2 Punkte von GN⁺ 2023-08-10 | 1 Kommentare | Auf WhatsApp teilen
  • Mullvad beauftragte das niederländische Sicherheitsunternehmen Radically Open Security (RoS) mit dem dritten Audit seiner VPN-Infrastruktur und prüfte dabei einen in RAM laufenden OpenVPN-Server sowie einen WireGuard-Server
  • Gegenstand des Audits waren Server mit einem Custom-OS auf Basis von Linux kernel 6.3.2 und Ubuntu 22.04 LTS; sie wurden wie produktive Server bereitgestellt, aber nie für echte Kundenverbindungen verwendet
  • RoS überprüfte interne und externe Serverkonfigurationen sowie, ob Kundenaktivitäten protokolliert werden, und fand weder Logging von Kundendaten noch Informationsabfluss
  • Beim Penetrationstest wurden 1 High, 6 Elevated, 4 Moderate, 10 Low und 4 Info festgestellt; die wichtigsten Korrekturen wurden Ende Juni 2023 ausgerollt und im Juli erneut getestet und verifiziert
  • Mullvad verstärkte das Auditieren des SSH-Administratorzugangs, prüft die Entfernung von SSH und verbesserte die Telegraf-Authentifizierung; einige weitere Änderungen sollen später ausgerollt werden

Audit-Umfang und veröffentlichter Bericht

  • Mullvad beauftragte Radically Open Security mit dem dritten Sicherheitsaudit seiner VPN-Infrastruktur
  • Dieses Audit konzentrierte sich auf zwei in RAM laufende VPN-Server
    • einen OpenVPN-Server
    • einen WireGuard-Server
  • RoS schloss das Audit Mitte Juni 2023 ab, viele Korrekturen wurden Ende Juni 2023 ausgerollt
  • Im Juli 2023 folgten zusätzliche Retests und Verifizierungen
  • Der Abschlussbericht wurde als ROS - Mullvad VPN 2023.pdf veröffentlicht

Konfiguration der Testserver und Prüfbereiche

  • RoS erhielt für die zwei in RAM laufenden VPN-Server vollen SSH-Zugriff
  • Die auditierten Server verwendeten einen abgespeckten aktuellen Linux-Kernel, 6.3.2, sowie ein Custom-OS auf Basis von Ubuntu 22.04 LTS
  • Diese Server wurden wie produktive Kundensysteme provisioniert und ausgerollt, aber nie für tatsächliche Kundenverbindungen genutzt
  • Der Prüfungsumfang gliederte sich in drei Bereiche
    • interne Serversicherheit und -konfiguration
    • externe Serversicherheit und -konfiguration
    • ob Kundenaktivitäten geloggt werden
  • RoS schlug außerdem vor, den Quellcode verschiedener auf dem System laufender Binärdateien zu untersuchen und die Sicherheit auf Hardware-Ebene zu prüfen, Mullvad schloss dies jedoch aus
    • Das Audit war auf den Zustand beschränkt, nachdem das System läuft und von Kunden genutzt wird

Gesamtergebnis

  • RoS fand weder Logging von Kundendaten noch Informationsabfluss
  • Die getesteten Mullvad-VPN-Relays wurden als Beispiel für eine „reife Architektur“ bewertet
  • In diesem Penetrationstest wurden insgesamt 25 Probleme festgestellt
    • 1 High
    • 6 Elevated
    • 4 Moderate
    • 10 Low
    • 4 Info

MLL-024: Auf dem Testsystem sichtbarer produktiver Multihop-Traffic

  • MLL-024 wurde als Problem mit Schweregrad High eingestuft
  • RoS kam zu dem Schluss, dass produktiver Benutzer-Traffic für Benutzer des Penetrationstests sichtbar sein konnte
  • Die auditierten Server waren nicht für Kundenverbindungen öffentlich zugänglich, nicht in Serverlisten beworben und wurden Benutzern nicht angeboten
  • Allerdings waren diese Server mit der WireGuard-Multihop-Funktion verbunden
    • Wenn Kunden IPs scannten, konnten sie aus der Verbindung zu einem anderen VPN-Server heraus per SOCKS5-Proxy Traffic an diesen Server senden
    • Es gab keinen Mechanismus, der dies verhinderte
  • RoS bestätigte nur die IP des internen WireGuard-Interfaces
    • Dieses Interface wird nur für SOCKS5-Multihop-Traffic verwendet
    • Es entsprach daher dem WireGuard-Einstiegsserver
  • Mullvad ist der Ansicht, dass ein Audit produktiver Server nicht gültig gewesen wäre, wenn keine produktiven Server bereitgestellt worden wären, und dass es keine Möglichkeit gab zu verhindern, dass auf dem Server Kundentraffic sichtbar wird

