2 poin oleh GN⁺ 2023-11-11 | 1 komentar | Bagikan ke WhatsApp
  • Setelah menghapus jejak disk dari infrastruktur VPN, Mullvad juga memindahkan layanan DNS Terenkripsi terpisah ke operasi berbasis RAM
  • Pada perangkat yang tidak terhubung ke VPN, layanan ini mengenkripsi kueri DNS, sehingga pihak ketiga sulit mengintip isi pencarian antara perangkat dan server DNS Mullvad
  • Layanan ini dapat digunakan gratis bahkan oleh pengguna yang bukan pelanggan berbayar, dan ditujukan bagi pengguna yang menginginkan DNS yang telah diaudit serta pemblokiran konten opsional
  • Mullvad menyediakan server di seluruh dunia dan panduan konfigurasi, tetapi jika digunakan bersama VPN, layanan ini selalu lebih lambat dibanding resolver DNS dari server VPN yang terhubung, sehingga tidak direkomendasikan
  • Server DNS Terenkripsi juga menggunakan kernel Linux serta pengaturan keamanan dan privasi yang sama dengan infrastruktur VPN, melanjutkan arah pengoperasian infrastruktur stateless dari RAM

DNS Terenkripsi juga beralih ke basis RAM

  • Mullvad baru-baru ini menyelesaikan migrasi untuk menghapus jejak disk yang digunakan dalam infrastruktur VPN
  • Dengan peralihan ini, layanan DNS Terenkripsi juga kini berjalan dari RAM
  • Ini merupakan langkah berikutnya dalam upaya Mullvad mengoperasikan infrastruktur stateless dari RAM

Cara mengenkripsi kueri DNS

  • DNS Terenkripsi juga dikenal sebagai DNS over TLS dan DNS over HTTPS
  • Saat tidak terhubung ke layanan VPN, layanan ini mengenkripsi kueri DNS antara perangkat dan server DNS Mullvad
  • Cara ini digunakan untuk mencegah pihak ketiga mengintip kueri DNS

Sasaran penggunaan dan batasan praktis

  • Layanan ini terutama ditujukan untuk digunakan saat tidak terhubung ke server Mullvad VPN
  • Dapat digunakan sepenuhnya gratis terlepas dari apakah pengguna adalah pelanggan berbayar atau bukan
  • Siapa pun yang menginginkan layanan DNS Terenkripsi yang tepercaya dan telah diaudit, serta pemblokiran konten opsional, dapat menggunakannya
  • Layanan ini disediakan dari server yang berlokasi di seluruh dunia, dan dapat dikonfigurasi melalui panduan konfigurasi di situs web Mullvad
  • Layanan ini juga dapat digunakan bersama layanan VPN, tetapi tidak direkomendasikan karena selalu lebih lambat dibanding menggunakan resolver DNS dari server VPN yang terhubung

Konfigurasi keamanan yang diselaraskan dengan infrastruktur VPN

  • Semua server DNS Terenkripsi dikonfigurasi dengan kernel Linux yang sama seperti infrastruktur VPN
  • Tingkat keamanan dan privasinya juga diselaraskan agar sama dengan infrastruktur VPN

1 komentar

 
GN⁺ 2023-11-11
Opini Hacker News
  • DNS terenkripsi Mullvad bisa digunakan siapa saja, terlepas dari apakah mereka pengguna VPN berbayar atau tidak
    Selain itu, mereka juga mendukung pemblokiran konten opsional lewat daftar blokir, jadi cukup atur server DNS TLS/HTTPS yang diinginkan
    [1] https://github.com/mullvad/dns-blocklists

