2 poin oleh GN⁺ 2023-08-10 | 1 komentar | Bagikan ke WhatsApp
  • Mullvad menugaskan audit ketiga terhadap infrastruktur VPN-nya kepada perusahaan keamanan Belanda Radically Open Security (RoS), dengan memeriksa satu server OpenVPN dan satu server WireGuard yang berjalan di RAM
  • Target audit adalah server yang menggunakan Linux kernel 6.3.2 dan OS kustom berbasis Ubuntu 22.04 LTS, yang dideploy seperti server produksi tetapi tidak pernah digunakan untuk koneksi pelanggan sebenarnya
  • RoS memverifikasi konfigurasi server internal dan eksternal serta apakah aktivitas pelanggan dicatat, dan tidak menemukan logging data pelanggan maupun kebocoran informasi
  • Dalam uji penetrasi ditemukan 1 High, 6 Elevated, 4 Moderate, 10 Low, dan 4 info, dan perbaikan utama dideploy pada akhir Juni 2023 lalu diuji ulang dan diverifikasi pada Juli
  • Mullvad memperkuat audit akses admin SSH, meninjau penghapusan SSH, dan meningkatkan autentikasi Telegraf, sementara beberapa perubahan tambahan dijadwalkan untuk dideploy kemudian

Cakupan audit dan laporan publik

  • Mullvad meminta audit keamanan ketiga untuk infrastruktur VPN-nya kepada Radically Open Security
  • Audit kali ini berfokus pada dua server VPN yang berjalan di RAM
    • satu server OpenVPN
    • satu server WireGuard
  • RoS menyelesaikan audit pada pertengahan Juni 2023, dan banyak perbaikan dideploy pada akhir Juni 2023
  • Pada Juli 2023 dilakukan pengujian ulang dan verifikasi tambahan
  • Laporan akhir dipublikasikan sebagai ROS - Mullvad VPN 2023.pdf

Konfigurasi server uji dan item verifikasi

  • RoS menerima hak akses SSH penuh ke dua server VPN yang berjalan di RAM
  • Server yang diaudit menggunakan kernel Linux terbaru yang diperkecil, yaitu 6.3.2, dan OS kustom berbasis Ubuntu 22.04 LTS
  • Server-server tersebut diprovisioning dan dideploy seperti server produksi untuk pelanggan, tetapi tidak pernah digunakan untuk koneksi pelanggan yang sebenarnya
  • Cakupan verifikasi diringkas menjadi tiga hal
    • keamanan dan konfigurasi internal server
    • keamanan dan konfigurasi eksternal server
    • apakah aktivitas pelanggan dicatat
  • RoS juga mengusulkan peninjauan source code dari berbagai biner yang berjalan di sistem serta peninjauan keamanan pada level hardware, tetapi Mullvad mengecualikannya
    • Audit kali ini dibatasi pada kondisi “setelah sistem berjalan dan digunakan pelanggan”

Hasil keseluruhan

  • RoS tidak menemukan logging data pelanggan maupun kebocoran informasi
  • Relay Mullvad VPN yang diuji dinilai menunjukkan “arsitektur yang matang”
  • Total isu yang ditemukan dalam uji penetrasi ini adalah 25
    • 1 High
    • 6 Elevated
    • 4 Moderate
    • 10 Low
    • 4 info