MLL-019: Eskalation auf Root-Rechte über systemd-Timer und Verzeichnisberechtigungen

  • MLL-019 wurde als Problem mit Schweregrad Elevated eingestuft
  • Ein Systemkonto mit niedrigen Rechten konnte durch Manipulation des Inhalts von systemd-Timer-Skripten Root-Rechte erlangen
  • Nach Gesprächen mit RoS sah Mullvad die Kernursache in der Verwendung verschachtelter Home-Verzeichnisse und darin, dass Administratorbenutzer Mitglied der Gruppe mad waren
  • Die verschachtelte Struktur von /home/mad ist ein Legacy-Überbleibsel aus der Zeit vor der Migration auf RAM-basierte VPN-Server
  • Als kurzfristige Maßnahme wurden alle Administratorbenutzer aus der Gruppe mad entfernt
  • Die betreffenden Skripte wurden nach /opt/local_checks verschoben, und RoS erkannte an, dass das Problem damit behoben sei

MLL-045: Administratorzugriff auf produktive Maschinen

  • MLL-045 wurde als Problem mit Schweregrad Moderate eingestuft
  • Die VPN-Server erlaubten Administratoren Remote-Login, wodurch Administratoren technisch den VPN-Traffic produktiver Benutzer mitschneiden konnten
  • Mullvad war sich dieses Problems bereits zuvor bewusst und bestätigte in Gesprächen mit RoS seinen bestehenden Plan
  • Die geplanten Maßnahmen sind zweigeteilt
    • Ein System wird eingeführt, das unautorisierte Logins auditierbar macht und alle auf dem Server verwendeten Befehle ohne Argumente protokolliert
    • Es wird untersucht, wie SSH vollständig entfernt werden kann
  • Wenn SSH entfernt wird, können auch Administratoren die Protokollierung von Kundentraffic nicht mehr per SSH aktivieren
  • Die Entfernung von SSH wird mehr Zeit in Anspruch nehmen, um korrekt umgesetzt zu werden

MLL-016: Zwischen Servern geteiltes Telegraf-Passwort

  • MLL-016 wurde als Problem mit Schweregrad Low eingestuft
  • Durch die in allen VPN-Servern geteilten Influx-Datenbank-Zugangsdaten von Telegraf war eine Manipulation globaler Servermetriken möglich
    • CPU-Auslastung
    • Speichernutzung
    • Netzwerkmetriken
  • Mullvad führte Client-Zertifikate zur Authentifizierung mithilfe der PKI-Infrastruktur von Hashicorp Vault ein
  • Diese Maßnahme ist abgeschlossen
  • Mullvad will den Einsatz solcher Zertifikate auch an anderen Stellen der Infrastruktur prüfen

Weitere Änderungen

  • Hier wurden nur einige interessante Beispiele aus den im Audit gefundenen Problemen zusammengefasst
  • In naher Zukunft sollen weitere Änderungen ausgerollt werden

