نقض های NordVPN و TorGuard VPN: آنچه شما باید بدانید

نظرات پس از افشای نقض های امنیتی بزرگ در NordVPN و TorGuard VPN ، ما در حال کاهش نمره NordVPN ، که قبلاً یک سرویس VPN انتخاب ویراستاران پنج ستاره بود ، هستیم. اکنون این سرویس چهار ستاره است و جایزه ویرایشگران خود را هم اکنون حفظ خواهد کرد. TorGuard رتبه چهار ستاره خود را حفظ خواهد کرد. من توضیح خواهم داد که چرا — به اتفاق آنچه در زیر رخ داده است.

داستان ماه ها سال پیش در صفحه پیام های ناشناس ، 8chan شروع می شود ، جایی که کاربر در مورد به خطر انداختن NordVPN ، TorGuard VPN ، و خدمتی که ما آنرا بررسی نکرده ایم ، تحت عنوان VikingVPN سؤال می کند. . این شلوغی ها برای ماه ها بدون توجه به 20 اکتبر گذشت ، هنگامی که طوفان توییتر اتهامات شرکت ها را روشن کرد. این زمانی است که من در مورد این حادثه فهمیدم.

من ، مانند هر کس دیگر ، یاد گرفتم که در مورد NordVPN و TorGuard VPN ، کسی موفق شد به سرورهای VPN که توسط شرکت ها اجاره داده شده دسترسی پیدا کند. هر دو NordVPN و TorGuard بیانیه هایی را بیان کرده اند که بیانگر این حمله است. VikingVPN وبلاگ خود را در مدتی به روز نکرده است و تقریباً دو سال از فعال شدن حساب کاربری توییتر این شرکت می گذرد.

من به عنوان یک بررسی کننده ، از روزهایی مانند امروز متنفرم ، و نه فقط به این دلیل که نیاز به خواندن مطالبی واقعاً زشت داشت. برای یافتن منشا این داستان ، 8chan ارسال کرده است. من به خصوص از این وضعیت متنفرم زیرا این سؤالات واقعاً دشواری را ایجاد می کند که جواب های رضایت بخش خاصی ندارند.

سؤالاتی از قبیل ، آیا مجازات کردن یک شرکت برای شرکت در حمله ، عادلانه است؟ شاید یک شرکت دیگر اقدامات امنیتی وحشتناکی داشته باشد ، اما هدف قرار نگرفت. آیا باید پاسخ یک شرکت را با دیگری مقایسه کنم و یک برنده انتخاب کنم؟ این چندان منصفانه نیست ، زیرا شانس كور می توانست عاملی در این نتایج باشد. چطور می توانم به هر چیزی که گفته می شود اعتقاد داشته باشم ، زیرا شرکت های درگیر انگیزه مالی قدرتمندی برای بهتر کردن وضعیت موجود دارند؟ این یک وضعیت بخصوص در صنعت VPN است که دارای تاریخچه ناگواری در اسکولدگجری است.

من خوشبختم که خوانندگان PCMag به بررسی های VPN من اعتماد دارند و می دانم که مسئولیت ویژه ای در هنگام ارزیابی امنیت و حفظ حریم شخصی دارم. محصولات این محصولات برای محافظت از مردم در نظر گرفته شده اند و وقتی در محافظت از مردم ناکام باشند ، از خریدهای بد نیز بدتر هستند: آنها مردم را در معرض خطر قرار می دهند. با توجه به این ، من می خواهم به خلاصه آنچه در مورد نقض می فهمم و چگونه PCMag در تصمیم ما برای تصمیم گیری درمورد امتیازات این دو VPN قرار گرفت ، خلاصه کنم.

چقدر بد این نقض ها بد بودند؟

طبق گفته NordVPN ، یک مهاجم است. در مارس 2018 با استفاده از ویژگی دسترسی از راه دور که روی سرور باقی مانده است ، به سرور خود در فنلاند دسترسی پیدا کرد. سرور توسط NordVPN اجاره داده شد ، اما توسط یک شرکت شخص ثالث اداره می شد. NordVPN ادعا می کند که شرکت سرور در چگونگی مدیریت ابزارهای دسترسی از راه دور خود غفلت کرده است. TorGuard روش دقیق استفاده شده برای دستیابی به سرور خود را فاش نکرده است ، اما به نظر می رسد که این رویدادها پیوند خورده اند.

