NordVPN uzlauzts: vēl viens iekož putekļus?

NordVPN uzlauzts


Jaunākajā no skandāliem NordVPN ir uzliesmojis Twitter un Reddit, jo ziņas par viņiem tiek uzlauztas. Par pakalpojumu, kas ilgāku laiku tiek uzskatīts par drošības maksimālistu; ironija ir radījusi Nord aukstu apdegumu vidi’s lietotāji.

Pirms es iedziļinos detaļās, Es’Vēlos pieminēt, ka BestVPN.co ir svītrojis pakalpojumu sniedzēju no mūsu ieteiktajiem sarakstiem, kamēr no Nord nesaņemsim pienācīgu atbildi (kurai ir jēga) par šo šausmīgo atgadījumu.

Daži priekšstati par NordVPN Hack

Parasti ziņas ieguva ievērību pēc TechCrunch’s post “NordVPN apstiprina, ka tā tika uzlauzta“. Tomēr diskusija un apgalvojumi sākās no Twitter; pēc tam, kad pats NordVPN uzaicināja problēmas, iedarbinot InfoSec kopienu.

NordVPN paraksta nāves orderi

Šis tvīts bija gandrīz viss nepieciešamais, lai pakalpojumu sniedzējs nonāktu nepareizo cilvēku uzmanības centrā. Drīz pēc tā tiešraides twitter lietotājs @le_keksec sniedza atbildi, norādot, ka, iespējams, kādā brīdī ir uzlauzts NordVPN, jo ir noplūdinātas viņu privātās atslēgas..

NordVPN privātie taustiņi, kas peldoši tiešsaistē

Keksecs pārliecinājās, ka tas nav viņu darbs, un šīs privātās atslēgas vienkārši nepamanīti peldēja internetā (wow).

Viņi pat dalījās ar privāto atslēgu saiti, izmantojot share.dmca, pēc tam twitter lietotājs @hexdefined pārbaudīja, vai NordVPN patiešām ir ticis apdraudēts. Viņš pat izlaida sertifikātu, kas atbilst privātajai atslēgai: https://crt.sh/?id=10031443

Tātad acīmredzot kādā brīdī bija apdraudēts NordVPN. Viņu (beidzies) privāto atslēgu noplūde, kas nozīmē, ka ikviens var vienkārši iestatīt serveri ar šīm atslēgām… pic.twitter.com/TOap6NyvNy

- nenoteikts (@hexdefined), 2019. gada 20. oktobris

Padziļināti izpētot šo jautājumu, atklājās, ka NordVPN ir izmantojis neticami vājo 2048 bitu diffija-Helmaņa parametrus un ka satiksmi hakeru laikā varēja atšifrēt vismaz stundu, ietekmējot vairāk nekā 50-200 Nord lietotājus.

Es’Esam redzējuši arī šo noplūdi, viņi izmantoja 2048 bitu dh parametrus, bet, nenosakot reneg-sec, tas pēc noklusējuma ir 1 stunda. Tātad uzlaušanas brīdī satiksmi līdz stundai varēja atšifrēt.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 2019. gada 20. oktobris

Pēc visiem šiem “apsūdzības”  Twitter vietnē NordVPN izlaida trīs tvītu sērijas, apgalvojot, ka viņu mārketinga nodaļa apsteidza sevi ar iepriekšminēto pārspīlēšanu un ka viņi drīz sniegs oficiālu paziņojumu.

NordVPN atbilde uz pārspīlējumu

Pēc šiem tvītiem NordVPN publiskoja savu oficiālo paziņojumu, kurā viņi paziņo, ka pārkāpums skāris tikai “VIENOTS PAKALPOJUMS” nevis visu pakalpojumu, kam seko apgalvojumi, ka TechCrunch’s “pieņēmumi” ir neprecīzi.

Vainas spēle starp Nord un Creanova (datu centrs)

Hack skāra arī divus citus VPN pakalpojumus; TorGuard un VikingVPN. Pēdējais un NordVPN nepraktizēja drošu PKI pārvaldību, turpretī TorGuard to izmantoja.

Tas ir viens no iemesliem, kāpēc neviens no viņu VPN lietotājiem neietekmēja šo pārkāpumu, un viņu CA atslēga netika nozagta, jo tā nebija uz apdraudētā servera.