1 Kommentare

 
GN⁺ 2023-08-10
Hacker-News-Kommentare
  • Ich respektiere wirklich, dass Mullvad bereit ist, geschäftliche Nachteile in Kauf zu nehmen, um den verbleibenden Kunden zusätzliche Sicherheit und Stabilität zu geben.
    Das habe ich zum ersten Mal gemerkt, als ich die automatische Verlängerung über PayPal deaktiviert habe, weil man persönliche Daten zusammen mit dem Konto speichern müsste, um die automatische Verlängerung beizubehalten.
    Für mich war es allerdings ein Opfer zu viel, als Port Forwarding deaktiviert wurde. Da sie keine Kontaktinformationen speichern, um Kunden zu warnen, schlug die Verbindung eines Tages plötzlich fehl, während ich noch mehrere Monate im Voraus bezahlten Service übrig hatte.
    Das hinterlässt bei mir einen etwas bitteren Nachgeschmack, aber durch ihre technischen Texte und Sicherheitsentscheidungen haben sie genug Sympathie aufgebaut, dass sie das Geld einfach behalten sollen. Es ist das einzige VPN, das sich nicht dubios anfühlt, und ich hoffe, sie haben Erfolg.
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • Wir entschuldigen uns aufrichtig für die Unannehmlichkeiten.
      Eine solche Funktionsentfernung nur 30 Tage im Voraus anzukündigen, entspricht grundsätzlich nicht der Art, wie wir unser Geschäft betreiben wollen. Wir gehen davon aus, dass Kunden, die auf diese Funktion angewiesen waren, sowohl von der Entfernung selbst als auch von der Art der Umsetzung enttäuscht waren.
      Trotzdem war es die richtige Entscheidung. In den letzten Monaten waren Art und Ausmaß des Missbrauchs so stark angewachsen, dass wir die Funktion nicht weiter anbieten konnten. Sie hätte schon viel früher und mit einer längeren Übergangsfrist entfernt werden müssen. Dass wir das nicht getan haben, war unser Fehler, und einige Nutzer, darunter auch du, waren davon betroffen.
      Für im Voraus bezahlten Service, den du nicht mehr nutzen kannst, bekommst du selbstverständlich eine Rückerstattung.
      Wenn du Port Forwarding genutzt hast, um einen Dienst aus dem öffentlichen Internet erreichbar zu machen, gibt es viele gute Hoster, die dir gern einen Dienst bereitstellen.
      Wenn dein Ziel war, einen Dienst erreichbar zu machen und dabei anonym zu bleiben, empfehlen wir nachdrücklich die Onion-Service-Funktion von Tor. Sie wurde genau für diesen Anwendungsfall entwickelt.
      Wenn dein Ziel war, einen Dienst im öffentlichen Internet erreichbar zu machen und zugleich anonym zu bleiben, haben wir keine gute Option, die wir empfehlen könnten.
      Port Forwarding mussten wir aus moralischen Gründen entfernen. Es stand unserer Kernmission, Massenüberwachung und Zensur auszuhebeln, zu sehr im Weg.
      Auch wenn diese Erklärung deine Enttäuschung nicht vollständig abmildert, hoffe ich, dass sie zumindest etwas Klarheit schafft.
      Fredrik Stromberg, Mitgründer von Mullvad VPN
    • Ich habe das Gefühl, diese Situation hätte sich vermeiden lassen. Man hätte im Zahlungs- oder Registrierungsablauf eine große, deutliche Warnung einbauen können, dass man Clients so konfigurieren muss, dass sie einen RSS-Endpunkt direkt pollen, über den Benachrichtigungen verschickt werden können.
    • Als Netzwerk-Anfänger weiß ich nicht genau, wie wichtig das ist. Früher habe ich einmal Port Forwarding auf meinem Router eingerichtet, um von außerhalb auf mein Plex-System zuzugreifen.
      Auch beim Torrenting habe ich Port Forwarding eingerichtet, aber inzwischen weiß ich, dass ich Linux-ISOs auch ohne bekommen kann. Obwohl ich Mullvad ziemlich viel nutze, hat mich das kaum gekümmert.
      Ich frage mich, ab wann es mich betrifft, wenn Port Forwarding abgeschaltet ist – anders gesagt, welche Anwendungsfälle dadurch blockiert werden.
    • Nachdem Port Forwarding deaktiviert wurde, bin ich zu ProtonVPN gewechselt. Es wirkt wie die nächstbeste Wahl, und sie sagen weiterhin, dass sie derzeit nicht vorhaben, Port Forwarding zu entfernen.
    • Gut, dass ich das gelesen habe. Ich hatte Anfang des Jahres erwogen, zu Mullvad zu wechseln, das aber wegen des Budgets aufgeschoben. Das hier ist ein Dealbreaker.
      Wäre ich tatsächlich gewechselt, wäre ich in derselben Situation gelandet: viel im Voraus bezahlter Service, den ich nicht wie beabsichtigt nutzen kann.
  • Dass ich nicht eingestiegen bin, als der Gründer von Mullvad mir eine E-Mail schickte, ist mein größtes Karrierebedauern.
    Ein großer Teil ihrer Werte passt zu meinen, und Technikbegeisterte, die Freiheit über Bequemlichkeit stellen, sind leider sehr selten. Deshalb nutzen die meisten von uns am Ende große Cloud-Anbieter, die der Gerichtsbarkeit der US-Regierung unterstehen.
    Um es vorwegzunehmen: Das war in meiner Karriere tatsächlich ein Problem. Cloud-Anbieter müssen US-Sanktionen befolgen, daher konnten Leute aus Kuba, Iran oder von der Krim mein Spiel nicht spielen. In Russland und der Ukraine kann man unser Spiel legal kaufen, aber wenn man sich in besetzten Gebieten befindet, kann man es nicht spielen – das war frustrierend.
    Ich schweife ab, aber es ist wirklich erfrischend, von außen ein Unternehmen zu sehen, das nicht dubios wirkt und Freiheit ernst nimmt.

