Radically Open Security completa la tercera auditoría de la infraestructura de Mullvad VPN
(mullvad.net)- Mullvad encargó a la firma de seguridad neerlandesa Radically Open Security (RoS) la tercera auditoría de su infraestructura VPN, revisando 1 servidor OpenVPN y 1 servidor WireGuard que se ejecutan en RAM
- Los servidores auditados usaban un sistema operativo personalizado basado en Ubuntu 22.04 LTS con Linux kernel 6.3.2, y aunque fueron desplegados como servidores de producción, nunca se usaron para conexiones reales de clientes
- RoS verificó la configuración interna y externa de los servidores, así como si existía registro de la actividad de los clientes, y no encontró registro de datos de clientes ni filtración de información
- En la prueba de penetración se detectaron 1 High, 6 Elevated, 4 Moderate, 10 Low y 4 info, y las correcciones principales se desplegaron a finales de junio de 2023, seguidas de una nueva prueba y validación en julio
- Mullvad reforzó la auditoría del acceso administrativo por SSH, evaluó eliminar SSH y mejoró la autenticación de Telegraf; algunos cambios adicionales se desplegarán más adelante
Alcance de la auditoría y reporte público
- Mullvad encargó a Radically Open Security la tercera auditoría de seguridad de su infraestructura VPN
- Esta auditoría se centró en 2 servidores VPN que se ejecutan en RAM
- 1 servidor OpenVPN
- 1 servidor WireGuard
- RoS completó la auditoría a mediados de junio de 2023, y muchas correcciones se desplegaron a finales de junio de 2023
- En julio de 2023 se realizó una nueva prueba y validación adicional
- El informe final se publicó como ROS - Mullvad VPN 2023.pdf
Configuración de los servidores de prueba y puntos verificados
- RoS recibió acceso SSH completo a 2 servidores VPN que se ejecutan en RAM
- Los servidores auditados usaban un sistema operativo personalizado basado en Ubuntu 22.04 LTS con una versión reducida y reciente del kernel de Linux, 6.3.2
- Estos servidores fueron aprovisionados y desplegados como si fueran servidores de producción orientados a clientes, pero nunca se utilizaron para conexiones reales de clientes
- El alcance de la verificación se resumió en tres áreas
- Seguridad y configuración interna del servidor
- Seguridad y configuración externa del servidor
- Si existía registro de la actividad de los clientes
- RoS también propuso revisar el código fuente de varios binarios en ejecución dentro del sistema y realizar una revisión de seguridad a nivel de hardware, pero Mullvad lo excluyó
- Esta auditoría se limitó al estado “después de que el sistema está en ejecución y lo usan los clientes”
Resultados generales
- RoS no encontró registro de datos de clientes ni filtración de información
- El relay de Mullvad VPN evaluado fue descrito como una “arquitectura madura”
- En esta prueba de penetración se encontraron 25 problemas en total
- 1 High
- 6 Elevated
- 4 Moderate
- 10 Low
- 4 info
MLL-024: tráfico multihop de producción expuesto al sistema de prueba
- MLL-024 fue clasificado como un problema de severidad High
- RoS determinó que el tráfico de usuarios de producción podía ser visible para un usuario de pruebas de penetración
- El servidor auditado no estaba expuesto para conexiones de clientes, no se anunciaba en la lista de servidores y no se ofrecía a los usuarios
- Sin embargo, estos servidores estaban conectados a la función multihop de WireGuard
- Si un cliente escaneaba IPs, podía enviar tráfico a ese servidor usando un proxy SOCKS5 mientras estaba conectado a otro servidor VPN
- No había ningún mecanismo para bloquearlo
- Lo que RoS pudo confirmar fue únicamente la IP de la interfaz interna de WireGuard
- Esa interfaz solo se usa para tráfico multihop por SOCKS5
- Por lo tanto, correspondía al servidor WireGuard de entrada
- Mullvad consideró que, si no se hubiera proporcionado un servidor de producción, la auditoría no habría sido válida como auditoría de un servidor de producción, y que no había forma de evitar una situación en la que el tráfico de clientes fuera visible en el servidor
MLL-019: escalada de privilegios a root mediante temporizadores de systemd y permisos de directorio
- MLL-019 fue clasificado como un problema de severidad Elevated