MLL-024: Lalu lintas multihop produksi terekspos ke sistem uji

  • MLL-024 diklasifikasikan sebagai isu dengan tingkat keparahan High
  • RoS menilai bahwa lalu lintas pengguna produksi dapat terlihat oleh pengguna uji penetrasi
  • Server yang diaudit tidak dibuka untuk koneksi pelanggan, tidak diiklankan dalam daftar server, dan tidak disediakan kepada pengguna
  • Namun, server-server ini terhubung ke fitur WireGuard multihop
    • Jika pelanggan memindai IP, mereka bisa mengirim lalu lintas ke server tersebut menggunakan proxy SOCKS5 saat terhubung ke server VPN lain
    • Tidak ada mekanisme yang memblokir hal ini
  • Yang dikonfirmasi RoS hanyalah IP dari antarmuka internal WireGuard
    • Antarmuka ini hanya digunakan untuk lalu lintas SOCKS5 multihop
    • Karena itu, ini berlaku untuk server WireGuard titik masuk
  • Mullvad menilai bahwa jika server produksi tidak disediakan, audit terhadap server produksi tidak akan valid, dan tidak ada cara untuk mencegah situasi di mana lalu lintas pelanggan terlihat di server tersebut

MLL-019: Eskalasi hak akses root melalui systemd timer dan izin direktori

  • MLL-019 diklasifikasikan sebagai isu dengan tingkat keparahan Elevated
  • Akun sistem dengan hak rendah dapat meningkatkan hak akses menjadi root dengan memanipulasi isi skrip systemd timer
  • Setelah berdiskusi dengan RoS, Mullvad melihat akar masalah utama pada penggunaan direktori home bertingkat dan masuknya pengguna admin ke grup mad
  • Struktur direktori /home/mad yang bertingkat merupakan sisa legacy dari masa sebelum migrasi ke server VPN berbasis RAM
  • Sebagai langkah jangka pendek, semua pengguna admin dihapus dari grup mad
  • Skrip terkait dipindahkan ke /opt/local_checks, dan RoS mengakui bahwa langkah ini menyelesaikan masalah

MLL-045: Akses admin ke mesin produksi

  • MLL-045 diklasifikasikan sebagai isu dengan tingkat keparahan Moderate
  • Server VPN mengizinkan login remote admin, sehingga secara teknis admin dapat menyadap lalu lintas VPN pengguna produksi
  • Mullvad sudah mengetahui masalah ini sebelumnya, dan melalui diskusi dengan RoS kembali menegaskan rencana yang ada
  • Ada dua langkah yang direncanakan
    • membuat login tidak sah dapat diaudit, serta menerapkan sistem yang mencatat semua perintah yang digunakan di server tanpa argumen
    • meneliti pendekatan untuk menghapus dukungan SSH sepenuhnya
  • Jika SSH dihapus, admin juga tidak akan bisa mengaktifkan logging lalu lintas pelanggan melalui SSH
  • Pendekatan penghapusan SSH diperkirakan memerlukan waktu lebih lama agar dapat dilakukan dengan benar

MLL-016: Kata sandi Telegraf yang dibagikan antarserver

  • MLL-016 diklasifikasikan sebagai isu dengan tingkat keparahan Low
  • Kredensial database Influx milik Telegraf yang dipakai bersama di seluruh server VPN memungkinkan manipulasi metrik server secara global
    • penggunaan CPU
    • penggunaan disk
    • metrik jaringan
  • Mullvad memperkenalkan sertifikat klien untuk autentikasi dengan menggunakan infrastruktur PKI dari Hashicorp Vault
  • Langkah ini sudah selesai diimplementasikan
  • Mullvad berencana meninjau penggunaan sertifikat seperti ini di bagian lain infrastrukturnya

Perubahan selanjutnya

  • Hanya beberapa contoh isu menarik yang dirangkum dari temuan audit
  • Lebih banyak perubahan dijadwalkan untuk dideploy dalam waktu dekat