    • Als Kubaner ist das manchmal einfach nervig und manchmal mehr als das. Manche Cloud-Anbieter sind komplett unzugänglich, manche erlauben den Zugriff, und manche erlauben nur bestimmte Dienste und blockieren andere.
      Es gibt sogar Anbieter, die den Zugriff verweigern, obwohl man eine gültige OFAC-Lizenz hat. Vermutlich liegt das an komplexen Zugriffskontrolllisten, und insgesamt ist es ein ziemliches Durcheinander.
      Deshalb habe ich 95 % der Zeit ein mieses VPN eingeschaltet. Ich muss sowohl US-Sanktionen umgehen als auch die Zensurvorrichtungen meines eigenen Landes.
      Ich verstehe bis zu einem gewissen Grad, warum die Sanktionen vor Jahrzehnten eingeführt wurden, aber ich weiß nicht, ob diese Logik heute noch gilt. Traurigerweise sind es gewöhnliche Menschen wie ich, die am stärksten von den Sanktionen betroffen sind – ganz sicher nicht die herrschende Elite.
    • Ich war auch verärgert, als ich GeoIP-Tracking implementieren musste, um bestimmte Länder zu blockieren. Ich dachte dabei an die Menschen, die dann keinen Zugriff mehr auf unseren kostenlosen Dienst hätten.
      Ich war der Ansicht, dass dieser Dienst Menschen helfen könnte, ein kleines Unternehmen zu gründen, und potenziell ihr Leben verbessern könnte.
      Allerdings sehen viele Menschen Sanktionen als Kriegshandlung[0]. Wenn man es so betrachtet, ist es natürlich schrecklich. Es ist Krieg, und kriegsähnliche Folgen verursachen immer Leid bei den Menschen vor Ort.
      Wenn der Chef sagt, dass man wegen Sanktionen Geoblocking implementieren soll, sollte man nur das Nötige tun und nicht übertreiben, indem man auch VPN-Nutzer blockiert. Gemeint ist: nicht gegen das Gesetz verstoßen, aber es den Menschen vor Ort auch nicht noch schwerer machen, ihr Recht auf Internetzugang wahrzunehmen.
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • Ich kenne einige Leute von der Krim, und vieles, was wir für selbstverständlich halten, ist für sie erstaunlich kompliziert. Menschen aus Kuba oder Iran wissen wenigstens sicher, in welchem Land sie sich befinden.
    • Es ist sehr wahrscheinlich noch nicht zu spät.
    • Soweit ich weiß, suchen sie noch Leute. Hier in den Bussen von Gothenburg schalten sie Stellenanzeigen.
  • Zunächst einmal: Mullvad ist meiner Meinung nach die beste kommerzielle VPN-Lösung und leistet gute Arbeit dabei, guten Datenschutz zugänglicher zu machen.
    Viele Kommentare hier scheinen VPNs im Allgemeinen aber als Antwort auf Datenschutz im Internet hochzuhalten.
    Ich möchte daran erinnern, dass ein VPN im Grunde nur vor zwei Dingen schützt: dem Internetanbieter und dem Endpunkt. Und selbst das setzt voraus, dass der Internetanbieter keine fragwürdigen Analysen betreibt.
    Trotzdem bringt allein die Eliminierung dieser beiden Punkte große Vorteile für den Datenschutz, und es ist natürlich etwas, das man tun sollte.

