NordVPN, çevrimiçi gizliliğinizi korumayı garanti eden bir sanal özel ağ servis sağlayıcısıdır. Windows, macOS ve Linux için masaüstü uygulamalarına, Android ve iOS için mobil uygulamalara ve ayrıca Android TV için bir uygulamaya sahiptir.
Bunun tam olarak nasıl gerçekleştiği zor bir hikaye, ancak NordVPN'in olayları yorumlamasıyla başlayacağız. NordVPN, bilgisayar korsanlarının Finlandiya'daki tek bir VPN sunucusuna zarar verdiğini açıkladı. Kendi sunucuları tehlike altında değildi.
NordVPN, ihlalin ‘üçüncü taraf veri merkezinin bize hiç bildirilmeyen kötü yapılandırması nedeniyle mümkün olduğunu açıkladı.’
Kanıtlar, bilgisayar korsanlığı saldırısının büyük olasılıkla sunucunun çevrimiçi olduğu 31 Ocak 2018 ile 5 Mart 2018 arasında gerçekleştiğini gösteriyor.
Saldırı, bir hesap değil, güvenliği ihlal edilmiş bir veri merkezi hesabı aracılığıyla gerçekleştirildi. NordVPN tarafından denetlenmektedir.
Veri merkezi, 20 Mart 2018'de bu hesabı sonlandırarak sunucuya ek erişimi engelledi.
Arka Plan:
3 Mayıs 2018'de, 8chan iletişim panosundaki bir kullanıcı, VPN önerileri için davetkar diyaloglar kuruldu ve diğer kullanıcılar NordVPN, Mullvad, TorGuard, VikingVPN, cryptostorm ve daha fazlası gibi favori VPN'lerini göstermeye başladı.
Başka bir kullanıcı saat 20:46'da bu önerilere dikkat çeken bir gönderi oluşturdu. Mullvad ve cryptostorm onaylayan bir “iyi seçim!” aldı, ancak NordVPN, TorGuard ve VikingVPN, her sağlayıcının saldırıya uğramış sunucu ayrıntılarını ortaya çıkaran kanıtlara bağlantılar içeren “hah, hayır” yanıtı aldı: yapılandırma dosyaları, özel anahtarlar, temel oturum ayrıntıları ve daha fazlası.
Metni incelerken, oturum bağlantı sürelerini ve Perşembe gününe ait bazı dosya verilerini belirtmek için VikingVPN ve TorGuard bağlantılarının görüntülendiğini fark etti. 3 Mayıs, 8chan sohbetinin başladığı gün.
Bu, kullanıcının bunları bir yerde bulmadığını veya başka birinden almadığını gösterir; Konuyu gördü ve kısa süre içinde canlı sunucu verilerini aldı. Bu ya çok hızlı bir hacklemedir ya da kullanıcı her sağlayıcının maruz kaldığını zaten fark etmiştir.
NordVPN’in ayrıntıları, hacklemenin ne zaman gerçekleştiğine dair herhangi bir flört kanıtı içermiyordu, o halde? Görüntünün karardığı yer burasıdır.
NordVPN kullanıcıları neyi tehlikeye attı?
NordVPN kullanıcılarının güvenliği, tek bir sunucu için süresi dolmuş bir TLS anahtarına yeni erişen bilgisayar korsanları tarafından ele geçirilmedi. .
Her şeyden önce, NordVPN sunucularında hiçbir şey ayırmayan günlük tutmayan bir VPN sağlayıcısı olduğu için bilgisayar korsanının sunucu günlüklerine herhangi bir erişimi yoktu. NordVPN, PricewaterhouseCoopers tarafından yapılan ve günlük tutmama politikasının hangisi olduğunu doğrulayan bir üçüncü taraf denetimini onayladı.
İkincisi, NordVPN mükemmel iletme gizliliği kullanıyor, geçici Diffie-Hellman anahtarlarını kullanarak her oturum için farklı bir anahtarı etkinleştirir. Bu, anahtarlar trafik şifrelemesi için değil, sunucu kimlik doğrulaması için kullanıldığından, bir TLS anahtarıyla bile bir bilgisayar korsanının yapabileceği çok az şey olduğunu gösteriyor. NordVPN'in yukarıda bahsettiği gibi, bilgisayar korsanının güçlü bir salgın için kullanıcının cihazına veya ağına açık erişime ihtiyacı olacaktır. ki bu son derece imkansızdır.
Bilgisayar korsanı TLS anahtarlarını nasıl ele geçirdi?
Bu sorunun açıklaması net olarak ortaya çıkmıyor.
