NordVPN هو مزود خدمة شبكة خاصة افتراضية يضمن الحفاظ على خصوصيتك عبر الإنترنت، ولديه تطبيقات سطح المكتب لأنظمة التشغيل Windows وmacOS وLinux، وتطبيقات الهاتف المحمول لنظامي التشغيل Android وiOS، وأيضًا تطبيق لـ Android TV.
إن كيفية حدوث ذلك بالضبط هي قصة صعبة، لكننا سنبدأ بتفسير NordVPN للحوادث. وأوضح NordVPN أن المتسللين ألحقوا الضرر بخادم VPN واحد في فنلندا. ولم تكن خوادمها معرضة للخطر.
أعلنت NordVPN أن الاختراق “أصبح ممكنًا بسبب سوء التكوين في مركز بيانات تابع لجهة خارجية والذي لم يتم إخطارنا به مطلقًا”.
يشير الدليل إلى أن هجوم القرصنة قد حدث على الأرجح في الفترة ما بين 31 يناير 2018، عندما أصبح الخادم متصلاً بالإنترنت، و5 مارس 2018.
تم تنفيذ الهجوم من خلال حساب مركز بيانات مخترق، وليس من خلال حساب بإشراف NordVPN.
أوقف مركز البيانات هذا الحساب في 20 مارس 2018، مما أدى إلى حظر أي وصول إضافي إلى الخادم.
الخلفية:
في 3 مايو 2018، بدأ مستخدم على لوحة اتصالات 8chan عملية حوار يدعو لاقتراحات VPN، وبدأ مستخدمون آخرون في عرض VPN المفضلة لديهم مثل NordVPN، Mullvad، TorGuard، VikingVPN، cryptostorm والمزيد.
قام مستخدم آخر بإنشاء منشور في الساعة 20:46، للتعليق على هذه التوصيات. حصل Mullvad وcryptostorm على “اختيار جيد!”، لكن NordVPN وTorGuard وVikingVPN حصلوا على “لول، لا”، مع روابط للأدلة التي تكشف تفاصيل الخادم المخترق من كل مزود: ملفات التكوين، والمفاتيح الخاصة، وتفاصيل الجلسة الأساسية والمزيد.
وبفحص النص، لاحظت ظهور روابط VikingVPN وTorGuard للإشارة إلى أوقات اتصال الجلسة وبعض بيانات الملف من يوم الخميس، الثالث من مايو، اليوم الذي بدأت فيه محادثة 8chan.
يشير ذلك إلى أن المستخدم لم يعثر على هذه العناصر في مكان ما، أو لم يستلمها من شخص آخر؛ لقد شاهد الموضوع واختار بيانات الخادم المباشرة قريبًا. إما أن يكون هذا اختراقًا سريعًا للغاية، أو أن المستخدم قد تعرف بالفعل على تعرض كل مقدم خدمة للخطر.
لم تحتوي تفاصيل NordVPN على أي دليل مواعدة مثل متى حدث الاختراق، إذًا؟ وهنا تصبح الصورة مظلمة.
ما الذي تنازل عنه مستخدمو NordVPN؟
لم يتعرض مستخدمو NordVPN للاختراق من قبل المتسللين الذين تمكنوا للتو من الوصول إلى مفتاح TLS واحد منتهي الصلاحية لخادم واحد .
أولاً، لم يكن لدى المتسلل أي وصول إلى سجلات الخادم لأن NordVPN هو مزود VPN بدون سجلات ولا يحتفظ بأي شيء على خوادمه. وافقت NordVPN على تدقيق طرف ثالث بواسطة PricewaterhouseCoopers للتحقق من سياسة عدم الاحتفاظ بالسجلات.
ثانيًا، يستخدم NordVPN السرية التامة لإعادة التوجيه، والذي يقوم بتنشيط مفتاح مختلف لكل جلسة باستخدام مفاتيح Diffie-Hellman المؤقتة. يشير هذا إلى أنه حتى مع وجود مفتاح TLS، لا يوجد الكثير مما يمكن للمتسلل فعله، حيث يتم استخدام المفاتيح لمصادقة الخادم وليس لتشفير حركة المرور. كما ذكر NordVPN أعلاه، سيطلب المتسلل وصولاً صريحًا إلى جهاز المستخدم أو شبكته من أجل اختراق قوي. وهو أمر مستحيل للغاية.
كيف حصل المتسلل على مفاتيح TLS؟
تفسير هذا السؤال ليس واضحًا.
