2 puntos por GN⁺ 2023-11-11 | 1 comentarios | Compartir por WhatsApp
  • Mullvad, después de eliminar los rastros en disco de su infraestructura VPN, también trasladó su servicio separado de DNS cifrado a una operación basada en RAM
  • Cifra las consultas DNS en dispositivos que no están conectados a la VPN, lo que dificulta que terceros espíen las consultas entre el dispositivo y los servidores DNS de Mullvad
  • Este servicio puede usarse gratis incluso sin ser cliente de pago, y está dirigido a usuarios que quieren DNS auditado y bloqueo opcional de contenido
  • Ofrece servidores en todo el mundo y guías de configuración, pero no se recomienda usarlo junto con la VPN porque siempre será más lento que el resolvedor DNS del servidor VPN conectado
  • Los servidores de DNS cifrado también usan el mismo kernel de Linux y la misma configuración de seguridad y privacidad que la infraestructura VPN, continuando la tendencia de operar infraestructura sin estado desde RAM

DNS cifrado también pasa a estar basado en RAM

  • Mullvad completó recientemente una migración para eliminar los rastros de los discos usados en su infraestructura VPN
  • Con este cambio, el servicio de DNS cifrado también pasó a ejecutarse desde RAM
  • Corresponde al siguiente paso en el objetivo de Mullvad de operar una infraestructura sin estado desde RAM

Cómo cifra las consultas DNS

  • El DNS cifrado también se conoce como DNS over TLS y DNS over HTTPS
  • Cuando no estás conectado al servicio VPN, cifra las consultas DNS entre tu dispositivo y los servidores DNS de Mullvad
  • Este método se usa para evitar que terceros espíen las consultas DNS

A quién va dirigido y limitaciones reales

  • Este servicio está pensado principalmente para usarse cuando no estás conectado a los servidores VPN de Mullvad
  • Puede usarse de forma totalmente gratuita, sin importar si eres cliente de pago o no
  • Está disponible para cualquiera que quiera un servicio de DNS cifrado confiable y auditado, junto con bloqueo opcional de contenido
  • Se ofrece desde servidores ubicados en todo el mundo y puede configurarse con la guía de configuración del sitio web de Mullvad
  • También puede usarse junto con el servicio VPN, pero no se recomienda porque siempre será más lento que usar el resolvedor DNS del servidor VPN conectado

Configuración de seguridad alineada con la infraestructura VPN

  • Todos los servidores de DNS cifrado están configurados con el mismo kernel de Linux que la infraestructura VPN
  • El nivel de seguridad y privacidad también está alineado con el de la infraestructura VPN

1 comentarios

 
GN⁺ 2023-11-11
Opiniones en Hacker News
  • El DNS cifrado de Mullvad puede usarlo cualquiera, independientemente de si paga o no por la VPN.
    Además, también admite bloqueo de contenido opcional mediante listas de bloqueo, así que basta con configurar el servidor DNS TLS/HTTPS que uno quiera.
    [1] https://github.com/mullvad/dns-blocklists

    • Como referencia, los perfiles independientes de DNS cifrado para macOS (archivos .mobileconfig) no funcionan si se usa Little Snitch o Lulu para bloquear tráfico de red no deseado.
      Es una limitación de macOS que Apple no está corrigiendo.
    • No entiendo bien el modelo de amenazas del DNS cifrado.
      Para conectarme a un sitio necesito obtener una IP mediante DNS, pero mi ISP o proveedor de VPN puede ver que me conecto a esa IP, ya sea que la haya consultado recién o que ya la conociera.
      Salvo que el modelo sea que, aun usando una VPN, hay fugas hacia un DNS que registra datos y pertenece a otra entidad, no entiendo bien por qué hace falta esto.
  • Me pregunto si esto es un servidor físico o una VM.
    Algunos tipos de VM pueden pausarse, recibir snapshots, clonarse o replicarse en tiempo real, incluso con el contenido de memoria, por ejemplo para responder a solicitudes legales; y en hosts bare metal se puede acceder al interior de una VM o contenedor.
    Me pregunto si hay algún diagrama físico publicado.
    Si hay algún arquitecto de Mullvad por aquí, agradecería que nos ayudara a no caer en suposiciones teóricas y en una pila infinita de tortugas.

    • Mullvad promueve mucho System Transparency, y como es un sistema de seguridad diseñado específicamente para bare metal, parece bastante seguro asumir que se basa en bare metal.
      https://www.system-transparency.org
    • Incluso un servidor físico puede literalmente congelarse para extraer datos de la RAM.
    • Pensándolo mejor, una VM no es estrictamente necesaria.
      Hay herramientas que usan eBPF para extraer flujos de datos cuando se solicitan, según determinados parámetros.
      Herramientas como Sysdig/Falco también podrían servir, y sería útil saber si compilan el kernel ellos mismos para desactivar eBPF, o si hacen endurecimiento adicional del kernel para quitar o desactivar funciones de depuración cuando se solicite.
    • Esto se puede resolver distribuyendo software al que se le haya quitado la función de suspensión de VM, o sacando los discos de los servidores bare metal y haciendo que solo arranquen por PXE.
      Entonces no habría nada que suspender.
    • Si estás haciendo este tipo de preguntas, probablemente deberías alojar tu propia VPN.
  • Desde la perspectiva de un externo ingenuo, me pregunto: ¿la RAM de 2023 cifra todo su contenido?
    Me pregunto si se puede apagar la máquina y hacer que desaparezca alguna clave de cifrado almacenada en una memoria más pequeña y volátil, para que el contenido de la RAM se olvide de forma confiable.
    También me pregunto qué se ha hecho para mitigar ataques de arranque en frío contra la RAM, qué cambió en el hardware y si la clave de cifrado del contenido de la RAM se guarda en algún lugar como el TPM.

