2 ポイント 投稿者 GN⁺ 2023-08-10 | 1件のコメント | WhatsAppで共有
  • Mullvadはオランダのセキュリティ企業 Radically Open Security(RoS) にVPNインフラの第3回監査を委託し、RAM上で稼働するOpenVPNサーバー1台とWireGuardサーバー1台を点検した
  • 監査対象は Linux kernel 6.3.2 とUbuntu 22.04 LTSベースのカスタムOSを使うサーバーで、本番サーバーのようにデプロイされていたが、実際の顧客接続用に使われたことはない
  • RoSは内部・外部のサーバー設定と 顧客活動のロギング有無 を検証し、顧客データのロギングや情報漏えいは発見しなかった
  • 侵入テストでは High 1件、Elevated 6件、Moderate 4件、Low 10件、info 4件 が見つかり、主な修正は2023年6月末にデプロイされた後、7月に再テストと検証を受けた
  • MullvadはSSH管理者アクセスの監査強化、SSH削除の検討、Telegraf認証の改善を進めており、一部の追加変更は今後デプロイされる予定

監査範囲と公開レポート

  • MullvadはVPNインフラに対する 3回目のセキュリティ監査 をRadically Open Securityに依頼した
  • 今回の監査はRAM上で稼働するVPNサーバー2台に集中した
    • OpenVPNサーバー1台
    • WireGuardサーバー1台
  • RoSは2023年6月中旬に監査を完了し、多くの修正事項は2023年6月末にデプロイされた
  • 2023年7月には追加の 再テストと検証 が行われた
  • 最終レポートは ROS - Mullvad VPN 2023.pdf として公開されている

テストサーバー構成と検証項目

  • RoSはRAM上で稼働するVPNサーバー2台に対して 完全なSSHアクセス権 を受け取った
  • 監査対象サーバーは、縮小された最新Linuxカーネルである 6.3.2 と、Ubuntu 22.04 LTSベースのカスタムOSを使用していた
  • これらのサーバーは顧客向け本番サーバーのようにプロビジョニングおよびデプロイされていたが、実際の顧客接続用として使われたことはない
  • 検証範囲は3つに整理された
    • サーバー内部のセキュリティと設定
    • サーバー外部のセキュリティと設定
    • 顧客活動のロギング有無
  • RoSは、システム上で実行される複数のバイナリのソースコード調査と、ハードウェアレベルのセキュリティレビューも提案したが、Mullvadはこれを除外した
    • 今回の監査は「システムが稼働し、顧客が利用している後」の状態に限定された

全体結果

  • RoSは 顧客データのロギングや情報漏えい を発見しなかった
  • テスト対象のMullvad VPNリレーは「成熟したアーキテクチャ」を示したと評価された
  • 今回の侵入テストで発見された問題は合計25件
    • High 1件
    • Elevated 6件
    • Moderate 4件
    • Low 10件
    • info 4件

MLL-024: テストシステムに露出した本番multihopトラフィック

  • MLL-024 はHigh深刻度の問題に分類された
  • RoSは、本番ユーザーのトラフィックが侵入テストのユーザーに見える可能性があると判断した
  • 監査対象サーバーは顧客接続用として公開されておらず、サーバー一覧で告知されておらず、ユーザーにも提供されていなかった
  • ただし、これらのサーバーはWireGuardの multihop機能 に接続されていた
    • 顧客がIPをスキャンすると、別のVPNサーバーに接続した状態でSOCKS5プロキシを使い、そのサーバーへトラフィックを送ることができた
    • これを遮断する仕組みはなかった
  • RoSが確認したのはWireGuard内部インターフェイスのIPだけだった
    • このインターフェイスはSOCKS5 multihopトラフィックのみに使われる
    • したがって、エントリーポイントのWireGuardサーバーに該当する
  • Mullvadは、本番サーバーを提供していなければ本番サーバー監査として有効ではなかったはずであり、サーバーで顧客トラフィックが見える状況を防ぐ方法はなかったと見ている

