Auditoría de infraestructura completada por Radically Open Security

 (mullvad.net)
2 puntos por GN⁺ 2023-08-10 | 1 comentarios | Compartir por WhatsApp
  • Radically Open Security (RoS), una empresa de seguridad con sede en los Países Bajos, completó una auditoría de infraestructura de Mullvad VPN.
  • Esta auditoría se centró en servidores VPN que se ejecutan en RAM, específicamente en un servidor OpenVPN y un servidor WireGuard.
  • El informe final de esta tercera auditoría de seguridad, concluida a mediados de junio de 2023, y las correcciones se desplegaron a finales de junio de 2023.
  • RoS encontró algunos problemas, incluidos varios hallazgos nuevos, pero los relays de Mullvad VPN mostraron una arquitectura madura y no se detectó registro de datos de actividad de los usuarios.
  • RoS recibió acceso SSH completo a los dos servidores VPN que se ejecutan en RAM, los cuales usaban un kernel Linux reducido (6.3.2) y un sistema operativo personalizado basado en Ubuntu 22.04 LTS.
  • El objetivo de esta auditoría fue verificar la seguridad y configuración interna y externa de los servidores, y confirmar si la actividad de los clientes se estaba registrando.
  • RoS no encontró filtración de información ni registro de datos de clientes, y durante las pruebas de penetración identificó 1 problema crítico, 6 de alta severidad, 4 de severidad media, 10 de baja severidad y 4 de severidad informativa.
  • Uno de los problemas críticos era que, en un sistema de pruebas, el usuario de pentesting podía ver tráfico de usuarios de producción manipulado.
  • Un problema de alta severidad era la posibilidad de que una cuenta del sistema con pocos privilegios manipulara el contenido de scripts de temporizadores de systemd para escalar a privilegios de root.
  • Un problema de severidad media era la capacidad de un administrador para acceder al tráfico VPN de usuarios de producción.
  • Un problema de baja severidad era el uso por parte de Telegraf de credenciales compartidas de base de datos Influx entre servidores VPN, lo que podía permitir manipular métricas globales del servidor.
  • Mullvad VPN implementó correcciones para estos problemas y planea desplegar más cambios en un futuro cercano.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-08-10
Opiniones de Hacker News
  • Mullvad, proveedor de servicios VPN, es elogiado por su compromiso con la privacidad y la seguridad de los usuarios, incluso a costa de sacrificar la comodidad del negocio.
  • La empresa tomó decisiones como desactivar la renovación automática con PayPal para no almacenar información de identificación personal.
  • La documentación técnica y las decisiones de seguridad de Mullvad generan buena impresión entre los usuarios, a pesar de decisiones controvertidas como desactivar el reenvío de puertos.
  • Mullvad es una empresa que valora la libertad por encima de la conveniencia, una característica poco común entre los entusiastas de la tecnología.
  • Algunos usuarios consideran a Mullvad la mejor solución VPN comercial y creen que hace que la privacidad sea más accesible.
  • Sin embargo, se señala que una VPN no es una solución completa para la privacidad en internet, aunque sí ofrece protección frente al ISP y los endpoints.
  • Mullvad es reconocida como la única VPN convencional sin una confiabilidad dudosa, en comparación con otros proveedores como Proton VPN.
  • Existen preocupaciones sobre el proceso de auditoría, y algunos usuarios se preguntan si la auditoría revisó servidores orientados a clientes o solo servidores de prueba en producción.
  • A diferencia de Tor y otras redes superpuestas, Mullvad ha operado de forma transparente y no ha sido objeto de campañas de difamación ni de artículos de noticias sesgados.
  • Algunos usuarios expresan preocupación de que Mullvad podría enfrentar desafíos en el futuro si las grandes empresas tecnológicas deciden limitar el alcance a sus centros de datos.
  • El concepto de Mullvad de cobrar por el tiempo usado resulta atractivo para los usuarios.