2 puntos por GN⁺ 2023-08-10 | 1 comentarios | Compartir por WhatsApp
  • Mullvad encargó a la firma de seguridad neerlandesa Radically Open Security (RoS) la tercera auditoría de su infraestructura VPN, revisando 1 servidor OpenVPN y 1 servidor WireGuard que se ejecutan en RAM
  • Los servidores auditados usaban un sistema operativo personalizado basado en Ubuntu 22.04 LTS con Linux kernel 6.3.2, y aunque fueron desplegados como servidores de producción, nunca se usaron para conexiones reales de clientes
  • RoS verificó la configuración interna y externa de los servidores, así como si existía registro de la actividad de los clientes, y no encontró registro de datos de clientes ni filtración de información
  • En la prueba de penetración se detectaron 1 High, 6 Elevated, 4 Moderate, 10 Low y 4 info, y las correcciones principales se desplegaron a finales de junio de 2023, seguidas de una nueva prueba y validación en julio
  • Mullvad reforzó la auditoría del acceso administrativo por SSH, evaluó eliminar SSH y mejoró la autenticación de Telegraf; algunos cambios adicionales se desplegarán más adelante

Alcance de la auditoría y reporte público

  • Mullvad encargó a Radically Open Security la tercera auditoría de seguridad de su infraestructura VPN
  • Esta auditoría se centró en 2 servidores VPN que se ejecutan en RAM
    • 1 servidor OpenVPN
    • 1 servidor WireGuard
  • RoS completó la auditoría a mediados de junio de 2023, y muchas correcciones se desplegaron a finales de junio de 2023
  • En julio de 2023 se realizó una nueva prueba y validación adicional
  • El informe final se publicó como ROS - Mullvad VPN 2023.pdf

Configuración de los servidores de prueba y puntos verificados

  • RoS recibió acceso SSH completo a 2 servidores VPN que se ejecutan en RAM
  • Los servidores auditados usaban un sistema operativo personalizado basado en Ubuntu 22.04 LTS con una versión reducida y reciente del kernel de Linux, 6.3.2
  • Estos servidores fueron aprovisionados y desplegados como si fueran servidores de producción orientados a clientes, pero nunca se utilizaron para conexiones reales de clientes
  • El alcance de la verificación se resumió en tres áreas
    • Seguridad y configuración interna del servidor
    • Seguridad y configuración externa del servidor
    • Si existía registro de la actividad de los clientes
  • RoS también propuso revisar el código fuente de varios binarios en ejecución dentro del sistema y realizar una revisión de seguridad a nivel de hardware, pero Mullvad lo excluyó
    • Esta auditoría se limitó al estado “después de que el sistema está en ejecución y lo usan los clientes”

Resultados generales

  • RoS no encontró registro de datos de clientes ni filtración de información
  • El relay de Mullvad VPN evaluado fue descrito como una “arquitectura madura”
  • En esta prueba de penetración se encontraron 25 problemas en total
    • 1 High
    • 6 Elevated
    • 4 Moderate
    • 10 Low
    • 4 info

MLL-024: tráfico multihop de producción expuesto al sistema de prueba

  • MLL-024 fue clasificado como un problema de severidad High
  • RoS determinó que el tráfico de usuarios de producción podía ser visible para un usuario de pruebas de penetración
  • El servidor auditado no estaba expuesto para conexiones de clientes, no se anunciaba en la lista de servidores y no se ofrecía a los usuarios
  • Sin embargo, estos servidores estaban conectados a la función multihop de WireGuard
    • Si un cliente escaneaba IPs, podía enviar tráfico a ese servidor usando un proxy SOCKS5 mientras estaba conectado a otro servidor VPN
    • No había ningún mecanismo para bloquearlo
  • Lo que RoS pudo confirmar fue únicamente la IP de la interfaz interna de WireGuard
    • Esa interfaz solo se usa para tráfico multihop por SOCKS5
    • Por lo tanto, correspondía al servidor WireGuard de entrada
  • Mullvad consideró que, si no se hubiera proporcionado un servidor de producción, la auditoría no habría sido válida como auditoría de un servidor de producción, y que no había forma de evitar una situación en la que el tráfico de clientes fuera visible en el servidor

