Mullvad VPNインフラの第3回監査、Radically Open Securityが完了
(mullvad.net)- Mullvadはオランダのセキュリティ企業 Radically Open Security(RoS) にVPNインフラの第3回監査を委託し、RAM上で稼働するOpenVPNサーバー1台とWireGuardサーバー1台を点検した
- 監査対象は Linux kernel 6.3.2 とUbuntu 22.04 LTSベースのカスタムOSを使うサーバーで、本番サーバーのようにデプロイされていたが、実際の顧客接続用に使われたことはない
- RoSは内部・外部のサーバー設定と 顧客活動のロギング有無 を検証し、顧客データのロギングや情報漏えいは発見しなかった
- 侵入テストでは High 1件、Elevated 6件、Moderate 4件、Low 10件、info 4件 が見つかり、主な修正は2023年6月末にデプロイされた後、7月に再テストと検証を受けた
- MullvadはSSH管理者アクセスの監査強化、SSH削除の検討、Telegraf認証の改善を進めており、一部の追加変更は今後デプロイされる予定
監査範囲と公開レポート
- MullvadはVPNインフラに対する 3回目のセキュリティ監査 をRadically Open Securityに依頼した
- 今回の監査はRAM上で稼働するVPNサーバー2台に集中した
- OpenVPNサーバー1台
- WireGuardサーバー1台
- RoSは2023年6月中旬に監査を完了し、多くの修正事項は2023年6月末にデプロイされた
- 2023年7月には追加の 再テストと検証 が行われた
- 最終レポートは ROS - Mullvad VPN 2023.pdf として公開されている
テストサーバー構成と検証項目
- RoSはRAM上で稼働するVPNサーバー2台に対して 完全なSSHアクセス権 を受け取った
- 監査対象サーバーは、縮小された最新Linuxカーネルである 6.3.2 と、Ubuntu 22.04 LTSベースのカスタムOSを使用していた
- これらのサーバーは顧客向け本番サーバーのようにプロビジョニングおよびデプロイされていたが、実際の顧客接続用として使われたことはない
- 検証範囲は3つに整理された
- サーバー内部のセキュリティと設定
- サーバー外部のセキュリティと設定
- 顧客活動のロギング有無
- RoSは、システム上で実行される複数のバイナリのソースコード調査と、ハードウェアレベルのセキュリティレビューも提案したが、Mullvadはこれを除外した
- 今回の監査は「システムが稼働し、顧客が利用している後」の状態に限定された
全体結果
- RoSは 顧客データのロギングや情報漏えい を発見しなかった
- テスト対象のMullvad VPNリレーは「成熟したアーキテクチャ」を示したと評価された
- 今回の侵入テストで発見された問題は合計25件
- High 1件
- Elevated 6件
- Moderate 4件
- Low 10件
- info 4件
MLL-024: テストシステムに露出した本番multihopトラフィック
- MLL-024 はHigh深刻度の問題に分類された
- RoSは、本番ユーザーのトラフィックが侵入テストのユーザーに見える可能性があると判断した
- 監査対象サーバーは顧客接続用として公開されておらず、サーバー一覧で告知されておらず、ユーザーにも提供されていなかった
- ただし、これらのサーバーはWireGuardの multihop機能 に接続されていた
- 顧客がIPをスキャンすると、別のVPNサーバーに接続した状態でSOCKS5プロキシを使い、そのサーバーへトラフィックを送ることができた
- これを遮断する仕組みはなかった
- RoSが確認したのはWireGuard内部インターフェイスのIPだけだった
- このインターフェイスはSOCKS5 multihopトラフィックのみに使われる
- したがって、エントリーポイントのWireGuardサーバーに該当する
- Mullvadは、本番サーバーを提供していなければ本番サーバー監査として有効ではなかったはずであり、サーバーで顧客トラフィックが見える状況を防ぐ方法はなかったと見ている
MLL-019: systemdタイマーとディレクトリ権限を通じたroot権限昇格
- MLL-019 はElevated深刻度の問題に分類された
- 低権限のシステムアカウントがsystemdタイマースクリプトの内容を操作すると、root権限に昇格 できた
- MullvadはRoSと協議した後、主な原因をネストされたホームディレクトリの使用と、管理者ユーザーが