1 komentar

 
GN⁺ 2023-08-10
Komentar Hacker News
  • Saya sangat menghormati sikap Mullvad yang rela menanggung kerugian bisnis demi memberi keamanan dan stabilitas tambahan kepada pelanggan yang tersisa
    Pertama kali saya merasakannya adalah saat mereka mematikan perpanjangan otomatis PayPal, karena untuk mempertahankan perpanjangan otomatis mereka harus menyimpan data pribadi bersama akun
    Namun bagi saya, ada satu pengorbanan yang terlalu banyak: mereka menonaktifkan port forwarding. Karena mereka tidak menyimpan informasi kontak untuk memperingatkan pelanggan, suatu hari koneksi tiba-tiba gagal, padahal masih tersisa layanan prabayar untuk beberapa bulan
    Saya agak pahit soal kejadian itu, tetapi rasa percaya yang mereka bangun lewat tulisan teknis dan keputusan keamanan sudah cukup besar, jadi silakan ambil saja uangnya. Saya berharap mereka sukses karena ini satu-satunya VPN yang tidak terasa mencurigakan
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • Kami sungguh meminta maaf atas ketidaknyamanan ini
      Mengumumkan penghapusan fitur seperti ini hanya 30 hari sebelumnya pada umumnya bukan cara kami ingin menjalankan bisnis. Kami memahami pelanggan yang bergantung pada fitur ini pasti kecewa, baik terhadap penghapusan fiturnya maupun cara penanganannya
      Meski begitu, itu adalah keputusan yang benar. Dalam beberapa bulan terakhir, cara dan skala penyalahgunaannya sudah terlalu besar sehingga kami tidak bisa terus menyediakannya. Fitur ini seharusnya dihapus jauh lebih awal, dengan masa tenggang yang lebih panjang. Tidak melakukannya adalah kesalahan kami, dan beberapa pengguna, termasuk Anda, terdampak
      Untuk layanan prabayar yang tidak bisa lagi Anda gunakan, tentu saja Anda bisa mendapatkan pengembalian dana
      Jika Anda memakai port forwarding untuk membuat suatu layanan dapat diakses dari internet publik, ada banyak penyedia hosting bagus yang dengan senang hati akan melayani Anda
      Jika tujuan Anda adalah membuat layanan dapat diakses sambil tetap anonim, kami sangat merekomendasikan fitur onion service dari Tor. Fitur itu dibuat dengan mempertimbangkan use case tersebut
      Jika tujuan Anda adalah membuat layanan dapat diakses dari internet publik sekaligus tetap anonim, kami tidak punya opsi bagus yang bisa kami rekomendasikan
      Port forwarding harus dihapus karena alasan moral. Fitur ini sudah menjadi gangguan yang terlalu besar bagi misi inti kami, yaitu melumpuhkan pengawasan dan sensor massal
      Meski penjelasan ini tidak menghapus semua kekecewaan Anda, kami berharap setidaknya ini memberi sedikit kejelasan
      Fredrik Stromberg, salah satu pendiri Mullvad VPN
    • Rasanya situasi ini sebenarnya bisa dihindari. Bagaimana kalau di alur pembayaran atau pendaftaran diberi peringatan besar dan jelas bahwa pengguna harus mengatur klien yang bisa mengirim notifikasi untuk melakukan polling langsung ke endpoint RSS?
    • Saya pemula di jaringan, jadi kurang tahu seberapa penting hal ini. Dulu saya pernah mengatur port forwarding di router untuk mengakses sistem Plex dari luar rumah
      Saat memakai torrent juga saya biasa mengatur port forwarding, tetapi sekarang saya tahu bahwa Linux ISO tetap bisa diunduh tanpa itu. Saya cukup sering memakai Mullvad, tetapi tidak terlalu memikirkannya
      Saya penasaran kapan saya akan terdampak jika port forwarding dimatikan, dengan kata lain use case apa saja yang akan terblokir
    • Setelah port forwarding dinonaktifkan, saya pindah ke ProtonVPN. Kelihatannya itu pilihan terbaik berikutnya, dan sejauh ini mereka terus mengatakan tidak berniat menghapus port forwarding
    • Untung saya membaca ini. Awal tahun ini saya sempat mempertimbangkan pindah ke Mullvad, tetapi tertunda karena anggaran belum cocok; ini adalah deal breaker
      Kalau benar-benar pindah, saya akan berada dalam situasi yang sama: masih punya banyak layanan prabayar yang tidak bisa dipakai sebagaimana dimaksudkan
  • Penyesalan terbesar dalam karier saya adalah tidak bergabung ketika pendiri Mullvad mengirimi saya email
    Banyak nilai mereka sejalan dengan nilai saya, dan penggemar teknologi yang mengutamakan kebebasan di atas kenyamanan sayangnya sangat langka. Karena itu, kebanyakan dari kita akhirnya memakai penyedia cloud besar yang berada di bawah yurisdiksi pemerintah AS
    Sebagai catatan, ini benar-benar pernah menjadi masalah dalam karier saya. Karena penyedia cloud harus mengikuti sanksi AS, orang dari Kuba, Iran, dan Krimea tidak bisa memainkan gim yang saya buat. Orang di Rusia dan Ukraina bisa membeli gim kami secara legal, tetapi menyebalkan bahwa jika mereka berada di wilayah pendudukan, mereka tidak bisa memainkannya
    Sedikit melebar dari topik, tetapi sangat menyegarkan melihat perusahaan yang dari luar tidak tampak mencurigakan dan menghargai kebebasan

