Tuesday , November 19 2019
Home / poland / »Jeden z serwerów NordVPN zhackowany. Zawinić miała serwerownia – Niebezpiecznik.pl –

»Jeden z serwerów NordVPN zhackowany. Zawinić miała serwerownia – Niebezpiecznik.pl –



Wczoraj on Twitterze pojawiła się informacja, poe po internecie krąży klucz prywatny należący do kilku dostawców VPN-ow: Torguard, VikingVPN and NordVPN. Nord właśnie ujawnił więcej szczegółów na temat tego ataku.

Zawiniła serwerownia?

The sprawie poinformował on Twitterze użytkownik le_keksec, który zalinkował do logu z ataku. (With ciekawe, ten log by reason pierwszy został przywołany już w maju 2018 on 8chanie):

Jeśli wierzyć powyższemu, ktoś przejął kontrolę nad maszyna wirtualną zlokalizowaną w Finlandii na której osadzony był jeden z fińskich serwerów wyjściowych NordVPN. Atakujący mając roota, miał dostęp do klucza prywatnego tego serwera i dzięki temu mógł deszyfrować ruch użytkowników NordVPN korzystających z tego serwera wyjściowego. Chociaż, mając roota i nawet nie mając tego klucza, i tak byłby w stanie sniffować ruch z tej maszyny. Ale – co ważne, atakujący nie był w stanie rozszyfrowywać ruchu z pozostałych kilku tysięcy serwerów NordVPN zlokalizowanych w innych serwerowniach i krajach.

Niestety, ani z powyższego logu ani z oświadczenia NordVPN nie wynika JAK dokładnie atakujący dostał się na ten serwer. NordVPN używa sformułowania:

one of the datacenters in Finland we had been renting our servers from was accessed with no authorization. The attacker gained access to the server by exploiting an insecure remote management system left by the datacenter provider while we were unaware that such a system existed.

Gdybyśmy mieli strzelać, obstawialibyśmy coś pokroju KVM lub interfejs do zdalnego zarządzania serwerem typu IPMI. Prawdą może być, że NordVPN nie został o takiej funkcji poinformowany i w niektórych konfiguracjach wykrycie takiego dostępu może być dla właściciela serwera praktycznie niemożliwez

Znany jest nam przypadek z pewnej Polskiej Polskiej hostingowni, kiedy z względu the blad konfiguracyjny w pewnej współdzielonej przez wielu klientów usłudze usłudze lub (to już w przypadku innej serwerowni) przejęciu kontroli nad vlanem administratorów, można było przejąc całkowitą kontrolę nad kilkunastoma serwerami wielu rôznych i dużych, niezwiązanych ze sobą polskich marek. Wpadka była tak duża and tak “przeoczona” przez wszystkich, and sam atakujący nie zdawał under sprawy z tego, we wiele jeszcze mógł napsuć.

Ale nawet jeśli uznamy, że błąd polegający na złej konfiguracji dodatkowego interfejsu do zdalnego zarządzania serwerem leży w 100% Po stronie serwerowni nie NordVPN zapomniał o odpowiedniej reguł to najmujący powinien mieć odpowiednie procedury, które weryfikują czy taki zdalny dostęp istnieje, np. dzierżawca pyta dostawcę the taki dostęp. Dostawca rzecz jasna może skłamać, ale z oświadczenia Norda wynika, tae takiego pytania zabrakło. Dopiero po tym ataku Nord wprowadza “wyższe standardy” dla dostawców serwerów z których korzysta.

Kto powinien si przejmować tym atakiem?

Przede wszystkim wszyscy ci, którzy w marcu 2018 roku korzystali z tego jednego, fińskiego serwera. Ciężko wnioskować the oknie czasowym ataku, ale wedle Norda cytowany przez atakującego plik konfiguracyjny został podmieniony już 5 mark 2018, z kolei 20 mark serwerownia zorientowa zdiezdziezdieziez the przełamaniu zabezpieczeń serwera – maszyna została całkowicie wygaszona (nie podano daty kiedy), to umowa z jej dostawcą zerwana. Sam serwer rozpoczął swój żywot 31 stycznia 2018 roku.