    • Sebagai catatan, profil DNS terenkripsi mandiri untuk macOS (file .mobileconfig) tidak berfungsi jika menggunakan Little Snitch atau Lulu untuk mencegah lalu lintas jaringan yang tidak diinginkan
      Ini adalah keterbatasan macOS yang belum diperbaiki Apple
    • Saya kurang paham model ancaman DNS terenkripsi
      Untuk mengakses sebuah situs, kita perlu mendapatkan IP lewat DNS, tetapi ISP atau penyedia VPN bisa melihat fakta bahwa saya terhubung ke IP itu, entah baru saja dicari atau sudah diketahui sebelumnya
      Kecuali modelnya adalah kebocoran ke DNS yang dicatat oleh pihak lain saat tetap memakai VPN, saya tidak begitu mengerti mengapa ini diperlukan
  • Saya penasaran apakah ini server fisik atau VM
    Beberapa jenis VM bisa dihentikan, di-snapshot, digandakan, atau direplikasi secara live hingga mencakup isi memori, misalnya untuk merespons permintaan resmi, dan pada host bare metal seseorang bisa mengakses bagian dalam VM atau container
    Saya penasaran apakah ada diagram konfigurasi fisik yang dipublikasikan
    Kalau ada arsitek Mullvad di sini, semoga bisa membantu agar pembahasan tidak terjebak pada asumsi teoretis dan tumpukan kura-kura tanpa akhir

    • Mullvad banyak mendorong System Transparency, dan karena ini adalah sistem keamanan yang dirancang khusus untuk bare metal, rasanya cukup aman untuk menganggap ini berbasis bare metal
      https://www.system-transparency.org
    • Server fisik pun secara harfiah bisa dibekukan untuk mengekstrak data dari RAM
    • Setelah dipikir lagi, VM tidak selalu diperlukan
      Ada alat yang menggunakan eBPF untuk mengekstrak aliran data saat ada permintaan berdasarkan parameter tertentu
      Alat seperti Sysdig/Falco juga mungkin bisa melakukannya, dan akan berguna mengetahui apakah mereka mengompilasi kernel sendiri untuk menonaktifkan eBPF, atau melakukan hardening kernel tambahan untuk menghapus atau mematikan fungsi debugging saat diminta
    • Ini bisa diatasi dengan mendistribusikannya memakai software yang menghapus fitur suspend VM, atau dengan melepas disk dari server bare metal dan membuatnya hanya boot lewat PXE
      Dengan begitu tidak ada objek yang bisa di-suspend
    • Kalau mengajukan pertanyaan seperti ini, mungkin sebaiknya Anda meng-host VPN sendiri
  • Dari sudut pandang orang luar yang naif, saya penasaran, apakah RAM pada 2023 mengenkripsi seluruh isinya?
    Saya penasaran apakah isi RAM bisa dibuat terlupakan dengan andal dengan mematikan daya dan membuat kunci enkripsi tertentu di memori yang lebih kecil dan lebih volatil hilang
    Saya juga penasaran apa yang sudah dilakukan untuk memitigasi serangan cold boot pada RAM, apa yang berubah di hardware, dan apakah kunci enkripsi isi RAM disimpan di tempat seperti TPM

    • Dalam kasus ini, inti dari berjalan di RAM tampaknya adalah tidak adanya penyimpanan non-volatil
      Tentu saja, jika server ditembus secara fisik, hal buruk bisa terjadi, tetapi karena tidak ada tempat untuk menyimpan malware secara permanen dan tidak bisa meninggalkan log di penyimpanan lokal baik karena kesalahan maupun kesengajaan, mengambil alih server secara berkelanjutan menjadi lebih sulit
      Mengenkripsi isi RAM bisa memberi perlindungan tambahan, tetapi jika diimplementasikan dengan benar, apa yang tersisa di RAM kemungkinan besar secara realistis hanya sedikit lebih menarik daripada apa yang bisa dilihat di jalur jaringan
      Paling-paling mungkin hanya sejumlah sangat kecil data permintaan aktif, tetapi itu sekadar dugaan
    • AMD menyediakan enkripsi RAM pada CPU server Threadripper dan Ryzen PRO untuk workstation/laptop. Harus diaktifkan di BIOS
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Tidak. Setidaknya tidak andal. Ini karena kuncinya juga disimpan di RAM. Misalnya saat dalam mode standby atau ketika hanya menutup penutup laptop
      Ada juga flag reboot EFI yang bisa diperbaiki agar RAM dipaksa dihapus saat boot berikutnya, tetapi biasanya dinonaktifkan
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack Di Windows, ini masih berfungsi berkat BitLocker
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • Bukankah itu yang dilakukan Intel TME?
  • Saya menghubungi Mullvad dan mereka mengonfirmasi bahwa mereka hanya memakai bare metal, tanpa virtualisasi atau container sama sekali
    https://ibb.co/XLDQGGt

