2 poin oleh GN⁺ 2024-12-12 | 1 komentar | Bagikan ke WhatsApp
  • X41 memeriksa aplikasi Mullvad VPN melalui uji penetrasi white-box yang mencakup akses kode sumber, sekaligus menyusun model ancaman ringan
  • Target audit adalah kode Android 2024.8-beta1, iOS 2024.8, dan Desktop 2024.6, dengan asumsi berjalan di 5 platform: Linux, Windows, macOS, Android, iOS
  • Pengujian menemukan 6 kerentanan, tetapi aplikasi Mullvad VPN secara keseluruhan menunjukkan tingkat keamanan yang tinggi berdasarkan model ancaman dalam laporan
  • Isu paling serius adalah kerusakan memori akibat race condition pada signal handler dan pelanggaran temporal safety, tetapi tingkat keparahannya menjadi lebih rendah karena penyerang harus terlebih dahulu memicu sinyal melalui cacat lain
  • Beberapa kerentanan dapat berujung pada kebocoran informasi identitas pengguna oleh penyerang di jaringan sekitar atau serangan side-channel dalam kondisi tertentu, dan Mullvad VPN AB dengan cepat menerapkan perbaikannya

Cakupan audit dan karakteristik target

  • X41 melakukan uji penetrasi white-box terhadap aplikasi VPN Mullvad
    • Terdapat akses ke kode sumber, dan juga mencakup penyusunan model ancaman ringan
  • Kode sumber yang diaudit adalah versi berikut
  • Aplikasi target berukuran besar dan berjalan di 5 platform, sehingga tingkat kesulitan auditnya tinggi
    • Platform yang didukung adalah Linux, Windows, macOS, Android, dan iOS
    • Mullvad VPN telah menjalankan audit berkala, dan ditemukannya kerentanan baru pada kode yang sudah ada menunjukkan bahwa, mengingat kompleksitas produk, peninjauan keamanan berkelanjutan tetap diperlukan
  • Pada target yang sudah matang, temuan cenderung bergeser ke area di luar kendali langsung atau fokus tim pengembang aplikasi
    • Karakteristik perilaku sistem operasi
    • Interaksi antara berbagai lapisan jaringan dan protokol

Hasil temuan dan penilaian keamanan

  • Pengujian X41 menemukan total 6 kerentanan
  • Aplikasi Mullvad VPN menunjukkan tingkat keamanan yang tinggi berdasarkan model ancaman dalam laporan
    • Pola coding dan desain yang aman
    • Audit dan uji penetrasi berkala
    • Lingkungan eksekusi yang diperkuat
  • Kerentanan paling serius adalah kerusakan memori akibat race condition pada kode signal handler dan pelanggaran temporal safety
    • Setelah kode signal handler terpicu, kemungkinan eksploitasi tampaknya tidak rendah
    • Namun, karena penyerang harus terlebih dahulu memicu sinyal melalui cacat lain, tingkat keparahan keseluruhannya menjadi lebih rendah
  • Kerentanan lain dapat memungkinkan penyerang di jaringan sekitar membocorkan informasi identitas pengguna, atau memungkinkan serangan side-channel yang mengungkap situs yang sedang diakses klien dalam kondisi tertentu
    • Sebagian besar serangan side-channel telah dimitigasi
    • Pengecualiannya adalah serangan tingkat protokol yang berasal dari kombinasi beberapa teknologi seperti NAT dan varian protokol HTTP modern, yang berada di luar cakupan kendali Mullvad VPN AB
    • Pengguna yang membutuhkan keamanan dan privasi lebih tinggi dapat mempertimbangkan teknologi obfuscation dan layanan proxy di dalam VPN yang terlindungi
  • Mullvad VPN AB dengan cepat memperbaiki temuan-temuan tersebut, dan perbaikannya juga diaudit berfungsi dengan benar

