1 pontos por GN⁺ 2023-09-21 | 1 comentários | Compartilhar no WhatsApp
  • A Mullvad concluiu a remoção de todos os vestígios de uso de disco de sua infraestrutura de VPN, fazendo com que os servidores operem apenas com implantação RAM-only
  • Isso dá continuidade ao anúncio feito no início de 2022 sobre a migração para uma infraestrutura sem disco baseada no bootloader stboot
  • Essa configuração passou por duas auditorias, em 2022 e 2023, e as futuras auditorias dos servidores VPN terão como foco apenas a implantação RAM-only
  • Os servidores usam um kernel Linux personalizado e enxuto, acompanhando o desenvolvimento do kernel mainline para incorporar recursos e melhorias de desempenho mais recentes, além de remover componentes desnecessários
  • O ponto central da operação é garantir, em reinicializações ou no provisionamento inicial, um novo kernel, ausência de vestígios de arquivos de log e um sistema operacional totalmente corrigido

Migração para uma infraestrutura de VPN sem disco

  • A Mullvad anunciou que removeu todos os vestígios de uso de disco de sua infraestrutura de VPN
  • A empresa vinha realizando a transição desde que anunciou, no início de 2022, o início da migração para uma infraestrutura sem disco usando o bootloader stboot
  • A infraestrutura de VPN nessa configuração passou por duas auditorias
  • As futuras auditorias dos servidores VPN terão como alvo apenas a implantação RAM-only

Kernel e composição do sistema operacional de boot

  • Todos os servidores VPN continuam usando um kernel Linux personalizado e bastante reduzido
  • O desenvolvimento do kernel acompanha o branch mainline, adotando versões mais recentes para refletir novos recursos e melhorias de desempenho
  • Componentes desnecessários do kernel são removidos para manter uma configuração leve
  • Antes da implantação, o sistema operacional de boot tem pouco mais de 200 MB
  • Quando o servidor é reiniciado ou provisionado pela primeira vez, os seguintes estados são garantidos
    • kernel recém-compilado
    • sem vestígios de arquivos de log
    • sistema operacional totalmente corrigido

1 comentários

 
GN⁺ 2023-09-21
Opiniões no Hacker News
  • Muito legal. Uma empresa de VPN que se preocupa com segurança e transparência faz você esperar que outras ajam como a Mullvad
    Algumas empresas despejam dinheiro em influenciadores para fazê-los dizer que “levam segurança a sério”; outras se concentram em realmente melhorar a segurança
    A propósito, é tudo open source: https://github.com/system-transparency/stboot

    • Um pouco à parte disso, sempre me incomoda quando grandes empresas de VPN falam como se a maioria dos sites que os usuários visitam não fosse HTTPS, e anunciam como principal vantagem preencher uma lacuna que o HTTPS já cobre
      HTTPS não é uma solução mágica, mas o marketing de medo das grandes empresas de VPN que anunciam no YouTube faz parecer que alguém vai roubar seu cartão de crédito só porque você acessou a Amazon em uma cafeteria
      Só vi Tom Scott fazer um vídeo decente sobre esse tema [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • O stboot, os componentes de suporte e a documentação foram movidos para um GitLab separado: https://git.glasklar.is/system-transparency/core/stboot
  • Não quero provocar uma reação óbvia, mas acho interessante que empresas de VPN com competência técnica usem Linux em vez de BSD, mesmo tendo requisitos como operação sem disco, customização do kernel e segurança mais forte

    • Do meu ponto de vista, o pool de pessoas que é possível contratar e que conhece Linux a fundo é muito maior. A vantagem é grande o suficiente para aceitar os problemas de segurança percebidos
      No aspecto sem disco, já rodei uma implantação iPXE com mais de 25.000 máquinas usando um Ubuntu altamente customizado em servidores blade sem disco, e funcionou muito bem
      Independentemente da escolha do sistema operacional, operar sem disco é bem bom. Se houver um problema de segurança ou necessidade de upgrade, basta reiniciar. Dito isso, reiniciar 25.000 servidores leva bastante tempo mesmo em gigE
      Deu bastante trabalho criar um sistema de agendamento para lidar com isso de forma confiável, mas o resultado foi bem bom
    • Existe algum BSD melhor para esse tipo de uso?
  • Fico curioso com VPNs que dizem que “não registram nem armazenam logs”. Pode até ser verdade, mas elas também podem estar enviando um fluxo de dados em tempo real para órgãos de aplicação da lei, agências de inteligência etc., em vez de armazenar por conta própria
    Nesse caso, dizer “nós não registramos logs” fica technically correto

