVPN e um servidor WireGuard.
  • O relatório final da terceira auditoria de segurança, concluída em meados de junho de 2023, teve as correções implantadas no fim de junho de 2023.
  • A RoS encontrou alguns problemas, incluindo algumas novas descobertas, mas os relays da Mullvad VPN mostraram uma arquitetura madura e não foi encontrado registro de dados de atividade dos usuários.
  • A RoS recebeu acesso SSH completo aos dois servidores VPN executados em RAM, que utilizavam um kernel Linux reduzido (6.3.2) e um sistema operacional personalizado baseado no Ubuntu 22.04 LTS.
  • A auditoria teve como objetivo validar a segurança e a configuração internas e externas dos servidores, além de verificar se a atividade dos clientes era registrada em logs.
  • A RoS não encontrou vazamento de informações nem registro em logs de dados de clientes e, durante os testes de intrusão, identificou 1 problema crítico, 6 de alta gravidade, 4 de média gravidade, 10 de baixa gravidade e 4 de gravidade informativa.
  • Um dos problemas críticos era que o usuário de pentest conseguia ver tráfego de usuários de produção no sistema de teste.
  • Um problema de alta gravidade era a possibilidade de uma conta de sistema com poucos privilégios manipular o conteúdo de scripts de timer do systemd para escalar privilégios até root.
  • Um problema de média gravidade era a capacidade de administradores acessarem o tráfego VPN de usuários de produção.
  • Um problema de baixa gravidade envolvia as credenciais compartilhadas do banco de dados Influx usadas pelo Telegraf entre os servidores VPN, o que permitia manipular métricas globais dos servidores.
  • A Mullvad VPN implementou correções para esses problemas e planeja implantar mais mudanças em um futuro próximo.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-08-10
Comentários do Hacker News
  • A Mullvad, provedora de serviços de VPN, é elogiada por seu compromisso com a privacidade e a segurança dos usuários, mesmo sacrificando conveniências de negócios.
  • A empresa tomou decisões como desativar a renovação automática com o PayPal para evitar armazenar informações de identificação pessoal.
  • A documentação técnica e as decisões de segurança da Mullvad conquistam a simpatia dos usuários, apesar de decisões potencialmente controversas, como desativar o encaminhamento de portas.
  • A Mullvad é uma empresa que valoriza a liberdade acima da conveniência, algo raro entre entusiastas de tecnologia.
  • Alguns usuários consideram a Mullvad a melhor solução comercial de VPN, tornando a privacidade mais acessível.
  • No entanto, observa-se que VPN não é uma solução completa para a privacidade na internet, embora ofereça proteção contra o ISP e os endpoints.
  • A Mullvad é reconhecida como a única VPN popular sem problemas questionáveis de confiabilidade, em comparação com outros provedores como o Proton VPN.
  • Há preocupações sobre o processo de auditoria, e alguns usuários questionam se a auditoria revisou servidores voltados aos clientes ou apenas servidores de teste em produção.
  • Ao contrário do Tor e de outras redes de sobreposição, a Mullvad, que opera de forma clara, não foi alvo de campanhas de difamação ou de artigos de notícias tendenciosos.
  • Alguns usuários expressam preocupação de que a Mullvad possa enfrentar desafios no futuro caso grandes empresas de tecnologia decidam limitar seus data centers ao escopo.
  • O conceito da Mullvad de cobrar pelo tempo efetivamente usado agrada aos usuários.