  • Saya memakai DNS DoH Cloudflare (https://1.1.1.1) dan men-tunnel-nya di atas Mullvad VPN
    Dengan cara ini Mullvad hanya bisa melihat IP yang saya kunjungi, Cloudflare hanya melihat permintaan DNS dari IP VPN, dan ISP tidak bisa melihat apa pun
    DNS DoH Mullvad juga terlihat bagus, tetapi saya tidak akan memakainya karena mungkin privasi lebih rendah dibanding cara di atas

    • Sayangnya, jika Mullvad mau, mereka bisa melihat SNI dari semua koneksi TLS. ECH belum benar-benar digunakan secara luas
    • Sepertinya memakai DNS lain di Mullvad tidak direkomendasikan. Itu membuat Anda lebih mudah diidentifikasi
  • Saya ingin melihat statistik sebenarnya, tetapi berdasarkan insting dari pernah mengoperasikan aplikasi data yang intensif baca/tulis dengan SSD dan ECC RAM, keduanya cukup sering rusak, jadi dari sisi resiliensi, perubahan ini terasa hampir seperti peningkatan yang tidak terlalu berarti
    Namun upaya untuk memeras performa murni beberapa persen lagi tetap patut diapresiasi. Sepertinya ini akan jadi proyek Redis yang menarik

    • Intinya bukan itu. Mullvad berjanji tidak menyimpan log, dan cara terbaik untuk menunjukkannya adalah tidak menempatkan penyimpanan persisten sama sekali di server
      Kemungkinan mereka akan melakukan boot jaringan dari image baca-saja
      Mereka sudah melakukan ini di server VPN, dan sekarang menerapkan strategi yang sama ke server DNS
    • Apakah kamu pernah melihat ECC rusak sesering itu? Di pihak kami, meski bandwidth tidak terlalu besar, ECC RAM luar biasa stabil
      Saya penasaran apakah ada datasheet atau semacamnya yang menunjukkan tingkat kegagalannya
  • Saya sangat puas dengan semua yang dilakukan Mullvad, tetapi jadi kecewa ketika mereka mengumumkan akan menghentikan port forwarding, yang penting untuk sebagian konfigurasi saya yang cukup khusus
    Saya memahami alasannya, tetapi kalau suatu hari mereka menyediakannya lagi, saya dengan senang hati akan kembali menjadi pelanggan

    • Sejauh yang saya pahami, port forwarding VPN pada dasarnya seperti memasang papan bertuliskan “operator botnet dipersilakan
      Dari sudut pandang Mullvad, manfaat mematikannya lebih besar daripada kerugiannya
  • Ada yang tahu bagaimana keamanan Mullvad VPN dibandingkan dengan Proton VPN?

    • Kalau menginginkan privasi, Mullvad hampir selalu jadi pilihan utama
      Mereka punya rekam jejak menahan permintaan aparat penegak hukum, karena memang tidak ada yang bisa mereka serahkan
      Semuanya berjalan di RAM dan hilang begitu server dimatikan; mereka benar-benar tidak menyimpan apa pun
      Kamu juga bisa mengirim uang tunai lewat pos atau membeli akun Mullvad dengan kripto. Tidak perlu membuat akun dengan alamat email atau semacamnya
    • “Pada April 2019, dalam kasus tindak pidana yang jelas, berdasarkan perintah otoritas peradilan Swiss, kami mengaktifkan IP logging untuk akun pengguna tertentu yang terlibat dalam aktivitas ilegal yang melanggar hukum Swiss
      Berdasarkan hukum Swiss, pengguna tersebut diberi tahu sebelum datanya digunakan dalam proses pidana dan diberi kesempatan untuk menanggapinya di pengadilan”
    • VPN tidak memberikan keamanan
      Yang dilakukan VPN hanyalah menerobos pemblokiran geografis, dan mungkin membantu menghindari pemberitahuan DMCA saat mengunduh konten bajakan
  • Penyedia VPN OVPN (ovpn.com) juga sudah melakukan pendekatan ini