- Mullvad beauftragte das niederländische Sicherheitsunternehmen Radically Open Security (RoS) mit dem dritten Audit seiner VPN-Infrastruktur und prüfte dabei einen in RAM laufenden OpenVPN-Server sowie einen WireGuard-Server
- Gegenstand des Audits waren Server mit einem Custom-OS auf Basis von Linux kernel 6.3.2 und Ubuntu 22.04 LTS; sie wurden wie produktive Server bereitgestellt, aber nie für echte Kundenverbindungen verwendet
- RoS überprüfte interne und externe Serverkonfigurationen sowie, ob Kundenaktivitäten protokolliert werden, und fand weder Logging von Kundendaten noch Informationsabfluss
- Beim Penetrationstest wurden 1 High, 6 Elevated, 4 Moderate, 10 Low und 4 Info festgestellt; die wichtigsten Korrekturen wurden Ende Juni 2023 ausgerollt und im Juli erneut getestet und verifiziert
- Mullvad verstärkte das Auditieren des SSH-Administratorzugangs, prüft die Entfernung von SSH und verbesserte die Telegraf-Authentifizierung; einige weitere Änderungen sollen später ausgerollt werden
Audit-Umfang und veröffentlichter Bericht
- Mullvad beauftragte Radically Open Security mit dem dritten Sicherheitsaudit seiner VPN-Infrastruktur
- Dieses Audit konzentrierte sich auf zwei in RAM laufende VPN-Server
- einen OpenVPN-Server
- einen WireGuard-Server
- RoS schloss das Audit Mitte Juni 2023 ab, viele Korrekturen wurden Ende Juni 2023 ausgerollt
- Im Juli 2023 folgten zusätzliche Retests und Verifizierungen
- Der Abschlussbericht wurde als ROS - Mullvad VPN 2023.pdf veröffentlicht
Konfiguration der Testserver und Prüfbereiche
- RoS erhielt für die zwei in RAM laufenden VPN-Server vollen SSH-Zugriff
- Die auditierten Server verwendeten einen abgespeckten aktuellen Linux-Kernel, 6.3.2, sowie ein Custom-OS auf Basis von Ubuntu 22.04 LTS
- Diese Server wurden wie produktive Kundensysteme provisioniert und ausgerollt, aber nie für tatsächliche Kundenverbindungen genutzt
- Der Prüfungsumfang gliederte sich in drei Bereiche
- interne Serversicherheit und -konfiguration
- externe Serversicherheit und -konfiguration
- ob Kundenaktivitäten geloggt werden
- RoS schlug außerdem vor, den Quellcode verschiedener auf dem System laufender Binärdateien zu untersuchen und die Sicherheit auf Hardware-Ebene zu prüfen, Mullvad schloss dies jedoch aus
- Das Audit war auf den Zustand beschränkt, nachdem das System läuft und von Kunden genutzt wird
Gesamtergebnis
- RoS fand weder Logging von Kundendaten noch Informationsabfluss
- Die getesteten Mullvad-VPN-Relays wurden als Beispiel für eine „reife Architektur“ bewertet
- In diesem Penetrationstest wurden insgesamt 25 Probleme festgestellt
- 1 High
- 6 Elevated
- 4 Moderate
- 10 Low
- 4 Info
MLL-024: Auf dem Testsystem sichtbarer produktiver Multihop-Traffic
- MLL-024 wurde als Problem mit Schweregrad High eingestuft
- RoS kam zu dem Schluss, dass produktiver Benutzer-Traffic für Benutzer des Penetrationstests sichtbar sein konnte
- Die auditierten Server waren nicht für Kundenverbindungen öffentlich zugänglich, nicht in Serverlisten beworben und wurden Benutzern nicht angeboten
- Allerdings waren diese Server mit der WireGuard-Multihop-Funktion verbunden
- Wenn Kunden IPs scannten, konnten sie aus der Verbindung zu einem anderen VPN-Server heraus per SOCKS5-Proxy Traffic an diesen Server senden
- Es gab keinen Mechanismus, der dies verhinderte
- RoS bestätigte nur die IP des internen WireGuard-Interfaces