    • Sebagai orang Kuba, ini kadang hanya menjengkelkan, kadang lebih dari itu. Beberapa penyedia cloud sama sekali tidak bisa diakses, beberapa mengizinkan, dan beberapa hanya mengizinkan sebagian layanan sementara memblokir sebagian lainnya
      Bahkan ada yang menolak akses meski Anda memiliki lisensi OFAC yang valid. Mungkin karena daftar kontrol aksesnya rumit, dan secara umum semuanya tidak konsisten
      Karena itu, 95% waktu saya menyalakan VPN yang buruk. Saya harus menghindari sanksi AS sekaligus alat sensor negara saya sendiri
      Saya bisa memahami sampai batas tertentu mengapa sanksi itu muncul puluhan tahun lalu, tetapi saya tidak tahu apakah logika itu masih berlaku. Sayangnya, yang paling terdampak oleh sanksi adalah orang biasa seperti saya. Sama sekali bukan elite penguasa
    • Saya juga marah ketika harus mengimplementasikan pelacakan GeoIP untuk memblokir negara tertentu. Saya memikirkan orang-orang yang akan kehilangan akses ke layanan gratis yang kami sediakan
      Saya melihat layanan itu bisa membantu orang yang memulai bisnis kecil, dan berpotensi memperbaiki hidup mereka
      Namun, banyak orang memandang sanksi sebagai tindakan perang[0]. Jika dilihat seperti itu, tentu saja mengerikan. Itu perang, dan konsekuensi seperti perang selalu menyakiti orang-orang di lapangan
      Jika atasan meminta Anda menerapkan pemblokiran wilayah karena sanksi, lakukan hanya sejauh yang diperlukan, dan jangan berlebihan sampai memblokir pengguna VPN juga. Maksudnya, jangan melanggar hukum, tetapi juga jangan membuat orang-orang di lapangan makin sulit memakai hak akses internet mereka
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • Saya cukup mengenal beberapa orang dari Krimea, dan banyak hal yang kita anggap biasa ternyata sangat rumit bagi mereka. Orang dari Kuba atau Iran setidaknya tahu pasti mereka berada di negara mana
    • Kemungkinan besar belum terlambat
    • Sebagai info, sepertinya mereka masih mencari orang. Di bus Gothenburg ada iklan lowongan mereka
  • Pertama-tama, menurut saya Mullvad adalah solusi VPN komersial terbaik dan mereka melakukan pekerjaan yang baik dalam membuat perlindungan privasi yang bagus menjadi lebih mudah diakses
    Namun banyak komentar di sini tampak mengangkat VPN secara umum seolah-olah itu jawaban untuk privasi internet
    Saya ingin mengingatkan bahwa yang benar-benar dilindungi VPN pada dasarnya hanya dua hal: penyedia internet dan endpoint. Itu pun dengan asumsi penyedia internet tidak melakukan analisis yang mencurigakan
    Meski begitu, menghilangkan dua hal ini saja sudah memberi manfaat besar bagi privasi, dan tentu saja itu layak dilakukan