madグループに含まれていたことだと見た - ネストされた
/home/madディレクトリ構造は、RAMベースのVPNサーバーへ移行する以前からの レガシーの名残 である - 短期対応として、すべての管理者ユーザーを
madグループから削除した - 関連スクリプトは
/opt/local_checksに移動され、RoSはこの対応で問題が解決されると認めた
MLL-045: 本番マシンへの管理者アクセス
- MLL-045 はModerate深刻度の問題に分類された
- VPNサーバーが管理者のリモートログインを許可していたため、管理者が技術的には本番ユーザーのVPNトラフィックをタップできた
- Mullvadはこの問題を以前から認識しており、RoSとの協議により既存の計画を再確認した
- 計画されている対応は2つ
- 不正ログインを監査可能にし、サーバーで使われたすべてのコマンドを引数なしで記録するシステムを実装する
- SSHサポートを完全に削除する方法を調査する
- SSHが削除されれば、管理者もSSH経由で顧客トラフィックのロギングを有効化できなくなる
- SSH削除の方法は、正しく実施するのにより多くの時間がかかる見込み
MLL-016: サーバー間で共有されるTelegrafパスワード
- MLL-016 はLow深刻度の問題に分類された
- VPNサーバー全体で共有されるTelegrafのInfluxデータベース認証情報により、グローバルなサーバー指標の改ざんが可能だった
- CPU使用率
- ディスク使用量
- ネットワーク指標
- MullvadはHashicorp VaultのPKIインフラを使い、認証用の クライアント証明書 を導入した
- この対応は実装済み
- Mullvadはインフラの他の場所でも、こうした証明書の使用を検討する予定
今後の変更
- 監査で発見された問題のうち、いくつかの興味深い事例だけがまとめられている
- 近いうちに、さらに多くの変更がデプロイされる予定
1件のコメント
Hacker Newsの意見
Mullvadが残っている顧客に追加のセキュリティと安定性を提供するために、ビジネス上の損失を受け入れる姿勢は本当に尊敬する。
最初にそれを感じたのはPayPalの自動更新をオフにしたときで、自動更新を維持するにはアカウントと一緒に個人情報を保存する必要があったからだ。
ただ、自分にとっては犠牲が一度多すぎて、ポートフォワーディングを無効化したことだった。顧客に警告するための連絡先情報を保存していないので、ある日突然接続が失敗し、数か月分の前払いサービスが残った状態になった。
その件については少し苦い思いがあるが、技術記事やセキュリティ判断で積み上げた好感が十分あるので、お金はそのまま受け取ってほしい。怪しく感じない唯一のVPNなので、うまくいってほしい。
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
このような機能削除をわずか30日前に告知するやり方は、一般的に私たちが望む事業運営の形ではない。この機能に依存していた顧客は、機能削除そのものと、その扱い方の両方に失望しただろうと思う。
それでも、それは正しい判断だった。ここ数か月で悪用のされ方と規模があまりにも大きくなり、これ以上提供を続けることはできなかった。この機能はもっとずっと前に、もっと長い猶予期間を設けて削除されるべきだった。そうできなかったのは私たちのミスであり、あなたを含む一部のユーザーが被害を受けた。
利用できなくなった前払いサービスについては、当然返金を受けられる。
ポートフォワーディングを使って、公開インターネットから何らかのサービスにアクセスできるようにしようとしていたのなら、喜んでサービスを提供してくれる良いホスティング事業者はたくさんある。
サービスをアクセス可能にしつつ匿名性を維持しようとしていたのなら、Torのonion service機能を強く勧める。まさにそのユースケースを念頭に作られた機能だ。
サービスを公開インターネットからアクセス可能にしつつ、同時に匿名性も維持しようとしているのなら、私たちが勧められる良い選択肢はない。
ポートフォワーディングは道義的な理由で削除しなければならなかった。大規模監視と検閲を無力化するという中核的使命に対して、あまりにも大きな妨げになっていたからだ。
この説明で失望がすべて和らぐわけではないとしても、少なくともある程度の明確さを与えられたならと思う。
Fredrik Stromberg、Mullvad VPN共同創業者