- Dieses Interface wird nur für SOCKS5-Multihop-Traffic verwendet
- Es entsprach daher dem WireGuard-Einstiegsserver
- Mullvad ist der Ansicht, dass ein Audit produktiver Server nicht gültig gewesen wäre, wenn keine produktiven Server bereitgestellt worden wären, und dass es keine Möglichkeit gab zu verhindern, dass auf dem Server Kundentraffic sichtbar wird
MLL-019: Eskalation auf Root-Rechte über systemd-Timer und Verzeichnisberechtigungen
- MLL-019 wurde als Problem mit Schweregrad Elevated eingestuft
- Ein Systemkonto mit niedrigen Rechten konnte durch Manipulation des Inhalts von systemd-Timer-Skripten Root-Rechte erlangen
- Nach Gesprächen mit RoS sah Mullvad die Kernursache in der Verwendung verschachtelter Home-Verzeichnisse und darin, dass Administratorbenutzer Mitglied der Gruppe
madwaren - Die verschachtelte Struktur von
/home/madist ein Legacy-Überbleibsel aus der Zeit vor der Migration auf RAM-basierte VPN-Server - Als kurzfristige Maßnahme wurden alle Administratorbenutzer aus der Gruppe
madentfernt - Die betreffenden Skripte wurden nach
/opt/local_checksverschoben, und RoS erkannte an, dass das Problem damit behoben sei
MLL-045: Administratorzugriff auf produktive Maschinen
- MLL-045 wurde als Problem mit Schweregrad Moderate eingestuft
- Die VPN-Server erlaubten Administratoren Remote-Login, wodurch Administratoren technisch den VPN-Traffic produktiver Benutzer mitschneiden konnten
- Mullvad war sich dieses Problems bereits zuvor bewusst und bestätigte in Gesprächen mit RoS seinen bestehenden Plan
- Die geplanten Maßnahmen sind zweigeteilt
- Ein System wird eingeführt, das unautorisierte Logins auditierbar macht und alle auf dem Server verwendeten Befehle ohne Argumente protokolliert
- Es wird untersucht, wie SSH vollständig entfernt werden kann
- Wenn SSH entfernt wird, können auch Administratoren die Protokollierung von Kundentraffic nicht mehr per SSH aktivieren
- Die Entfernung von SSH wird mehr Zeit in Anspruch nehmen, um korrekt umgesetzt zu werden
MLL-016: Zwischen Servern geteiltes Telegraf-Passwort
- MLL-016 wurde als Problem mit Schweregrad Low eingestuft
- Durch die in allen VPN-Servern geteilten Influx-Datenbank-Zugangsdaten von Telegraf war eine Manipulation globaler Servermetriken möglich
- CPU-Auslastung
- Speichernutzung
- Netzwerkmetriken
- Mullvad führte Client-Zertifikate zur Authentifizierung mithilfe der PKI-Infrastruktur von Hashicorp Vault ein
- Diese Maßnahme ist abgeschlossen
- Mullvad will den Einsatz solcher Zertifikate auch an anderen Stellen der Infrastruktur prüfen
Weitere Änderungen
- Hier wurden nur einige interessante Beispiele aus den im Audit gefundenen Problemen zusammengefasst
- In naher Zukunft sollen weitere Änderungen ausgerollt werden
1 Kommentare
Hacker-News-Kommentare
Ich respektiere wirklich, dass Mullvad bereit ist, geschäftliche Nachteile in Kauf zu nehmen, um den verbleibenden Kunden zusätzliche Sicherheit und Stabilität zu geben.
Das habe ich zum ersten Mal gemerkt, als ich die automatische Verlängerung über PayPal deaktiviert habe, weil man persönliche Daten zusammen mit dem Konto speichern müsste, um die automatische Verlängerung beizubehalten.
Für mich war es allerdings ein Opfer zu viel, als Port Forwarding deaktiviert wurde. Da sie keine Kontaktinformationen speichern, um Kunden zu warnen, schlug die Verbindung eines Tages plötzlich fehl, während ich noch mehrere Monate im Voraus bezahlten Service übrig hatte.