Jeśli więc korzystałeś z fińskich serwerów Norda w 2018 roku (niestety, firm nie podaje który konkretnie serwer chodzi), załóż, że atakujący widział m mł poł po Twfr Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw Tw

Zgodnie z no-log policy, dane osób które korzystały z serwera przed nieautoryzowanym dostępem nie zostały przez atakującego pozyskane. Na serwerze – choć mógł przez niego przechodzić ruch użytkowników Nord – z racji konfiguracji i znów no-log policy, nie było też żadnych loginów i haseł użytkowników.

Włamania zdarzają się każdemu, ale…

Ile włamanie może zdarzyć się każdemu i można dyskutować stopniu winy Norda w kwestii nie zdania sobie w sprawy, że jeden z serwerów który dzierżawią ma jakiś management interface of zdalnania zarzą bezspornie bęcki należą się Nordowi za to, –e – jak przyznaje w oświadczeniu – the ataku wiedział od kilku miesięcy, ale nie podzielił się informacją na jego tematbo

“Chciał się upewnić, że żaden z pozostałych 5000 serwerów nie jest podatny na ten sam atak”.

Rozumiemy, dote dotarcie of the konkretnych użytkowników tego serwera z racji no-log policy Słabo. Firmy dostarczające usługi bezpieczeństwa powinny być transparentne, bo to tylko podnosi ich wiarygodność.

Nord najwyraźniej dopiero teraz zdaje sobie z tego sprawę i zapowiada poprawę… Oby ten incydent był dla niego nauczką i mobilizacją do wprowadzenia dodatkowych zabezpieczeń w swojej infrastrukturze. Może wreszcie dział marketingu też przystopuje z naginaniem czasoprzestrzeni – pierwsze pozytywne skutki już widać, ten niezbyt prawdziwy (nawet przed włamaniem) plakat juz zniknął z Twittera 🙂

Kiedy warto korzystać z VPN-a and przed czym one chronią?

Włamanie na jeden z serwerów NordVPN to także bend przypomnienie tego czego warto, czego nie warto wykorzystywać VPN-a. Zacytujemy tu jeden z naszych poprzednich artykułów poświęcony VPN-om, w którym już kiedyś napisaliśmy:

[W tym artykule wskazujemy], kiedy korzystanie z VPN -a sens, kiedy jest wręcz niezbędne and przed czym Was – w przeciwieństwie of różnych mitów – nie uchroni. Pamiętajcie, what are you? ruch po wyjściu z VPN-a wciąż jest możliwy from podsłuchania, ale już niekoniecznie będzie związany z Wami (Wor korzystać z szyfrowanych protokołów, dj HTTPS to HTTP, DNS by HTTPS / TLS, itp). W dodatku, jeśli umiejętnie wybierzecie kraj, to ci mogą Was podsłuchiwać nie będą w stanie podsłuchać Was po wyjściu z VPN. The VPN należy myśleć jako the wygodzie, zmniejszaczu ryzyka podsłuchu w lokalnej sieci i odblokowywaczu usług niedostępnych z terenu naszego kraju (np. Netflix, Streetlevel and mapach Bing). I tyle.

I nawet jeśli nie korzystacie z Norda, powyższy akapit weźcie sobie from serca 🙂 Innymi słowy, jeśli ktoś poszukuje idealnego VPN-a from pentagonu zamaskowania jego włamania, to taki VPN nie istnieje.

PS Szukając szczęścia w nieszczęściu – warto zauważyć, że przy okazji tego włamu jest szansa rzucić okiem on konfigurację OpenVPN on serwerach NordVPN. Z kolei sam brak loginów i haseł w dumpie można odczytać jako potwierdzenie no-log policy. Szkoda, de dostawcy VPN nie mogą zagwarantować rownież no-hack policy…

Przeczytaj także:


Source link