MLL-019: escalada de privilegios a root mediante temporizadores de systemd y permisos de directorio

  • MLL-019 fue clasificado como un problema de severidad Elevated
  • Una cuenta del sistema con bajos privilegios podía escalar a privilegios de root manipulando el contenido de un script de temporizador de systemd
  • Tras discutirlo con RoS, Mullvad consideró que la causa principal era el uso de directorios home anidados y la inclusión del usuario administrador en el grupo mad
  • La estructura anidada del directorio /home/mad es un remanente heredado de antes de la migración a los servidores VPN basados en RAM
  • Como medida a corto plazo, se eliminó a todos los usuarios administradores del grupo mad
  • El script relacionado se movió a /opt/local_checks, y RoS reconoció que esta medida resolvía el problema

MLL-045: acceso administrativo a máquinas de producción

  • MLL-045 fue clasificado como un problema de severidad Moderate
  • Como los servidores VPN permitían inicio de sesión remoto de administradores, técnicamente un administrador podía interceptar el tráfico VPN de usuarios de producción
  • Mullvad ya conocía este problema y, tras discutirlo con RoS, reafirmó su plan existente
  • Hay dos medidas planificadas
    • Implementar un sistema que haga auditables los inicios de sesión no autorizados y registre todos los comandos usados en el servidor sin sus argumentos
    • Investigar una forma de eliminar por completo el soporte de SSH
  • Si se elimina SSH, tampoco los administradores podrán habilitar el registro del tráfico de clientes mediante SSH
  • La eliminación de SSH tomará más tiempo para hacerse correctamente

MLL-016: contraseña de Telegraf compartida entre servidores

  • MLL-016 fue clasificado como un problema de severidad Low
  • Las credenciales de la base de datos Influx de Telegraf compartidas en todos los servidores VPN permitían manipular métricas globales de los servidores
    • Uso de CPU
    • Uso de disco
    • Métricas de red
  • Mullvad introdujo certificados de cliente para autenticación usando la infraestructura PKI de Hashicorp Vault
  • Esta medida ya quedó implementada
  • Mullvad planea evaluar el uso de estos certificados también en otras partes de su infraestructura

Cambios posteriores

  • Solo se resumieron algunos casos interesantes entre los problemas encontrados en la auditoría
  • Se desplegarán más cambios próximamente

