NordVPN פרוץ: עוד אחד נושך את האבק?

NordVPN פרוץ

באחרונה של השערוריות, NordVPN עולה באש בטוויטר וב- Reddit, עם הידיעה על פריצות חדשות. עבור שירות המציג את עצמו כמקסימליסט ביטחוני לאורך הארוך; האירוניה יצרה סביבה של כוויות קור עבור נורד’משתמשים.

לפני שאני נכנס לפרטים, אני’ברצוני להזכיר כי BestVPN.co הסיר את הספק מהרשימות המומלצות שלנו, עד שלא נקבל תשובה הולמת (תשובה הגיונית) מנורד בנוגע לאירוע נורא זה.

קצת רקע להאק NordVPN

החדשות בדרך כלל זכו לבולטות בעקבות TechCrunch’הודעה “NordVPN מאשר שהוא נפרץ“. עם זאת, הדיון וההאשמות החלו מטוויטר; אחרי ש- NordVPN עצמה הזמינה בעיות על ידי הפעלת קהילת InfoSec.

NordVPN חתימה על צו המוות

הציוץ הזה היה כמעט כל מה שנדרש לספק כדי להיכנס לאור הזרקורים של האנשים הלא נכונים. זמן קצר לאחר עלייתו לפעולה, משתמש הטוויטר @le_keksec השיב תשובה שמצביעה על כך שייתכן כי NordVPN נפרץ בשלב מסוים, מכיוון שהמפתחות הפרטיים שלהם הודלפו.

מפתחות פרטיים של NordVPN צפים ברשת

Keksec אימת שזו לא הייתה עבודתם והמפתחות הפרטיים האלה פשוט ריחפו מבלי שיבחינו באינטרנט (וואו).

הם אפילו שיתפו את הקישור למפתחות הפרטיים באמצעות share.dmca, לאחר מכן המשתמש הטוויטר @ hexdefined אימת שאכן NordVPN נפגעה. הוא אפילו שיחרר את האישור התואם למפתח הפרטי: https://crt.sh/?id=10031443

אז כנראה ש- NordVPN נפגעה בשלב מסוים. המפתחות הפרטיים (שפג תוקפם) הודלפו, כלומר כל אחד יכול פשוט להקים שרת עם המפתחות האלה ... pic.twitter.com/TOap6NyvNy

- לא מוגדר (@hexdefined) 20 באוקטובר, 2019

כאשר התעמקתי עם הנושא, התברר כי NordVPN השתמשה ב- Diffie-Hellman Params החלשה להפליא ב- 2048 סיביות, וכי ניתן היה לפענח את התנועה במהלך האק למשך שעה לפחות, ומשפיעה על למעלה מ- 50-200 משתמשי נורד..

אני’כמו שראינו גם את הדליפה, הם השתמשו בפרמטרים של 2048 סיביות, אך מבלי להגדיר מחדש את שניות זה ברירת המחדל לשעה. אז בזמן הפריצה, התנועה שלפני שעה הייתה יכולה להיות מפוענחת.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 20 באוקטובר 2019

בעקבות כל אלה “האשמות”  בטוויטר, NordVPN שיחררה סדרה של שלושה ציוצים, בטענה שמחלקת השיווק שלהם הקדימה את עצמם עם ההפרזה שמעל, וכי הם ימסרו הצהרה רשמית בקרוב.

NordVPN בתשובה להגנה על היתרונות

לאחר ציוצים אלה פרסמה NordVPN את הצהרתם הרשמית, לפיה הם קובעים כי ההפרה השפיעה רק “שרת יחיד” ולא את השירות כולו, ואחריו טענות כי TechCrunch’s “הנחות” אינם מדויקים.

משחק האשמה בין נורד לקרנובה (מרכז נתונים)

הפריצה השפיעה גם על שני שירותי VPN אחרים; TorGuard ו- VikingVPN. האחרון ו- NordVPN לא התאמנו בניהול PKI מאובטח, ואילו TorGuard אכן העסיק אותה.