NordVPN, resmi yanıtlarında da belirttiği gibi Finlandiya'daki veri merkezini eleştiriyor:
“İhlal, üçüncü taraf veri merkezinin bize hiç bildirilmeyen kötü yapılandırması nedeniyle mümkün oldu.” Kanıtlar, veri merkezinin izinsiz girişin farkına vardığında, hatalarını bize bildirmek yerine güvenlik açıklarına neden olan hesapları sildiğini gösteriyor. İhlali öğrenir öğrenmez sunucu ve sağlayıcıyla olan sözleşmemiz feshedildi ve hizmetimizin kapsamlı bir denetimine başladık”
Bu arada veri merkezi, The Register'da yayınlanan bir yazıda NordVPN'i suçluyor:
“Evet, onların bizim müşterimiz olduğunu doğrulayabiliriz.” Viskari devam etti. “Ve bunu kendileri halletmedikleri için güvenlikleriyle ilgili bir sorun yaşadılar.”
“Sağladığımız tüm sunucularda iLO veya iDRAC uzaktan erişim aracı bulunmaktadır ve nitekim dünyadaki hemen hemen tüm yazılımlar gibi bu uzaktan erişim aracında da zaman zaman güvenlik sorunları yaşanmaktadır. HP veya Dell'den yeni ürün yazılımı yayınlandığında bu araca yama uyguladık.”
Sonuçta, hoşnutsuz bir çalışandan üçüncü bir açıklama gelebilir. Artık VikingVPN ile bağlantısı olmayan VikingVPN'in kurucusu kimdi, reddit'te şunları söyledi:
“Bu bir “hacker”dan ziyade Nord'daki hoşnutsuz bir çalışana veya veri merkezinin anahtarları sızdırmasına benziyor .”
Yani burada bilgisayar korsanının Finlandiya'daki NordVPN sunucusunun süresi dolmuş TLS anahtarını nasıl almış olabileceğine dair üç farklı olasılığımız var. Ancak NordVPN'in kullanıcılar üzerindeki etkisi neredeyse sıfır.
NordVPN daha sonra ne yaptı:
NordVPN saldırıya uğradıktan sonra şirketin bu saldırıdan ne sonuç çıkardığını bilmekte fayda var. peki sonraki planları neler?
Saldırıyı öğrendikten sonra NordVPN, kısa süre içinde “kapsamlı bir iç denetim” başlattığını söyledi. tüm altyapısının. Şirket, bunun “potansiyel olarak risk altında olabilecek birkaç sunucuyu” açığa çıkardığını söyledi. ancak bunlar ya onarıldı ya da ortadan kaldırıldı.
Sunucu güvenliği, şifreli depolama ile güçlendirilerek, uzak yönetim sistemi aracılığıyla bilgiye erişimin çok daha imkansız hale getirilmesi sağlandı.
NordVPN son derece önemli bir hamleyle sızma testi, izinsiz giriş yönetimi ve kaynak kodu analizi üzerinde çalışmak üzere güvenlik danışmanı VerSprite ile ortaklık kurdu.
Şirket, “tam ölçekli üçüncü taraf bağımsız güvenlik denetimi” garantisi veriyor; 2020 yılında donanım, yazılım, arka uç mimarisi ve kaynak kodu ile iç prosedürler gibi tüm altyapısının tamamı. Bu, tüm VPN güvenlik denetimlerini kolayca aşacak gibi görünüyor.
Uzun vadeli planlar, tamamen RAM'de çalışan, yalnızca NordVPN'e ait olan, ortak konumlu sunuculardan oluşan bir ağ oluşturmayı içeriyor. Yerel olarak depolanmış hiçbir veri veya yapılandırma dosyası veya bir saldırıda tanınabilecek hiçbir şey tutmayacaklar. Bu da iyi bir adım.
9 Ekim'de NordVPN, uygulamalarına yönelik VerSprite denetiminin bulgularını doğruladı ve 17 hata bulunup düzeltildi.
Bu çok büyük bir sözleşme. Pek çok sağlayıcının büyük olasılıkla bu düzeyde bir incelemeye asla adım atmayacağının farkına varmak için çok sayıda berbat VPN uygulaması gözlemledik.
NordVPN muhtemelen piyasadaki en ünlü VPN sağlayıcısıdır. Dolayısıyla rekabetçi bir sektörde sırtında büyük bir hedef var. NordVPN'in bunu güvenliğe daha fazla önem vererek işleri önceliklendirmek ve VPN'lerini geliştirmek için bir alternatif olarak kullanacağını umuyoruz.