- A Mullvad concluiu a remoção de todos os vestígios de uso de disco de sua infraestrutura de VPN, fazendo com que os servidores operem apenas com implantação RAM-only
- Isso dá continuidade ao anúncio feito no início de 2022 sobre a migração para uma infraestrutura sem disco baseada no bootloader
stboot - Essa configuração passou por duas auditorias, em 2022 e 2023, e as futuras auditorias dos servidores VPN terão como foco apenas a implantação RAM-only
- Os servidores usam um kernel Linux personalizado e enxuto, acompanhando o desenvolvimento do kernel mainline para incorporar recursos e melhorias de desempenho mais recentes, além de remover componentes desnecessários
- O ponto central da operação é garantir, em reinicializações ou no provisionamento inicial, um novo kernel, ausência de vestígios de arquivos de log e um sistema operacional totalmente corrigido
Migração para uma infraestrutura de VPN sem disco
- A Mullvad anunciou que removeu todos os vestígios de uso de disco de sua infraestrutura de VPN
- A empresa vinha realizando a transição desde que anunciou, no início de 2022, o início da migração para uma infraestrutura sem disco usando o bootloader
stboot - A infraestrutura de VPN nessa configuração passou por duas auditorias
- As futuras auditorias dos servidores VPN terão como alvo apenas a implantação RAM-only
Kernel e composição do sistema operacional de boot
- Todos os servidores VPN continuam usando um kernel Linux personalizado e bastante reduzido
- O desenvolvimento do kernel acompanha o branch mainline, adotando versões mais recentes para refletir novos recursos e melhorias de desempenho
- Componentes desnecessários do kernel são removidos para manter uma configuração leve
- Antes da implantação, o sistema operacional de boot tem pouco mais de 200 MB
- Quando o servidor é reiniciado ou provisionado pela primeira vez, os seguintes estados são garantidos
- kernel recém-compilado
- sem vestígios de arquivos de log
- sistema operacional totalmente corrigido
1 comentários
Opiniões no Hacker News
Muito legal. Uma empresa de VPN que se preocupa com segurança e transparência faz você esperar que outras ajam como a Mullvad
Algumas empresas despejam dinheiro em influenciadores para fazê-los dizer que “levam segurança a sério”; outras se concentram em realmente melhorar a segurança
A propósito, é tudo open source: https://github.com/system-transparency/stboot
HTTPS não é uma solução mágica, mas o marketing de medo das grandes empresas de VPN que anunciam no YouTube faz parecer que alguém vai roubar seu cartão de crédito só porque você acessou a Amazon em uma cafeteria
Só vi Tom Scott fazer um vídeo decente sobre esse tema [0]
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
Não quero provocar uma reação óbvia, mas acho interessante que empresas de VPN com competência técnica usem Linux em vez de BSD, mesmo tendo requisitos como operação sem disco, customização do kernel e segurança mais forte
No aspecto sem disco, já rodei uma implantação iPXE com mais de 25.000 máquinas usando um Ubuntu altamente customizado em servidores blade sem disco, e funcionou muito bem
Independentemente da escolha do sistema operacional, operar sem disco é bem bom. Se houver um problema de segurança ou necessidade de upgrade, basta reiniciar. Dito isso, reiniciar 25.000 servidores leva bastante tempo mesmo em gigE
Deu bastante trabalho criar um sistema de agendamento para lidar com isso de forma confiável, mas o resultado foi bem bom
Fico curioso com VPNs que dizem que “não registram nem armazenam logs”. Pode até ser verdade, mas elas também podem estar enviando um fluxo de dados em tempo real para órgãos de aplicação da lei, agências de inteligência etc., em vez de armazenar por conta própria
Nesse caso, dizer “nós não registramos logs” fica technically correto
Mas também há empresas, como a OVPN, que provaram em juízo que o “sem logs” é real[1]
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
Sistemas podem ser comprometidos por vulnerabilidades de segurança, engenharia social e coerção, incluindo os meios clássicos de guerra psicológica, como dinheiro, ideologia, fraquezas e ego
Ou podem receber uma ordem legal do governo. Praticamente todos os governos do mundo têm leis e práticas operacionais para obrigar qualquer entidade a entregar dados em nome da prevenção à lavagem de dinheiro e ao terrorismo, isto é, AML/CFT
Defender-se fortemente contra esse tipo de ataque é muito caro. Não vejo muito um modelo de negócio viável que cubra custos operacionais normais e ainda a resposta a esses incidentes com uma mensalidade de US$ 5
Além disso, também há backdoors embutidos nas tecnologias básicas que já devem estar usando. O caso do Cavium HSM revelado esta semana é um exemplo disso
Dizem que o NYPD comprou equipamentos ilegais de interceptação de celulares de um milhão de dólares, mas esse é, em geral, o limite do que uma das maiores forças municipais de aplicação da lei dos EUA consegue alcançar
Para começo de conversa, como isso funcionaria? Se não houver uma ordem judicial de sigilo, em poucas semanas os boatos internos vazariam
O motivo pelo qual os equipamentos ligados a celulares permaneceram preparados e sigilosos foi que só funcionários do departamento de polícia estavam envolvidos; com empresas de VPN isso não é possível. Elas não têm os privilégios indevidos que a CIA ou a NSA, e às vezes o FBI, recebem
As coisas que eu poderia fazer que despertariam a curiosidade das forças de aplicação da lei estão muito abaixo dos interesses das agências federais de inteligência. Claro, a sua vida pode ser mais interessante
Para saber se há obrigações de interceptação legal que afetem empresas de VPN, é preciso consultar a legislação da jurisdição correspondente. Ou talvez a Mullvad possa esclarecer
A Suécia certamente tem requisitos de interceptação legal para todos os equipamentos de telecomunicações, mas não sei quanto a VPNs
A meu ver, seria a VPN registrar a atividade dos clientes e depois enviar para outro lugar armazenar
Sempre tive uma dúvida sobre VPNs.