    • Saya tidak tahu bagian mana yang membuat “banyak komentar di sini tampak mengangkat VPN secara umum seolah-olah itu jawaban untuk privasi internet”
    • Bisakah jelaskan lebih lanjut bagian “dengan asumsi penyedia internet tidak melakukan analisis yang mencurigakan”? Apakah penyedia internet sering memakai teknik untuk meniadakan penggunaan VPN? Saya penasaran penyedia mana, dan teknik apa yang mereka pakai
    • Dua hal itu tetap sangat besar. Itu juga bagian dari pendekatan berlapis terhadap keamanan. Saya ragu kebanyakan orang berpikir “cukup pakai VPN, selesai”
  • Kata Radically hilang dari judul. Saya tidak kenal “Open Security”, tapi “Radically Open Security” adalah tempat saya pernah menulis makalah
    Edit: u/progbits lebih cepat 1 menit dari saya https://news.ycombinator.com/item?id=37060828

    • Salah satu proyek yang saya kerjakan beberapa tahun lalu diaudit oleh Radically Open Security, dan saya sangat terkesan dengan kualitas para ahlinya
      Tentu saja, pada sistem yang menjadi tanggung jawab saya, mereka tidak menemukan apa pun selain beberapa komentar. Komentar itu pun rasanya hanya hal-hal yang sudah kami beri anotasi eksplisit karena ditandai alat analisis statis sebagai area yang bisa diperbaiki. Kurang lebih seperti “nama variabel ini bisa dibuat lebih baik”, “bisa disederhanakan dengan guard clause”
      Tidak buruk untuk sesuatu yang dibuat dalam situasi ekstrem dan hampir tanpa tidur. Bayi 6 bulan, COVID, crunch, dan dua anak kecil yang aktif sekaligus itu neraka
  • Mullvad adalah satu-satunya VPN arus utama yang tidak punya masalah kepercayaan serius yang mencurigakan
    Bahkan Proton VPN pun tidak oke. Orang-orang yang menelusurinya menemukan bahwa itu hanyalah versi white-label dari NordVPN
    Karena tidak ada alternatif, saya berterima kasih Mullvad mendorong komitmennya terhadap integritas lebih kuat

    • Ada sumber untuk klaim NordVPN itu?
      Edit: Saya melihat riwayat tulisanmu sebentar, dan sepertinya kamu sudah berbulan-bulan mengulang klaim ini tanpa memberikan bukti apa pun. Mencurigakan
    • Rasanya tidak enak. Ada sumbernya?
  • Ini “by Radically Open Security”, tapi penghapus otomatis judul HN bermasalah lagi. Bisakah penulis asli memperbaiki judul agar nama perusahaannya muncul dengan benar?

  • Sepertinya audit ini hanya meninjau server operasional untuk pengujian
    Kalau mau berperan sebagai devil’s advocate, apa yang mencegah Mullvad memberikan versi yang sudah menghapus fitur logging kepada tim Open Security? Saya tidak ingin seskeptis ini, tapi kalau ini audit sungguhan, bukankah yang harus diperiksa adalah server yang dipakai pelanggan? Tentu dengan batasan agar auditor tidak bisa merekam informasi
    Mungkin saya salah, jadi saya akan senang kalau ada yang menjelaskan. Namun saya belum yakin pengujian pada level ini membuktikan klaim no-log Mullvad