MLL-019: systemdタイマーとディレクトリ権限を通じたroot権限昇格

  • MLL-019 はElevated深刻度の問題に分類された
  • 低権限のシステムアカウントがsystemdタイマースクリプトの内容を操作すると、root権限に昇格 できた
  • MullvadはRoSと協議した後、主な原因をネストされたホームディレクトリの使用と、管理者ユーザーが mad グループに含まれていたことだと見た
  • ネストされた /home/mad ディレクトリ構造は、RAMベースのVPNサーバーへ移行する以前からの レガシーの名残 である
  • 短期対応として、すべての管理者ユーザーを mad グループから削除した
  • 関連スクリプトは /opt/local_checks に移動され、RoSはこの対応で問題が解決されると認めた

MLL-045: 本番マシンへの管理者アクセス

  • MLL-045 はModerate深刻度の問題に分類された
  • VPNサーバーが管理者のリモートログインを許可していたため、管理者が技術的には本番ユーザーのVPNトラフィックをタップできた
  • Mullvadはこの問題を以前から認識しており、RoSとの協議により既存の計画を再確認した
  • 計画されている対応は2つ
    • 不正ログインを監査可能にし、サーバーで使われたすべてのコマンドを引数なしで記録するシステムを実装する
    • SSHサポートを完全に削除する方法を調査する
  • SSHが削除されれば、管理者もSSH経由で顧客トラフィックのロギングを有効化できなくなる
  • SSH削除の方法は、正しく実施するのにより多くの時間がかかる見込み

MLL-016: サーバー間で共有されるTelegrafパスワード

  • MLL-016 はLow深刻度の問題に分類された
  • VPNサーバー全体で共有されるTelegrafのInfluxデータベース認証情報により、グローバルなサーバー指標の改ざんが可能だった
    • CPU使用率
    • ディスク使用量
    • ネットワーク指標
  • MullvadはHashicorp VaultのPKIインフラを使い、認証用の クライアント証明書 を導入した
  • この対応は実装済み
  • Mullvadはインフラの他の場所でも、こうした証明書の使用を検討する予定