Das hinterlässt bei mir einen etwas bitteren Nachgeschmack, aber durch ihre technischen Texte und Sicherheitsentscheidungen haben sie genug Sympathie aufgebaut, dass sie das Geld einfach behalten sollen. Es ist das einzige VPN, das sich nicht dubios anfühlt, und ich hoffe, sie haben Erfolg.
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
Eine solche Funktionsentfernung nur 30 Tage im Voraus anzukündigen, entspricht grundsätzlich nicht der Art, wie wir unser Geschäft betreiben wollen. Wir gehen davon aus, dass Kunden, die auf diese Funktion angewiesen waren, sowohl von der Entfernung selbst als auch von der Art der Umsetzung enttäuscht waren.
Trotzdem war es die richtige Entscheidung. In den letzten Monaten waren Art und Ausmaß des Missbrauchs so stark angewachsen, dass wir die Funktion nicht weiter anbieten konnten. Sie hätte schon viel früher und mit einer längeren Übergangsfrist entfernt werden müssen. Dass wir das nicht getan haben, war unser Fehler, und einige Nutzer, darunter auch du, waren davon betroffen.
Für im Voraus bezahlten Service, den du nicht mehr nutzen kannst, bekommst du selbstverständlich eine Rückerstattung.
Wenn du Port Forwarding genutzt hast, um einen Dienst aus dem öffentlichen Internet erreichbar zu machen, gibt es viele gute Hoster, die dir gern einen Dienst bereitstellen.
Wenn dein Ziel war, einen Dienst erreichbar zu machen und dabei anonym zu bleiben, empfehlen wir nachdrücklich die Onion-Service-Funktion von Tor. Sie wurde genau für diesen Anwendungsfall entwickelt.
Wenn dein Ziel war, einen Dienst im öffentlichen Internet erreichbar zu machen und zugleich anonym zu bleiben, haben wir keine gute Option, die wir empfehlen könnten.
Port Forwarding mussten wir aus moralischen Gründen entfernen. Es stand unserer Kernmission, Massenüberwachung und Zensur auszuhebeln, zu sehr im Weg.
Auch wenn diese Erklärung deine Enttäuschung nicht vollständig abmildert, hoffe ich, dass sie zumindest etwas Klarheit schafft.
Fredrik Stromberg, Mitgründer von Mullvad VPN
Auch beim Torrenting habe ich Port Forwarding eingerichtet, aber inzwischen weiß ich, dass ich Linux-ISOs auch ohne bekommen kann. Obwohl ich Mullvad ziemlich viel nutze, hat mich das kaum gekümmert.
Ich frage mich, ab wann es mich betrifft, wenn Port Forwarding abgeschaltet ist – anders gesagt, welche Anwendungsfälle dadurch blockiert werden.
Wäre ich tatsächlich gewechselt, wäre ich in derselben Situation gelandet: viel im Voraus bezahlter Service, den ich nicht wie beabsichtigt nutzen kann.
Dass ich nicht eingestiegen bin, als der Gründer von Mullvad mir eine E-Mail schickte, ist mein größtes Karrierebedauern.
Ein großer Teil ihrer Werte passt zu meinen, und Technikbegeisterte, die Freiheit über Bequemlichkeit stellen, sind leider sehr selten. Deshalb nutzen die meisten von uns am Ende große Cloud-Anbieter, die der Gerichtsbarkeit der US-Regierung unterstehen.
Um es vorwegzunehmen: Das war in meiner Karriere tatsächlich ein Problem. Cloud-Anbieter müssen US-Sanktionen befolgen, daher konnten Leute aus Kuba, Iran oder von der Krim mein Spiel nicht spielen. In Russland und der Ukraine kann man unser Spiel legal kaufen, aber wenn man sich in besetzten Gebieten befindet, kann man es nicht spielen – das war frustrierend.
Ich schweife ab, aber es ist wirklich erfrischend, von außen ein Unternehmen zu sehen, das nicht dubios wirkt und Freiheit ernst nimmt.
