Audit Infrastruktur Mullvad VPN Putaran Ketiga Diselesaikan oleh Radically Open Security
(mullvad.net)- Mullvad menugaskan audit ketiga terhadap infrastruktur VPN-nya kepada perusahaan keamanan Belanda Radically Open Security (RoS), dengan memeriksa satu server OpenVPN dan satu server WireGuard yang berjalan di RAM
- Target audit adalah server yang menggunakan Linux kernel 6.3.2 dan OS kustom berbasis Ubuntu 22.04 LTS, yang dideploy seperti server produksi tetapi tidak pernah digunakan untuk koneksi pelanggan sebenarnya
- RoS memverifikasi konfigurasi server internal dan eksternal serta apakah aktivitas pelanggan dicatat, dan tidak menemukan logging data pelanggan maupun kebocoran informasi
- Dalam uji penetrasi ditemukan 1 High, 6 Elevated, 4 Moderate, 10 Low, dan 4 info, dan perbaikan utama dideploy pada akhir Juni 2023 lalu diuji ulang dan diverifikasi pada Juli
- Mullvad memperkuat audit akses admin SSH, meninjau penghapusan SSH, dan meningkatkan autentikasi Telegraf, sementara beberapa perubahan tambahan dijadwalkan untuk dideploy kemudian
Cakupan audit dan laporan publik
- Mullvad meminta audit keamanan ketiga untuk infrastruktur VPN-nya kepada Radically Open Security
- Audit kali ini berfokus pada dua server VPN yang berjalan di RAM
- satu server OpenVPN
- satu server WireGuard
- RoS menyelesaikan audit pada pertengahan Juni 2023, dan banyak perbaikan dideploy pada akhir Juni 2023
- Pada Juli 2023 dilakukan pengujian ulang dan verifikasi tambahan
- Laporan akhir dipublikasikan sebagai ROS - Mullvad VPN 2023.pdf
Konfigurasi server uji dan item verifikasi
- RoS menerima hak akses SSH penuh ke dua server VPN yang berjalan di RAM
- Server yang diaudit menggunakan kernel Linux terbaru yang diperkecil, yaitu 6.3.2, dan OS kustom berbasis Ubuntu 22.04 LTS
- Server-server tersebut diprovisioning dan dideploy seperti server produksi untuk pelanggan, tetapi tidak pernah digunakan untuk koneksi pelanggan yang sebenarnya
- Cakupan verifikasi diringkas menjadi tiga hal
- keamanan dan konfigurasi internal server
- keamanan dan konfigurasi eksternal server
- apakah aktivitas pelanggan dicatat
- RoS juga mengusulkan peninjauan source code dari berbagai biner yang berjalan di sistem serta peninjauan keamanan pada level hardware, tetapi Mullvad mengecualikannya
- Audit kali ini dibatasi pada kondisi “setelah sistem berjalan dan digunakan pelanggan”
Hasil keseluruhan
- RoS tidak menemukan logging data pelanggan maupun kebocoran informasi
- Relay Mullvad VPN yang diuji dinilai menunjukkan “arsitektur yang matang”
- Total isu yang ditemukan dalam uji penetrasi ini adalah 25
- 1 High
- 6 Elevated
- 4 Moderate
- 10 Low
- 4 info
MLL-024: Lalu lintas multihop produksi terekspos ke sistem uji
- MLL-024 diklasifikasikan sebagai isu dengan tingkat keparahan High
- RoS menilai bahwa lalu lintas pengguna produksi dapat terlihat oleh pengguna uji penetrasi
- Server yang diaudit tidak dibuka untuk koneksi pelanggan, tidak diiklankan dalam daftar server, dan tidak disediakan kepada pengguna
- Namun, server-server ini terhubung ke fitur WireGuard multihop
- Jika pelanggan memindai IP, mereka bisa mengirim lalu lintas ke server tersebut menggunakan proxy SOCKS5 saat terhubung ke server VPN lain
- Tidak ada mekanisme yang memblokir hal ini
- Yang dikonfirmasi RoS hanyalah IP dari antarmuka internal WireGuard
- Antarmuka ini hanya digunakan untuk lalu lintas SOCKS5 multihop
- Karena itu, ini berlaku untuk server WireGuard titik masuk
- Mullvad menilai bahwa jika server produksi tidak disediakan, audit terhadap server produksi tidak akan valid, dan tidak ada cara untuk mencegah situasi di mana lalu lintas pelanggan terlihat di server tersebut
MLL-019: Eskalasi hak akses root melalui systemd timer dan izin direktori
- MLL-019 diklasifikasikan sebagai isu dengan tingkat keparahan Elevated
- Akun sistem dengan hak rendah dapat meningkatkan hak akses menjadi root dengan memanipulasi isi skrip systemd timer
- Setelah berdiskusi dengan RoS, Mullvad melihat akar masalah utama pada penggunaan direktori home bertingkat dan masuknya pengguna admin ke grup
mad - Struktur direktori
/home/madyang bertingkat merupakan sisa legacy dari masa sebelum migrasi ke server VPN berbasis RAM - Sebagai langkah jangka pendek, semua pengguna admin dihapus dari grup
mad - Skrip terkait dipindahkan ke
