- Mullvad mengumumkan telah menghapus seluruh jejak penggunaan disk dari infrastruktur VPN-nya sehingga server kini beroperasi hanya dengan metode deployment RAM-only
- Langkah ini merupakan kelanjutan setelah pada awal 2022 mereka mengumumkan migrasi ke infrastruktur tanpa disk berbasis bootloader
stboot - Konfigurasi tersebut telah diaudit dua kali, pada 2022 dan 2023, dan audit server VPN berikutnya juga hanya akan mencakup deployment RAM-only
- Server menggunakan kernel Linux ringan kustom yang mengikuti pengembangan kernel mainline untuk menghadirkan fitur terbaru, peningkatan performa, dan menghapus komponen yang tidak diperlukan
- Inti dari model operasional ini adalah memastikan saat reboot atau provisioning awal, server mendapatkan kernel baru, kondisi tanpa jejak file log, dan OS yang sepenuhnya telah dipatch
Beralih ke infrastruktur VPN tanpa disk
- Mullvad mengumumkan telah menghapus seluruh jejak penggunaan disk dari infrastruktur VPN-nya
- Peralihan ini dilakukan setelah mereka mengumumkan dimulainya migrasi ke infrastruktur tanpa disk yang menggunakan bootloader
stbootpada awal 2022 - Infrastruktur VPN dengan konfigurasi ini telah diaudit dua kali
- Audit server VPN ke depan hanya akan mencakup deployment RAM-only
Kernel dan konfigurasi OS saat boot
- Semua server VPN terus menggunakan kernel Linux kustom yang telah dipangkas secara signifikan
- Pengembangan kernel mengikuti branch mainline, mengambil versi terbaru untuk mencerminkan fitur baru dan peningkatan performa
- Komponen kernel yang tidak diperlukan dihapus untuk mempertahankan konfigurasi yang ringan
- Sebelum deployment, ukuran sistem operasi saat boot berada di sedikit di atas 200MB
- Saat server di-reboot atau pertama kali diprovisikan, kondisi berikut dipastikan
- kernel yang baru dibangun
- tidak ada jejak file log
- OS yang sepenuhnya telah dipatch
1 komentar
Komentar Hacker News
Benar-benar keren. Kalau sebuah penyedia VPN peduli pada keamanan dan transparansi, kita jadi berharap mereka bertindak seperti Mullvad
Ada penyedia yang menggelontorkan uang ke influencer agar mereka mengatakan “kami mengutamakan keamanan”, sementara ada penyedia yang benar-benar fokus meningkatkan keamanan
Sebagai catatan, semuanya open source: https://github.com/system-transparency/stboot
HTTPS memang bukan obat segala masalah, tetapi pemasaran berbasis ketakutan dari perusahaan VPN besar yang beriklan di YouTube membuatnya tampak seolah seseorang akan mencuri kartu kredit Anda hanya karena Anda mengakses Amazon dari kedai kopi
Hanya Tom Scott yang saya lihat membuat video yang tepat tentang topik ini [0]
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
Bukan bermaksud memancing reaksi yang sudah bisa ditebak, tetapi menarik bahwa penyedia VPN yang punya kemampuan teknis memakai Linux alih-alih BSD, meski punya kebutuhan seperti operasi tanpa disk, kustomisasi kernel, dan keamanan yang lebih kuat
Dari sisi tanpa disk, saya pernah menjalankan lebih dari 25.000 deployment iPXE dengan Ubuntu yang sangat dikustomisasi pada server blade tanpa disk, dan hasilnya sangat bagus
Terlepas dari pilihan sistem operasi, tanpa disk itu cukup bagus. Kalau ada isu keamanan atau perlu upgrade, tinggal reboot. Hanya saja, me-reboot 25.000 server memakan waktu cukup lama bahkan di gigE
Membuat sistem penjadwalan yang menanganinya secara andal memang cukup merepotkan, tetapi hasilnya lumayan bagus
Saya penasaran dengan VPN yang mengatakan “tidak mencatat atau menyimpan log”. Bisa saja memang begitu, tetapi mereka juga bisa saja mengirim stream data real-time ke lembaga penegak hukum atau badan intelijen alih-alih menyimpannya sendiri
Kalau begitu, mengatakan “kami tidak menyimpan log” secara teknis benar
Namun ada juga perusahaan seperti OVPN yang membuktikan di pengadilan bahwa “tanpa log” itu benar[1]
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
Sistem bisa ditembus lewat celah keamanan, rekayasa sosial, serta paksaan yang mencakup sarana perang psikologis klasik seperti uang, ideologi, kelemahan, dan ego
Atau mereka bisa menerima perintah hukum dari pemerintah. Hampir semua pemerintah di dunia memiliki undang-undang dan praktik operasional yang memaksa pihak mana pun menyerahkan data atas nama pencegahan pencucian uang dan terorisme, yaitu AML/CFT
Bertahan kuat dari serangan semacam ini sangat mahal. Saya sulit melihat model bisnis yang layak dengan biaya 5 dolar per bulan yang bisa menanggung biaya operasional biasa sekaligus respons terhadap insiden seperti ini
Selain itu, ada juga backdoor yang tertanam dalam teknologi dasar yang mungkin sudah dipakai. Contohnya kasus Cavium HSM yang terungkap pekan ini
NYPD memang kabarnya membeli perangkat penyadap ponsel ilegal senilai jutaan dolar, tetapi bahkan tingkat yang bisa dicapai lembaga penegak hukum daerah terbesar di AS pun umumnya terbatas di sekitar itu
Lagi pula, bagaimana itu akan bekerja? Tanpa perintah bungkam dari pengadilan, rumor internal akan bocor dalam beberapa minggu
Peralatan terkait ponsel bisa tetap dalam tahap persiapan karena hanya pegawai kepolisian yang terlibat, tetapi cara seperti itu mustahil untuk penyedia VPN. Mereka tidak memiliki privilese tidak semestinya yang dimiliki CIA atau NSA, dan kadang FBI
Hal-hal yang bisa saya lakukan yang mungkin menarik rasa ingin tahu penegak hukum berada jauh di bawah kepentingan badan intelijen federal. Tentu saja hidup Anda mungkin lebih menarik
Untuk mengetahui apakah ada kewajiban penyadapan legal yang memengaruhi penyedia VPN, harus melihat hukum yurisdiksi terkait. Atau mungkin Mullvad bisa menjelaskannya
Swedia jelas memiliki persyaratan penyadapan legal untuk semua peralatan komunikasi, tetapi saya kurang tahu soal VPN
Menurut saya, itu berarti VPN mencatat aktivitas pelanggan lalu mengirimkannya ke tempat lain untuk disimpan
Ada hal yang selalu membuat saya penasaran soal VPN
Misalnya, kalau seorang pedofil memakai Mullvad untuk mengunduh gambar terlarang, apakah VPN yang bertanggung jawab?
