1 poin oleh GN⁺ 2023-09-21 | 1 komentar | Bagikan ke WhatsApp
  • Mullvad mengumumkan telah menghapus seluruh jejak penggunaan disk dari infrastruktur VPN-nya sehingga server kini beroperasi hanya dengan metode deployment RAM-only
  • Langkah ini merupakan kelanjutan setelah pada awal 2022 mereka mengumumkan migrasi ke infrastruktur tanpa disk berbasis bootloader stboot
  • Konfigurasi tersebut telah diaudit dua kali, pada 2022 dan 2023, dan audit server VPN berikutnya juga hanya akan mencakup deployment RAM-only
  • Server menggunakan kernel Linux ringan kustom yang mengikuti pengembangan kernel mainline untuk menghadirkan fitur terbaru, peningkatan performa, dan menghapus komponen yang tidak diperlukan
  • Inti dari model operasional ini adalah memastikan saat reboot atau provisioning awal, server mendapatkan kernel baru, kondisi tanpa jejak file log, dan OS yang sepenuhnya telah dipatch

Beralih ke infrastruktur VPN tanpa disk

  • Mullvad mengumumkan telah menghapus seluruh jejak penggunaan disk dari infrastruktur VPN-nya
  • Peralihan ini dilakukan setelah mereka mengumumkan dimulainya migrasi ke infrastruktur tanpa disk yang menggunakan bootloader stboot pada awal 2022
  • Infrastruktur VPN dengan konfigurasi ini telah diaudit dua kali
  • Audit server VPN ke depan hanya akan mencakup deployment RAM-only

Kernel dan konfigurasi OS saat boot

  • Semua server VPN terus menggunakan kernel Linux kustom yang telah dipangkas secara signifikan
  • Pengembangan kernel mengikuti branch mainline, mengambil versi terbaru untuk mencerminkan fitur baru dan peningkatan performa
  • Komponen kernel yang tidak diperlukan dihapus untuk mempertahankan konfigurasi yang ringan
  • Sebelum deployment, ukuran sistem operasi saat boot berada di sedikit di atas 200MB
  • Saat server di-reboot atau pertama kali diprovisikan, kondisi berikut dipastikan
    • kernel yang baru dibangun
    • tidak ada jejak file log
    • OS yang sepenuhnya telah dipatch

1 komentar

 
GN⁺ 2023-09-21
Komentar Hacker News
  • Benar-benar keren. Kalau sebuah penyedia VPN peduli pada keamanan dan transparansi, kita jadi berharap mereka bertindak seperti Mullvad
    Ada penyedia yang menggelontorkan uang ke influencer agar mereka mengatakan “kami mengutamakan keamanan”, sementara ada penyedia yang benar-benar fokus meningkatkan keamanan
    Sebagai catatan, semuanya open source: https://github.com/system-transparency/stboot

    • Sedikit terpisah dari itu, saya selalu terganggu ketika para penyedia VPN besar berbicara seolah-olah sebagian besar situs yang dikunjungi pengguna bukan HTTPS, lalu mengiklankan bahwa mengisi celah yang sudah ditutup oleh HTTPS adalah manfaat utama mereka
      HTTPS memang bukan obat segala masalah, tetapi pemasaran berbasis ketakutan dari perusahaan VPN besar yang beriklan di YouTube membuatnya tampak seolah seseorang akan mencuri kartu kredit Anda hanya karena Anda mengakses Amazon dari kedai kopi
      Hanya Tom Scott yang saya lihat membuat video yang tepat tentang topik ini [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • stboot beserta komponen pendukung dan dokumentasinya telah dipindahkan ke GitLab terpisah: https://git.glasklar.is/system-transparency/core/stboot
  • Bukan bermaksud memancing reaksi yang sudah bisa ditebak, tetapi menarik bahwa penyedia VPN yang punya kemampuan teknis memakai Linux alih-alih BSD, meski punya kebutuhan seperti operasi tanpa disk, kustomisasi kernel, dan keamanan yang lebih kuat

    • Dari sudut pandang saya, kumpulan orang yang bisa direkrut dan benar-benar memahami Linux jauh lebih besar. Keuntungannya cukup besar untuk menanggung isu keamanan yang dipersepsikan
      Dari sisi tanpa disk, saya pernah menjalankan lebih dari 25.000 deployment iPXE dengan Ubuntu yang sangat dikustomisasi pada server blade tanpa disk, dan hasilnya sangat bagus
      Terlepas dari pilihan sistem operasi, tanpa disk itu cukup bagus. Kalau ada isu keamanan atau perlu upgrade, tinggal reboot. Hanya saja, me-reboot 25.000 server memakan waktu cukup lama bahkan di gigE
      Membuat sistem penjadwalan yang menanganinya secara andal memang cukup merepotkan, tetapi hasilnya lumayan bagus
    • Apakah ada BSD yang lebih baik untuk penggunaan seperti ini?
  • Saya penasaran dengan VPN yang mengatakan “tidak mencatat atau menyimpan log”. Bisa saja memang begitu, tetapi mereka juga bisa saja mengirim stream data real-time ke lembaga penegak hukum atau badan intelijen alih-alih menyimpannya sendiri
    Kalau begitu, mengatakan “kami tidak menyimpan log” secara teknis benar