זו אחת הסיבות לכך שאף אחד ממשתמשי ה- VPN שלהם לא הושפע מהפרה זו ומפתח CA שלהם לא נגנב, מכיוון שהוא לא היה קיים בשרת שנפגע..

https://t.co/maZBOR6FVD הוא המקור. כולל גם כמה פריצות של VikingVPN ו- TorGuard. VikingVPN גם לא היה’לא לתרגל ניהול PKI מאובטח. טורגוארד היה. נראה שהקישור האחרון בפוסט הזה הוא 8 צ'אן עצמו, שנחשפה .hash_history.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 21 באוקטובר 2019

עם זאת, נדבר על זה בהמשך, כמו כרגע NordVPN’יש לטפל בתגובה. הם הצהירו, “נודע לנו כי בחודש מרץ 2018, גישה לאחד ממרכזי המידע בפינלנד בה שכרנו את השרתים שלנו נגשה ללא אישור.

התוקף השיג גישה לשרת על ידי ניצול מערכת ניהול מרחוק חסרת ביטחון שהשאירה ספק מרכז הנתונים בזמן שלא היינו מודעים לכך שמערכת כזו קיימת.”

ככל הנראה כך נפרצה NordVPN (אישורי ברירת מחדל בממשק אינטרנט חשוף של iDRAC) pic.twitter.com/09QCYQvBYX

- נתן &# 55356;&# 57331; ️‍&# 55356;&# 57096; (@NathOnSecurity) 21 באוקטובר, 2019

NordVPN אמרו כי זמן קצר לאחר אירוע זה הם פתחו בביקורת פנימית יסודית ויצרו תהליך להעברת כל השרתים שלהם לתשתית RAM, בדומה ל- ExpressVPN’תשתית וטכנולוגיה של TrustedServer.

בקריאת ההצהרה הרשמית היו שני טעימות; NordVPN אישר רק חדשות על הפריצה לאחר שהתגלה בטוויטר (מפר את ה- GDPR’מדיניות הפרת הנתונים), והם הטילו חלק גדול מהאשמה במרכז הנתונים של הצד השלישי, קרנובה!

נורד הפר את ה- GDPR בכך שאישר את ההפרה ב- 20 באוקטובר, כאשר אירע בפועל במרץ 2018. שנית, האשמה הטילה את קרנובה הטוענת כי NordVPN הוא זה שבאמת זהיר בנוגע לביטחון..

הצהרת CreaNova על ההפרה

לאחר שההצהרה לעיל התפשטה כמו אש בשדה קוצים, NordVPN היכה בחזרה בקרינובה עם הוכחה לכך שתוכנת הניהול המרוחקת (ההאקרים בסופו של דבר נפרצו) הותקנה ללא ידיעתם..

תגובת NordVPN לקרנובה

מי’זה האחד שנמצא בפגם?

בתור בודק VPN, אני רואה מצב זה מדאיג להפליא והייתי מעמיד אחריות רבה יותר על ידי נורד, במיוחד כשאתה מביא בחשבון את נקודת המכירה העיקרית שלו; עד כמה המוצר שלהם מאובטח (ואיך הוא ממוקם בראש ב- CNet, PCMag ו- TechRadar).

שלא לדבר על כך, הם היו מעורבים בעבר גם בתביעה שהוגשה על ידי TorGuard, בעקבות תוכנית שובר באגים. ככל הנראה, נורד איים על אחד מטורגארד’סניפים כדי להוריד קונוטציות שליליות לגבי המוצר שלהם, לאחר זיהוי פגיעות.

“ככל שאתה מכחיש את האמת, האמת ממשיכה להתקיים.” - ג'ורג 'אורוול pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27 ביוני, 2019

מכיוון שכך, הדבר עשוי לגרום לתהייה, האם NordVPN התמקדה רק במיתוג שלה (אפילו הוזכרה על ידי Think With Google), מבלי שתקבע עדיפות על היבטי אבטחה, למרות שיווק זה בקפדנות עבור אותו דבר.

כמו כן, אזהרה הוגנת לאחרים העובדים בענף אבטחת הסייבר, לעולם אל תפרסם שאתה יכול’לא ייפרצו. טוויטרטי’זה יגרור אותך דרך הבוץ לקבלת הצהרות כה גורפות. אהדה שלי למחלקת השיווק של NordVPN.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me