2 pontos por GN⁺ 2023-08-10 | 1 comentários | Compartilhar no WhatsApp
  • A Mullvad encarregou a empresa de segurança holandesa Radically Open Security (RoS) de realizar a terceira auditoria de sua infraestrutura de VPN, examinando um servidor OpenVPN e um servidor WireGuard executados em RAM
  • Os servidores auditados usavam um sistema operacional customizado baseado no Linux kernel 6.3.2 e no Ubuntu 22.04 LTS, e embora tenham sido provisionados como servidores de produção, nunca foram usados para conexões reais de clientes
  • A RoS verificou as configurações internas e externas dos servidores e se havia registro da atividade dos clientes, sem encontrar logging de dados de clientes nem vazamento de informações
  • No teste de invasão, foram encontrados 1 High, 6 Elevated, 4 Moderate, 10 Low e 4 info, e as principais correções foram implantadas no fim de junho de 2023, seguidas de novo teste e validação em julho
  • A Mullvad reforçou a auditoria de acesso administrativo via SSH, avalia remover o SSH e melhorou a autenticação do Telegraf, com outras mudanças adicionais previstas para serem implantadas depois

Escopo da auditoria e relatório público

  • A Mullvad encomendou à Radically Open Security sua terceira auditoria de segurança da infraestrutura de VPN
  • Desta vez, a auditoria se concentrou em dois servidores VPN executados em RAM
    • 1 servidor OpenVPN
    • 1 servidor WireGuard
  • A RoS concluiu a auditoria em meados de junho de 2023, e muitas correções foram implantadas no fim de junho de 2023
  • Em julho de 2023, foram realizados novos testes e validações adicionais
  • O relatório final foi publicado como ROS - Mullvad VPN 2023.pdf

Configuração dos servidores de teste e itens verificados

  • A RoS recebeu acesso SSH completo aos dois servidores VPN executados em RAM
  • Os servidores auditados usavam um sistema operacional customizado baseado no Ubuntu 22.04 LTS com o kernel Linux reduzido e atualizado, 6.3.2
  • Esses servidores foram provisionados e implantados como servidores operacionais voltados a clientes, mas nunca foram usados para conexões reais de clientes
  • O escopo da verificação foi resumido em três pontos
    • segurança e configuração internas do servidor
    • segurança e configuração externas do servidor
    • existência de logging da atividade dos clientes
  • A RoS também propôs investigar o código-fonte de vários binários em execução no sistema e revisar a segurança em nível de hardware, mas a Mullvad excluiu esses itens
    • Esta auditoria ficou limitada ao estado “depois que o sistema está em execução e sendo usado pelos clientes”

Resultado geral

  • A RoS não encontrou logging de dados de clientes nem vazamento de informações
  • Os relays de VPN da Mullvad avaliados foram considerados como tendo uma “arquitetura madura”
  • No total, foram encontrados 25 problemas neste teste de invasão
    • 1 High
    • 6 Elevated
    • 4 Moderate
    • 10 Low
    • 4 info

MLL-024: tráfego multihop de produção exposto ao sistema de teste

  • MLL-024 foi classificado como um problema de severidade High
  • A RoS avaliou que o tráfego de usuários em produção poderia ficar visível para o usuário do teste de invasão
  • O servidor auditado não estava exposto para conexões de clientes, não era anunciado na lista de servidores nem oferecido aos usuários
  • No entanto, esses servidores estavam conectados ao recurso multihop do WireGuard
    • Se um cliente escaneasse IPs, poderia enviar tráfego para esse servidor usando um proxy SOCKS5 enquanto estivesse conectado a outro servidor VPN
    • Não havia nenhum mecanismo para bloquear isso
  • O que a RoS confirmou foi apenas o IP da interface interna do WireGuard
    • Essa interface é usada somente para tráfego multihop via SOCKS5
    • Portanto, correspondia ao servidor WireGuard de entrada
  • A Mullvad entendeu que, se não tivesse fornecido um servidor de produção, a auditoria não teria sido válida como auditoria de servidor de produção, e que não havia como impedir uma situação em que tráfego de clientes ficasse visível no servidor