トレントを使うときもポートフォワーディングを設定していたが、今ではそれがなくてもLinux ISOを入手できることが分かった。Mullvadはかなり使っている方なのに、あまり気にしていなかった。
ポートフォワーディングがオフになると、いつから自分に影響が出るのか、つまりどんなユースケースが塞がれるのか知りたい。
実際に移っていたら、意図した通りに使えない前払いサービスが大量に残る同じ状況になっていただろう。
Mullvadの創業者がメールを送ってくれたときに参加しなかったことが、キャリアで最大の後悔だ。
彼らの価値観のかなりの部分は自分の価値観と合っており、利便性より自由を優先する技術愛好家は残念ながら非常に珍しい。だから私たちの大半は、米国政府の管轄下にある大手クラウド事業者を使うことになる。
先に言っておくと、これは自分のキャリアでも実際に問題になった。クラウド事業者は米国の制裁に従わなければならないため、キューバ、イラン、クリミア出身だと、私が作ったゲームをプレイできなかった。ロシアやウクライナでは合法的に私たちのゲームを買えるのに、占領地域にいるとプレイできないというのは腹立たしかった。
話が少しそれたが、外から見て怪しくなく、自由を重視する会社を見るのは本当に新鮮だ。
有効なOFACライセンスがあってもアクセスを拒否するところさえある。おそらくアクセス制御リストが複雑だからだと思うが、全体としてばらばらだ。
だから95%の時間はひどいVPNをオンにしている。米国の制裁も避けなければならないし、自分の国の検閲装置も避けなければならないからだ。
何十年も前に制裁がなぜ生まれたのかはある程度理解しているが、その論理が今でも有効なのかは分からない。悲しいことに、制裁の影響を最も大きく受けるのは私のような普通の人々だ。支配層のエリートではまったくない。
そのサービスは小さな事業を始める人の助けになり、場合によっては生活を改善する可能性もあると思っていた。
ただし、制裁を戦争行為と見る人も多い[0]。そう考えれば、当然ひどいものだ。戦争であり、戦争のような結果は常に現地にいる人々を苦しめる。
上司が制裁を理由に地域ブロックを実装しろと言うなら、必要な分だけやり、VPNユーザーまでブロックするようなやりすぎはしないべきだ。法を破るな、しかし現地にいる人々がインターネットへのアクセス権を使うのをさらに難しくするな、という意味だ。
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
まず言っておくと、Mullvad は最高の商用 VPN ソリューションであり、優れたプライバシー保護をより利用しやすくする取り組みをうまくやっていると思う。
ただ、ここにある多くのコメントは、VPN 一般をインターネット上のプライバシー保護の解決策であるかのように持ち上げているように見える。
VPN が実際に保護してくれるのは基本的に 2 つ、インターネットプロバイダーと終端点だけだという点を思い出してほしい。それも、インターネットプロバイダーが怪しげな分析をしていないという前提付きだ。
それでも、この 2 つを取り除くだけでもプライバシー保護には大きな利点があり、当然やるべきことだ。
タイトルに Radically という単語が抜けている。「Open Security」は知らなかったが、「Radically Open Security」は自分が論文を書いた場所だ。
追記: u/progbits が私より 1 分早かった https://news.ycombinator.com/item?id=37060828
もちろん、私が担当したシステムでは、いくつかのコメント以外は何も見つからなかった。そのコメントも、静的解析ツールが改善対象として示し、私たちがすでに明示的にコメントを付けていた程度のものだったと思う。「ここは変数名をもっと良くできる」「ガード節を使えば単純化できる」といったレベルだ。
極限状況で、ほとんど眠れていない状態で作ったものとしては悪くなかった。生後 6 か月の赤ちゃん、COVID、クランチ、手のかかる幼い子ども 2 人が重なると地獄だ。
Mullvad は、深刻に疑わしい信頼性の問題がない唯一の主流 VPNだ。
Proton VPN でさえ十分ではない。追跡した人たちは、それが NordVPN のホワイトラベル版にすぎないことを突き止めた。
代替がないため、Mullvad が完全性への約束をより強く押し進めていることに感謝している。
追記: 投稿履歴を少し見たが、数か月にわたってこの主張をしながら、証拠は何も出していないようだ。怪しい。
「by Radically Open Security」なのに、HN のタイトル自動削除がまたやらかした。元の投稿者は、会社名が正しく出るようにタイトルを直してくれないだろうか?
