Abgeschlossenes Infrastruktur-Audit durch Radically Open Security

 (mullvad.net)
2 Punkte von GN⁺ 2023-08-10 | 1 Kommentare | Auf WhatsApp teilen
  • Das in den Niederlanden ansässige Sicherheitsunternehmen Radically Open Security (RoS) hat das Infrastruktur-Audit von Mullvad VPN abgeschlossen.
  • Das Audit konzentrierte sich auf VPN-Server, die im RAM laufen, insbesondere auf einen OpenVPN-Server und einen WireGuard-Server.
  • Es handelt sich um den Abschlussbericht des dritten Sicherheitsaudits, das Mitte Juni 2023 abgeschlossen wurde; die Korrekturen wurden Ende Juni 2023 ausgerollt.
  • RoS stellte einige Probleme fest, darunter mehrere neue Erkenntnisse, bescheinigte den Mullvad-VPN-Relays jedoch eine ausgereifte Architektur und fand kein Logging von Aktivitätsdaten der Nutzer.
  • RoS erhielt vollständigen SSH-Zugriff auf die beiden im RAM laufenden VPN-Server, die einen abgespeckten Linux-Kernel (6.3.2) und ein angepasstes, auf Ubuntu 22.04 LTS basierendes Betriebssystem verwendeten.
  • Ziel des Audits war es, die interne und externe Sicherheit sowie die Konfiguration der Server zu verifizieren und zu prüfen, ob Kundenaktivitäten protokolliert werden.
  • RoS fand weder Informationsabfluss noch Logging von Kundendaten und entdeckte bei den Penetrationstests 1 Problem mit kritischer Schwere, 6 mit hoher, 4 mit mittlerer, 10 mit niedriger sowie 4 Befunde mit Informationsschwere.
  • Eines der kritisch schweren Probleme bestand darin, dass der Pentest-Benutzer auf einem Testsystem präparierten Nutzer-Traffic sehen konnte.
  • Ein Problem mit hoher Schwere war die Möglichkeit, dass ein niedrig privilegiertes Systemkonto den Inhalt eines systemd-Timer-Skripts manipulieren und so Root-Rechte erlangen konnte.
  • Ein Problem mit mittlerer Schwere war die Fähigkeit von Administratoren, auf den VPN-Traffic produktiver Nutzer zuzugreifen.
  • Ein Problem mit niedriger Schwere betraf gemeinsam genutzte Influx-Datenbank-Zugangsdaten, die Telegraf zwischen den VPN-Servern verwendet und mit denen globale Servermetriken manipuliert werden konnten.
  • Mullvad VPN hat Korrekturen für diese Probleme umgesetzt und plant, in naher Zukunft weitere Änderungen auszurollen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-08-10
Hacker-News-Kommentare
  • Mullvad, ein Anbieter von VPN-Diensten, wird für sein Engagement für den Schutz der Privatsphäre und die Sicherheit der Nutzer gelobt, selbst wenn dabei geschäftliche Bequemlichkeit geopfert wird.
  • Das Unternehmen traf Entscheidungen wie die Deaktivierung der automatischen Verlängerung über PayPal, um keine persönlich identifizierbaren Informationen zu speichern.
  • Mullvads technische Dokumentation und Sicherheitsentscheidungen kommen bei den Nutzern gut an, trotz umstrittener Entscheidungen wie der Deaktivierung von Port Forwarding.
  • Mullvad gilt als ein Unternehmen, das Freiheit höher bewertet als Bequemlichkeit, was unter Technikbegeisterten eine seltene Eigenschaft ist.
  • Einige Nutzer halten Mullvad für die beste kommerzielle VPN-Lösung und dafür, dass es Privatsphäre leichter zugänglich macht.
  • Es wird jedoch darauf hingewiesen, dass VPNs keine vollständige Lösung für die Privatsphäre im Internet sind, auch wenn sie Schutz vor dem ISP und an den Endpunkten bieten.
  • Mullvad wird als der einzige Mainstream-VPN-Anbieter anerkannt, der im Vergleich zu anderen Anbietern wie Proton VPN keine fragwürdige Vertrauenswürdigkeit aufweist.
  • Es gibt Bedenken hinsichtlich des Audit-Prozesses; einige Nutzer fragen sich, ob dabei Server für Kunden geprüft wurden oder lediglich Test- bzw. Produktionsserver.
  • Im Gegensatz zu Tor und anderen Overlay-Netzwerken, die klar betrieben werden, war Mullvad nicht Ziel von Verleumdungskampagnen oder voreingenommenen Nachrichtenartikeln.
  • Einige Nutzer äußern die Sorge, dass Mullvad künftig vor Herausforderungen stehen könnte, falls große Technologieunternehmen beschließen, ihre Rechenzentren beim Geltungsbereich einzuschränken.
  • Das Konzept von Mullvad, nach tatsächlich genutzter Zeit zu bezahlen, kommt bei den Nutzern gut an.