MLL-019: elevação para root por meio de timer do systemd e permissões de diretório

  • MLL-019 foi classificado como um problema de severidade Elevated
  • Uma conta de sistema com poucos privilégios podia manipular o conteúdo de um script de timer do systemd e obter elevação para root
  • Após discutir com a RoS, a Mullvad apontou como causa principal o uso de diretórios home aninhados e a inclusão do usuário administrador no grupo mad
  • A estrutura aninhada do diretório /home/mad é um resquício legado de antes da migração para servidores VPN baseados em RAM
  • Como medida de curto prazo, todos os usuários administradores foram removidos do grupo mad
  • Os scripts relacionados foram movidos para /opt/local_checks, e a RoS reconheceu que essa medida resolve o problema

MLL-045: acesso administrativo às máquinas de produção

  • MLL-045 foi classificado como um problema de severidade Moderate
  • Como o servidor VPN permitia login remoto de administradores, um administrador poderia tecnicamente interceptar o tráfego VPN de usuários em produção
  • A Mullvad já conhecia esse problema anteriormente e, após discussão com a RoS, reafirmou seu plano existente
  • As medidas planejadas são duas
    • tornar auditáveis os logins não autorizados e implementar um sistema que registre todos os comandos usados no servidor sem seus argumentos
    • investigar uma abordagem para remover completamente o suporte a SSH
  • Se o SSH for removido, nem mesmo administradores poderão ativar logging do tráfego de clientes via SSH
  • A abordagem para remover o SSH deve levar mais tempo para ser implementada corretamente

MLL-016: senha do Telegraf compartilhada entre servidores

  • MLL-016 foi classificado como um problema de severidade Low
  • As credenciais do banco de dados Influx do Telegraf, compartilhadas por todos os servidores VPN, permitiam manipular métricas globais dos servidores
    • uso de CPU
    • uso de disco
    • métricas de rede
  • A Mullvad introduziu certificados de cliente para autenticação usando a infraestrutura PKI do Hashicorp Vault
  • Essa medida já foi implementada
  • A Mullvad pretende avaliar o uso desses certificados também em outros pontos da infraestrutura

Mudanças posteriores

  • Apenas alguns casos interessantes entre os problemas encontrados na auditoria foram resumidos
  • Mais mudanças devem ser implantadas em breve