NordVPN می گوید که مهاجم قادر به گرفتن کلید Security Layer Security است که برای تأیید صحت یک سایت استفاده می شود. توسط NordVPN اجرا شود. TorGuard اظهار داشت که کلیدهای مجوز گواهی خود را به گونه‌ای مدیریت می کند که کلیدها به طور مستقیم روی سرور ذخیره نشوند. هر دو شرکت می گویند که آنها قبلاً از نفوذ به سرورهای خود آگاه بودند و قبلاً اقداماتی را برای کاهش حملات آینده انجام داده بودند. TorGuard VPN اندکی پس از آگاهی از این حمله ، این حمله را فاش کرد. NordVPN تا 21 اکتبر موضوع را به طور علنی افشا نکرد.

من در اینجا به طور مختصر اشاره خواهم کرد که من از یک پرونده حقوقی در حال انجام بین NordVPN و TorGuard VPN آگاه شده ام که به این نقض ها متصل شده اند. ما به طور کلی به شکایات حقوقی خصوصی به عنوان بخشی از بررسی های خود نگاه نمی کنیم و در اینجا نیز این مورد است.

مشخص است که مهاجم دسترسی ممتازی داشت که نباید در دسترس کسی قرار می گرفت. اطلاعاتی که در این حمله به دست آمده بسیار ارزشمند است ، اما هر دو NordVPN و TorGuard گفتند که استفاده از این اطلاعات در عمل دشوار بود.

در اینجا نحوه گزارش دهی PCMag مایکل کان یک حمله بالقوه را مشخص می کند:

"دزدی [NordVPN’s] کلید TLS دریچه آنچه را "مرد در حمله میانه" نامیده می شود را باز کرد ، که می تواند ترافیک شما را بدون رمزگذاری در اختیار هکر قرار دهد. اما بیرون کشیدن چنین طرحی کار ساده ای نخواهد بود. یک سرویس گیرنده NordVPN ساختگی ، و سپس فریب کاربر را برای نصب آن ، که در نهایت فقط یک کامپیوتر را قربانی می کند. "

در نامه ای به من ، NordVPN از این طریق پتانسیل حملات را کاهش داد:

" در واقع ، حمله برای دستیابی به آن ، دسترسی کاملاً خارق العاده ای به شبکه یا دستگاه کاربر نیاز دارد. چنین حمله ای در تئوری می تواند توسط یک ISP مخرب یا به خطر بیافتد ، یک شبکه Wi-Fi مخرب ، یک مدیر شبکه سرور وای فای (مانند دانشگاه یا خارج از دانشگاه شبکه یخی) یا هکری که از قبل به دستگاه شما دسترسی داشته باشد. "

TorGuard به نوبه خود حمله به زیرساخت های خود را اینگونه توصیف کرد:

" TorGuard کلید اصلی [certificate authority] ما را در هر نقطه انتهایی ذخیره نکرد. . اما ، حتی اگر کلید CA بدست آمد و معتبر بود ، حملات از این قبیل عملا غیرممکن خواهد بود زیرا OpenVPN دارای چندین لایه امنیتی است. یک مهاجم باید بردارهای حمله چندگانه را تعیین و همگام کند […] افراد گاهی اوقات شکایت می کنند که OpenVPN پیچیده است ، اما این یکی از دلایلی است که به عنوان یک پروتکل امن VPN امن در نظر گرفته می شود. "

شاید چه نگران کننده تر باشد حمله کننده باشد. من قادر به مشاهده برخی از فعالیت های کاربران در حالی که دسترسی به سرور NordVPN بوده اند هستم .من به TorGuard رسیدم تا این موضوع را نیز روشن کنم. در گزارش خود ، بلومبرگ به نقل از عضو هیئت مشاوره NordVPN ، تام اوکمن ، که در مورد این موضوع خاص صحبت کرده است.