    • Ich weiß nicht, wo genau „viele Kommentare hier VPNs im Allgemeinen als Antwort auf Datenschutz im Internet hochhalten“ sollen.
    • Kannst du den Teil mit der „Voraussetzung, dass der Internetanbieter keine fragwürdigen Analysen betreibt“ näher erklären? Setzen Internetanbieter häufig Techniken ein, um die Nutzung von VPNs auszuhebeln? Welche Anbieter verwenden welche Techniken? Das würde mich interessieren.
    • Diese beiden Dinge sind trotzdem enorm wichtig. Sie sind auch Teil eines mehrschichtigen Ansatzes für Sicherheit. Ich bezweifle, dass die meisten Leute denken: „Mit VPN ist alles erledigt.“
  • Im Titel fehlt das Wort Radically. „Open Security“ kannte ich nicht, aber „Radically Open Security“ ist die Stelle, für die ich eine Arbeit geschrieben habe.
    Edit: u/progbits war 1 Minute schneller als ich https://news.ycombinator.com/item?id=37060828

    • Eines der Projekte, an denen ich vor ein paar Jahren gearbeitet habe, wurde von Radically Open Security auditiert, und ich war von der Qualität der Expertinnen und Experten sehr beeindruckt.
      Natürlich haben sie in dem System, für das ich verantwortlich war, außer ein paar Kommentaren nichts gefunden. Ich glaube, diese Kommentare lagen ungefähr auf dem Niveau von Dingen, die ein statisches Analyse-Tool als verbesserungswürdig markiert hatte und die wir bereits ausdrücklich kommentiert hatten. Also etwa: „Hier könnte der Variablenname besser sein“ oder „Mit einer Guard Clause ließe sich das vereinfachen“.
      Für etwas, das unter extremen Umständen und mit fast keinem Schlaf entstanden ist, war das nicht schlecht. Ein 6 Monate altes Baby, COVID, Crunch und zwei lebhafte kleine Kinder gleichzeitig sind die Hölle.
  • Mullvad ist der einzige Mainstream-VPN, bei dem es keine ernsthaft verdächtigen Vertrauensprobleme gibt.
    Nicht einmal Proton VPN ist in Ordnung. Leute, die dem nachgegangen sind, haben herausgefunden, dass es nur eine Whitelabel-Version von NordVPN ist.
    Weil es keine Alternative gibt, bin ich dankbar, dass Mullvad sein Bekenntnis zu Integrität stärker vorantreibt.

    • Gibt es eine Quelle für die NordVPN-Behauptung?
      Edit: Ich habe mir ein wenig deine Beitragshistorie angesehen, und es wirkt so, als würdest du diese Behauptung seit Monaten aufstellen, ohne irgendeinen Beleg zu liefern. Verdächtig.
    • Das fühlt sich ungut an. Gibt es eine Quelle?
  • Es heißt „by Radically Open Security“, aber die automatische Titelbereinigung von HN hat mal wieder zugeschlagen. Kann der ursprüngliche Poster den Titel so ändern, dass der Firmenname korrekt erscheint?

  • In diesem Audit scheinen nur operative Testserver geprüft worden zu sein.
    Um mal den Advocatus Diaboli zu spielen: Was hindert Mullvad daran, dem Open-Security-Team eine Version bereitzustellen, aus der die Logging-Funktionalität entfernt wurde? Ich möchte nicht so skeptisch sein, aber müsste ein echtes Audit nicht die Server prüfen, die Kundinnen und Kunden tatsächlich nutzen? Natürlich mit Abgrenzungen, damit die Auditoren keine Informationen aufzeichnen können.
    Ich kann mich irren, also klärt mich gern auf. Aber ich bin nicht überzeugt, dass Tests auf diesem Niveau Mullvads No-Logs-Behauptung belegen.