Es gibt sogar Anbieter, die den Zugriff verweigern, obwohl man eine gültige OFAC-Lizenz hat. Vermutlich liegt das an komplexen Zugriffskontrolllisten, und insgesamt ist es ein ziemliches Durcheinander.
Deshalb habe ich 95 % der Zeit ein mieses VPN eingeschaltet. Ich muss sowohl US-Sanktionen umgehen als auch die Zensurvorrichtungen meines eigenen Landes.
Ich verstehe bis zu einem gewissen Grad, warum die Sanktionen vor Jahrzehnten eingeführt wurden, aber ich weiß nicht, ob diese Logik heute noch gilt. Traurigerweise sind es gewöhnliche Menschen wie ich, die am stärksten von den Sanktionen betroffen sind – ganz sicher nicht die herrschende Elite.
Ich war der Ansicht, dass dieser Dienst Menschen helfen könnte, ein kleines Unternehmen zu gründen, und potenziell ihr Leben verbessern könnte.
Allerdings sehen viele Menschen Sanktionen als Kriegshandlung[0]. Wenn man es so betrachtet, ist es natürlich schrecklich. Es ist Krieg, und kriegsähnliche Folgen verursachen immer Leid bei den Menschen vor Ort.
Wenn der Chef sagt, dass man wegen Sanktionen Geoblocking implementieren soll, sollte man nur das Nötige tun und nicht übertreiben, indem man auch VPN-Nutzer blockiert. Gemeint ist: nicht gegen das Gesetz verstoßen, aber es den Menschen vor Ort auch nicht noch schwerer machen, ihr Recht auf Internetzugang wahrzunehmen.
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
Zunächst einmal: Mullvad ist meiner Meinung nach die beste kommerzielle VPN-Lösung und leistet gute Arbeit dabei, guten Datenschutz zugänglicher zu machen.
Viele Kommentare hier scheinen VPNs im Allgemeinen aber als Antwort auf Datenschutz im Internet hochzuhalten.
Ich möchte daran erinnern, dass ein VPN im Grunde nur vor zwei Dingen schützt: dem Internetanbieter und dem Endpunkt. Und selbst das setzt voraus, dass der Internetanbieter keine fragwürdigen Analysen betreibt.
Trotzdem bringt allein die Eliminierung dieser beiden Punkte große Vorteile für den Datenschutz, und es ist natürlich etwas, das man tun sollte.
Im Titel fehlt das Wort Radically. „Open Security“ kannte ich nicht, aber „Radically Open Security“ ist die Stelle, für die ich eine Arbeit geschrieben habe.
Edit: u/progbits war 1 Minute schneller als ich https://news.ycombinator.com/item?id=37060828
Natürlich haben sie in dem System, für das ich verantwortlich war, außer ein paar Kommentaren nichts gefunden. Ich glaube, diese Kommentare lagen ungefähr auf dem Niveau von Dingen, die ein statisches Analyse-Tool als verbesserungswürdig markiert hatte und die wir bereits ausdrücklich kommentiert hatten. Also etwa: „Hier könnte der Variablenname besser sein“ oder „Mit einer Guard Clause ließe sich das vereinfachen“.
Für etwas, das unter extremen Umständen und mit fast keinem Schlaf entstanden ist, war das nicht schlecht. Ein 6 Monate altes Baby, COVID, Crunch und zwei lebhafte kleine Kinder gleichzeitig sind die Hölle.
Mullvad ist der einzige Mainstream-VPN, bei dem es keine ernsthaft verdächtigen Vertrauensprobleme gibt.
Nicht einmal Proton VPN ist in Ordnung. Leute, die dem nachgegangen sind, haben herausgefunden, dass es nur eine Whitelabel-Version von NordVPN ist.
Weil es keine Alternative gibt, bin ich dankbar, dass Mullvad sein Bekenntnis zu Integrität stärker vorantreibt.
Edit: Ich habe mir ein wenig deine Beitragshistorie angesehen, und es wirkt so, als würdest du diese Behauptung seit Monaten aufstellen, ohne irgendeinen Beleg zu liefern. Verdächtig.