    • En este caso, creo que el punto central de ejecutarlo en RAM es que no hay almacenamiento no volátil.
      Por supuesto, si el servidor se ve comprometido físicamente pueden pasar cosas malas, pero como no hay espacio para almacenar malware de forma permanente y no se pueden dejar logs en almacenamiento local, ni por error ni a propósito, resulta más difícil mantener el control persistente del servidor.
      Cifrar el contenido de la RAM podría aportar protección adicional, pero si está bien implementado, lo que queda en la RAM probablemente sea, en la práctica, apenas un poco más interesante que lo que se puede ver en el cable de red.
      Como mucho, creo que se podría ver una cantidad ínfima de datos de solicitudes activas, pero es solo una suposición.
    • AMD ofrece cifrado de RAM en CPUs Threadripper para servidores y en Ryzen PRO para estaciones de trabajo/laptops. Hay que activarlo en el BIOS.
      https://www.amd.com/system/files/documents/amd-memory-guard-...
      https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • No. Al menos no de forma confiable. Es por la manera en que las claves también se almacenan en la RAM. Por ejemplo, cuando está en modo de espera o simplemente se cierra la tapa de la laptop.
      También existe una bandera de reinicio EFI que se puede ajustar para forzar el borrado de la RAM en el siguiente arranque, pero normalmente está desactivada.
      [1] https://en.wikipedia.org/wiki/Cold_boot_attack En Windows todavía funciona gracias a BitLocker.
      [2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
    • ¿No es eso lo que hace Intel TME?
  • Le pregunté a Mullvad y me confirmaron que solo usan bare metal, sin virtualización ni contenedores de ningún tipo.
    https://ibb.co/XLDQGGt

  • Uso el DNS DoH de Cloudflare (https://1.1.1.1) y lo tunelizo sobre la VPN de Mullvad.
    Así, Mullvad solo puede ver las IP que visito, Cloudflare solo ve solicitudes DNS que vienen desde la IP de la VPN, y mi ISP no ve nada.
    El DNS DoH de Mullvad también se ve bien, pero podría tener menos privacidad que el método anterior, así que no pienso usarlo.

    • Lamentablemente, si Mullvad quiere, puede ver el SNI de todas las conexiones TLS. ECH todavía no está en una etapa de uso real.
    • Parece que usar otro DNS en Mullvad no es recomendable. Al hacerlo te vuelves más identificable.
  • Me gustaría ver estadísticas reales, pero por intuición, tras haber operado aplicaciones de datos intensivas en lectura/escritura con SSD y RAM ECC, ambos fallan con suficiente frecuencia como para que, en términos de resiliencia, este cambio se sienta casi como un cambio lateral
    Aun así, es de aplaudir el esfuerzo por exprimir aunque sea unos puntos porcentuales más de rendimiento puro. Parece que será un proyecto interesante de Redis

    • Ese no es el punto clave. Mullvad promete no guardar logs, y la mejor forma de demostrarlo es no tener almacenamiento persistente en el servidor
      Probablemente harán arranque por red desde una imagen de solo lectura
      Ya hicieron esto en los servidores VPN, y ahora están aplicando la misma estrategia a los servidores DNS
    • ¿Has visto que ECC falle con tanta frecuencia? De nuestro lado, aunque el ancho de banda no es enorme, la RAM ECC ha sido increíblemente estable
      Me pregunto si hay alguna hoja de datos que muestre tasas de falla
  • Estaba muy satisfecho con todo lo que hacía Mullvad, pero me decepcionó cuando anunciaron que dejarían de ofrecer port forwarding, algo importante para una parte específica de mi configuración
    Entiendo las razones, pero si algún día lo vuelven a ofrecer, con gusto volvería a ser cliente

    • Según entiendo, el port forwarding en una VPN es básicamente como poner un letrero de “operadores de botnets bienvenidos
      Para Mullvad, los beneficios de desactivarlo superan las desventajas
  • ¿Alguien sabe cómo se compara la seguridad de Mullvad VPN con Proton VPN?

    • Cuando buscas privacidad, Mullvad está prácticamente en primer lugar
      Tiene historial de haber resistido solicitudes de las fuerzas del orden, porque en realidad no tienen nada que entregar
      Todo corre en RAM y desaparece en cuanto se apaga el servidor; realmente no almacenan nada
      También puedes enviar efectivo por correo o comprar una cuenta de Mullvad con criptomonedas. Ni siquiera necesitas crear una cuenta con algo como una dirección de email
    • “En abril de 2019, en un caso de actividad delictiva manifiesta, por orden de la justicia suiza, activamos el registro de IP para una cuenta de usuario específica involucrada en actividades ilegales que violaban la ley suiza
      Conforme a la ley suiza, dicho usuario recibe notificación y se le da la oportunidad de impugnarlo ante un tribunal antes de que los datos se usen en el proceso penal”
    • Una VPN no ofrece seguridad
      Lo que hace una VPN es saltarse bloqueos geográficos y, quizá, evitarte avisos de DMCA cuando descargas contenido pirateado
  • El proveedor de VPN OVPN (ovpn.com) también viene haciendo esto