1 ポイント 投稿者 GN⁺ 2023-09-21 | 1件のコメント | WhatsAppで共有
  • MullvadはVPNインフラからディスク使用の痕跡をすべて排除し、サーバーがRAMのみのデプロイ方式だけで運用されるよう移行した
  • この取り組みは、2022年初めにstbootブートローダーをベースにしたディスクレスインフラへの移行を発表した後の成果である
  • この構成は2022年と2023年に2回監査を受けており、今後のVPNサーバー監査もRAMのみのデプロイだけを対象に実施される
  • サーバーはmainlineカーネル開発に追随するカスタムの軽量Linuxカーネルを使用し、最新機能・性能改善を取り込み、不要な要素を削除している
  • 再起動時や初回プロビジョニング時に、新しいカーネル、ログファイルの痕跡がない状態、完全にパッチ適用済みのOSを確保する運用方式が中核となる

ディスクレスVPNインフラへの移行

  • MullvadはVPNインフラからディスク使用の痕跡をすべて排除したと発表した
  • 2022年初めにstbootブートローダーを使用するディスクレスインフラへの移行開始を発表して以来、移行を進めてきた
  • この構成のVPNインフラは2回監査を受けている
  • 今後のVPNサーバー監査はRAMのみのデプロイだけを対象に実施される

カーネルと起動OSの構成

  • すべてのVPNサーバーは、カスタムで大幅に縮小したLinuxカーネルを引き続き使用する
  • カーネル開発はmainlineブランチに追随し、最新バージョンを取り込んで新機能と性能改善を反映する
  • 不要なカーネル要素は削除し、軽量な構成を維持する
  • デプロイ前の起動OSのサイズは200MBを少し超える程度である
  • サーバーが再起動されるとき、または初めてプロビジョニングされるときに、次の状態を確保する
    • 新しくビルドされたカーネル
    • ログファイルの痕跡がないこと
    • 完全にパッチ適用済みのOS

1件のコメント

 
GN⁺ 2023-09-21
Hacker News のコメント
  • 本当に素晴らしい。セキュリティと透明性を気にする VPN 事業者なら、Mullvad のように振る舞ってほしいと思うようになる
    ある事業者はインフルエンサーに大金を投じて「セキュリティを重視している」と言わせ、別の事業者は実際にセキュリティを改善することに集中している
    ちなみに全部オープンソース: https://github.com/system-transparency/stboot

    • これとは少し別に、大手 VPN 事業者が、まるでユーザーが訪れるサイトの大半が HTTPS ではないかのように語り、HTTPS がすでに埋めている穴を自分たちが埋めることこそが主な利点であるかのように宣伝するのは、いつも気に障る
      HTTPS は万能ではないが、YouTube 広告を出している大手 VPN 企業の恐怖マーケティングは、カフェで Amazon にアクセスしただけで誰かにクレジットカードを盗まれるかのように見せている
      Tom Scott だけがこのテーマについてまともな動画を作っていたのを見た [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • stboot とサポート用コンポーネント、ドキュメント作業は別の GitLab に移された: https://git.glasklar.is/system-transparency/core/stboot
  • ありきたりな反応を誘おうというわけではないが、技術力のある VPN 事業者が、ディスクレス運用、カーネルのカスタマイズ、より強固なセキュリティといった要件があるにもかかわらず、BSD より Linux を使っている点は興味深い

    • 私の立場からすると、Linux を隅々まで理解している人を採用できる人材プールのほうがはるかに大きい。認識されているセキュリティ上の問題を引き受けるだけの利点がある
      ディスクレスの面では、高度にカスタマイズした Ubuntu で25,000 台以上の iPXE デプロイをディスクレスのブレードサーバー上で運用したことがあり、非常にうまくいった
      OS の選択に関係なく、ディスクレスはかなり良い。セキュリティ問題があるかアップグレードが必要なら再起動すればいい。ただし 25,000 台のサーバーを再起動するには、gigE でもかなり時間がかかる
      これを安定して処理するスケジューリングシステムを作るのはかなり手間がかかったが、結果はかなり良かった
    • こういう用途で、より適した BSD はあるのだろうか?
  • 「ログを残したり保存したりしない」と言う VPN が気になる。実際にそうなのかもしれないが、自分たちで保存する代わりに、法執行機関や情報機関などへリアルタイムのデータストリームを送っている可能性もある
    そうすれば「私たちはログを残さない」と言うのは technically には正しいことになる