    • Sepertinya tidak ada perbedaan besar. Karena di server sungguhan pun mereka bisa melakukan hal yang sama hanya selama masa audit
      Diperlukan tingkat kepercayaan tertentu bahwa pihak yang diaudit tidak aktif menipu atau berniat jahat; kalau tidak, audit harus bisa dilakukan secara acak kapan saja
    • Meski tidak dinyatakan secara eksplisit, ini lebih seperti audit “kami punya kemampuan untuk tidak membuat kesalahan”, bukan audit “kami menepati janji”
      Menurut saya ini relevan untuk model ancaman ketika penyerang punya akses parsial ke server operasional. Misalnya soal tidak adanya logging yang tidak disengaja. Sebaliknya, ini tidak berlaku untuk model ancaman ketika Mullvad menyebarkan kode berbahaya
      Saya merasa ini audit yang bermakna, tetapi akan lebih baik jika poin ini dinyatakan lebih eksplisit
    • Jika tingkat paranoia sudah sampai titik tertentu, sebaiknya mulai serius mencari tahu soal self-hosting VPN
      Tentu saja ini tidak sempurna karena penyedia VPS bisa melihat salah satu sisi trafik, tetapi itu bisa dimitigasi
      Mullvad adalah titik tengah yang bagus bagi orang yang tidak punya waktu atau tidak tahu caranya. Setidaknya bagus melihat mereka berusaha menjaga penampilan
    • Itu berarti meminta Mullvad mengizinkan pihak luar mengakses koneksi pelanggan. Sesuatu yang sudah dijanjikan Mullvad tidak akan pernah mereka lakukan
    • Sepertinya akan bagus jika dalam audit itu mereka menyediakan beberapa akun login yang akan dipakai seperti pengguna biasa di server tersebut, agar servernya berperilaku seperti server sungguhan
      Setelah itu bisa dilanjutkan dengan audit server yang benar-benar sedang digunakan
      Untuk mengaudit server pelanggan yang sedang digunakan, harus ada kontrol yang cukup ketat agar auditor tidak merekam data pelanggan yang potensial
  • Mudah membayangkan masa depan ketika Mullvad akan kerepotan. Karena perusahaan teknologi besar bisa saja memblokir seluruh rentang bandwidth pusat data Mullvad
    Hal seperti itu sudah terjadi sampai tingkat tertentu antara Cloudflare dan admin individual, dan tampaknya ada kasus ChatGPT tidak bisa digunakan saat terhubung lewat Mullvad. Setidaknya terlihat terkait
    Pada akhirnya, untuk mengakses sesuatu atau melakukan scraping, mungkin akan dibutuhkan proxy residensial yang mencurigakan
    VPS yang di-host sendiri juga mungkin berhasil jika perusahaannya cukup kecil untuk menghindari pemblokiran massal yang akan datang, tetapi hanya waktu yang akan menjawab

  • Dulu saya pindah ke Mullvad setelah membaca di HN bahwa Mullvad tidak menyimpan log dan tidak punya log untuk diberikan kepada pihak berwenang
    Saya tidak punya tautannya, tetapi itu berkesan, dan audit-audit ini menjadi bukti tambahan bahwa keputusan itu tepat

    • Perlu disebutkan bahwa OVPN juga merupakan opsi. Mereka pernah sampai ke pengadilan dan menang, sehingga membuktikan melampaui keraguan yang wajar bahwa no-log OVPN benar-benar no-log
      Detailnya bisa dilihat di tautan, tetapi kutipannya: “Rights Alliance dan para pakar keamanannya tidak dapat membuktikan adanya kerentanan dalam sistem OVPN yang berarti log dapat disimpan”
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • Belum lama ini saya mengetahui Mullvad, dan sepertinya mereka pernah menjalin kontrak dengan Mozilla
    Bagaimanapun, layanannya sangat bagus, dan mengejutkan betapa jarangnya bisa sekadar membayar sebuah layanan tanpa segala macam prosedur yang tidak perlu
    Untuk membuat akun, cukup klik di sini, lalu bayar dengan salah satu dari banyak metode pembayaran yang tersedia. Bahkan termasuk pembayaran tunai lewat pos