- Mullvad hat in seiner VPN-Infrastruktur alle Spuren der Festplattennutzung entfernt, sodass die Server nur noch im RAM-only-Bereitstellungsmodell betrieben werden
- Dies ist das Ergebnis der fortgesetzten Arbeit nach der Ankündigung Anfang 2022, auf eine plattenlose Infrastruktur auf Basis des
stboot-Bootloaders zu migrieren - Diese Konfiguration wurde 2022 und 2023 in zwei Audits geprüft, und künftige Audits der VPN-Server werden nur noch RAM-only-Bereitstellungen betreffen
- Die Server verwenden einen angepassten, schlanken Linux-Kernel, der der mainline-Kernel-Entwicklung folgt, um neueste Funktionen und Performance-Verbesserungen zu übernehmen und unnötige Komponenten zu entfernen
- Zentral für den Betrieb ist, dass bei Neustarts oder der ersten Provisionierung ein neuer Kernel, ein Zustand ohne Logdatei-Spuren und ein vollständig gepatchtes OS sichergestellt werden
Umstellung auf eine plattenlose VPN-Infrastruktur
- Mullvad hat angekündigt, in seiner VPN-Infrastruktur alle Spuren der Festplattennutzung entfernt zu haben
- Nach der Ankündigung des Beginns der Migration Anfang 2022 zu einer plattenlosen Infrastruktur mit dem
stboot-Bootloader wurde die Umstellung weiter vorangetrieben - Die VPN-Infrastruktur in dieser Konfiguration wurde zweimal auditiert
- Künftige Audits der VPN-Server werden nur noch RAM-only-Bereitstellungen betreffen
Kernel- und Boot-OS-Konfiguration
- Alle VPN-Server verwenden weiterhin einen stark angepassten und deutlich verkleinerten Linux-Kernel
- Die Kernel-Entwicklung folgt dem mainline-Branch und übernimmt die neuesten Versionen, um neue Funktionen und Performance-Verbesserungen einzubinden
- Unnötige Kernel-Bestandteile wurden entfernt, um die schlanke Konfiguration beizubehalten
- Vor der Bereitstellung ist das Boot-Betriebssystem etwas mehr als 200 MB groß
- Wenn ein Server neu startet oder erstmals provisioniert wird, wird folgender Zustand sichergestellt
- ein neu gebauter Kernel
- keine Spuren von Logdateien
- ein vollständig gepatchtes OS
1 Kommentare
Meinungen auf Hacker News
Wirklich großartig. Von einem VPN-Anbieter, dem Sicherheit und Transparenz wichtig sind, erwartet man, dass er sich wie Mullvad verhält.
Manche Anbieter schütten Geld über Influencer aus, damit diese sagen, ihnen sei „Sicherheit wichtig“, andere konzentrieren sich darauf, die Sicherheit tatsächlich zu verbessern.
Zur Referenz: Es ist komplett Open Source: https://github.com/system-transparency/stboot
HTTPS ist kein Allheilmittel, aber das Fear Marketing der großen VPN-Firmen mit YouTube-Werbung lässt es so aussehen, als würde einem jemand die Kreditkarte stehlen, nur weil man in einem Café Amazon aufruft.
Tom Scott ist der Einzige, von dem ich ein gutes Video zu diesem Thema gesehen habe [0].
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
Ich will keine vorhersehbare Reaktion provozieren, aber es ist interessant, dass technisch versierte VPN-Anbieter trotz Anforderungen wie diskless Betrieb, Kernel-Customizing und stärkerer Sicherheit eher Linux als BSD einsetzen.
Was diskless angeht, habe ich mit einem stark angepassten Ubuntu über 25.000 iPXE-Deployments auf diskless Blade-Servern betrieben, und das lief hervorragend.
Unabhängig von der Wahl des Betriebssystems ist diskless ziemlich gut. Gibt es ein Sicherheitsproblem oder ist ein Upgrade nötig, startet man einfach neu. Allerdings dauert es selbst über gigE eine ganze Weile, 25.000 Server neu zu starten.