/opt/local_checks, dan RoS mengakui bahwa langkah ini menyelesaikan masalah
MLL-045: Akses admin ke mesin produksi
- MLL-045 diklasifikasikan sebagai isu dengan tingkat keparahan Moderate
- Server VPN mengizinkan login remote admin, sehingga secara teknis admin dapat menyadap lalu lintas VPN pengguna produksi
- Mullvad sudah mengetahui masalah ini sebelumnya, dan melalui diskusi dengan RoS kembali menegaskan rencana yang ada
- Ada dua langkah yang direncanakan
- membuat login tidak sah dapat diaudit, serta menerapkan sistem yang mencatat semua perintah yang digunakan di server tanpa argumen
- meneliti pendekatan untuk menghapus dukungan SSH sepenuhnya
- Jika SSH dihapus, admin juga tidak akan bisa mengaktifkan logging lalu lintas pelanggan melalui SSH
- Pendekatan penghapusan SSH diperkirakan memerlukan waktu lebih lama agar dapat dilakukan dengan benar
MLL-016: Kata sandi Telegraf yang dibagikan antarserver
- MLL-016 diklasifikasikan sebagai isu dengan tingkat keparahan Low
- Kredensial database Influx milik Telegraf yang dipakai bersama di seluruh server VPN memungkinkan manipulasi metrik server secara global
- penggunaan CPU
- penggunaan disk
- metrik jaringan
- Mullvad memperkenalkan sertifikat klien untuk autentikasi dengan menggunakan infrastruktur PKI dari Hashicorp Vault
- Langkah ini sudah selesai diimplementasikan
- Mullvad berencana meninjau penggunaan sertifikat seperti ini di bagian lain infrastrukturnya
Perubahan selanjutnya
- Hanya beberapa contoh isu menarik yang dirangkum dari temuan audit
- Lebih banyak perubahan dijadwalkan untuk dideploy dalam waktu dekat
1 komentar
Komentar Hacker News
Saya sangat menghormati sikap Mullvad yang rela menanggung kerugian bisnis demi memberi keamanan dan stabilitas tambahan kepada pelanggan yang tersisa
Pertama kali saya merasakannya adalah saat mereka mematikan perpanjangan otomatis PayPal, karena untuk mempertahankan perpanjangan otomatis mereka harus menyimpan data pribadi bersama akun
Namun bagi saya, ada satu pengorbanan yang terlalu banyak: mereka menonaktifkan port forwarding. Karena mereka tidak menyimpan informasi kontak untuk memperingatkan pelanggan, suatu hari koneksi tiba-tiba gagal, padahal masih tersisa layanan prabayar untuk beberapa bulan
Saya agak pahit soal kejadian itu, tetapi rasa percaya yang mereka bangun lewat tulisan teknis dan keputusan keamanan sudah cukup besar, jadi silakan ambil saja uangnya. Saya berharap mereka sukses karena ini satu-satunya VPN yang tidak terasa mencurigakan
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
Mengumumkan penghapusan fitur seperti ini hanya 30 hari sebelumnya pada umumnya bukan cara kami ingin menjalankan bisnis. Kami memahami pelanggan yang bergantung pada fitur ini pasti kecewa, baik terhadap penghapusan fiturnya maupun cara penanganannya
Meski begitu, itu adalah keputusan yang benar. Dalam beberapa bulan terakhir, cara dan skala penyalahgunaannya sudah terlalu besar sehingga kami tidak bisa terus menyediakannya. Fitur ini seharusnya dihapus jauh lebih awal, dengan masa tenggang yang lebih panjang. Tidak melakukannya adalah kesalahan kami, dan beberapa pengguna, termasuk Anda, terdampak
Untuk layanan prabayar yang tidak bisa lagi Anda gunakan, tentu saja Anda bisa mendapatkan pengembalian dana
Jika Anda memakai port forwarding untuk membuat suatu layanan dapat diakses dari internet publik, ada banyak penyedia hosting bagus yang dengan senang hati akan melayani Anda
Jika tujuan Anda adalah membuat layanan dapat diakses sambil tetap anonim, kami sangat merekomendasikan fitur onion service dari Tor. Fitur itu dibuat dengan mempertimbangkan use case tersebut
Jika tujuan Anda adalah membuat layanan dapat diakses dari internet publik sekaligus tetap anonim, kami tidak punya opsi bagus yang bisa kami rekomendasikan
Port forwarding harus dihapus karena alasan moral. Fitur ini sudah menjadi gangguan yang terlalu besar bagi misi inti kami, yaitu melumpuhkan pengawasan dan sensor massal
Meski penjelasan ini tidak menghapus semua kekecewaan Anda, kami berharap setidaknya ini memberi sedikit kejelasan
Fredrik Stromberg, salah satu pendiri Mullvad VPN
Saat memakai torrent juga saya biasa mengatur port forwarding, tetapi sekarang saya tahu bahwa Linux ISO tetap bisa diunduh tanpa itu. Saya cukup sering memakai Mullvad, tetapi tidak terlalu memikirkannya