    • Pelaku jahat pasti bisa saja ada
      Namun ada juga perusahaan seperti OVPN yang membuktikan di pengadilan bahwa “tanpa log” itu benar[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • Bahkan untuk perusahaan yang jujur, tekanannya datang dari dua arah. Satu adalah keamanan, dan satu lagi tekanan hukum
      Sistem bisa ditembus lewat celah keamanan, rekayasa sosial, serta paksaan yang mencakup sarana perang psikologis klasik seperti uang, ideologi, kelemahan, dan ego
      Atau mereka bisa menerima perintah hukum dari pemerintah. Hampir semua pemerintah di dunia memiliki undang-undang dan praktik operasional yang memaksa pihak mana pun menyerahkan data atas nama pencegahan pencucian uang dan terorisme, yaitu AML/CFT
      Bertahan kuat dari serangan semacam ini sangat mahal. Saya sulit melihat model bisnis yang layak dengan biaya 5 dolar per bulan yang bisa menanggung biaya operasional biasa sekaligus respons terhadap insiden seperti ini
      Selain itu, ada juga backdoor yang tertanam dalam teknologi dasar yang mungkin sudah dipakai. Contohnya kasus Cavium HSM yang terungkap pekan ini
    • Saya tidak melihat Houston Police Department, atau kepolisian kota mana pun, cukup canggih untuk menjalankan operasi penyedotan data backbone serat optik ala NSA
      NYPD memang kabarnya membeli perangkat penyadap ponsel ilegal senilai jutaan dolar, tetapi bahkan tingkat yang bisa dicapai lembaga penegak hukum daerah terbesar di AS pun umumnya terbatas di sekitar itu
      Lagi pula, bagaimana itu akan bekerja? Tanpa perintah bungkam dari pengadilan, rumor internal akan bocor dalam beberapa minggu
      Peralatan terkait ponsel bisa tetap dalam tahap persiapan karena hanya pegawai kepolisian yang terlibat, tetapi cara seperti itu mustahil untuk penyedia VPN. Mereka tidak memiliki privilese tidak semestinya yang dimiliki CIA atau NSA, dan kadang FBI
      Hal-hal yang bisa saya lakukan yang mungkin menarik rasa ingin tahu penegak hukum berada jauh di bawah kepentingan badan intelijen federal. Tentu saja hidup Anda mungkin lebih menarik
    • Sistem penyadapan legal sudah bekerja seperti ini sejak 1990-an
      Untuk mengetahui apakah ada kewajiban penyadapan legal yang memengaruhi penyedia VPN, harus melihat hukum yurisdiksi terkait. Atau mungkin Mullvad bisa menjelaskannya
      Swedia jelas memiliki persyaratan penyadapan legal untuk semua peralatan komunikasi, tetapi saya kurang tahu soal VPN
    • Itu tampaknya penafsiran yang cukup unik terhadap pencatatan log
      Menurut saya, itu berarti VPN mencatat aktivitas pelanggan lalu mengirimkannya ke tempat lain untuk disimpan
  • Ada hal yang selalu membuat saya penasaran soal VPN
    Misalnya, kalau seorang pedofil memakai Mullvad untuk mengunduh gambar terlarang, apakah VPN yang bertanggung jawab?
    Penegak hukum akan melihat IP-nya berasal dari kantor Mullvad, jadi bukankah mereka akan menganggap itu dilakukan oleh Mullvad? Saya penasaran bagaimana mereka menghindari ini
    Mungkin pertanyaan bodoh, tapi saya benar-benar penasaran