Penegak hukum akan melihat IP-nya berasal dari kantor Mullvad, jadi bukankah mereka akan menganggap itu dilakukan oleh Mullvad? Saya penasaran bagaimana mereka menghindari ini
Mungkin pertanyaan bodoh, tapi saya benar-benar penasaran
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
“Namun sekalipun mereka membawa sesuatu, mereka tidak akan bisa mengakses informasi pelanggan apa pun.”
“Hukum nasional yang memungkinkan kami menjalankan layanan VPN yang berfokus pada privasi di Swedia adalah sebagai berikut.”
Di sinilah frasa “kami tidak menyimpan log apa pun” dan arsitektur yang berjalan hanya di RAM menjadi penting
Sekalipun surat perintah mengizinkan penyitaan hardware, begitu daya dimatikan semua data hilang. Penegak hukum harus membawa banyak baterai
Semoga beruntung kalau harus menjelaskan VPN dan alamat IP kepada polisi. Itulah ketakutan saya
“Mereka” bisa saja menyemprot peralatan dengan nitrogen cair, mencabutnya dari rak, lalu memasukkan DRAM ke termos berisi nitrogen cair untuk dibawa dan membaca datanya perlahan
https://ieeexplore.ieee.org/document/8388826
Fitur ini disebut forward secrecy, dan melindungi traffic masa lalu sekalipun kunci bocor di kemudian hari
WireGuard yang dipakai Mullvad mendukungnya. Entah mengapa—spekulasinya saya serahkan kepada pembaca—WPA pada Wi-Fi masih belum demikian
Kuncinya berada di dalam CPU dan diacak setiap kali boot. Menyadap chip RAM yang sedang berjalan atau membaca RAM dingin yang terawetkan sempurna pun tidak akan menghasilkan apa-apa
Ini juga salah satu alasan besar Xbox One tidak pernah diretas
Pada laptop bisnis berbasis AMD dan server AMD EPYC, SME bisa diaktifkan di BIOS
Untuk “sekadar” melakukan itu, agen harus hampir sepenuhnya menguasai infrastruktur gedung sebelum Mullvad sempat bereaksi, dan itu tidak semudah kedengarannya
Bahkan kalaupun itu hal sepele, dibandingkan layanan VPN pesaing ini tetap beberapa tingkat lebih tinggi
Namun tetap saja ini tidak mencegah serangan yang mengekstrak data real-time lewat jenis backdoor lain seperti backdoor berbasis hardware, memory injection, atau supply chain
Mereka mengatakan “kami bisa yakin bahwa saat server reboot atau pertama kali diprovisikan, server menerima kernel yang baru dibangun”; saya penasaran seberapa sering siklusnya
Harian, mingguan, atau setiap jam? Semakin panjang siklusnya, semakin rendah kemungkinan beberapa vektor serangan
Di Amerika Utara dan Eropa, VPN secara hukum wajib menyimpan 1–2 tahun riwayat penggunaan VPN, yaitu situs yang dikunjungi atau email pendaftaran
Sebagian besar perusahaan VPN mengiklankan bahwa mereka tidak menyimpan log browsing
Kalau begitu, mereka melanggar hukum Eropa dan AS
Jadi saya tidak tahu harus memandang VPN diskless seperti apa
Poin bagus yang muncul di komentar: mesin virtual bisa menyimpan snapshot seluruh state memori. Ini juga perlu diperhatikan
Kalau “kernel yang baru dibangun, tidak ada jejak file log, OS yang sepenuhnya ter-patch”, bukankah efek yang sama bisa dicapai hanya dengan memakai disk dalam mode read-only?
Dan pihak ketiga juga sulit membuktikan lewat audit bahwa sakelar itu sudah disetel dengan benar
Mereka mengatakan “semua server VPN kami terus memakai kernel Linux yang dikustomisasi dan sangat diperkecil, serta mengikuti branch mainline pengembangan kernel”; server kustom adalah titik celah dari sisi keamanan
Server umum terus diteliti dan di-patch, tapi kita tidak bisa mengharapkan hal yang sama pada server seperti ini
Jika seseorang menemukan celah keamanan, penyerang bisa membelinya, dan tidak ada yang akan tahu bahwa sistem telah disusupi