"Okman گفت که تعیین اینکه آیا هکرها اطلاعات مربوط به استفاده از اینترنت کاربران Nord را بدست آورده اند دشوار است زیرا این شرکت اطلاعات مربوط به فعالیت در سرورهای خود را جمع نمی کند ، یک نقطه فروش برای مشتریان آگاهانه درباره حریم خصوصی است. اوكمن گفت: "من فكر می كنم كه بدترین سناریو این است كه آنها می توانند ترافیك را بازرسی كنند و ببینند از چه نوع وب سایت هایی می توان بازدید كرد." وی گفت که این فقط برای کاربران Nord که از سرور فنلاندی خود استفاده می کردند و به وب سایت هایی که از پروتکل امن HTTPS استفاده نمی کنند ، دسترسی داشتند. "

بلومبرگ می گوید NordVPN تخمین می زند که 50-200 مشتری از سرور آسیب دیده استفاده کرده اند.

به نوردVPN رسید تا در مورد این موضوع خاص اظهار نظر کند یک نماینده شرکت تأکید کرد که هرچند ممکن است ، هیچ مدرکی وجود ندارد که مهاجم ترافیک را مشاهده کند. پاسخ این شرکت:

"حتی اگر هکر [the] می توانست ترافیک را مشاهده کند در حالی که با اتصال به سرور ، او فقط می تواند یک ISP معمولی را ببیند ، اما به هیچ وجه نمی توان آن را شخصی سازی کرد یا به نام کاربری یا ایمیل خاصی پیوند داد. ترافیک VPN تاریخی قابل کنترل نیست. "

SecurityWatch در حالی که به نظر می رسد استفاده از اطلاعات سرقت شده برای مهاجمین دشوار بوده است (بسیار جالب است که NordVPN و رقیب آن TorGuard VPN با هم توافق دارند. این نکته) ، من از احتمال مشاهده ترافیک توسط مهاجم ناراحت هستم. خبر خوب این است که HTTPS امروزه از گذشته رایج تر است ، که اگر حمله کننده چیزی را مشاهده کند ، حمله مهاجمین را بسیار محدود می کرد. همچنین این یک تسکین است که حمله کننده نمی تواند ترافیک مشاهده شده را به کاربران خاص متصل به سرور نسبت دهد اما این راحتی سرد است ، زیرا این یک شکست کامل از کاری است که یک شرکت VPN در مقام اول.

من همچنین به TorGuard VPN مراجعه کردم تا ببینم آیا مهاجمی می تواند ترافیکی را هنگام اتصال به سرورهای خود مشاهده کند یا خیر. نماینده گفت این امکان پذیر نیست زیرا شرکت از آن استفاده می کند مدیریت زیرساخت کلید عمومی (PKI) را برای محافظت از کلیدهای رمزگذاری آن امن کنید. یک نماینده نوشت:

"خیر ، این امر در پرونده TorGuard غیرممکن خواهد بود. […] کلید خصوصی TorGuard [certificate authority] CA کلید خصوصی هیچگاه در هیچ سرور VPN ذخیره نمی شود ، بنابراین برای مهاجمی امکان رمزگشایی بسته های موجود در آن وجود ندارد. VPN: هنگامی که ترافیک VPN کامپیوتر نهایی کاربر را از طریق آداپتور VPN رها کرد ، کاملاً رمزگذاری می شود.با ورود بسته به ارائه دهنده VPN ، تنها راه برای مشاهده فعالیت رمزگشایی بسته با کلید خصوصی ارائه دهنده VPN است. ، سپس مهاجمی می تواند ترافیک را وارد کند یا آن را برای بهره برداری بیشتر بررسی کند. "

چگونه به فکر نقض امنیت

باشید که مطمئناً NordVPN و TorGuard اولین شرکتها یا حتی اولین شرکتهای امنیتی نیستند که نقض امنیتی زیادی را تجربه کرده اند. . به طور کلی ، رویکرد من برای ارزیابی محصولاتی که از نقض امنیت رنج می برند ، قضاوت کردن در مورد نحوه برخورد با این نقض و به شدت شدت نقض است.

به هر حال ، حمله به هر سازمانی که اطلاعات کاربر را ذخیره می کند ، است. انتظار می رود هر سازمان ] بدبینانه نیست ، بلکه نقض اتفاق می افتد. ممکن است این افراد کوچک باشند ، ممکن است عظیم باشند ، اما در نهایت ، کسی راهی پیدا می کند. مهمتر از جلوگیری از نقض ، مقابله با پیامدهای بعدی است.