- Una cuenta del sistema con bajos privilegios podía escalar a privilegios de root manipulando el contenido de un script de temporizador de systemd
- Tras discutirlo con RoS, Mullvad consideró que la causa principal era el uso de directorios home anidados y la inclusión del usuario administrador en el grupo
mad - La estructura anidada del directorio
/home/mades un remanente heredado de antes de la migración a los servidores VPN basados en RAM - Como medida a corto plazo, se eliminó a todos los usuarios administradores del grupo
mad - El script relacionado se movió a
/opt/local_checks, y RoS reconoció que esta medida resolvía el problema
MLL-045: acceso administrativo a máquinas de producción
- MLL-045 fue clasificado como un problema de severidad Moderate
- Como los servidores VPN permitían inicio de sesión remoto de administradores, técnicamente un administrador podía interceptar el tráfico VPN de usuarios de producción
- Mullvad ya conocía este problema y, tras discutirlo con RoS, reafirmó su plan existente
- Hay dos medidas planificadas
- Implementar un sistema que haga auditables los inicios de sesión no autorizados y registre todos los comandos usados en el servidor sin sus argumentos
- Investigar una forma de eliminar por completo el soporte de SSH
- Si se elimina SSH, tampoco los administradores podrán habilitar el registro del tráfico de clientes mediante SSH
- La eliminación de SSH tomará más tiempo para hacerse correctamente
MLL-016: contraseña de Telegraf compartida entre servidores
- MLL-016 fue clasificado como un problema de severidad Low
- Las credenciales de la base de datos Influx de Telegraf compartidas en todos los servidores VPN permitían manipular métricas globales de los servidores
- Uso de CPU
- Uso de disco
- Métricas de red
- Mullvad introdujo certificados de cliente para autenticación usando la infraestructura PKI de Hashicorp Vault
- Esta medida ya quedó implementada
- Mullvad planea evaluar el uso de estos certificados también en otras partes de su infraestructura
Cambios posteriores
- Solo se resumieron algunos casos interesantes entre los problemas encontrados en la auditoría
- Se desplegarán más cambios próximamente
1 comentarios
Opiniones de Hacker News
De verdad respeto la actitud de Mullvad de aceptar pérdidas comerciales para darles más seguridad y estabilidad a los clientes que se quedan
La primera vez que lo sentí fue cuando desactivaron la renovación automática con PayPal, porque para mantenerla tenían que guardar información personal junto con la cuenta
Pero para mí hubo un sacrificio de más: desactivaron el reenvío de puertos. Como no guardan información de contacto para avisarles a los clientes, un día la conexión simplemente empezó a fallar de repente, y me quedé con varios meses de servicio prepago
Eso me dejó un sabor algo amargo, pero la buena impresión que se ganaron con sus textos técnicos y sus decisiones de seguridad es suficiente como para que prefiera que se queden con el dinero. Es la única VPN que no me parece sospechosa, así que espero que les vaya bien
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
Avisar con apenas 30 días de anticipación sobre la eliminación de una función como esta no es, en general, la forma en que queremos operar como negocio. Entendemos que los clientes que dependían de esta función se hayan sentido decepcionados tanto por su eliminación como por la forma en que se gestionó
Aun así, fue la decisión correcta. En los últimos meses, las formas y la escala de los abusos crecieron demasiado como para que pudiéramos seguir ofreciéndola. Esta función debió haberse eliminado mucho antes, con un período de gracia más largo. No hacerlo fue un error nuestro, y algunos usuarios, incluido tú, salieron perjudicados
Por supuesto, puedes recibir un reembolso por el servicio prepago que ya no puedes usar
Si querías usar el reenvío de puertos para hacer que algún servicio fuera accesible desde Internet pública, hay muchos buenos proveedores de hosting que con gusto te ofrecerán ese servicio
Si tu objetivo era hacer que un servicio fuera accesible y mantener el anonimato, recomendamos fuertemente la función onion service de Tor. Fue creada precisamente pensando en ese caso de uso