今後の変更

  • 監査で発見された問題のうち、いくつかの興味深い事例だけがまとめられている
  • 近いうちに、さらに多くの変更がデプロイされる予定

1件のコメント

 
GN⁺ 2023-08-10
Hacker Newsの意見
  • Mullvadが残っている顧客に追加のセキュリティと安定性を提供するために、ビジネス上の損失を受け入れる姿勢は本当に尊敬する。
    最初にそれを感じたのはPayPalの自動更新をオフにしたときで、自動更新を維持するにはアカウントと一緒に個人情報を保存する必要があったからだ。
    ただ、自分にとっては犠牲が一度多すぎて、ポートフォワーディングを無効化したことだった。顧客に警告するための連絡先情報を保存していないので、ある日突然接続が失敗し、数か月分の前払いサービスが残った状態になった。
    その件については少し苦い思いがあるが、技術記事やセキュリティ判断で積み上げた好感が十分あるので、お金はそのまま受け取ってほしい。怪しく感じない唯一のVPNなので、うまくいってほしい。
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • ご不便をおかけして本当に申し訳ない。
      このような機能削除をわずか30日前に告知するやり方は、一般的に私たちが望む事業運営の形ではない。この機能に依存していた顧客は、機能削除そのものと、その扱い方の両方に失望しただろうと思う。
      それでも、それは正しい判断だった。ここ数か月で悪用のされ方と規模があまりにも大きくなり、これ以上提供を続けることはできなかった。この機能はもっとずっと前に、もっと長い猶予期間を設けて削除されるべきだった。そうできなかったのは私たちのミスであり、あなたを含む一部のユーザーが被害を受けた。
      利用できなくなった前払いサービスについては、当然返金を受けられる。
      ポートフォワーディングを使って、公開インターネットから何らかのサービスにアクセスできるようにしようとしていたのなら、喜んでサービスを提供してくれる良いホスティング事業者はたくさんある。
      サービスをアクセス可能にしつつ匿名性を維持しようとしていたのなら、Torのonion service機能を強く勧める。まさにそのユースケースを念頭に作られた機能だ。
      サービスを公開インターネットからアクセス可能にしつつ、同時に匿名性も維持しようとしているのなら、私たちが勧められる良い選択肢はない。
      ポートフォワーディングは道義的な理由で削除しなければならなかった。大規模監視と検閲を無力化するという中核的使命に対して、あまりにも大きな妨げになっていたからだ。
      この説明で失望がすべて和らぐわけではないとしても、少なくともある程度の明確さを与えられたならと思う。
      Fredrik Stromberg、Mullvad VPN共同創業者
    • この状況は避けられたように思う。決済や登録フローで、通知を送れるクライアントにRSSエンドポイントを直接ポーリングするよう設定すべきだという大きく明確な警告を入れてはどうだったのだろうか。
    • ネットワーク初心者なので、これがどれほど重要なのかよく分からない。以前、自宅外からPlexシステムにアクセスしようとして、ルーターでポートフォワーディングを設定したことはある。
      トレントを使うときもポートフォワーディングを設定していたが、今ではそれがなくてもLinux ISOを入手できることが分かった。Mullvadはかなり使っている方なのに、あまり気にしていなかった。
      ポートフォワーディングがオフになると、いつから自分に影響が出るのか、つまりどんなユースケースが塞がれるのか知りたい。
    • ポートフォワーディングが無効化された後、ProtonVPNに移った。次善の選択のように見えるし、今のところポートフォワーディングを削除する意図はないと繰り返し言っている。
    • これを読めてよかった。今年初めにMullvadへ移ることを検討したが、予算が合わず保留していた。これは取引終了の条件だ。
      実際に移っていたら、意図した通りに使えない前払いサービスが大量に残る同じ状況になっていただろう。
  • Mullvadの創業者がメールを送ってくれたときに参加しなかったことが、キャリアで最大の後悔だ。
    彼らの価値観のかなりの部分は自分の価値観と合っており、利便性より自由を優先する技術愛好家は残念ながら非常に珍しい。だから私たちの大半は、米国政府の管轄下にある大手クラウド事業者を使うことになる。
    先に言っておくと、これは自分のキャリアでも実際に問題になった。クラウド事業者は米国の制裁に従わなければならないため、キューバ、イラン、クリミア出身だと、私が作ったゲームをプレイできなかった。ロシアやウクライナでは合法的に私たちのゲームを買えるのに、占領地域にいるとプレイできないというのは腹立たしかった。
    話が少しそれたが、外から見て怪しくなく、自由を重視する会社を見るのは本当に新鮮だ。