Ein Scheduling-System zu bauen, das das zuverlässig erledigt, war aufwendig, aber das Ergebnis war ziemlich gut.
Ich frage mich bei VPNs, die sagen, sie würden „keine Logs anlegen oder speichern“. Das kann tatsächlich so sein, aber sie könnten statt selbst zu speichern auch einen Echtzeit-Datenstrom an Strafverfolgungs- oder Nachrichtendienste schicken.
Dann wäre die Aussage „Wir führen keine Logs“ technically korrekt.
Aber es gibt auch Unternehmen wie OVPN, die vor Gericht bewiesen haben, dass „keine Logs“ wirklich stimmt[1].
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
Systeme können durch Sicherheitslücken und Social Engineering kompromittiert werden, ebenso durch Zwang, einschließlich der klassischen psychologischen Hebel wie Geld, Ideologie, Schwächen und Ego.
Oder sie können eine behördliche Anordnung erhalten. Fast jede Regierung weltweit hat unter dem Vorwand der Bekämpfung von Geldwäsche und Terrorismus, also AML/CFT, Gesetze und operative Praktiken, die jede Stelle zur Herausgabe von Daten zwingen können.
Sich gegen solche Angriffe stark zu verteidigen, ist sehr teuer. Bei einem Tarif von 5 Dollar im Monat sehe ich kaum ein tragfähiges Geschäftsmodell, das sowohl den normalen Betrieb als auch die Reaktion auf solche Vorfälle abdeckt.
Hinzu kommt, dass es auch Backdoors in Basistechnologien gibt, die man wahrscheinlich ohnehin nutzt. Ein Beispiel dafür ist der diese Woche bekannt gewordene Fall wie das Cavium-HSM.
Zwar soll die NYPD illegale Handy-Abhörtechnik im Millionenwert gekauft haben, aber das ist im Großen und Ganzen auch schon ungefähr die Grenze dessen, was eine der größten kommunalen Strafverfolgungsbehörden der USA erreicht.
Wie sollte das überhaupt funktionieren? Ohne gerichtliche Geheimhaltungsanordnung würden innerhalb weniger Wochen interne Gerüchte durchsickern.
Dass die Mobilfunktechnik geheim blieb, lag daran, dass nur Polizeibeschäftigte beteiligt waren; bei einem VPN-Anbieter funktioniert so etwas nicht. Diese haben auch nicht die ungerechtfertigten Privilegien, die CIA oder NSA und manchmal das FBI bekommen.
Was ich tun kann, das die Neugier der Strafverfolgung wecken könnte, liegt weit unterhalb dessen, was Bundesnachrichtendienste interessiert. Natürlich könnte dein Leben interessanter sein.
Ob es Pflichten zur rechtmäßigen Überwachung gibt, die VPN-Anbieter betreffen, muss man im Recht der jeweiligen Jurisdiktion nachsehen. Oder Mullvad könnte das klarstellen.
Schweden hat definitiv Anforderungen zur rechtmäßigen Überwachung für sämtliche Telekommunikationsausrüstung, aber bei VPNs weiß ich es nicht genau.
Für mich bedeutet das: Das VPN zeichnet die Aktivitäten der Kunden auf und schickt sie dann anderswohin, damit sie dort gespeichert werden.
Ich habe mich bei VPNs immer etwas gefragt.
Wenn zum Beispiel ein Pädophiler Mullvad nutzt, um verbotene Bilder herunterzuladen: Trägt dann das VPN die Verantwortung?
Strafverfolgungsbehörden würden doch sehen, dass die IP aus dem Mullvad-Büro stammt, und annehmen, dass sie es waren, oder? Ich frage mich, wie sie dem entgehen.
Vielleicht ist das eine dumme Frage, aber ich frage mich das wirklich.
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
„Aber selbst wenn sie etwas mitgenommen hätten, hätten sie auf keinerlei Kundendaten zugreifen können.“
„Die nationalen Gesetze, die es ermöglichen, in Schweden einen auf Privatsphäre ausgerichteten VPN-Dienst zu betreiben, sind die folgenden.“
Genau hier werden die Aussage „Wir speichern keinerlei Logs“ und die Architektur, die ausschließlich im RAM läuft, wichtig.