1 comentários

 
GN⁺ 2023-08-10
Opiniões do Hacker News
  • Respeito muito a postura da Mullvad de aceitar prejuízo nos negócios para oferecer mais segurança e estabilidade aos clientes restantes.
    A primeira vez que percebi isso foi quando eles desativaram a renovação automática pelo PayPal, porque, para manter a renovação automática, teriam de armazenar informações pessoais junto com a conta.
    Mas, para mim, um sacrifício acabou sendo demais: eles desativaram o encaminhamento de portas. Como não armazenam informações de contato para avisar os clientes, um dia a conexão simplesmente parou de funcionar de repente, e eu ainda tinha vários meses de serviço pré-pago restantes.
    Fiquei meio amargo com isso, mas a boa vontade que eles acumularam com textos técnicos e decisões de segurança é suficiente para eu querer que fiquem com o dinheiro. É a única VPN que não me parece suspeita, então torço para que dê certo.
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • Pedimos sinceras desculpas pelo transtorno.
      Avisar com apenas 30 dias de antecedência sobre a remoção de um recurso como esse geralmente não é a forma como queremos conduzir o negócio. Entendemos que os clientes que dependiam desse recurso tenham ficado decepcionados tanto com a remoção em si quanto com a maneira como ela foi tratada.
      Ainda assim, foi a decisão correta. Nos últimos meses, a forma e a escala dos abusos cresceram tanto que não podíamos mais continuar oferecendo o recurso. Ele deveria ter sido removido muito antes, com um período de transição mais longo. Não termos feito isso foi um erro nosso, e alguns usuários, incluindo você, foram prejudicados.
      Naturalmente, você pode receber reembolso pelo serviço pré-pago que não pôde mais usar.
      Se a ideia ao usar encaminhamento de portas era tornar algum serviço acessível a partir da internet pública, há muitos bons provedores de hospedagem que terão prazer em oferecer esse serviço.
      Se o objetivo era tornar um serviço acessível mantendo o anonimato, recomendo fortemente o recurso onion service do Tor. Ele foi criado justamente com esse caso de uso em mente.
      Se o objetivo era tornar um serviço acessível pela internet pública e, ao mesmo tempo, manter o anonimato, não temos uma boa opção a recomendar.
      O encaminhamento de portas precisou ser removido por razões morais. Ele estava atrapalhando demais nossa missão central de neutralizar vigilância e censura em larga escala.
      Mesmo que esta explicação não amenize toda a decepção, espero que ao menos traga alguma clareza.
      Fredrik Stromberg, cofundador da Mullvad VPN
    • Acho que essa situação poderia ter sido evitada. Talvez, no fluxo de pagamento ou cadastro, eles pudessem colocar um aviso grande e claro dizendo que o usuário deveria configurar o cliente, capaz de receber notificações, para fazer polling diretamente de um endpoint RSS.
    • Sou iniciante em redes, então não sei bem o quanto isso é importante. No passado, já fiz encaminhamento de portas no roteador para acessar meu sistema Plex fora de casa.
      Eu também costumava configurar encaminhamento de portas ao usar torrents, mas descobri que agora dá para baixar ISOs de Linux sem isso. Mesmo usando bastante a Mullvad, não liguei muito para a mudança.
      Fico curioso para saber em que momento eu seria afetado quando o encaminhamento de portas fosse desativado; em outras palavras, quais casos de uso deixam de funcionar.
    • Depois que o encaminhamento de portas foi desativado, migrei para a ProtonVPN. Parece a segunda melhor opção, e eles continuam dizendo que, por enquanto, não têm intenção de remover o encaminhamento de portas.
    • Ainda bem que li isso. No começo deste ano, eu estava considerando migrar para a Mullvad, mas não coube no orçamento e deixei para depois; isso é um fator decisivo para encerrar a compra.
      Se eu tivesse migrado de fato, teria ficado na mesma situação, com bastante serviço pré-pago restante que eu não conseguiria usar como pretendia.
  • O maior arrependimento da minha carreira é não ter entrado quando o fundador da Mullvad me mandou um e-mail.
    Uma boa parte dos valores deles está alinhada com os meus, e entusiastas de tecnologia que priorizam a liberdade em vez da conveniência infelizmente são muito raros. Por isso, a maioria de nós acaba usando grandes provedores de nuvem sob jurisdição do governo dos EUA.
    De antemão: isso já foi um problema real na minha carreira. Como provedores de nuvem precisam seguir sanções dos EUA, quem fosse de Cuba, Irã ou Crimeia não podia jogar um jogo que eu criei. Era irritante que pessoas na Rússia e na Ucrânia pudessem comprar legalmente o nosso jogo, mas, se estivessem em território ocupado, não pudessem jogar.
    Enfim, divaguei um pouco, mas é realmente revigorante ver, de fora, uma empresa que não parece suspeita e que valoriza a liberdade.