    • キューバ人として、これは時には腹立たしい程度で、時にはそれ以上だ。あるクラウド事業者は完全にアクセス不能で、あるところは許可され、あるところは一部のサービスだけ許可して一部はブロックする。
      有効なOFACライセンスがあってもアクセスを拒否するところさえある。おそらくアクセス制御リストが複雑だからだと思うが、全体としてばらばらだ。
      だから95%の時間はひどいVPNをオンにしている。米国の制裁も避けなければならないし、自分の国の検閲装置も避けなければならないからだ。
      何十年も前に制裁がなぜ生まれたのかはある程度理解しているが、その論理が今でも有効なのかは分からない。悲しいことに、制裁の影響を最も大きく受けるのは私のような普通の人々だ。支配層のエリートではまったくない。
    • 特定の国をブロックするためにGeoIP追跡を実装しなければならなかったとき、自分も腹が立った。私たちが提供していた無料サービスにアクセスできなくなる人たちのことを考えたからだ。
      そのサービスは小さな事業を始める人の助けになり、場合によっては生活を改善する可能性もあると思っていた。
      ただし、制裁を戦争行為と見る人も多い[0]。そう考えれば、当然ひどいものだ。戦争であり、戦争のような結果は常に現地にいる人々を苦しめる。
      上司が制裁を理由に地域ブロックを実装しろと言うなら、必要な分だけやり、VPNユーザーまでブロックするようなやりすぎはしないべきだ。法を破るな、しかし現地にいる人々がインターネットへのアクセス権を使うのをさらに難しくするな、という意味だ。
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • クリミア出身の人をかなり知っているが、私たちが当たり前だと思っている多くのことが、彼らにとっては驚くほど複雑だ。キューバやイラン出身の人は、少なくとも自分がどの国にいるのかは確かだ。
    • まだ遅くない可能性が高い。
    • ちなみに、まだ人を探しているようだ。ここのGothenburgのバスに求人広告を出している。
  • まず言っておくと、Mullvad は最高の商用 VPN ソリューションであり、優れたプライバシー保護をより利用しやすくする取り組みをうまくやっていると思う。
    ただ、ここにある多くのコメントは、VPN 一般をインターネット上のプライバシー保護の解決策であるかのように持ち上げているように見える。
    VPN が実際に保護してくれるのは基本的に 2 つ、インターネットプロバイダー終端点だけだという点を思い出してほしい。それも、インターネットプロバイダーが怪しげな分析をしていないという前提付きだ。
    それでも、この 2 つを取り除くだけでもプライバシー保護には大きな利点があり、当然やるべきことだ。

    • 「ここにある多くのコメントが VPN 一般をインターネット上のプライバシー保護の解決策のように持ち上げているように見える」というのが、どこを指しているのか分からない。
    • 「インターネットプロバイダーが怪しげな分析をしていないという前提」という部分をもう少し説明してもらえる? インターネットプロバイダーは VPN の利用を無力化する手法をよく使うの? どのプロバイダーが、どんな手法を使っているのか気になる。
    • その 2 つはそれでも非常に大きい。セキュリティに対する多層的アプローチの一部でもある。ほとんどの人が「VPN で終わり」と考えているかは疑わしい。
  • タイトルに Radically という単語が抜けている。「Open Security」は知らなかったが、「Radically Open Security」は自分が論文を書いた場所だ。
    追記: u/progbits が私より 1 分早かった https://news.ycombinator.com/item?id=37060828

    • 数年前に関わったプロジェクトの 1 つが Radically Open Security の監査を受けたが、専門家たちの品質には非常に深い印象を受けた。
      もちろん、私が担当したシステムでは、いくつかのコメント以外は何も見つからなかった。そのコメントも、静的解析ツールが改善対象として示し、私たちがすでに明示的にコメントを付けていた程度のものだったと思う。「ここは変数名をもっと良くできる」「ガード節を使えば単純化できる」といったレベルだ。
      極限状況で、ほとんど眠れていない状態で作ったものとしては悪くなかった。生後 6 か月の赤ちゃん、COVID、クランチ、手のかかる幼い子ども 2 人が重なると地獄だ。
  • Mullvad は、深刻に疑わしい信頼性の問題がない唯一の主流 VPNだ。
    Proton VPN でさえ十分ではない。追跡した人たちは、それが NordVPN のホワイトラベル版にすぎないことを突き止めた。
    代替がないため、Mullvad が完全性への約束をより強く押し進めていることに感謝している。

    • NordVPN という主張の出典はある?
      追記: 投稿履歴を少し見たが、数か月にわたってこの主張をしながら、証拠は何も出していないようだ。怪しい。
    • 気味が悪いな。出典はある?
  • 「by Radically Open Security」なのに、HN のタイトル自動削除がまたやらかした。元の投稿者は、会社名が正しく出るようにタイトルを直してくれないだろうか?