Selbst wenn der Beschluss die Mitnahme von Hardware erlaubt: Sobald der Strom weg ist, sind alle Daten verschwunden. Die Strafverfolger müssten also eine Menge Akkus mitbringen.
Viel Glück dabei, der Polizei VPNs und IP-Adressen zu erklären. Das ist meine Sorge.
„Sie“ müssen die Geräte einfach mit flüssigem Stickstoff besprühen, sie aus dem Rack ziehen, den DRAM in einer Thermoskanne mit flüssigem Stickstoff mitnehmen und die Daten später langsam auslesen.
https://ieeexplore.ieee.org/document/8388826
Diese Eigenschaft nennt sich Forward Secrecy und schützt vergangenen Traffic, selbst wenn später Schlüssel offengelegt werden.
WireGuard, das Mullvad verwendet, unterstützt das. Aus irgendeinem Grund — die Spekulation überlasse ich den Lesern — gilt das für WPA bei Wi‑Fi immer noch nicht.
Der Schlüssel befindet sich innerhalb der CPU und wird bei jedem Boot zufällig neu erzeugt. Selbst wenn man laufende RAM-Chips ausspäht oder perfekt konservierten, gekühlten RAM ausliest, erhält man nichts.
Das war auch ein wichtiger Grund, warum die Xbox One nicht gehackt wurde.
Bei AMD-basierten Business-Notebooks und AMD-EPYC-Servern lässt sich SME im BIOS aktivieren.
Um das „einfach“ zu machen, müssten die Beamten die Gebäudeinfrastruktur nahezu vollständig unter Kontrolle bringen, bevor Mullvad reagieren kann — und das ist leichter gesagt als getan.
Selbst wenn es trivial wäre, läge das im Vergleich zu konkurrierenden VPN-Diensten immer noch mehrere Stufen höher.
Trotzdem schützt das nicht vor anderen Arten von Backdoors, die Echtzeitdaten abziehen, etwa hardwarebasierten Backdoors, Memory Injection oder Angriffen über die Lieferkette.
Es hieß, man könne sicher sein, dass „der Server beim Neustart oder bei der ersten Provisionierung einen frisch gebauten Kernel erhält“; ich frage mich, wie lang dieser Zyklus ist.
Täglich, wöchentlich oder stündlich? Je länger der Zyklus, desto geringer wird die Wahrscheinlichkeit einiger Angriffsvektoren.
In Nordamerika und Europa sind VPNs gesetzlich verpflichtet, VPN-Nutzungsdaten — also besuchte Websites, Registrierungs-E-Mail-Adressen usw. — 1 bis 2 Jahre aufzubewahren.
Die meisten VPN-Unternehmen werben damit, keine Browsing-Logs zu speichern.
Damit würden sie gegen europäisches und US-amerikanisches Recht verstoßen.
Deshalb weiß ich nicht, wie man disklosen VPNs einordnen soll.
Ein guter Punkt aus den Kommentaren: Virtuelle Maschinen können den gesamten Speicherzustand als Snapshot festhalten. Das sollte man ebenfalls bedenken.
Wenn es um „frisch gebaute Kernel, keine Spuren von Logdateien, vollständig gepatchtes OS“ geht: Würde es nicht denselben Effekt haben, die Festplatte einfach im Read-only-Modus zu verwenden?
Außerdem ist es für Dritte schwer, per Audit nachzuweisen, dass dieser Schalter korrekt gesetzt wurde.
Es hieß: „Alle unsere VPN-Server verwenden weiterhin einen angepassten und stark reduzierten Linux-Kernel und folgen dem Mainline-Zweig der Kernel-Entwicklung“; ein Custom Server ist sicherheitstechnisch eine Nische mit Angriffsfläche.
Gewöhnliche Server werden kontinuierlich erforscht und gepatcht, aber bei solchen Servern kann man nicht dasselbe erwarten.
Wenn jemand eine Sicherheitslücke findet, könnten Angreifer sie kaufen, und niemand würde merken, dass das System kompromittiert wurde.