Radically Open Security によって完了したインフラ監査

 (mullvad.net)
2 ポイント 投稿者 GN⁺ 2023-08-10 | 1件のコメント | WhatsAppで共有
  • オランダ拠点のセキュリティ企業 Radically Open Security(RoS)が、Mullvad VPN のインフラ監査を完了しました。
  • この監査は、RAM 上で動作する VPN サーバー、特に 1 台の OpenVPN サーバーと 1 台の WireGuard サーバーに焦点を当てていました。
  • これは 2023 年 6 月中旬に結論づけられた 3 回目のセキュリティ監査の最終報告書であり、修正は 2023 年 6 月末に展開されました。
  • RoS はいくつかの新たな発見を含む一部の問題を見つけましたが、Mullvad VPN リレーは成熟したアーキテクチャを示しており、ユーザー活動データのログ記録は発見しませんでした。
  • RoS には RAM 上で動作する 2 台の VPN サーバーへの完全な SSH アクセス権が付与されており、これらは縮小された Linux カーネル(6.3.2)とカスタム Ubuntu 22.04 LTS ベースの OS を使用していました。
  • この監査は、サーバーの内部および外部のセキュリティと設定を検証し、顧客の活動がログ記録されているかどうかを確認することを目的としていました。
  • RoS は顧客データの情報漏えいまたはログ記録を発見せず、ペネトレーションテスト中に 1 件の重大、6 件の高、4 件の中、10 件の低、そして 4 件の情報レベルの問題を発見しました。
  • 重大な問題の 1 つは、テストシステムでペンテストユーザーに本番ユーザートラフィックが見えていたことでした。
  • 高リスクの問題は、低権限のシステムアカウントが systemd タイマースクリプトの内容を操作して root 権限に昇格できる可能性でした。
  • 中リスクの問題は、管理者が本番ユーザーの VPN トラフィックにアクセスできることでした。
  • 低リスクの問題は、Telegraf が VPN サーバー間で使用する共有 Influx データベース認証情報により、グローバルなサーバーメトリクスを改ざんできることでした。
  • Mullvad VPN はこれらの問題に対する修正を実装しており、近い将来さらに多くの変更を展開する予定です.

関連記事

1件のコメント

 
GN⁺ 2023-08-10
Hacker Newsのコメント
  • VPNサービスプロバイダーであるMullvadは、ビジネス上の利便性を犠牲にしてでもユーザーのプライバシー保護とセキュリティに尽力している点で称賛されている。
  • 同社は個人を特定できる情報を保存しないために、PayPalでの自動更新を無効にするなどの判断を下した。
  • Mullvadの技術文書の作成姿勢とセキュリティ上の判断は、ポートフォワーディングの無効化のような議論を呼ぶ決定にもかかわらず、ユーザーの間で好感を持たれている。
  • Mullvadは利便性より自由を重視する企業であり、これは技術愛好家の間でも珍しい特性である。
  • 一部のユーザーはMullvadを最高の商用VPNソリューションと見なしており、プライバシー保護をより身近なものにしている。
  • ただし、VPNはインターネット上のプライバシー保護に対する完全な解決策ではないと指摘されている一方で、ISPやエンドポイントに対する保護は提供する。
  • Mullvadは、Proton VPNのような他のプロバイダーと比べて、疑わしい信頼性の問題がない唯一の主流VPNだと認識されている。
  • 監査プロセスに対する懸念もあり、一部のユーザーは、監査が顧客向けサーバーを調査したのか、それともテスト用の本番サーバーだけを確認したのか疑問を呈している。
  • Torやその他のオーバーレイネットワークとは異なり、Mullvadは明確に運営されており、中傷キャンペーンや偏ったニュース記事の標的になっていない。
  • 一部のユーザーは、大手テクノロジー企業が自社のデータセンターを対象範囲内に限定することを決めた場合、Mullvadが今後課題に直面する可能性があるとの懸念を示している。
  • Mullvadの利用時間に対して料金を支払うという考え方は、ユーザーに好意的に受け止められている。