  • この監査ではテスト用の運用サーバーだけを確認したように見える。
    悪魔の代弁をしてみると、Mullvad がロギング機能を取り除いたバージョンを Open Security チームに提供するのを、何が防げるのだろうか? ここまで疑ってかかりたくはないが、本当の監査なら顧客が使っているサーバーを確認すべきではないのか? もちろん、監査者が情報を記録できないように境界を設けたうえでの話だ。
    自分が間違っているかもしれないので、教えてほしい。ただ、この程度のテストで Mullvad のノーログ主張が証明されるとは確信できない。

    • 大きな違いはないと思う。実サーバーでも、監査期間中だけ同じことができるからだ。
      監査対象が積極的に欺いたり悪意を持っていたりしないという、ある程度の信頼が必要で、そうでなければ監査は無作為にいつでも行える必要がある。
    • 明確には言っていないが、これは「我々にはミスをしない能力がある」という監査に近く、「我々は約束を守っている」という監査ではない。
      運用サーバーに攻撃者が部分的にアクセスする脅威モデルには関係があると思う。たとえば偶発的なロギングがないかといった部分だ。一方で、Mullvad が悪意あるコードを配布するという脅威モデルには当てはまらない。
      意味のある監査だとは感じるが、この点をもっと明示的に示してくれればよかった。
    • パラノイアがある程度に達したら、VPN のセルフホスティングを真剣に検討すべきだ。
      もちろん VPS プロバイダーがトラフィックの片側を見られるので完全無欠ではないが、緩和はできる。
      Mullvad は、その時間がない人や方法を知らない人にとって良い中間地点だ。少なくとも体裁を保とうと努力しているのは好ましい。
    • それは Mullvad に対して、外部者が顧客の接続にアクセスできるようにしろと求めていることになる。Mullvad が絶対にしないと約束していることだ。
    • 監査で、そのサーバーに一般ユーザーのように使われる複数のログインアカウントを提供していればよかったと思う。実サーバーのように動作させるためだ。
      その後、実際に稼働中のサーバーの監査につなげることもできた。
      稼働中の顧客向けサーバーを監査するには、監査者が潜在的な顧客データを記録しないよう、相当な統制が必ず必要になる。
  • Mullvad が今後苦労する未来は容易に想像できる。大手テック企業が Mullvad のデータセンター帯域全体をブロックしてしまう可能性があるからだ。
    すでに Cloudflare と個別の管理者の間ではある程度そうしたことが起きていて、Mullvad で接続すると ChatGPT の利用がブロックされる場合もあるようだ。少なくとも関連はありそうだ。
    最終的に何かへアクセスしたりスクレイピングしたりするには、怪しげな住宅用プロキシが必要になるかもしれない。
    自前でホストした VPS も、今後来る一括ブロックを避けられる程度に小規模なら通用するかもしれないが、時間が経たないと分からない。

  • 以前 HN で、Mullvad はログを残しておらず、当局に提供できるログもなかったという記事を読んでから Mullvad に移った。
    リンクはないが印象的で、今回の監査はその判断が正しかったことを示す追加の証拠だ。

    • OVPN も選択肢だという点は触れておくべきだ。裁判まで行って勝訴したため、OVPN のノーログが本当にノーログであることを合理的疑いを超えて証明した。
      詳細はリンクを見ればよいが、引用すると「Rights Alliance とそのセキュリティ専門家は、ログが保存され得ることを意味する OVPN システムの脆弱性を証明できなかった」だ。
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • 少し前にMullvadを知ったのですが、Mozillaと契約を結んでいたようです
    いずれにしてもサービスは素晴らしく、余計な手続きなしにただサービスにお金を払えることが、これほど珍しいのかと驚きます
    アカウントを作るにはここをクリックし、その後、数多くの決済方法のいずれかでそのまま支払えばよいです。郵送での現金払いまで含まれています