مثال LastPass را بگیرید. این مدیر رمز عبور ورود به سیستم را ثبت می کند و سپس آنها را برای ورود سریع و آسان بازی می کند. همچنین می تواند رمزهای عبور منحصر به فرد و پیچیده ای را برای هر یک از حساب های شما ایجاد کند. این یک سرویس عالی است در سال 2015 ، این شرکت اعلام کرد که قربانی یک حمله شده است. LastPass به سرعت به کاربران اطلاع داد و اطلاعات مربوط به این حمله را در وبلاگ عمومی خود ارسال کرد. این شرکت همچنین برای یک سناریوی بدترین حالت برنامه ریزی کرده بود. این قبلاً تمام اطلاعات کاربران خود را رمزگذاری کرده است ، و اگر به عنوان یک نتیجه غیرممکن باشد ، اطلاعات دزدیده شده دشوار خواهد بود. هنوز هم به کاربران توصیه می كرد كه رمزهای عبور اصلی خود را تغییر دهند ، فقط برای اطمینان.

این نمونه ای از شركت بود كه چاه نقض را حل می كرد. آنها در مورد حمله شفاف بودند و توصیه های روشنی را برای افراد آسیب دیده ارائه می دادند. از همه مهمتر ، LastPass برای تأمین اطلاعاتی که در اختیار داشت ، قدم بردارد. رمزگذاری شد ، رمزعبورها هشدار داده شدند و نمک زدند. هنگامی که مهاجمان داده های خود را به سرقت می بردند ، این شرکت اطمینان داشت که هیچکدام از آنها نمی توانند مورد استفاده قرار گیرند تا حملات بیشتری انجام دهند.

به طور کلی ، NordVPN و TorGuard هر دو پاسخ های خوبی دارند ، اما آنها چند مورد را برای دلخواه خود باقی می گذارند. برای یک چیز ، نماینده TorGuard به من می گوید که این شرکت این تخلف را در ماه مه اعلام کرد. NordVPN تا زمانی که در توییتر منفجر نشود ، این نقض را آشکار نکرد و ظاهراً اطمینان حاصل کرد که حمله روی سرورهای دیگر نمی تواند تکرار شود. پاسخ سریع و شفاف به سمت اعتماد به یک شرکت بسیار طولانی پیش می رود.

TorGuard می گوید که این حمله را تعیین کرد که هیچ گونه تهدیدی نیست ، اما مجدداً گواهی هایی را صادر کرد که هویت سرورهای آن را تأیید می کند. تقریباً به نظر می رسد تا زمانی که توییتر منتشر نشده ، تورگارد قصد ندارد درباره این حادثه چیزی بگوید. NordVPN می گوید كه برای تأیید اینكه هیچ یك از سرورهای دیگر آن آسیب پذیر نیستند ، و اجرای ضمانت های اضافی نیز بیانیه ای ارائه ندادند.

به راحتی می توان با استفاده از نظارت بد قضاوت سخت كرد ، اما مشخص است كه امنیت اضافی نیز وجود داشته است. اقدامات NordVPN می توانست در سرورهای خود استفاده کند. من می توانم این را تا حدودی استنباط كنم زیرا در چنین شرایطی مشابه ، با توجه به کلیدهای TLS نتایج مختلفی بین NordVPN و TorGuard به وجود آمده است. علاوه بر این ، NordVPN اعلام کرد که با توجه به حمله ای که قرار است انجام شود ، "همه سرورهای ما را به RAM منتقل کنید" ، که میزان اطلاعات روی سرور را در هر لحظه بسیار زیاد می کند. این عالی است ، اما می توانست قبل از نقض نیز انجام شود ، و این طور نبود.