    • Maus atores inevitavelmente podem existir
      Mas também há empresas, como a OVPN, que provaram em juízo que o “sem logs” é real[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • Mesmo para empresas honestas, há dois tipos de pressão. Uma é de segurança, outra é jurídica
      Sistemas podem ser comprometidos por vulnerabilidades de segurança, engenharia social e coerção, incluindo os meios clássicos de guerra psicológica, como dinheiro, ideologia, fraquezas e ego
      Ou podem receber uma ordem legal do governo. Praticamente todos os governos do mundo têm leis e práticas operacionais para obrigar qualquer entidade a entregar dados em nome da prevenção à lavagem de dinheiro e ao terrorismo, isto é, AML/CFT
      Defender-se fortemente contra esse tipo de ataque é muito caro. Não vejo muito um modelo de negócio viável que cubra custos operacionais normais e ainda a resposta a esses incidentes com uma mensalidade de US$ 5
      Além disso, também há backdoors embutidos nas tecnologias básicas que já devem estar usando. O caso do Cavium HSM revelado esta semana é um exemplo disso
    • Não vejo o Houston Police Department, nem a polícia de qualquer cidade, como sofisticados a ponto de montar uma operação no estilo da NSA para sugar dados do backbone de fibra óptica
      Dizem que o NYPD comprou equipamentos ilegais de interceptação de celulares de um milhão de dólares, mas esse é, em geral, o limite do que uma das maiores forças municipais de aplicação da lei dos EUA consegue alcançar
      Para começo de conversa, como isso funcionaria? Se não houver uma ordem judicial de sigilo, em poucas semanas os boatos internos vazariam
      O motivo pelo qual os equipamentos ligados a celulares permaneceram preparados e sigilosos foi que só funcionários do departamento de polícia estavam envolvidos; com empresas de VPN isso não é possível. Elas não têm os privilégios indevidos que a CIA ou a NSA, e às vezes o FBI, recebem
      As coisas que eu poderia fazer que despertariam a curiosidade das forças de aplicação da lei estão muito abaixo dos interesses das agências federais de inteligência. Claro, a sua vida pode ser mais interessante
    • Sistemas de interceptação legal funcionam assim desde os anos 1990
      Para saber se há obrigações de interceptação legal que afetem empresas de VPN, é preciso consultar a legislação da jurisdição correspondente. Ou talvez a Mullvad possa esclarecer
      A Suécia certamente tem requisitos de interceptação legal para todos os equipamentos de telecomunicações, mas não sei quanto a VPNs
    • Isso parece uma interpretação bem peculiar de registro de logs
      A meu ver, seria a VPN registrar a atividade dos clientes e depois enviar para outro lugar armazenar
  • Sempre tive uma dúvida sobre VPNs.
    Por exemplo, se um pedófilo usa a Mullvad para baixar imagens proibidas, a VPN é responsabilizada?
    As autoridades vão ver que o IP veio do escritório da Mullvad, então não presumem que foi algo feito por eles? Fico curioso sobre como evitam isso.
    Talvez seja uma pergunta idiota, mas é uma dúvida real.