Es heißt „by Radically Open Security“, aber die automatische Titelbereinigung von HN hat mal wieder zugeschlagen. Kann der ursprüngliche Poster den Titel so ändern, dass der Firmenname korrekt erscheint?
In diesem Audit scheinen nur operative Testserver geprüft worden zu sein.
Um mal den Advocatus Diaboli zu spielen: Was hindert Mullvad daran, dem Open-Security-Team eine Version bereitzustellen, aus der die Logging-Funktionalität entfernt wurde? Ich möchte nicht so skeptisch sein, aber müsste ein echtes Audit nicht die Server prüfen, die Kundinnen und Kunden tatsächlich nutzen? Natürlich mit Abgrenzungen, damit die Auditoren keine Informationen aufzeichnen können.
Ich kann mich irren, also klärt mich gern auf. Aber ich bin nicht überzeugt, dass Tests auf diesem Niveau Mullvads No-Logs-Behauptung belegen.
Man braucht ein gewisses Vertrauen, dass das Auditobjekt nicht aktiv täuscht oder böswillig handelt; andernfalls müssten Audits jederzeit zufällig möglich sein.
Ich denke, es ist relevant für ein Bedrohungsmodell, in dem ein Angreifer teilweisen Zugriff auf operative Server hat, etwa ob es unbeabsichtigtes Logging gibt. Für ein Bedrohungsmodell, in dem Mullvad bösartigen Code ausrollt, gilt es dagegen nicht.
Ich empfinde es als sinnvolles Audit, aber ich hätte mir gewünscht, dass dieser Punkt deutlicher gemacht wird.
Natürlich ist das nicht vollkommen perfekt, weil der VPS-Anbieter eine Seite des Traffics sehen kann, aber man kann das abmildern.
Mullvad ist ein guter Mittelweg für Leute, die dafür keine Zeit haben oder nicht wissen, wie es geht. Zumindest ist es schön zu sehen, dass sie sich bemühen, den Anschein zu wahren.
Danach hätte ein Audit tatsächlich genutzter Server folgen können.
Um einen von Kundinnen und Kunden genutzten Server zu auditieren, braucht es unbedingt erhebliche Kontrollen, damit Auditoren keine potenziellen Kundendaten aufzeichnen.
Man kann sich leicht eine Zukunft vorstellen, in der Mullvad es schwer haben wird, weil große Tech-Unternehmen ganze IP-Bereiche von Mullvads Rechenzentren blockieren könnten.
Zwischen Cloudflare und einzelnen Administratoren passiert so etwas bereits in gewissem Maß, und offenbar wird die Nutzung von ChatGPT manchmal blockiert, wenn man über Mullvad verbunden ist. Zumindest scheint es damit zusammenzuhängen.
Am Ende braucht man womöglich dubiose Residential Proxies, wenn man auf irgendetwas zugreifen oder etwas scrapen will.
Ein selbst gehosteter VPS könnte ebenfalls funktionieren, sofern das Unternehmen klein genug ist, um künftigen pauschalen Sperren zu entgehen, aber das wird erst die Zeit zeigen.
Ich bin zu Mullvad gewechselt, nachdem ich früher auf HN gelesen hatte, dass Mullvad keine Logs führte und daher auch keine Logs hatte, die es den Behörden hätte übergeben können.
Ich habe keinen Link, aber es war beeindruckend, und diese Audits sind ein weiterer Beleg dafür, dass diese Entscheidung richtig war.
Details stehen in den Links, aber um zu zitieren: „Rights Alliance und ihre Sicherheitsexperten konnten keine Schwachstellen im System von OVPN nachweisen, die bedeuten würden, dass Logs gespeichert werden können.“
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
Ich habe Mullvad vor Kurzem kennengelernt; ich glaube, sie hatten einen Vertrag mit Mozilla.
Jedenfalls ist der Dienst großartig, und es ist erstaunlich, wie selten es ist, einfach für einen Service zu bezahlen, ohne all die unnötigen Prozeduren.
Um ein Konto zu erstellen, klickt man hier und bezahlt anschließend einfach mit einer der zahlreichen Zahlungsmethoden. Sogar Barzahlung per Post ist dabei.