NordVPN 是最著名和最受尊敬的消費者 VPN 提供商之一,已確認其服務器之一在未經授權的情況下被訪問。
NordVPN 在 Twitter 上發布了相當衝動且魯莽的聲明後,這個故事就爆發了。
Twitterverse 並沒有將其視為事實陳述,而是將其視為一項挑戰,不久之後,一個自稱為 KekSec 的組織透露,黑客已訪問服務器並洩露了 Nord 的 OpenVPN 配置和相關私鑰以及 TLS 證書。
NordVPN 現已承認這一漏洞,並表示攻擊者通過利用數據中心提供商留下的不安全的遠程管理系統,獲得了對芬蘭租用服務器的訪問權限。
背景
2018 年 3 月,NordVPN、VikingVPN 和 TorGuard Web 服務器的 TLS 證書被發布在 8chan 上。這些證書現已過期,但在發佈時仍然有效。儘管 NordVPN 努力淡化此次洩露事件,但該出版物毫無疑問地證明 NordVPN 在過去的某個時候曾受到過攻擊。
獲得這些證書的人必須擁有對受影響服務器的 Web 容器的 root 訪問權限,因此可以完全控制服務器,包括嗅探和篡改通過服務器的數據的能力。
從理論上講,這也意味著任何人都可以設置一個聲稱屬於 NordVPN、VikingVPN 或 TorGuard 的虛擬網站,您的瀏覽器會認為這些網站是真實的。確實,甚至有人發布此類攻擊的實際示例:
然而,NordVPN 告訴我們,除非攻擊者能夠侵入用戶的計算機或攔截並修改其網絡流量,否則這種 MitM 攻擊是不可能的。
更大的問題
還顯而易見的是,SSL 私鑰對於 NordVPNOpenVPN 證書一段時間以來,“也幾乎沒有被注意到”。哎呀!這引發了人們的猜測,即攻擊者可以解密用戶的 VPN 會話,包括過去的 VPN 會話,從而使他們能夠看到 NordVPN 客戶在網上進行的活動。
NordVPN 再次熱衷於給這個想法潑冷水。他們告訴 ProPrivacy:“TLS 證書或 VPN 密鑰都不能用於解密常規 VPN 流量或之前記錄的 VPN 會話。”
值得記住的是,NordVPN 的 OpenVPN 會話在 TLS 密鑰交換期間通過 DHE-2096 Diffie-Hellman 密鑰使用完美前向保密(臨時加密密鑰)。因此,即使 VPN 會話被暴力破解,花費了巨大的金錢、精力和計算能力,在密鑰被更改之前,VPN 會話也只會被破壞一小時。
儘管這一點可能沒有實際意義,因為攻擊者顯然擁有 VPN 服務器的 root 訪問權限。
責備遊戲
NordVPN 就該事件發表了一份官方聲明,其中解釋說,只有位於芬蘭的一台服務器受到影響。它還說錯誤在於服務器中心工作人員:
“攻擊者通過利用數據中心提供商留下的不安全的遠程管理系統來訪問服務器。我們不知道這樣的系統存在。”
不過,我們不得不說,我們認為像 NordVPN 這樣大的公司應該派出自己的技術人員來設置自己的裸機 VPN 服務器,而不是依賴可能不值得信任的第三方服務器人員來設置他們的 VPN 服務器。
我們認為,VPN 服務應該完全控制其服務器。這樣做對於強化 VPN 服務器網絡抵御所有威脅大有幫助。有趣的是,這也是該服務器中心首席執行官 Niko Viskari 持有的觀點:
“是的,我們可以確認 [Nord] 是我們的客戶,”維斯卡里告訴 The Register。 “他們的安全存在問題,因為他們自己沒有照顧好。
...他們的安全存在問題,因為他們自己沒有照顧好它
“我們有很多客戶,其中包括一些大型 VPN 服務提供商,他們非常重視安全,”他補充道,“NordVPN 似乎自己並沒有更加關注安全性,並以某種方式試圖把這個責任推到我們的肩上。”
Viskari 在聲明中繼續解釋說,他的公司提供的所有服務器都使用 iLO 或 iDRAC 遠程訪問工具。這些設備有時會出現已知的安全問題,但服務器中心會使用惠普和戴爾的最新固件更新對其進行修補。
與其他客戶不同的是,NordVPN 並沒有要求通過將這些工具放置在“專用網絡內或在需要時關閉端口”來限制這些工具。
NordVPN 則聲稱它甚至不知道這些工具的存在;但如果它設置了自己的服務器,問題就不會出現。
“我們沒有立即披露該漏洞,因為我們必須確保我們的基礎設施不會出現類似問題。”
這並不能解釋為什麼這個問題花了大約 18 個月的時間才被曝光,NordVPN 在 Twitter 風暴之後才最終承認了這一問題,並在互聯網上廣泛發布了令人震驚的證據。
但歸根結底,NordVPN 的聲譽受到的損害比其用戶隱私受到的損害更大。
該提供商在聲明中表示:“儘管我們當時擁有的 3000 多台服務器中只有 1 台受到影響,但我們並沒有試圖淡化問題的嚴重性。”
“我們因與不可靠的服務器提供商簽訂合同而失敗,我們應該做得更好,以確保客戶的安全。我們正在採取一切必要的手段來增強我們的安全性。我們已經進行了應用程序安全審核,目前正在進行第二次無日誌審核,並正在準備錯誤賞金計劃。我們將竭盡全力最大限度地提高我們服務各個方面的安全性,明年我們將對我們的所有基礎設施啟動獨立的外部審核,以確保我們沒有遺漏任何其他內容。”
專業隱私聲明
ProPrivacy 致力於為用戶提供值得信賴的建議。我們經常將 NordVPN 納入我們的推薦中,因為它們提供了出色的服務。鑑於這一突發事件,我們將從安全和隱私相關文章中刪除 NordVPN,直到我們確信他們的服務滿足我們和讀者的期望。