    • A Mullvad de fato já foi alvo de uma batida policial por um caso parecido, e isso está explicado aqui:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      “Mas, mesmo que tivessem levado algo, não teriam conseguido acessar nenhuma informação de cliente.”
      “As leis nacionais que permitem operar um serviço de VPN centrado em privacidade na Suécia são as seguintes.”
    • Não sou advogado, mas, pelo que entendo, normalmente isso cai no âmbito da Section 230. Porque a mesma lógica poderia ser aplicada à Comcast, AT&T e outras empresas que permitem que bytes trafeguem pela própria infraestrutura.
    • Então a investigação apenas seguiria no sentido de enviar um mandado ou intimação ao serviço de VPN, exigindo materiais relacionados, como detalhes do usuário da conta e logs.
      É aí que a frase “não mantemos nenhum log” e a arquitetura de rodar apenas em RAM se tornam importantes.
      Mesmo que o mandado autorize a retirada do hardware, quando ele é desligado todos os dados desaparecem. As autoridades teriam que levar um monte de baterias.
    • Não dá para evitar. Foi por isso que eles sofreram uma batida policial em certa época e deixaram de oferecer encaminhamento de portas.
    • Mas imagine que você faça login nessa VPN, pesquise suéteres infantis para seus filhos e mantenha a sessão aberta. Nesse meio-tempo, as autoridades consultam um IP associado a uma atividade anterior, e esse IP agora está atribuído a você.
      Boa sorte explicando VPN e endereço IP para a polícia. Esse é o meu medo.
  • “Eles” podem simplesmente jogar nitrogênio líquido no equipamento, retirá-lo do rack e colocar a DRAM em uma garrafa térmica com nitrogênio líquido para levar embora e ler os dados aos poucos.
    https://ieeexplore.ieee.org/document/8388826

    • Com protocolos de criptografia modernos, isso não rende nada.
      Esse recurso é chamado de sigilo direto e protege o tráfego passado mesmo que uma chave seja vazada depois.
      O WireGuard usado pela Mullvad oferece suporte a isso. Por algum motivo — deixo a especulação para o leitor —, o WPA do Wi‑Fi ainda não.
    • Processadores AMD oferecem suporte a RAM criptografada chamada SME[1].
      A chave fica dentro da CPU e é randomizada a cada boot. Mesmo farejando chips de RAM em operação ou lendo RAM resfriada perfeitamente preservada, não se obtém nada.
      Esse também foi um dos grandes motivos pelos quais o Xbox One não foi hackeado.
      Em notebooks corporativos com AMD e servidores AMD EPYC, é possível ativar o SME no BIOS.
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • A palavra “simplesmente” está carregando muita coisa aqui.
      Para “simplesmente” fazer isso, os agentes teriam que tomar controle quase total da infraestrutura do prédio antes que a Mullvad pudesse reagir, o que não é tão fácil quanto parece.
      Mesmo que fosse algo trivial, ainda assim seria vários níveis acima em comparação com serviços de VPN concorrentes.
    • Isso é muito mais trabalho do que puxar um SSD e ler arquivos de log, e parece ter uma chance muito maior de dar errado.
  • Ainda assim, isso não impede ataques que exfiltram dados em tempo real por outros tipos de backdoor, como backdoors baseados em hardware, injeção de memória ou cadeia de suprimentos.
    Eles disseram que “podemos ter confiança de que o servidor recebe um kernel recém-compilado quando é reiniciado ou provisionado pela primeira vez”, mas fico curioso sobre qual é esse intervalo.
    Diariamente, semanalmente ou a cada hora? Quanto maior o intervalo, menor a probabilidade de alguns vetores de ataque.

  • Na América do Norte e na Europa, VPNs são legalmente obrigadas a manter por 1 a 2 anos registros de uso da VPN, isto é, sites visitados, e-mail de cadastro etc.
    A maioria das empresas de VPN anuncia que não mantém logs de navegação.
    Então estariam violando leis europeias e americanas.
    Por isso não sei como encarar uma VPN sem disco.

  • Um bom ponto levantado nos comentários: máquinas virtuais podem tirar snapshots do estado completo da memória. Vale ficar atento a isso também.

  • Se for “kernel recém-compilado, nenhum vestígio de arquivos de log, SO totalmente corrigido”, não daria para obter o mesmo efeito usando o disco em modo somente leitura?

    • Hoje em dia, discos nem sempre têm uma chave de somente leitura. Dá saudade do entalhe físico dos disquetes.
      E também é difícil para terceiros comprovarem por auditoria que essa chave foi configurada corretamente.
  • Eles disseram que “todos os nossos servidores VPN continuam usando um kernel Linux customizado e bastante reduzido, acompanhando a branch principal de desenvolvimento do kernel”, mas servidores customizados são um ponto de nicho em termos de segurança.
    Servidores comuns são continuamente pesquisados e corrigidos, mas não dá para esperar o mesmo desses servidores.
    Se alguém encontrar uma falha de segurança, um invasor pode comprá-la, e ninguém pode acabar sabendo que o sistema foi comprometido.