Materi publik

1 komentar

 
GN⁺ 2024-12-12
Opini Hacker News
  • Tautan langsung laporan PDF: https://x41-dsec.de/static/reports/X41-Mullvad-Audit-Public-...
    Judul isu yang ditemukan antara lain kurangnya stack alternatif untuk handler sinyal, penggunaan fungsi yang tidak aman secara asinkron, kebocoran alamat IP virtual perangkat tunnel, deanonymization melalui NAT, deanonymization melalui MTU, dan sideloading dalam proses instalasi.
    Secara keseluruhan isinya cukup mudah dipahami, dan mereka banyak bertumpu pada DAITA (pertahanan terhadap analisis trafik AI). Saya belum sepenuhnya memahaminya, tetapi tampaknya layak dibaca lebih lanjut: https://mullvad.net/en/vpn/daita
    • Penanganan sinyal yang aman punya begitu banyak jebakan sampai-sampai seluruh API-nya layak dipikirkan ulang.
      Bahkan OpenSSH pun pernah punya isu terkait https://blog.qualys.com/vulnerabilities-threat-research/2024..., dan tanpa mekanisme eksplisit function coloring, tampaknya sulit membuat abstraksi yang baik di bahasa apa pun.
      Mungkin bahasa fungsional murni seperti Haskell bisa melakukannya.
    • Sepertinya makalahnya lebih mudah diikuti: https://dl.acm.org/doi/pdf/10.1145/3603216.3624953
    • Soal stack yang terlalu kecil, tidak ada bukti bahwa alokasi 8KB benar-benar kurang, dan saya juga ragu apakah itu benar-benar bisa dieksploitasi.
      Penggunaan fungsi yang tidak aman secara asinkron adalah masalah umum, tetapi sulit dieksploitasi dalam praktik; pengembang yang pernah menangani handler sinyal mungkin pernah melakukan kesalahan seperti ini karena masalah timing yang sangat sulit direproduksi.
      Kebocoran alamat ARP lebih merupakan sesuatu yang hanya bisa dieksploitasi di jaringan lokal daripada masalah Mullvad itu sendiri, serangan deanonymization berlaku untuk semua VPN dan memang bisa dibuat lebih anonim, tetapi ada biayanya.
      Sideloading mungkin isu yang paling buruk, tetapi tidak bisa dieksploitasi sendirian.
  • Saya tadinya ingin mengeluh singkat soal laporan audit publik yang mengatakan hal seperti “perusahaan ini sangat aman dan melakukan segalanya dengan baik, dan audit ini mengonfirmasinya”, tetapi ini bukan masalah khusus X41; hampir semua firma penilaian melakukan hal yang sama, dan sebagian jauh lebih parah daripada X41.
    Namun temuan mereka yang benar-benar bisa memicu kerentanan korupsi heap pada program Rust adalah tangkapan yang bagus.
    Hanya saja, pemberian tingkat keparahan tinggi untuk kerentanan berikutnya terasa seperti inflasi rating, karena tampaknya teoretis, tanpa proof of concept, dan bukan korupsi memori.
  • Ini laporan audit yang bagus.
    Bagian model ancaman terpisah adalah sesuatu yang sering dilewati banyak firma audit dalam laporan mereka.
    Saya yakin auditor sebelumnya seperti Cure53, Assured, dan Atredis juga sudah menyusun model ancaman yang tepat bersama Mullvad sebelumnya, tetapi jika tidak dituliskan secara eksplisit untuk pembaca, hasilnya bisa disalahpahami.