1 comentarios

 
GN⁺ 2023-08-10
Opiniones de Hacker News
  • De verdad respeto la actitud de Mullvad de aceptar pérdidas comerciales para darles más seguridad y estabilidad a los clientes que se quedan
    La primera vez que lo sentí fue cuando desactivaron la renovación automática con PayPal, porque para mantenerla tenían que guardar información personal junto con la cuenta
    Pero para mí hubo un sacrificio de más: desactivaron el reenvío de puertos. Como no guardan información de contacto para avisarles a los clientes, un día la conexión simplemente empezó a fallar de repente, y me quedé con varios meses de servicio prepago
    Eso me dejó un sabor algo amargo, pero la buena impresión que se ganaron con sus textos técnicos y sus decisiones de seguridad es suficiente como para que prefiera que se queden con el dinero. Es la única VPN que no me parece sospechosa, así que espero que les vaya bien
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • Lamentamos sinceramente las molestias
      Avisar con apenas 30 días de anticipación sobre la eliminación de una función como esta no es, en general, la forma en que queremos operar como negocio. Entendemos que los clientes que dependían de esta función se hayan sentido decepcionados tanto por su eliminación como por la forma en que se gestionó
      Aun así, fue la decisión correcta. En los últimos meses, las formas y la escala de los abusos crecieron demasiado como para que pudiéramos seguir ofreciéndola. Esta función debió haberse eliminado mucho antes, con un período de gracia más largo. No hacerlo fue un error nuestro, y algunos usuarios, incluido tú, salieron perjudicados
      Por supuesto, puedes recibir un reembolso por el servicio prepago que ya no puedes usar
      Si querías usar el reenvío de puertos para hacer que algún servicio fuera accesible desde Internet pública, hay muchos buenos proveedores de hosting que con gusto te ofrecerán ese servicio
      Si tu objetivo era hacer que un servicio fuera accesible y mantener el anonimato, recomendamos fuertemente la función onion service de Tor. Fue creada precisamente pensando en ese caso de uso
      Si tu objetivo era hacer que un servicio fuera accesible desde Internet pública y, al mismo tiempo, mantener el anonimato, no tenemos una buena opción para recomendar
      Tuvimos que eliminar el reenvío de puertos por razones morales. Estaba interfiriendo demasiado con nuestra misión central de neutralizar la vigilancia masiva y la censura
      Aunque esta explicación no alcance a aliviar toda la decepción, espero que al menos aporte algo de claridad
      Fredrik Stromberg, cofundador de Mullvad VPN
    • Siento que esta situación se pudo haber evitado. Tal vez podrían haber puesto una advertencia grande y clara en el flujo de pago o de registro, indicando que había que configurar el cliente para sondear directamente un endpoint RSS al que pudieran enviar avisos
    • Soy principiante en redes, así que no sé bien qué tan importante es esto. Antes he hecho reenvío de puertos en el router para acceder a mi sistema Plex desde fuera de casa
      También solía configurar reenvío de puertos al usar torrents, pero ahora sé que puedo descargar ISO de Linux sin eso. Aunque uso bastante Mullvad, no me preocupó mucho
      Me pregunto desde cuándo me afectaría que el reenvío de puertos se desactive; es decir, qué casos de uso quedan bloqueados
    • Después de que desactivaron el reenvío de puertos, me pasé a ProtonVPN. Parece la siguiente mejor opción, y por ahora siguen diciendo que no tienen intención de quitar el reenvío de puertos
    • Me alegra haber leído esto. A principios de año estaba evaluando mudarme a Mullvad, pero no me alcanzó el presupuesto y lo dejé en pausa; esto es una condición que rompe el trato
      Si me hubiera cambiado de verdad, habría quedado en la misma situación, con bastante servicio prepago que no podría usar como quería
  • El mayor arrepentimiento de mi carrera es no haberme sumado cuando el fundador de Mullvad me mandó un correo
    Gran parte de sus valores coincide con los míos, y lamentablemente son muy pocos los entusiastas de la tecnología que ponen la libertad por encima de la comodidad. Por eso, la mayoría terminamos usando grandes proveedores de nube bajo jurisdicción del gobierno de Estados Unidos
    Para aclarar de antemano, esto de hecho me causó problemas en mi carrera. Como los proveedores de nube tienen que cumplir con las sanciones de Estados Unidos, si eras de Cuba, Irán o Crimea no podías jugar el juego que yo hice. Me molestaba que en Rusia y Ucrania pudieran comprar legalmente nuestro juego, pero si estaban en territorio ocupado no pudieran jugarlo
    Me fui un poco por las ramas, pero es realmente refrescante ver, desde afuera, una empresa que no parece sospechosa y que valora la libertad