    • Mullvad sebenarnya pernah digeledah polisi karena kasus serupa, dan penjelasannya ada di sini:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      “Namun sekalipun mereka membawa sesuatu, mereka tidak akan bisa mengakses informasi pelanggan apa pun.”
      “Hukum nasional yang memungkinkan kami menjalankan layanan VPN yang berfokus pada privasi di Swedia adalah sebagai berikut.”
    • Saya bukan pengacara, tapi sepengetahuan saya biasanya ini masuk dalam ranah Section 230. Karena logika yang sama bisa diterapkan pada Comcast, AT&T, dan perusahaan lain yang membiarkan byte lewat di atas infrastruktur mereka
    • Maka penyelidikan biasanya hanya berlanjut ke arah mengirim surat perintah atau subpoena ke layanan VPN untuk meminta materi terkait seperti detail pengguna akun tersebut dan log
      Di sinilah frasa “kami tidak menyimpan log apa pun” dan arsitektur yang berjalan hanya di RAM menjadi penting
      Sekalipun surat perintah mengizinkan penyitaan hardware, begitu daya dimatikan semua data hilang. Penegak hukum harus membawa banyak baterai
    • Tidak bisa dihindari. Karena itu mereka dulu pernah digeledah polisi, dan akhirnya tidak lagi menyediakan port forwarding
    • Tapi bayangkan Anda login ke VPN itu, mencari sweater anak-anak untuk anak Anda, dan membiarkan sesi tetap aktif. Sementara itu penegak hukum menelusuri IP yang terkait dengan aktivitas sebelumnya, dan IP itu sekarang dialokasikan kepada Anda
      Semoga beruntung kalau harus menjelaskan VPN dan alamat IP kepada polisi. Itulah ketakutan saya
  • “Mereka” bisa saja menyemprot peralatan dengan nitrogen cair, mencabutnya dari rak, lalu memasukkan DRAM ke termos berisi nitrogen cair untuk dibawa dan membaca datanya perlahan
    https://ieeexplore.ieee.org/document/8388826

    • Dengan protokol enkripsi modern, cara itu tetap tidak menghasilkan apa-apa
      Fitur ini disebut forward secrecy, dan melindungi traffic masa lalu sekalipun kunci bocor di kemudian hari
      WireGuard yang dipakai Mullvad mendukungnya. Entah mengapa—spekulasinya saya serahkan kepada pembaca—WPA pada Wi-Fi masih belum demikian
    • Prosesor AMD mendukung RAM terenkripsi yang disebut SME[1]
      Kuncinya berada di dalam CPU dan diacak setiap kali boot. Menyadap chip RAM yang sedang berjalan atau membaca RAM dingin yang terawetkan sempurna pun tidak akan menghasilkan apa-apa
      Ini juga salah satu alasan besar Xbox One tidak pernah diretas
      Pada laptop bisnis berbasis AMD dan server AMD EPYC, SME bisa diaktifkan di BIOS
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Kata “saja” di sini memikul banyak beban
      Untuk “sekadar” melakukan itu, agen harus hampir sepenuhnya menguasai infrastruktur gedung sebelum Mullvad sempat bereaksi, dan itu tidak semudah kedengarannya
      Bahkan kalaupun itu hal sepele, dibandingkan layanan VPN pesaing ini tetap beberapa tingkat lebih tinggi
    • Itu jauh lebih banyak pekerjaan dibanding mencabut SSD dan membaca file log, dan tampaknya peluang salahnya juga jauh lebih besar
  • Namun tetap saja ini tidak mencegah serangan yang mengekstrak data real-time lewat jenis backdoor lain seperti backdoor berbasis hardware, memory injection, atau supply chain
    Mereka mengatakan “kami bisa yakin bahwa saat server reboot atau pertama kali diprovisikan, server menerima kernel yang baru dibangun”; saya penasaran seberapa sering siklusnya
    Harian, mingguan, atau setiap jam? Semakin panjang siklusnya, semakin rendah kemungkinan beberapa vektor serangan

  • Di Amerika Utara dan Eropa, VPN secara hukum wajib menyimpan 1–2 tahun riwayat penggunaan VPN, yaitu situs yang dikunjungi atau email pendaftaran
    Sebagian besar perusahaan VPN mengiklankan bahwa mereka tidak menyimpan log browsing
    Kalau begitu, mereka melanggar hukum Eropa dan AS
    Jadi saya tidak tahu harus memandang VPN diskless seperti apa

  • Poin bagus yang muncul di komentar: mesin virtual bisa menyimpan snapshot seluruh state memori. Ini juga perlu diperhatikan

  • Kalau “kernel yang baru dibangun, tidak ada jejak file log, OS yang sepenuhnya ter-patch”, bukankah efek yang sama bisa dicapai hanya dengan memakai disk dalam mode read-only?

    • Sekarang disk tidak selalu punya sakelar read-only. Saya agak kangen dengan takik fisik pada floppy disk
      Dan pihak ketiga juga sulit membuktikan lewat audit bahwa sakelar itu sudah disetel dengan benar
  • Mereka mengatakan “semua server VPN kami terus memakai kernel Linux yang dikustomisasi dan sangat diperkecil, serta mengikuti branch mainline pengembangan kernel”; server kustom adalah titik celah dari sisi keamanan
    Server umum terus diteliti dan di-patch, tapi kita tidak bisa mengharapkan hal yang sama pada server seperti ini
    Jika seseorang menemukan celah keamanan, penyerang bisa membelinya, dan tidak ada yang akan tahu bahwa sistem telah disusupi