    • Kalau “menyusun model ancaman yang tepat bersama Mullvad sebelumnya”, bukankah itu justru membuatnya tidak bermakna?
      Jika pihak yang diaudit punya suara dalam audit atau metode serangan, sulit membayangkan hasilnya tidak bias menguntungkan pihak tersebut.
      Menurut saya cara yang paling minim bias adalah ketika pihak yang diaudit sama sekali tidak tahu apa yang akan dilakukan auditor.
      Jika Mullvad ikut campur dalam metode atau membatasi cakupan pengujian, hasilnya pada akhirnya tidak bernilai.
  • Tautan tulisan blog Mullvad: https://mullvad.net/en/blog/the-report-for-the-2024-security...
  • Ini adalah audit atas aplikasi Mullvad VPN, bukan audit atas layanannya sendiri.
  • Mullvad dulu luar biasa, tetapi karena penghentian port forwarding, torrent jadi jauh lebih buruk.
    Penghentian dukungan OpenVPN juga kurang cocok bagi saya, karena ada beberapa use case yang membutuhkannya, jadi saya berencana pindah ke tempat lain.
    Sayang sekali, karena mereka sudah lama bagus.
    • Dengan standar yang masuk akal, mereka masih luar biasa.
      Penghapusan port forwarding sangat mengurangi penyalahgunaan yang harus ditangani, dan hanya berdampak pada segelintir kecil pengguna super nerd.
    • Saya penasaran sudah berapa lama itu terjadi.
      Saya sudah cukup lama memakai Mullvad untuk torrent, dan torrent dengan sedikit seed kadang butuh waktu lama untuk mulai, tetapi akhirnya tetap terunduh.
      Untuk media yang lebih niche, kadang memang harus direncanakan beberapa hari sebelumnya.
    • Karena penghentian port forwarding, saya tetap merindukan Mullvad tetapi terpaksa pindah ke tempat lain.
    • Saya tidak tahu apa alasan mereka meninggalkan OpenVPN.
      Jujur saja, saya rasanya tidak akan mempertimbangkan penyedia yang tidak mendukung OpenVPN sama sekali, jadi saya tidak paham apa gunanya.
    • Sayang sekali mereka akan meninggalkan OpenVPN, tetapi setidaknya masih ada minimal 1 tahun lagi.
      Entah kenapa, di router saya sebagai VPN antar-situs OpenVPN bekerja jauh lebih baik dan lebih stabil.
  • Judul “X41 mengaudit aplikasi Mullvad VPN” tampaknya lebih jelas.
  • Saya memakai Mullvad VPN dengan WireGuard di OpenBSD (man wg).
    Berfungsi dengan baik, dan untuk anonimitas juga bisa membeli per bulan dengan Bitcoin.
    • Bitcoin tidak anonim.
      Apakah saya salah memahami sesuatu?
    • Saya membayar VPN dengan kartu kredit atas nama saya sendiri yang sudah saya pakai bertahun-tahun.
      Saya bukan sedang mencoba menyembunyikan fakta bahwa sesekali saya memakai VPN; ISP melihat tunnel, situs web yang dikunjungi melihat IP VPN, dan netflow menyimpan waktu, durasi, volume transfer, dan sebagainya.
      Penggunaan VPN itu sendiri bukan rahasia.
      Saya rasa sebagian besar pengguna VPN adalah orang biasa seperti saya yang menginginkan privasi dari pengiklan online dan pengumpul data.