    • Como cubano, esto a veces es molesto y a veces es más que eso. Algunos proveedores de nube son completamente inaccesibles, otros sí están permitidos, y otros permiten algunos servicios pero bloquean otros
      Incluso hay lugares que niegan el acceso aunque tengas una licencia válida de la OFAC. Supongo que será porque las listas de control de acceso son complicadas; en general, todo es muy inconsistente
      Por eso, el 95% del tiempo tengo activada una VPN bastante mala. Porque tengo que esquivar tanto las sanciones de Estados Unidos como los mecanismos de censura de mi propio país
      Entiendo en cierta medida por qué surgieron las sanciones hace décadas, pero no sé si esa lógica todavía se sostiene. Tristemente, quienes más sienten el impacto de las sanciones son las personas comunes como yo. La élite gobernante, para nada
    • Yo también me enojé cuando tuve que implementar seguimiento por GeoIP para bloquear ciertos países, porque pensaba en la gente que perdería acceso al servicio gratuito que ofrecíamos
      Creía que ese servicio podía ayudar a alguien que estuviera empezando un pequeño negocio y, potencialmente, mejorarle la vida
      Pero también hay mucha gente que ve las sanciones como un acto de guerra[0]. Si lo piensas así, por supuesto que es horrible. Es guerra, y los efectos de algo parecido a una guerra siempre hacen sufrir a la gente que está en el terreno
      Si tu jefe te pide implementar bloqueo regional por sanciones, haz solo lo necesario y no te excedas bloqueando también a usuarios de VPN. Es decir, no violes la ley, pero tampoco le hagas más difícil a la gente en el terreno ejercer su derecho de acceso a Internet
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • Conozco a varias personas de Crimea, y muchas cosas que nosotros damos por sentadas para ellas son sorprendentemente complicadas. Quienes son de Cuba o Irán al menos tienen claro en qué país están
    • Es muy probable que todavía no sea tarde
    • Como dato, parece que todavía están buscando gente. Están poniendo anuncios de contratación en los buses de Gothenburg
  • Para empezar, creo que Mullvad es la mejor solución VPN comercial y que hace un buen trabajo al hacer más accesible una buena protección de la privacidad.
    Pero muchos comentarios aquí parecen elevar las VPN en general como si fueran la respuesta a la privacidad en Internet.
    Quiero recordar que, básicamente, una VPN solo te protege de dos cosas: el proveedor de Internet y el endpoint. E incluso eso asume que el proveedor de Internet no está haciendo análisis sospechosos.
    Aun así, eliminar esas dos cosas ya trae grandes beneficios para la privacidad, y por supuesto es algo que conviene hacer.

    • No sé dónde ven eso de que “muchos comentarios aquí parecen elevar las VPN en general como si fueran la respuesta a la privacidad en Internet”.
    • ¿Puedes explicar más lo de “asume que el proveedor de Internet no está haciendo análisis sospechosos”? ¿Los proveedores de Internet usan con frecuencia técnicas para neutralizar el uso de VPN? Me da curiosidad qué proveedores y qué técnicas usan.
    • Esas dos cosas siguen siendo enormes. También forman parte de un enfoque por capas de la seguridad. Dudo que la mayoría de la gente piense que “con una VPN ya está todo resuelto”.
  • Falta la palabra Radically en el título. No conocía “Open Security”, pero “Radically Open Security” es el lugar para el que escribí un paper.
    Edit: u/progbits se me adelantó por 1 minuto https://news.ycombinator.com/item?id=37060828

    • Uno de los proyectos en los que trabajé hace unos años fue auditado por Radically Open Security, y quedé muy impresionado por la calidad de los especialistas.
      Por supuesto, en el sistema del que yo era responsable no encontraron nada salvo algunos comentarios. Creo que incluso esos comentarios eran del nivel de cosas que una herramienta de análisis estático había marcado como mejorables y que nosotros ya habíamos comentado explícitamente. Cosas como “aquí se podría mejorar el nombre de la variable” o “esto se puede simplificar usando una cláusula de guarda”.
      Nada mal para algo hecho en condiciones extremas y casi sin dormir. Un bebé de 6 meses, COVID, crunch y dos niños pequeños muy activos al mismo tiempo son un infierno.
  • Mullvad es la única VPN mainstream que no tiene problemas de confiabilidad seriamente sospechosos.
    Ni siquiera Proton VPN está bien. Quienes la investigaron descubrieron que no es más que una versión white-label de NordVPN.
    Como no hay alternativas, agradezco que Mullvad impulse con más fuerza su compromiso con la integridad.

    • ¿Tienes una fuente para la afirmación sobre NordVPN?
      Edit: miré un poco tu historial de publicaciones y parece que llevas meses haciendo esta afirmación sin aportar ninguna prueba. Sospechoso.
    • Qué incómodo. ¿Tienes una fuente?
  • Es “by Radically Open Security”; la eliminación automática del título en HN volvió a fallar. ¿El autor original puede corregir el título para que el nombre de la empresa aparezca bien?