NordVPN تنتقد مركز البيانات في فنلندا، كما هو موضح في ردها الرسمي:
“لقد أصبح الاختراق ممكنًا بسبب سوء التكوين في مركز بيانات تابع لجهة خارجية والذي لم يتم إخطارنا به مطلقًا.” تشير الأدلة إلى أنه عندما أصبح مركز البيانات على علم بالتطفل، قاموا بحذف الحسابات التي تسببت في الثغرات الأمنية بدلاً من إخطارنا بخطئهم. وبمجرد علمنا بالانتهاك، تم إنهاء الخادم وعقدنا مع المزود وبدأنا عملية تدقيق واسعة النطاق لخدمتنا.
في هذه الأثناء، يتهم مركز البيانات NordVPN في مقالة منشورة في The Register:
“نعم، يمكننا أن نؤكد أنهم عملاءنا،” وتابع فيسكاري. “وكانت لديهم مشكلة تتعلق بأمنهم لأنهم لم يعتنوا بها بأنفسهم”.
“جميع الخوادم التي نقدمها تحتوي على أداة الوصول عن بعد iLO أو iDRAC، وفي واقع الأمر تواجه أداة الوصول عن بعد هذه مشاكل أمنية من وقت لآخر، مثل جميع البرامج تقريبًا في العالم. لقد قمنا بتصحيح هذه الأداة مع إصدار برامج ثابتة جديدة من HP أو Dell.”
في النهاية، قد يكون هناك بيان ثالث من موظف ساخط. من هو مؤسس VikingVPN، الذي لم يعد مرتبطًا بـ VikingVPN، قال على موقع reddit:
“يبدو هذا أشبه بموظف ساخط في Nord أو مركز البيانات الذي يسرب المفاتيح وليس “متسللًا” .”
لذا، لدينا هنا ثلاثة احتمالات مختلفة لكيفية حصول المتسلل على مفتاح TLS منتهي الصلاحية لخادم NordVPN في فنلندا. ومع ذلك، فإن عواقب NordVPN على المستخدمين تكاد تكون معدومة.
ما الذي فعلته NordVPN بعد ذلك:
NordVPN بعد تعرضه للاختراق، من المفيد معرفة ما توصلت إليه الشركة من الاختراق، وما هي خططهم القادمة؟
وبعد أن علمت NordVPN بالهجوم، قالت إنها أطلقت قريبًا “تدقيقًا داخليًا شاملاً” للهجوم. لبنيتها التحتية بأكملها. وقالت الشركة إن هذا كشف عن “عدد قليل من الخوادم التي من المحتمل أن تكون معرضة للخطر”. من خلال نفس نظام الوصول عن بعد، ولكن تم إصلاحها أو إزالتها.
تم تعزيز أمان الخادم من خلال التخزين المشفر، مما جعل من المستحيل الوصول إلى المعلومات من خلال نظام إدارة عن بعد.
في خطوة بالغة الأهمية، عقدت NordVPN شراكة مع شركة الاستشارات الأمنية VerSprite للعمل على اختبار الاختراق ومعالجة التطفل وتحليل كود المصدر.
تضمن الشركة إجراء “تدقيق أمني مستقل واسع النطاق من قبل طرف ثالث” لبنيتها التحتية بالكامل في عام 2020 مثل الأجهزة والبرامج والبنية الخلفية وكود المصدر والإجراءات الداخلية. يبدو أن هذا سيتجاوز بسهولة كل تدقيق أمني لـ VPN.
تتضمن الخطط طويلة المدى إنشاء شبكة من الخوادم المجمعة المملوكة حصريًا لـ NordVPN والتي تعمل بالكامل في ذاكرة الوصول العشوائي. لن يحتفظوا بأي بيانات أو ملفات تكوين مخزنة محليًا، ولا شيء يمكن التعرف عليه أثناء الاختراق. وهذه أيضًا خطوة جيدة.
في التاسع من أكتوبر، أكدت NordVPN نتائج تدقيق VerSprite لتطبيقاتها، حيث تم العثور على 17 خطأ وإصلاحها.
هذا عقد ضخم. لقد لاحظنا الكثير من تطبيقات VPN الفظيعة لندرك أن العديد من مقدمي الخدمة على الأرجح لن يتخذوا أبدًا خطوة إلى هذا المستوى من التدقيق.
من الممكن أن يكون NordVPN أشهر مزود VPN في السوق. لذلك، لديها هدف كبير على ظهرها في قطاع تنافسي. نأمل أن تستخدم NordVPN هذا كبديل لإعطاء الأولوية للأشياء مع التركيز بشكل أكبر على الأمان وتحسين شبكة VPN الخاصة بها.