Si tu objetivo era hacer que un servicio fuera accesible desde Internet pública y, al mismo tiempo, mantener el anonimato, no tenemos una buena opción para recomendar
Tuvimos que eliminar el reenvío de puertos por razones morales. Estaba interfiriendo demasiado con nuestra misión central de neutralizar la vigilancia masiva y la censura
Aunque esta explicación no alcance a aliviar toda la decepción, espero que al menos aporte algo de claridad
Fredrik Stromberg, cofundador de Mullvad VPN
También solía configurar reenvío de puertos al usar torrents, pero ahora sé que puedo descargar ISO de Linux sin eso. Aunque uso bastante Mullvad, no me preocupó mucho
Me pregunto desde cuándo me afectaría que el reenvío de puertos se desactive; es decir, qué casos de uso quedan bloqueados
Si me hubiera cambiado de verdad, habría quedado en la misma situación, con bastante servicio prepago que no podría usar como quería
El mayor arrepentimiento de mi carrera es no haberme sumado cuando el fundador de Mullvad me mandó un correo
Gran parte de sus valores coincide con los míos, y lamentablemente son muy pocos los entusiastas de la tecnología que ponen la libertad por encima de la comodidad. Por eso, la mayoría terminamos usando grandes proveedores de nube bajo jurisdicción del gobierno de Estados Unidos
Para aclarar de antemano, esto de hecho me causó problemas en mi carrera. Como los proveedores de nube tienen que cumplir con las sanciones de Estados Unidos, si eras de Cuba, Irán o Crimea no podías jugar el juego que yo hice. Me molestaba que en Rusia y Ucrania pudieran comprar legalmente nuestro juego, pero si estaban en territorio ocupado no pudieran jugarlo
Me fui un poco por las ramas, pero es realmente refrescante ver, desde afuera, una empresa que no parece sospechosa y que valora la libertad
Incluso hay lugares que niegan el acceso aunque tengas una licencia válida de la OFAC. Supongo que será porque las listas de control de acceso son complicadas; en general, todo es muy inconsistente
Por eso, el 95% del tiempo tengo activada una VPN bastante mala. Porque tengo que esquivar tanto las sanciones de Estados Unidos como los mecanismos de censura de mi propio país
Entiendo en cierta medida por qué surgieron las sanciones hace décadas, pero no sé si esa lógica todavía se sostiene. Tristemente, quienes más sienten el impacto de las sanciones son las personas comunes como yo. La élite gobernante, para nada
Creía que ese servicio podía ayudar a alguien que estuviera empezando un pequeño negocio y, potencialmente, mejorarle la vida
Pero también hay mucha gente que ve las sanciones como un acto de guerra[0]. Si lo piensas así, por supuesto que es horrible. Es guerra, y los efectos de algo parecido a una guerra siempre hacen sufrir a la gente que está en el terreno
Si tu jefe te pide implementar bloqueo regional por sanciones, haz solo lo necesario y no te excedas bloqueando también a usuarios de VPN. Es decir, no violes la ley, pero tampoco le hagas más difícil a la gente en el terreno ejercer su derecho de acceso a Internet
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
Para empezar, creo que Mullvad es la mejor solución VPN comercial y que hace un buen trabajo al hacer más accesible una buena protección de la privacidad.
Pero muchos comentarios aquí parecen elevar las VPN en general como si fueran la respuesta a la privacidad en Internet.
Quiero recordar que, básicamente, una VPN solo te protege de dos cosas: el proveedor de Internet y el endpoint. E incluso eso asume que el proveedor de Internet no está haciendo análisis sospechosos.
Aun así, eliminar esas dos cosas ya trae grandes beneficios para la privacidad, y por supuesto es algo que conviene hacer.
Falta la palabra Radically en el título. No conocía “Open Security”, pero “Radically Open Security” es el lugar para el que escribí un paper.
Edit: u/progbits se me adelantó por 1 minuto https://news.ycombinator.com/item?id=37060828
Por supuesto, en el sistema del que yo era responsable no encontraron nada salvo algunos comentarios. Creo que incluso esos comentarios eran del nivel de cosas que una herramienta de análisis estático había marcado como mejorables y que nosotros ya habíamos comentado explícitamente. Cosas como “aquí se podría mejorar el nombre de la variable” o “esto se puede simplificar usando una cláusula de guarda”.
