Przekonała się o tym kanadyjska firma Windscribe po tym jak władze Ukrainy zajęły jej serwery. A właściwie klienci tej firmy.
Wpadka, która obciąża klientów VPN
Sprzedawca narzędzi do ochrony prywatności (sic!) Windscribe oświadczył właśnie, że nie udało mu się zaszyfrować firmowych serwerów VPN, które zostały niedawno skonfiskowane przez władze na Ukrainie, co umożliwiło Ukraińcom podszywanie się pod serwery Windscribe oraz przechwytywanie i odszyfrowywanie przechodzącego przez nie ruchu.
O co chodzi? Firma, która ma siedzibę w Ontario, poinformowała jeszcze na początku lipca, że dwa serwery hostowane na Ukrainie zostały przejęte w ramach dochodzenia w sprawie jakiejś „aktywności”, która miała miejsce rok wcześniej. Serwery, na których działało oprogramowanie OpenVPN zostały skonfigurowane w taki sposób, że korzystały z ustawienia, które zostało uznane za przestarzałe jeszcze w 2018 roku - po tym, jak badania bezpieczeństwa ujawniły luki, które mogą pozwolić na odszyfrowanie danych. Według przedstawicieli Windscribe:
Na dysku tych dwóch serwerów znajdował się certyfikat serwera OpenVPN i jego klucz prywatny. Chociaż mamy swoje serwery zaszyfrowane w regionach o wysokiej wrażliwości, akurat serwery, o których mowa, korzystały ze starszego stosu technologicznego i nie były zaszyfrowane. Obecnie realizujemy nasz plan rozwiązania tego problemu.
VPN to nie gwarancja prywatności
Przyznanie się Windscribe do błędu przypomina nam o ryzykach związanych z niebywale teraz popularnymi usługami VPN. Ludzie używają VPN nie tylko w pracy w IT ale i do kierowania całego swojego ruchu internetowego do zaszyfrowanego tunelu, aby uniemożliwić osobom podłączonym do tej samej sieci odczytywanie lub manipulowanie ich danymi lub wykrywanie adresów IP komunikujących się stron. Usługa VPN następnie odszyfrowuje ruch i wysyła go do miejsca docelowego.
Nie przestrzegając standardowych praktyk branżowych, Windscribe w dużej mierze zlikwidował na własne życzenie te gwarancje bezpieczeństwa. Chociaż firma próbowała bagatelizować swoją wpadkę, wskazując na szereg wymagań, które atakujący musiałby spełnić, aby odnieść sukces, te warunki są dokładnie tymi, przed którymi VPN mają chronić. W szczególności według Windscribe, warunki i potencjalne konsekwencje to:
- Atakujący ma kontrolę nad nasza siecią i może przechwycić całą komunikację (uprzywilejowana pozycja do ataku MITM)
- Używamy starszego typu serwera DNS (ruch DNS jest nieszyfrowany i podlega MITM)
- Atakujący ma możliwość manipulowania naszymi niezaszyfrowanymi zapytaniami DNS (wpisy DNS służące do wybrania adresu IP jednego z naszych serwerów)
- Nie korzystamy z aplikacji Windscribe (aplikacje tej firmy łączą się przez IP, a nie wpisy DNS)
Trzy lata później
Oprócz braku szyfrowania firma wykorzystywała również kompresję danych w celu poprawy wydajności sieci. Tymczasem badania przedstawione na konferencji bezpieczeństwa Black Hat w Las Vegas w 2018 roku ujawniły atak znany jako Voracle, który wykorzystuje wskazówki pozostawione w kompresji do odszyfrowania danych chronionych przez sieci VPN oparte na OpenVPN. Kilka miesięcy później OpenVPN wycofało więc tę funkcję.
Windscribe jest ponoć w trakcie przebudowy swojej oferty VPN, aby zapewnić lepsze bezpieczeństwo. Zmiany obejmują:
- Zaprzestanie korzystania z obecnego urzędu certyfikacji OpenVPN na rzecz nowego, który będzie zgodny z najlepszymi praktykami w branży, w tym z wykorzystaniem pośredniego urzędu certyfikacji (CA).
- Migracja wszystkich serwerów tak, aby działały jako serwery w pamięci (bez korzystania z dysku twardego). Oznacza to, że wszelkie dane, które maszyny posiadają lub generują, znajdują się wyłącznie w pamięci RAM i nie można uzyskać do nich dostępu po wyłączeniu lub ponownym uruchomieniu maszyny.
- Implementacja sforkowanej wersji Wireguard jako podstawowego protokołu VPN.
- Wdrożenie „odpornego backendu w zakresie uwierzytelniania”, aby umożliwić działanie serwerów VPN nawet w przypadku całkowitej awarii infrastruktury podstawowej.
- Włączenie nowych funkcji aplikacji, takich jak możliwość zmiany adresów IP bez rozłączania się czy żądanie statycznego adresu IP.
Tylko czy ktoś z ich usług będzie jeszcze korzystał po takie wtopie?