    • Como cubano, isso às vezes é irritante e às vezes passa disso. Alguns provedores de nuvem são totalmente inacessíveis, alguns permitem acesso, e outros permitem apenas alguns serviços e bloqueiam outros.
      Há até lugares que negam acesso mesmo com uma licença OFAC válida. Imagino que seja porque as listas de controle de acesso são complexas; no geral, é tudo bem inconsistente.
      Por isso, 95% do tempo fico com uma VPN ruim ligada. Preciso contornar tanto as sanções dos EUA quanto o aparato de censura do meu próprio país.
      Entendo em alguma medida por que as sanções surgiram décadas atrás, mas não sei se essa lógica ainda é válida. Infelizmente, quem mais sofre o impacto das sanções são pessoas comuns como eu, não a elite governante.
    • Eu também fiquei irritado quando tive de implementar rastreamento por GeoIP para bloquear determinados países, porque pensei nas pessoas que deixariam de conseguir acessar o serviço gratuito que oferecíamos.
      Eu achava que esse serviço podia ajudar alguém começando um pequeno negócio e, potencialmente, melhorar sua vida.
      Por outro lado, muita gente vê sanções como ato de guerra[0]. Se você pensa assim, é claro que é horrível. É guerra, e consequências parecidas com as da guerra sempre causam sofrimento às pessoas que estão no terreno.
      Se o chefe manda implementar bloqueio regional por causa de sanções, faça apenas o necessário e não exagere a ponto de bloquear usuários de VPN também. Ou seja: não infrinja a lei, mas também não torne mais difícil para as pessoas no terreno exercerem seu direito de acesso à internet.
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • Conheço algumas pessoas da Crimeia, e muitas coisas que consideramos óbvias são surpreendentemente complicadas para elas. Quem é de Cuba ou do Irã pelo menos tem certeza de em que país está.
    • É bem provável que ainda não seja tarde.
    • Pelo que consta, parece que ainda estão procurando gente. Eles estão fazendo anúncio de vagas nos ônibus de Gothenburg aqui.
  • Antes de mais nada, acho que a Mullvad é a melhor solução comercial de VPN e faz um bom trabalho ao tornar uma boa proteção de privacidade mais acessível
    Mas muitos comentários aqui parecem colocar VPNs em geral em um pedestal, como se fossem a resposta para a privacidade na internet
    Quero lembrar que o que uma VPN realmente protege são basicamente duas coisas: o provedor de internet e o endpoint. E isso ainda pressupõe que o provedor de internet não faça análises suspeitas
    Ainda assim, remover essas duas coisas já traz um grande benefício para a privacidade, e obviamente é algo que deve ser feito

    • Não sei onde é que “muitos comentários aqui parecem colocar VPNs em geral em um pedestal, como se fossem a resposta para a privacidade na internet”
    • Você pode explicar melhor a parte de “pressupõe que o provedor de internet não faça análises suspeitas”? Provedores de internet costumam usar técnicas para neutralizar o uso de VPN? Fico curioso para saber quais provedores usam quais técnicas
    • Essas duas coisas ainda são enormes. Também fazem parte de uma abordagem em camadas de segurança. Duvido que a maioria das pessoas pense que “VPN resolve tudo”
  • Está faltando a palavra Radically no título. Eu não conhecia “Open Security”, mas “Radically Open Security” é onde escrevi meu paper
    Edição: u/progbits foi 1 minuto mais rápido que eu https://news.ycombinator.com/item?id=37060828

    • Um dos projetos em que trabalhei alguns anos atrás foi auditado pela Radically Open Security, e fiquei muito impressionado com a qualidade dos especialistas
      Claro que, no sistema pelo qual eu era responsável, eles não encontraram nada além de alguns comentários. Acho que esses comentários estavam no nível de coisas que uma ferramenta de análise estática havia marcado como pontos de melhoria e que nós já tínhamos comentado explicitamente. Coisas como “este nome de variável poderia ser melhor”, “dá para simplificar usando uma cláusula de guarda”
      Nada mal para algo feito em condições extremas e com quase nenhum sono. Um bebê de 6 meses, COVID, crunch e duas crianças pequenas agitadas ao mesmo tempo é um inferno
  • A Mullvad é a única VPN mainstream sem problemas de confiabilidade seriamente suspeitos
    Nem mesmo o Proton VPN é aceitável. Pessoas que investigaram descobriram que ele é apenas uma versão white-label da NordVPN
    Como não há alternativa, agradeço à Mullvad por insistir mais fortemente em seu compromisso com a integridade

    • Tem alguma fonte para essa alegação sobre a NordVPN?
      Edição: dei uma olhada no histórico de posts, e parece que você vem fazendo essa afirmação há meses sem apresentar nenhuma prova. Suspeito
    • Isso é desconfortável. Tem fonte?
  • É “by Radically Open Security”, mas a remoção automática do título do HN atacou de novo. O autor do post original poderia corrigir o título para que o nome da empresa apareça corretamente?