  • En esta auditoría parece que solo revisaron servidores operativos de prueba.
    Haciendo de abogado del diablo: ¿qué impediría que Mullvad entregara al equipo de Open Security una versión sin la funcionalidad de logging? No quiero verlo con tanto escepticismo, pero si fuera una auditoría real, ¿no deberían revisar los servidores que usan los clientes? Por supuesto, con límites para que los auditores no puedan registrar información.
    Puede que esté equivocado, así que agradecería que me lo aclararan. Pero no estoy convencido de que este nivel de prueba demuestre la afirmación de Mullvad de no guardar logs.

    • No creo que haya una gran diferencia. Porque podrían hacer lo mismo en los servidores reales solo durante el periodo de la auditoría.
      Se necesita cierto nivel de confianza en que el auditado no está engañando activamente ni actuando de mala fe; de lo contrario, la auditoría tendría que poder realizarse de forma aleatoria en cualquier momento.
    • Aunque no lo dicen explícitamente, esto se parece más a una auditoría de “tenemos la capacidad de no equivocarnos” que a una de “estamos cumpliendo nuestras promesas”.
      Creo que es relevante para un modelo de amenazas en el que un atacante obtiene acceso parcial a servidores en producción. Por ejemplo, para verificar que no haya logging accidental. En cambio, no aplica al modelo de amenazas en el que Mullvad distribuye código malicioso.
      Me parece una auditoría significativa, pero me habría gustado que lo dejaran más explícito.
    • Cuando la paranoia llega a cierto punto, conviene empezar a considerar seriamente autoalojar una VPN.
      Claro que no es perfecto, porque el proveedor del VPS puede ver un lado del tráfico, pero se puede mitigar.
      Mullvad es un buen punto intermedio para quienes no tienen tiempo o no saben cómo hacerlo. Al menos es bueno ver que se esfuerzan por mantener las apariencias.
    • Eso sería exigirle a Mullvad que permita a un tercero acceder a las conexiones de sus clientes. Es algo que Mullvad prometió que nunca haría.
    • Habría sido bueno que en la auditoría les dieran varios inicios de sesión para usar ese servidor como usuarios normales, para que se comportara como un servidor real.
      Después de eso se podría pasar a una auditoría de servidores en uso real.
      Para auditar servidores orientados a clientes en uso, necesariamente tendría que haber controles considerables para que los auditores no registren datos potenciales de clientes.
  • Es fácil imaginar un futuro en el que Mullvad la pase mal, porque las grandes tecnológicas podrían bloquear rangos completos de centros de datos de Mullvad.
    Ya ocurre algo de eso entre Cloudflare y administradores individuales, y parece que a veces se bloquea el uso de ChatGPT al conectarse desde Mullvad. Al menos parece estar relacionado.
    Al final, para acceder a algo o hacer scraping, quizá termines necesitando un proxy residencial sospechoso.
    Un VPS autoalojado también podría servir si la empresa es lo bastante pequeña como para evitar los bloqueos masivos que vienen, pero solo el tiempo lo dirá.

  • Me cambié a Mullvad después de leer hace tiempo en HN que Mullvad no guardaba logs y que no tenía logs para entregar a las autoridades.
    No tengo el enlace, pero me impresionó, y estas auditorías son evidencia adicional de que esa decisión fue correcta.

    • Hay que señalar que OVPN también es una opción. Llegó a los tribunales y ganó, así que demostró más allá de una duda razonable que el no-logging de OVPN realmente significa no guardar logs.
      Los detalles están en los enlaces, pero para citar: “Rights Alliance y sus expertos en seguridad no pudieron demostrar una vulnerabilidad en los sistemas de OVPN que implicara que se pudieran almacenar logs”.
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • Hace poco conocí Mullvad, y creo que había firmado un contrato con Mozilla.
    En cualquier caso, el servicio es excelente, y sorprende lo raro que es simplemente pagar por un servicio sin todo tipo de trámites innecesarios.
    Para crear una cuenta, haces clic aquí y luego simplemente pagas con uno de los muchos métodos de pago disponibles. Incluso se incluye el pago en efectivo por correo.