Avots ir https://t.co/maZBOR6FVD. Ietver arī dažus VikingVPN un TorGuard hacks. Arī VikingVPN nebija’t praktizē drošu PKI vadību. TorGuard gan bija. Pēdējā saite šajā ziņojumā, šķiet, ir pati 8chan, kurai tika parādīta .bash_history.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 2019. gada 21. oktobris

Tomēr par to mēs runāsim vēlāk, tāpat kā šobrīd - NordVPN’Jārisina atbildes reakcija. Viņi paziņoja, “Mēs uzzinājām, ka 2018. gada martā vienam no datu centriem Somijā, no kuriem mēs nomājām savus serverus, tika atļauts piekļūt.

Uzbrucējs piekļuvi serverim ieguva, izmantojot nedrošu attālinātās pārvaldības sistēmu, kuru atstāja datu centra nodrošinātājs, kamēr mēs nezinājām, ka šāda sistēma pastāv..”

Acīmredzot šādi tika uzlauzts NordVPN (noklusētie akreditācijas dati atklātajā iDRAC tīmekļa saskarnē) pic.twitter.com/09QCYQvBYX

- Nātans &# 55356;&# 57331; ️‍&# 55356;&# 57096; (@NathOnSecurity) 2019. gada 21. oktobris

NordVPN sacīja, ka drīz pēc šī incidenta viņi uzsāka rūpīgu iekšējo auditu un izveidoja procesu, lai visus savus serverus pārvietotu uz RAM infrastruktūru, līdzīgi kā ExpressVPN’s TrustedServer infrastruktūra un tehnoloģija.

Izlasot oficiālo paziņojumu, notika divas izņemšanas; NordVPN apstiprināja ziņas par hakeru tikai pēc tam, kad tas tika atklāts Twitter (pārkāpjot GDPR’datu pārkāpumu politika), un viņi lielā mērā vaino trešo personu datu centru Creanova!

Nord pārkāpis GDPR, apstiprinot pārkāpumu 20. oktobrī, kad tas faktiski notika 2018. gada martā. Otrkārt, vainīga ir Creanova, kas apgalvo, ka NordVPN ir tas, kurš patiesībā ir bezrūpīgs par drošību.

CreaNova paziņojums par pārkāpumu

Pēc tam, kad iepriekš minētais paziņojums izplatījās kā ugunsgrēks, NordVPN atgriezās Kreanovā ar pierādījumu, ka attālinātās pārvaldības programmatūra (hakeri galu galā tika pārkāpta) tika instalēta bez viņu ziņas.

NordVPN atbilde Kreanovai

Kas’s Faktiski pie vainas?

Kā VPN pārskatītājs es uzskatu, ka šī situācija ir neticami satraucoša, un Nord nodotu lielāku atbildību, it īpaši, ja jūs ņemtu vērā tā galveno pārdošanas punktu; cik drošs ir viņu produkts (un kā tas tika novietots CNet, PCMag un TechRadar augšpusē).

Nemaz nerunājot, viņi arī agrāk bija iesaistīti tiesas prāvā, ko TorGuard iesniedza pēc kļūdu velšu programmas. Acīmredzot Nord draudēja vienam no TorGuard’filiālei pēc ievainojamības identificēšanas jānoņem negatīvās konotācijas par viņu produktu.

“Lai cik jūs patiesību noliedzat, patiesība paliek spēkā.” - Džordžs Orvels pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard), 2019. gada 27. jūnijs

Kā tāds tas var likt brīnīties, vai NordVPN ir koncentrējies tikai uz sava zīmola veidošanu (pat to, ka to piemin “Think With Google”), neizvirzot prioritāti drošības aspektos, neskatoties uz to, ka tas tiek stingri tirgots tam pašam.

Arī taisnīgs brīdinājums citiem, kas strādā kiberdrošības nozarē, NEKAD nereklamējiet, ka varat’t nedrīkst uzlauzt. Twitterati’s jūs vilks caur dubļiem par šādiem slaucīgiem paziņojumiem. Manas simpātijas NordVPN mārketinga nodaļai.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me