この監査ではテスト用の運用サーバーだけを確認したように見える。
悪魔の代弁をしてみると、Mullvad がロギング機能を取り除いたバージョンを Open Security チームに提供するのを、何が防げるのだろうか? ここまで疑ってかかりたくはないが、本当の監査なら顧客が使っているサーバーを確認すべきではないのか? もちろん、監査者が情報を記録できないように境界を設けたうえでの話だ。
自分が間違っているかもしれないので、教えてほしい。ただ、この程度のテストで Mullvad のノーログ主張が証明されるとは確信できない。
監査対象が積極的に欺いたり悪意を持っていたりしないという、ある程度の信頼が必要で、そうでなければ監査は無作為にいつでも行える必要がある。
運用サーバーに攻撃者が部分的にアクセスする脅威モデルには関係があると思う。たとえば偶発的なロギングがないかといった部分だ。一方で、Mullvad が悪意あるコードを配布するという脅威モデルには当てはまらない。
意味のある監査だとは感じるが、この点をもっと明示的に示してくれればよかった。
もちろん VPS プロバイダーがトラフィックの片側を見られるので完全無欠ではないが、緩和はできる。
Mullvad は、その時間がない人や方法を知らない人にとって良い中間地点だ。少なくとも体裁を保とうと努力しているのは好ましい。
その後、実際に稼働中のサーバーの監査につなげることもできた。
稼働中の顧客向けサーバーを監査するには、監査者が潜在的な顧客データを記録しないよう、相当な統制が必ず必要になる。
Mullvad が今後苦労する未来は容易に想像できる。大手テック企業が Mullvad のデータセンター帯域全体をブロックしてしまう可能性があるからだ。
すでに Cloudflare と個別の管理者の間ではある程度そうしたことが起きていて、Mullvad で接続すると ChatGPT の利用がブロックされる場合もあるようだ。少なくとも関連はありそうだ。
最終的に何かへアクセスしたりスクレイピングしたりするには、怪しげな住宅用プロキシが必要になるかもしれない。
自前でホストした VPS も、今後来る一括ブロックを避けられる程度に小規模なら通用するかもしれないが、時間が経たないと分からない。
以前 HN で、Mullvad はログを残しておらず、当局に提供できるログもなかったという記事を読んでから Mullvad に移った。
リンクはないが印象的で、今回の監査はその判断が正しかったことを示す追加の証拠だ。
詳細はリンクを見ればよいが、引用すると「Rights Alliance とそのセキュリティ専門家は、ログが保存され得ることを意味する OVPN システムの脆弱性を証明できなかった」だ。
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
少し前にMullvadを知ったのですが、Mozillaと契約を結んでいたようです
いずれにしてもサービスは素晴らしく、余計な手続きなしにただサービスにお金を払えることが、これほど珍しいのかと驚きます
アカウントを作るにはここをクリックし、その後、数多くの決済方法のいずれかでそのまま支払えばよいです。郵送での現金払いまで含まれています