حمله و افشای آن ، یک مشکل مهم دیگر برای VPN ها را نشان می دهد: اعتماد به پیمانکاران شخص ثالث برای تهیه سرورهای لازم برای اجرای شرکت. NordVPN می گوید که شیوه های ناچیز در شرکتی که دیتاسنتر را که سرورهای خود را از آن اجاره کرده است ، منبع نفوذ بوده است. ظاهراً هیچ مشکلی در مورد لیزینگ سرورها وجود ندارد ، اما این بدان معناست که حتی یک شرکت کامل خیالی VPN می تواند با رفتار سهل انگاری از طرف اپراتور سرور لجن کشیده شود. هر دو شرکت گفته اند که روابط خود را با داده های مربوطه قطع کرده اند ، اگرچه هنوز مشخص نیست که آیا هر دو شرکت از همان ارائه دهنده استفاده کرده اند یا خیر. برخی از شرکت های VPN می گویند که آنها سرورهای مخصوص به خود را دارند ، که ممکن است در آینده گزینه ای جذاب تر باشد.

NordVPN ، به نوبه خود ، می گوید که درباره این که چه کسی برای تأمین زیرساخت های سرور خود قرارداد بسته است ، بیشتر تشخیص خواهد داد. این شرکت همچنین می گوید که برای تأیید صحت زیرساخت ها ، یک شخص حسابرسی شخص ثالث انجام خواهد شد.

چه چیزی را می توان از این نقض ها آموخت؟

امیدوارم سایر شرکت های VPN دقت زیادی به اعمال خود کنند و ارائه دهندگان سرور مورد استفاده آنها. این تجربه برای من نیز درخشان بوده است. من همیشه سعی کردم تا آنجا که می توانم در مورد تلاش های شرکت های VPN برای محافظت از مشتریان خود یاد بگیرم. برای بررسی های بعدی ، من درباره سیاست های ناوگان سرور ، نحوه ذخیره داده ها در آن سرورها و چگونگی آماده سازی شرکت ها برای موقعیت هایی مانند این سوال می پرسم. انتظار دارم که بررسی های به روز شده در مورد همه محصولات در آینده ای بسیار نزدیک مشاهده شود.

من همچنین از این فرصت استفاده می کنم تا مشکلی را که من از کل صنعت VPN دیدم از زمان شروع پوشش آن ، برجسته کنم: مشکل در اعتبارسنجی مطالبات مطرح شده توسط شرکت های VPN. یک ناظر بیرونی مشکل دارد که تأیید کند که یک VPN در واقع تمام وقت ترافیک کاربران را رمزگذاری می کند و نمی توان تأیید کرد که تک تک سرورها به طور صحیح و ایمن تنظیم شده اند.

این به طور قابل توجهی متفاوت از سایر قسمت های صنعت امنیتی است. به عنوان مثال ، شرکت های آنتی ویروس AMTSO را تشکیل دادند که به افراد امکان می دهد تا بررسی کنند که برنامه های آنتی ویروس آنها در حال کار است و دستورالعمل هایی را برای ارزیابی شخص ثالث از آن محصولات ایجاد کرده است. شرکتهای فناوری به عنوان مثال ، اپل یا گوگل توسط محققان امنیتی مشتاق به دنبال آسیب پذیری ها مورد بررسی قرار می گیرند. همین توجه به VPN ها نشده است و اکنون بیش از هر زمان دیگری مورد نیاز است. بدیهی است ، کارهای خوبی در اینجا انجام می شود. اگر یک راندو در 8Chan می تواند چیزی را پیدا کند که به آن توجه کند ، مطمئناً محققان امنیتی می توانند بهتر عمل کنند.

همه بررسیهای ما در PCMag به طور مؤثر در حال انجام است. هر زمان که تغییری در قیمت گذاری ایجاد شود ، یک بررسی VPN را بروزرسانی می کنم ، ویژگی های جدید اضافه می شوند یا ویژگی های قدیمی حذف می شوند ، و هنگامی که حوادث ناگوار مانند این اتفاق می افتد. همچنین فقط چیزهای زیادی وجود دارد که هیچ کس نمی داند ، و من سعی می کنم برای نوشتن نظرات بهتر یاد بگیرم. تصمیم ما برای تغییر امتیاز دهی براساس اطلاعاتی است که ما در حال حاضر داریم. اگر اطلاعات خرابکارانه بیشتر آشکار شود ، امتیاز هر یک از شرکت ها می تواند بیشتر کاهش یابد. [] همچنین فرصتی برای بهبود وجود دارد.

امیدوارم که مورد دوم را ببیند.