Por exemplo, se um pedófilo usa a Mullvad para baixar imagens proibidas, a VPN é responsabilizada?
As autoridades vão ver que o IP veio do escritório da Mullvad, então não presumem que foi algo feito por eles? Fico curioso sobre como evitam isso.
Talvez seja uma pergunta idiota, mas é uma dúvida real.
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
“Mas, mesmo que tivessem levado algo, não teriam conseguido acessar nenhuma informação de cliente.”
“As leis nacionais que permitem operar um serviço de VPN centrado em privacidade na Suécia são as seguintes.”
É aí que a frase “não mantemos nenhum log” e a arquitetura de rodar apenas em RAM se tornam importantes.
Mesmo que o mandado autorize a retirada do hardware, quando ele é desligado todos os dados desaparecem. As autoridades teriam que levar um monte de baterias.
Boa sorte explicando VPN e endereço IP para a polícia. Esse é o meu medo.
“Eles” podem simplesmente jogar nitrogênio líquido no equipamento, retirá-lo do rack e colocar a DRAM em uma garrafa térmica com nitrogênio líquido para levar embora e ler os dados aos poucos.
https://ieeexplore.ieee.org/document/8388826
Esse recurso é chamado de sigilo direto e protege o tráfego passado mesmo que uma chave seja vazada depois.
O WireGuard usado pela Mullvad oferece suporte a isso. Por algum motivo — deixo a especulação para o leitor —, o WPA do Wi‑Fi ainda não.
A chave fica dentro da CPU e é randomizada a cada boot. Mesmo farejando chips de RAM em operação ou lendo RAM resfriada perfeitamente preservada, não se obtém nada.
Esse também foi um dos grandes motivos pelos quais o Xbox One não foi hackeado.
Em notebooks corporativos com AMD e servidores AMD EPYC, é possível ativar o SME no BIOS.
Para “simplesmente” fazer isso, os agentes teriam que tomar controle quase total da infraestrutura do prédio antes que a Mullvad pudesse reagir, o que não é tão fácil quanto parece.
Mesmo que fosse algo trivial, ainda assim seria vários níveis acima em comparação com serviços de VPN concorrentes.
Ainda assim, isso não impede ataques que exfiltram dados em tempo real por outros tipos de backdoor, como backdoors baseados em hardware, injeção de memória ou cadeia de suprimentos.
Eles disseram que “podemos ter confiança de que o servidor recebe um kernel recém-compilado quando é reiniciado ou provisionado pela primeira vez”, mas fico curioso sobre qual é esse intervalo.
Diariamente, semanalmente ou a cada hora? Quanto maior o intervalo, menor a probabilidade de alguns vetores de ataque.
Na América do Norte e na Europa, VPNs são legalmente obrigadas a manter por 1 a 2 anos registros de uso da VPN, isto é, sites visitados, e-mail de cadastro etc.
A maioria das empresas de VPN anuncia que não mantém logs de navegação.
Então estariam violando leis europeias e americanas.
Por isso não sei como encarar uma VPN sem disco.
Um bom ponto levantado nos comentários: máquinas virtuais podem tirar snapshots do estado completo da memória. Vale ficar atento a isso também.
Se for “kernel recém-compilado, nenhum vestígio de arquivos de log, SO totalmente corrigido”, não daria para obter o mesmo efeito usando o disco em modo somente leitura?
E também é difícil para terceiros comprovarem por auditoria que essa chave foi configurada corretamente.
Eles disseram que “todos os nossos servidores VPN continuam usando um kernel Linux customizado e bastante reduzido, acompanhando a branch principal de desenvolvimento do kernel”, mas servidores customizados são um ponto de nicho em termos de segurança.
Servidores comuns são continuamente pesquisados e corrigidos, mas não dá para esperar o mesmo desses servidores.
Se alguém encontrar uma falha de segurança, um invasor pode comprá-la, e ninguém pode acabar sabendo que o sistema foi comprometido.