Saya penasaran kapan saya akan terdampak jika port forwarding dimatikan, dengan kata lain use case apa saja yang akan terblokir
Kalau benar-benar pindah, saya akan berada dalam situasi yang sama: masih punya banyak layanan prabayar yang tidak bisa dipakai sebagaimana dimaksudkan
Penyesalan terbesar dalam karier saya adalah tidak bergabung ketika pendiri Mullvad mengirimi saya email
Banyak nilai mereka sejalan dengan nilai saya, dan penggemar teknologi yang mengutamakan kebebasan di atas kenyamanan sayangnya sangat langka. Karena itu, kebanyakan dari kita akhirnya memakai penyedia cloud besar yang berada di bawah yurisdiksi pemerintah AS
Sebagai catatan, ini benar-benar pernah menjadi masalah dalam karier saya. Karena penyedia cloud harus mengikuti sanksi AS, orang dari Kuba, Iran, dan Krimea tidak bisa memainkan gim yang saya buat. Orang di Rusia dan Ukraina bisa membeli gim kami secara legal, tetapi menyebalkan bahwa jika mereka berada di wilayah pendudukan, mereka tidak bisa memainkannya
Sedikit melebar dari topik, tetapi sangat menyegarkan melihat perusahaan yang dari luar tidak tampak mencurigakan dan menghargai kebebasan
Bahkan ada yang menolak akses meski Anda memiliki lisensi OFAC yang valid. Mungkin karena daftar kontrol aksesnya rumit, dan secara umum semuanya tidak konsisten
Karena itu, 95% waktu saya menyalakan VPN yang buruk. Saya harus menghindari sanksi AS sekaligus alat sensor negara saya sendiri
Saya bisa memahami sampai batas tertentu mengapa sanksi itu muncul puluhan tahun lalu, tetapi saya tidak tahu apakah logika itu masih berlaku. Sayangnya, yang paling terdampak oleh sanksi adalah orang biasa seperti saya. Sama sekali bukan elite penguasa
Saya melihat layanan itu bisa membantu orang yang memulai bisnis kecil, dan berpotensi memperbaiki hidup mereka
Namun, banyak orang memandang sanksi sebagai tindakan perang[0]. Jika dilihat seperti itu, tentu saja mengerikan. Itu perang, dan konsekuensi seperti perang selalu menyakiti orang-orang di lapangan
Jika atasan meminta Anda menerapkan pemblokiran wilayah karena sanksi, lakukan hanya sejauh yang diperlukan, dan jangan berlebihan sampai memblokir pengguna VPN juga. Maksudnya, jangan melanggar hukum, tetapi juga jangan membuat orang-orang di lapangan makin sulit memakai hak akses internet mereka
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
Pertama-tama, menurut saya Mullvad adalah solusi VPN komersial terbaik dan mereka melakukan pekerjaan yang baik dalam membuat perlindungan privasi yang bagus menjadi lebih mudah diakses
Namun banyak komentar di sini tampak mengangkat VPN secara umum seolah-olah itu jawaban untuk privasi internet
Saya ingin mengingatkan bahwa yang benar-benar dilindungi VPN pada dasarnya hanya dua hal: penyedia internet dan endpoint. Itu pun dengan asumsi penyedia internet tidak melakukan analisis yang mencurigakan
Meski begitu, menghilangkan dua hal ini saja sudah memberi manfaat besar bagi privasi, dan tentu saja itu layak dilakukan
Kata Radically hilang dari judul. Saya tidak kenal “Open Security”, tapi “Radically Open Security” adalah tempat saya pernah menulis makalah
Edit: u/progbits lebih cepat 1 menit dari saya https://news.ycombinator.com/item?id=37060828
Tentu saja, pada sistem yang menjadi tanggung jawab saya, mereka tidak menemukan apa pun selain beberapa komentar. Komentar itu pun rasanya hanya hal-hal yang sudah kami beri anotasi eksplisit karena ditandai alat analisis statis sebagai area yang bisa diperbaiki. Kurang lebih seperti “nama variabel ini bisa dibuat lebih baik”, “bisa disederhanakan dengan guard clause”
Tidak buruk untuk sesuatu yang dibuat dalam situasi ekstrem dan hampir tanpa tidur. Bayi 6 bulan, COVID, crunch, dan dua anak kecil yang aktif sekaligus itu neraka
Mullvad adalah satu-satunya VPN arus utama yang tidak punya masalah kepercayaan serius yang mencurigakan
Bahkan Proton VPN pun tidak oke. Orang-orang yang menelusurinya menemukan bahwa itu hanyalah versi white-label dari NordVPN
Karena tidak ada alternatif, saya berterima kasih Mullvad mendorong komitmennya terhadap integritas lebih kuat
Edit: Saya melihat riwayat tulisanmu sebentar, dan sepertinya kamu sudah berbulan-bulan mengulang klaim ini tanpa memberikan bukti apa pun. Mencurigakan
Ini “by Radically Open Security”, tapi penghapus otomatis judul HN bermasalah lagi. Bisakah penulis asli memperbaiki judul agar nama perusahaannya muncul dengan benar?
