Audit infrastruktur yang diselesaikan oleh Radically Open Security

 (mullvad.net)
2 poin oleh GN⁺ 2023-08-10 | 1 komentar | Bagikan ke WhatsApp
  • Radically Open Security (RoS), perusahaan keamanan yang berbasis di Belanda, telah menyelesaikan audit infrastruktur Mullvad VPN.
  • Audit ini berfokus pada server VPN yang berjalan di RAM, khususnya satu server OpenVPN dan satu server WireGuard.
  • Laporan akhir dari audit keamanan ketiga ini diselesaikan pada pertengahan Juni 2023, dan perbaikannya diterapkan pada akhir Juni 2023.
  • RoS menemukan beberapa masalah, termasuk sejumlah temuan baru, tetapi relay Mullvad VPN menunjukkan arsitektur yang matang dan tidak ditemukan pencatatan data aktivitas pengguna.
  • RoS diberi akses SSH penuh ke dua server VPN yang berjalan di RAM, yang menggunakan kernel Linux yang diperkecil (6.3.2) dan OS kustom berbasis Ubuntu 22.04 LTS.
  • Audit ini bertujuan memverifikasi keamanan dan konfigurasi internal maupun eksternal server, serta memastikan apakah aktivitas pelanggan dicatat atau tidak.
  • RoS tidak menemukan kebocoran informasi atau pencatatan data pelanggan, tetapi selama pengujian penetrasi menemukan 1 masalah kritis, 6 masalah berisiko tinggi, 4 masalah berisiko sedang, 10 masalah berisiko rendah, dan 4 masalah dengan tingkat keparahan informasional.
  • Salah satu masalah kritis adalah pengguna pentest pada sistem uji dapat melihat lalu lintas pengguna produksi yang direkayasa.
  • Masalah berisiko tinggi adalah kemungkinan akun sistem dengan hak rendah memanipulasi isi skrip timer systemd untuk meningkatkan hak akses menjadi root.
  • Masalah berisiko sedang adalah kemampuan administrator untuk mengakses lalu lintas VPN pengguna produksi.
  • Masalah berisiko rendah adalah kredensial database Influx bersama yang digunakan Telegraf antarserver VPN, yang dapat dipakai untuk memanipulasi metrik server global.
  • Mullvad VPN telah menerapkan perbaikan untuk masalah-masalah ini dan berencana merilis lebih banyak perubahan dalam waktu dekat.

Bacaan terkait

1 komentar

 
GN⁺ 2023-08-10
Opini Hacker News
  • Mullvad, penyedia layanan VPN, dipuji atas komitmennya terhadap privasi dan keamanan pengguna meskipun harus mengorbankan kemudahan bisnis.
  • Perusahaan ini mengambil keputusan seperti menonaktifkan perpanjangan otomatis dengan PayPal agar tidak menyimpan informasi yang dapat mengidentifikasi pribadi.
  • Dokumentasi teknis dan keputusan keamanan Mullvad mendapat simpati dari para pengguna meskipun ada keputusan yang kontroversial seperti menonaktifkan port forwarding.
  • Mullvad adalah perusahaan yang lebih mengutamakan kebebasan daripada kenyamanan, dan ini merupakan sifat yang langka di kalangan penggemar teknologi.
  • Beberapa pengguna menganggap Mullvad sebagai solusi VPN komersial terbaik, yang membuat privasi lebih mudah diakses.
  • Namun, ditegaskan bahwa VPN bukan solusi lengkap untuk privasi internet, meski tetap memberikan perlindungan terhadap ISP dan endpoint.
  • Mullvad diakui sebagai satu-satunya VPN arus utama tanpa masalah kepercayaan yang meragukan dibandingkan penyedia lain seperti Proton VPN.
  • Ada kekhawatiran tentang proses audit, dan beberapa pengguna mempertanyakan apakah audit tersebut meninjau server yang melayani pelanggan atau hanya server produksi pengujian.
  • Tidak seperti Tor dan jaringan overlay lainnya, Mullvad yang beroperasi secara terbuka tidak menjadi sasaran kampanye fitnah atau artikel berita yang bias.
  • Beberapa pengguna menyampaikan kekhawatiran bahwa Mullvad bisa menghadapi tantangan di masa depan jika perusahaan teknologi besar memutuskan untuk membatasi pusat data mereka ke dalam cakupan tertentu.
  • Konsep pembayaran Mullvad berdasarkan waktu penggunaan disukai oleh para pengguna.