Nada mal para algo hecho en condiciones extremas y casi sin dormir. Un bebé de 6 meses, COVID, crunch y dos niños pequeños muy activos al mismo tiempo son un infierno.
Mullvad es la única VPN mainstream que no tiene problemas de confiabilidad seriamente sospechosos.
Ni siquiera Proton VPN está bien. Quienes la investigaron descubrieron que no es más que una versión white-label de NordVPN.
Como no hay alternativas, agradezco que Mullvad impulse con más fuerza su compromiso con la integridad.
Edit: miré un poco tu historial de publicaciones y parece que llevas meses haciendo esta afirmación sin aportar ninguna prueba. Sospechoso.
Es “by Radically Open Security”; la eliminación automática del título en HN volvió a fallar. ¿El autor original puede corregir el título para que el nombre de la empresa aparezca bien?
En esta auditoría parece que solo revisaron servidores operativos de prueba.
Haciendo de abogado del diablo: ¿qué impediría que Mullvad entregara al equipo de Open Security una versión sin la funcionalidad de logging? No quiero verlo con tanto escepticismo, pero si fuera una auditoría real, ¿no deberían revisar los servidores que usan los clientes? Por supuesto, con límites para que los auditores no puedan registrar información.
Puede que esté equivocado, así que agradecería que me lo aclararan. Pero no estoy convencido de que este nivel de prueba demuestre la afirmación de Mullvad de no guardar logs.
Se necesita cierto nivel de confianza en que el auditado no está engañando activamente ni actuando de mala fe; de lo contrario, la auditoría tendría que poder realizarse de forma aleatoria en cualquier momento.
Creo que es relevante para un modelo de amenazas en el que un atacante obtiene acceso parcial a servidores en producción. Por ejemplo, para verificar que no haya logging accidental. En cambio, no aplica al modelo de amenazas en el que Mullvad distribuye código malicioso.
Me parece una auditoría significativa, pero me habría gustado que lo dejaran más explícito.
Claro que no es perfecto, porque el proveedor del VPS puede ver un lado del tráfico, pero se puede mitigar.
Mullvad es un buen punto intermedio para quienes no tienen tiempo o no saben cómo hacerlo. Al menos es bueno ver que se esfuerzan por mantener las apariencias.
Después de eso se podría pasar a una auditoría de servidores en uso real.
Para auditar servidores orientados a clientes en uso, necesariamente tendría que haber controles considerables para que los auditores no registren datos potenciales de clientes.
Es fácil imaginar un futuro en el que Mullvad la pase mal, porque las grandes tecnológicas podrían bloquear rangos completos de centros de datos de Mullvad.
Ya ocurre algo de eso entre Cloudflare y administradores individuales, y parece que a veces se bloquea el uso de ChatGPT al conectarse desde Mullvad. Al menos parece estar relacionado.
Al final, para acceder a algo o hacer scraping, quizá termines necesitando un proxy residencial sospechoso.
Un VPS autoalojado también podría servir si la empresa es lo bastante pequeña como para evitar los bloqueos masivos que vienen, pero solo el tiempo lo dirá.
Me cambié a Mullvad después de leer hace tiempo en HN que Mullvad no guardaba logs y que no tenía logs para entregar a las autoridades.
No tengo el enlace, pero me impresionó, y estas auditorías son evidencia adicional de que esa decisión fue correcta.
Los detalles están en los enlaces, pero para citar: “Rights Alliance y sus expertos en seguridad no pudieron demostrar una vulnerabilidad en los sistemas de OVPN que implicara que se pudieran almacenar logs”.
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
Hace poco conocí Mullvad, y creo que había firmado un contrato con Mozilla.
En cualquier caso, el servicio es excelente, y sorprende lo raro que es simplemente pagar por un servicio sin todo tipo de trámites innecesarios.
Para crear una cuenta, haces clic aquí y luego simplemente pagas con uno de los muchos métodos de pago disponibles. Incluso se incluye el pago en efectivo por correo.