Sepertinya audit ini hanya meninjau server operasional untuk pengujian
Kalau mau berperan sebagai devil’s advocate, apa yang mencegah Mullvad memberikan versi yang sudah menghapus fitur logging kepada tim Open Security? Saya tidak ingin seskeptis ini, tapi kalau ini audit sungguhan, bukankah yang harus diperiksa adalah server yang dipakai pelanggan? Tentu dengan batasan agar auditor tidak bisa merekam informasi
Mungkin saya salah, jadi saya akan senang kalau ada yang menjelaskan. Namun saya belum yakin pengujian pada level ini membuktikan klaim no-log Mullvad
Diperlukan tingkat kepercayaan tertentu bahwa pihak yang diaudit tidak aktif menipu atau berniat jahat; kalau tidak, audit harus bisa dilakukan secara acak kapan saja
Menurut saya ini relevan untuk model ancaman ketika penyerang punya akses parsial ke server operasional. Misalnya soal tidak adanya logging yang tidak disengaja. Sebaliknya, ini tidak berlaku untuk model ancaman ketika Mullvad menyebarkan kode berbahaya
Saya merasa ini audit yang bermakna, tetapi akan lebih baik jika poin ini dinyatakan lebih eksplisit
Tentu saja ini tidak sempurna karena penyedia VPS bisa melihat salah satu sisi trafik, tetapi itu bisa dimitigasi
Mullvad adalah titik tengah yang bagus bagi orang yang tidak punya waktu atau tidak tahu caranya. Setidaknya bagus melihat mereka berusaha menjaga penampilan
Setelah itu bisa dilanjutkan dengan audit server yang benar-benar sedang digunakan
Untuk mengaudit server pelanggan yang sedang digunakan, harus ada kontrol yang cukup ketat agar auditor tidak merekam data pelanggan yang potensial
Mudah membayangkan masa depan ketika Mullvad akan kerepotan. Karena perusahaan teknologi besar bisa saja memblokir seluruh rentang bandwidth pusat data Mullvad
Hal seperti itu sudah terjadi sampai tingkat tertentu antara Cloudflare dan admin individual, dan tampaknya ada kasus ChatGPT tidak bisa digunakan saat terhubung lewat Mullvad. Setidaknya terlihat terkait
Pada akhirnya, untuk mengakses sesuatu atau melakukan scraping, mungkin akan dibutuhkan proxy residensial yang mencurigakan
VPS yang di-host sendiri juga mungkin berhasil jika perusahaannya cukup kecil untuk menghindari pemblokiran massal yang akan datang, tetapi hanya waktu yang akan menjawab
Dulu saya pindah ke Mullvad setelah membaca di HN bahwa Mullvad tidak menyimpan log dan tidak punya log untuk diberikan kepada pihak berwenang
Saya tidak punya tautannya, tetapi itu berkesan, dan audit-audit ini menjadi bukti tambahan bahwa keputusan itu tepat
Detailnya bisa dilihat di tautan, tetapi kutipannya: “Rights Alliance dan para pakar keamanannya tidak dapat membuktikan adanya kerentanan dalam sistem OVPN yang berarti log dapat disimpan”
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
Belum lama ini saya mengetahui Mullvad, dan sepertinya mereka pernah menjalin kontrak dengan Mozilla
Bagaimanapun, layanannya sangat bagus, dan mengejutkan betapa jarangnya bisa sekadar membayar sebuah layanan tanpa segala macam prosedur yang tidak perlu
Untuk membuat akun, cukup klik di sini, lalu bayar dengan salah satu dari banyak metode pembayaran yang tersedia. Bahkan termasuk pembayaran tunai lewat pos