    • Ich glaube nicht, dass es einen großen Unterschied macht. Denn auf echten Servern könnten sie das für die Dauer des Audits genauso machen.
      Man braucht ein gewisses Vertrauen, dass das Auditobjekt nicht aktiv täuscht oder böswillig handelt; andernfalls müssten Audits jederzeit zufällig möglich sein.
    • Es wird nicht ausdrücklich gesagt, aber das ist eher ein Audit nach dem Motto „Wir haben die Kompetenz, keine Fehler zu machen“, nicht „Wir halten unsere Versprechen ein“.
      Ich denke, es ist relevant für ein Bedrohungsmodell, in dem ein Angreifer teilweisen Zugriff auf operative Server hat, etwa ob es unbeabsichtigtes Logging gibt. Für ein Bedrohungsmodell, in dem Mullvad bösartigen Code ausrollt, gilt es dagegen nicht.
      Ich empfinde es als sinnvolles Audit, aber ich hätte mir gewünscht, dass dieser Punkt deutlicher gemacht wird.
    • Ab einem gewissen Grad an Paranoia sollte man sich ernsthaft mit VPN-Selbsthosting beschäftigen.
      Natürlich ist das nicht vollkommen perfekt, weil der VPS-Anbieter eine Seite des Traffics sehen kann, aber man kann das abmildern.
      Mullvad ist ein guter Mittelweg für Leute, die dafür keine Zeit haben oder nicht wissen, wie es geht. Zumindest ist es schön zu sehen, dass sie sich bemühen, den Anschein zu wahren.
    • Das würde bedeuten, von Mullvad zu verlangen, Außenstehenden Zugriff auf Kundenverbindungen zu geben. Genau das hat Mullvad versprochen, niemals zu tun.
    • Es wäre gut gewesen, wenn man den Auditoren mehrere Login-Konten bereitgestellt hätte, die auf diesem Server wie normale Nutzerkonten verwendet werden. Damit er sich wie ein echter Server verhält.
      Danach hätte ein Audit tatsächlich genutzter Server folgen können.
      Um einen von Kundinnen und Kunden genutzten Server zu auditieren, braucht es unbedingt erhebliche Kontrollen, damit Auditoren keine potenziellen Kundendaten aufzeichnen.
  • Man kann sich leicht eine Zukunft vorstellen, in der Mullvad es schwer haben wird, weil große Tech-Unternehmen ganze IP-Bereiche von Mullvads Rechenzentren blockieren könnten.
    Zwischen Cloudflare und einzelnen Administratoren passiert so etwas bereits in gewissem Maß, und offenbar wird die Nutzung von ChatGPT manchmal blockiert, wenn man über Mullvad verbunden ist. Zumindest scheint es damit zusammenzuhängen.
    Am Ende braucht man womöglich dubiose Residential Proxies, wenn man auf irgendetwas zugreifen oder etwas scrapen will.
    Ein selbst gehosteter VPS könnte ebenfalls funktionieren, sofern das Unternehmen klein genug ist, um künftigen pauschalen Sperren zu entgehen, aber das wird erst die Zeit zeigen.

  • Ich bin zu Mullvad gewechselt, nachdem ich früher auf HN gelesen hatte, dass Mullvad keine Logs führte und daher auch keine Logs hatte, die es den Behörden hätte übergeben können.
    Ich habe keinen Link, aber es war beeindruckend, und diese Audits sind ein weiterer Beleg dafür, dass diese Entscheidung richtig war.

    • Man sollte erwähnen, dass OVPN ebenfalls eine Option ist. Der Fall ging vor Gericht und OVPN hat gewonnen, womit über vernünftige Zweifel hinaus belegt wurde, dass OVPNs No-Logs wirklich No-Logs bedeutet.
      Details stehen in den Links, aber um zu zitieren: „Rights Alliance und ihre Sicherheitsexperten konnten keine Schwachstellen im System von OVPN nachweisen, die bedeuten würden, dass Logs gespeichert werden können.“
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • Ich habe Mullvad vor Kurzem kennengelernt; ich glaube, sie hatten einen Vertrag mit Mozilla.
    Jedenfalls ist der Dienst großartig, und es ist erstaunlich, wie selten es ist, einfach für einen Service zu bezahlen, ohne all die unnötigen Prozeduren.
    Um ein Konto zu erstellen, klickt man hier und bezahlt anschließend einfach mit einer der zahlreichen Zahlungsmethoden. Sogar Barzahlung per Post ist dabei.