  • Parece que esta auditoria analisou apenas servidores de produção para teste
    Fazendo o papel de advogado do diabo: o que impede a Mullvad de fornecer à equipe da Open Security uma versão com a funcionalidade de logging removida? Não quero ser tão cético, mas uma auditoria real não deveria analisar os servidores que os clientes usam? Claro, com limites para impedir que os auditores registrem informações
    Posso estar errado, então seria bom se alguém explicasse. Mas não estou convencido de que esse nível de teste prove a alegação de ausência de logs da Mullvad

    • Acho que não faria grande diferença. Porque eles poderiam fazer exatamente o mesmo nos servidores reais apenas durante o período da auditoria
      É preciso algum nível de confiança de que o auditado não está enganando ativamente nem agindo de má-fé; caso contrário, a auditoria teria que poder acontecer aleatoriamente a qualquer momento
    • Eles não dizem isso explicitamente, mas isto está mais para uma auditoria de “temos competência para não cometer erros” do que uma auditoria de “estamos cumprindo nossa promessa”
      Acho que é relevante para um modelo de ameaça em que um invasor tem acesso parcial aos servidores de produção. Por exemplo, coisas como verificar se não há logging acidental. Por outro lado, não se aplica a um modelo de ameaça em que a Mullvad distribui código malicioso
      Parece uma auditoria significativa, mas eu gostaria que esse ponto tivesse sido declarado de forma mais explícita
    • Quando a paranoia chega a certo ponto, você deveria considerar seriamente auto-hospedar uma VPN
      Claro que não é perfeito, já que o provedor de VPS pode ver um dos lados do tráfego, mas dá para mitigar
      A Mullvad é um bom meio-termo para quem não tem tempo ou não sabe como fazer isso. No mínimo, é bom ver que eles se esforçam para manter a aparência
    • Isso seria exigir que a Mullvad permita que terceiros acessem conexões de clientes. Algo que a Mullvad prometeu nunca fazer
    • Acho que teria sido bom se a auditoria tivesse recebido várias contas de login para usar esse servidor como usuários comuns. Para fazê-lo se comportar como um servidor real
      Depois disso, poderia haver uma auditoria de servidores em uso real
      Para auditar servidores voltados a clientes em uso, seriam necessários controles consideráveis para garantir que o auditor não registre dados potenciais de clientes
  • É fácil imaginar um futuro em que a Mullvad terá problemas. Grandes empresas de tecnologia podem simplesmente bloquear faixas inteiras de data centers da Mullvad
    Isso já acontece em certa medida com a Cloudflare e administradores individuais, e parece que às vezes o acesso ao ChatGPT é bloqueado ao usar a Mullvad. Pelo menos parece relacionado
    No fim, talvez seja necessário usar algum proxy residencial suspeito para acessar ou fazer scraping de alguma coisa
    Um VPS auto-hospedado também pode funcionar, se a empresa for pequena o bastante para escapar dos bloqueios em massa que virão, mas só o tempo dirá

  • Migrei para a Mullvad depois de ler no HN, algum tempo atrás, que a Mullvad não mantinha logs e não tinha logs para entregar às autoridades
    Não tenho o link, mas foi marcante, e estas auditorias são mais uma prova de que essa decisão foi correta

    • Vale destacar que a OVPN também é uma opção. Eles foram ao tribunal e venceram, o que provou, além de dúvida razoável, que a ausência de logs da OVPN é realmente ausência de logs
      Os detalhes estão nos links, mas, citando: “a Rights Alliance e seus especialistas em segurança não conseguiram demonstrar vulnerabilidades no sistema da OVPN que significassem que logs poderiam ser armazenados”
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • Conheci a Mullvad há pouco tempo e parece que ela tinha firmado um contrato com a Mozilla
    De qualquer forma, o serviço é excelente, e é surpreendente como é raro simplesmente pagar por um serviço sem todo tipo de procedimento desnecessário
    Para criar uma conta, basta clicar aqui e depois pagar usando um dos inúmeros métodos de pagamento. Inclui até pagamento em dinheiro pelo correio