Tidak menginginkan atau mengharapkan privasi dari penyedia VPN
Bagaimanapun juga, saya terhubung ke layanan VPN mereka dari IP ISP rumah tangga pada akun atas nama saya
Bagaimanapun Anda menyembunyikan pembayaran VPN, mereka akan tahu siapa Anda
Para teknisi, terutama orang-orang keamanan, sering kali terlalu jauh dalam masalah seperti ini sampai menjadi tidak realistis, dan terasa menjauh dari model ancaman serta kasus penggunaan di dunia nyata
Tulisan pendek James Mickens “This World of Ours” membahas topik ini dengan baik: https://www.usenix.org/system/files/1401_08-12_mickens.pdf

  • Saya menjadi penggemar Mullvad saat berkunjung ke Tiongkok
    Di antara aplikasi VPN yang saya uji, ini yang paling stabil, dan bisa dipakai hingga 5 perangkat per akun
  • Kalaupun membelinya dengan BTC, bukankah pada akhirnya Anda tetap terhubung dengan IP asli?
  • Terlepas dari ilusi anonimitas BTC, saya juga bertanya-tanya apakah itu memang penting
    Jika mereka benar-benar tidak menyimpan log seperti klaimnya, apa pun yang mereka ketahui tentang Anda, IP yang ditanyakan polisi bisa saja telah dipakai oleh siapa pun dari ribuan pelanggan, sehingga mereka tidak bisa menyerahkannya kepada pihak berwenang meskipun ingin
    Apakah ada yang saya lewatkan?
  • VPN saat ini bisnis yang bagus, tetapi saya tidak merasa mereka memperlakukan pelanggan dengan benar atau secara transparan menunjukkan apa yang mereka sediakan
    Terlihat cukup banyak omong kosong, dan ada nuansa bahwa VPN yang “keren” harus berasal dari negara Skandinavia, padahal kenyataannya kebanyakan tidak demikian
    • Saya tidak begitu memahami pernyataan ini
      Paling banter, ini hanya terkait secara pinggiran dengan artikel, dan karena ungkapannya samar, terdengar seolah topiknya, Mullvad, melakukan sesuatu yang buruk
      Mullvad menyatakan berbasis di Swedia; apakah maksudnya bukan begitu? Mereka juga membuka lokasi dan pemilik server
      Mereka menyediakan cukup banyak informasi tentang mengapa seseorang sebaiknya memakai atau tidak memakai VPN, tidak mencatat data pelanggan, sudah pindah ke infrastruktur khusus RAM, dan murah dengan satu tarif langganan tetap
      Saya penasaran, tepatnya apa yang disebut omong kosong, dan apa yang Anda ingin mereka lakukan secara berbeda
    • Saya tidak tahu apa yang diisyaratkan oleh pernyataan “VPN keren seharusnya berasal dari Skandinavia, tetapi kebanyakan tidak begitu”
      Saya tidak paham mengapa harus begitu, atau mengapa itu tidak benar
      Agar adil, satu-satunya VPN berorientasi privasi kuat yang saya tahu bukan dari Skandinavia kira-kira hanya ProtonVPN
    • Dari sudut pandang konsumen, ini kacau karena bahkan hal-hal dasar pun harus diperiksa sendiri apakah benar-benar berfungsi
      Beberapa tahun lalu saat memakai Nord, saya menemukan kegagalan senyap: tampil sebagai sudah terhubung, padahal sebenarnya tidak terhubung ke VPN, dan ketika saya laporkan, mereka menjawab bahwa itu masalah yang sudah diketahui, jadi tidak perlu khawatir
      Sejauh yang saya tahu, mereka tidak menerbitkan pengumuman keamanan
    • Saya sudah memakai Mullvad dengan puas selama sekitar 5 tahun
      Fakta bahwa mereka tidak menggelontorkan biaya iklan besar-besaran di YouTube atau situs afiliasi justru membuat saya merasa lebih tenang
      Saya juga lebih suka mereka berada di yurisdiksi yang bukan semacam tempat berlindung bagi perusahaan-perusahaan mencurigakan
      Singkatnya, saya suka karena terlihat cukup baik dan lebih sedikit omong kosong
      Saya rasa saya tidak bisa mempercayai PIA atau perusahaan semacam itu
  • Satu-satunya masalah Mullvad adalah saya jauh lebih sering menemui captcha dan pemblokiran di situs web dibandingkan VPN lain
    • YouTube dan Reddit yang paling parah
      Saya cukup yakin pemblokiran agresif itu bukan karena penyalahgunaan, melainkan karena VPN benar-benar menjadi masalah bagi pelacakan dan penambangan data
      Sering kali sebuah server keluar bisa dipakai di salah satu dari keduanya tetapi tidak di keduanya sekaligus, jadi saya curiga ada semacam koordinasi pemblokiran IP antara YouTube dan Reddit untuk membuat penggunaan VPN merepotkan dan menghalanginya
      Mengganggu ping-pong media sosial bagi pengguna VPN tampaknya menjadi strategi efektif untuk memengaruhi perilaku, dan karena keduanya pada dasarnya merupakan monopoli alami, mereka nyaris tidak berisiko kehilangan pengguna meski melakukan itu
      Ini mirip dengan bagaimana banner cookie disalahgunakan untuk mengubah perasaan orang terhadap regulasi privasi agar menguntungkan penambangan data
      Bahkan banyak teknisi percaya bahwa banner cookie yang menyebalkan adalah salah UE, padahal praktik nyatanya sering kali berupa kepatuhan yang berniat buruk, tidak perlu, atau terang-terangan ilegal
      Bagaimanapun, ini benar-benar menyebalkan, dan terasa seperti salah satu aspek dari enshittification web secara umum serta ketidakpuasan yang tumbuh cepat
    • Belakangan ini bagi saya parah
      Pada dasarnya saya diperlakukan sebagai persona non grata, dan banyak captcha sebenarnya cuma pemblokiran, tetapi tampaknya tetap mengharapkan pelatihan gratis