    • 悪意ある行為者は必然的に存在しうる
      しかし OVPN のように、「ログなし」が本当であることを法廷で証明した会社もある[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • 正直な会社であっても、圧力は二方向から来る。ひとつはセキュリティ、もうひとつは法的圧力だ
      システムはセキュリティ脆弱性やソーシャルエンジニアリング、そして金・思想・弱み・自尊心といった典型的な心理戦の手段を含む強要によって破られうる
      あるいは政府の法的命令を受けることもある。世界中のほぼすべての政府は、マネーロンダリングやテロ対策、つまり AML/CFT の名目で、どんな主体にもデータを引き渡させる法律と運用慣行を持っている
      こうした攻撃に強く防御するには非常にコストが高い。月額 5 ドルの料金で通常の運営費とこうした事案への対応まで賄える、実行可能なビジネスモデルはあまり見えない
      付け加えると、すでに使っているであろう基盤技術に組み込まれたバックドアもある。今週明らかになった Cavium HSM のような事例がそれだ
    • Houston Police Department だろうがどこかの市警だろうが、NSA 式の光ファイバーバックボーン・データ吸い上げ作戦を組めるほど洗練されているとは思わない
      NYPD が違法な 100 万ドル規模の携帯電話傍受装置を購入したと報じられてはいるが、米国でも最大級の自治体法執行機関が到達する水準も、だいたいその程度が限界だ
      そもそもそれはどう機能するのか。裁判所の口止め命令がなければ、数週間以内に内部の噂が漏れるだろう
      携帯電話関連の装置が準備済み状態だったのは警察署の職員だけが関与していたからだが、VPN 事業者にはそのやり方は不可能だ。彼らには CIA や NSA、時には FBI が受ける不当な特権もない
      私ができることのうち、法執行機関の好奇心を引きそうなものは、連邦情報機関の関心事よりはるかに下にある。もちろん、あなたの人生はもっと興味深いかもしれない
    • 合法的傍受システムは 1990 年代からこのように動作してきた
      VPN 事業者に影響する合法的傍受義務があるかどうかは、その管轄区域の法律を見る必要がある。あるいは Mullvad が明確にしてくれるかもしれない
      スウェーデンではすべての通信機器に合法的傍受の要件が確実にあるが、VPN についてはよく分からない
    • それはログ記録をかなり独特に解釈しているように思う
      私には、顧客の活動を VPN が記録したうえで、別の場所に送って保存させているように見える
  • VPNについて、ずっと気になっていたことがある
    例えば小児性愛者がMullvadを使って禁止画像を受け取った場合、VPNが責任を負うのだろうか?
    法執行機関からはIPがMullvadのオフィスから出ているように見えるはずなので、彼らがやったことだと推定しないのだろうか? どうやってこれを回避しているのか気になる
    ばかな質問かもしれないが、本当に気になっている

    • Mullvadは実際に似たような件で警察の家宅捜索を受けたことがあり、ここで説明されている:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      「しかし、彼らが何かを持ち去っていたとしても、いかなる顧客情報にもアクセスできなかっただろう。」
      「スウェーデンでプライバシー重視のVPNサービスを運営できるようにしている国内法は次のとおりだ。」
    • 弁護士ではないが、私の理解では通常 Section 230 の範疇に入る。ComcastやAT&Tなど、自社インフラ上をバイトが通過する事業者にも同じ論理を適用できるからだ
    • そうなると捜査は、VPNサービスに令状や召喚状を送り、そのアカウントのユーザー詳細やログなどの関連資料を要求する方向に進むだけだ
      そこで「私たちはログを一切残さない」という文言と、RAM上だけで実行する構成が重要になる
      令状がハードウェアの持ち出しを認めていても、電源が切れれば全データは消える。法執行機関は大量のバッテリーを持ってくる必要があるだろう
    • 回避はできない。だから以前に警察の家宅捜索を受けたし、もはや ポートフォワーディング を提供しなくなったのだ
    • ところで、あなたがそのVPNにログインして、子ども用のキッズセーターを検索し、セッションを開いたままにしているとしよう。その間に法執行機関が以前の活動に紐づくIPを照会したところ、そのIPが今はあなたに割り当てられている
      警察にVPNとIPアドレスを説明しなければならないなら、幸運を祈る。これが私の恐れていることだ
  • 「彼ら」は機器に液体窒素をかけてラックから抜き取り、DRAMを液体窒素入りの魔法瓶に入れて持ち帰り、ゆっくりデータを読めばいいだけだ
    https://ieeexplore.ieee.org/document/8388826

    • 現代の暗号化プロトコルでは、そうしても何も得られない
      この機能は前方秘匿性と呼ばれ、後で鍵が漏えいしても過去のトラフィックを保護する
      Mullvadが使っているWireGuardはこれをサポートしている。なぜか、理由の推測は読者に任せるが、Wi-FiのWPAはいまだにそうではない
    • AMDプロセッサは SME という暗号化RAMをサポートしている[1]
      鍵はCPU内部にあり、起動のたびにランダム化される。動作中のRAMチップをスニッフィングしても、完全に保存された冷却RAMを読んでも、何も得られない
      Xbox Oneがハッキングされなかった大きな理由でもある
      AMDベースのビジネスノートPCやAMD EPYCサーバーでは、BIOSでSMEを有効にできる
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • ここでの「ただ」という言葉は、多くのことを背負っている
      これを「ただ」やるには、Mullvadが反応する前に捜査員が建物のインフラをほぼ完全に掌握しなければならず、言うほど簡単ではない
      たとえ些細なことだとしても、競合VPNサービスと比べれば、それでも数段上のレベルだ
    • それはSSDを抜いてログファイルを読むよりはるかに手間が多く、ミスの可能性もずっと大きそうだ
  • それでも、ハードウェアベースのバックドアや、メモリインジェクション、サプライチェーンのような別種のバックドアでリアルタイムデータを抜き取る攻撃までは防げない
    「サーバーが再起動されるか、初回プロビジョニングされるときに、新しくビルドされたカーネルを受け取ると確信できる」とあったが、その周期がどの程度なのか気になる
    毎日なのか、毎週なのか、それとも1時間ごとなのか? 周期が長いほど、一部の攻撃ベクトルの可能性は低くなる

  • 北米と欧州では、VPNは法的にVPNの利用記録、つまり訪問サイトや登録メールアドレスなどを1〜2年保存しなければならない
    ほとんどのVPN会社はブラウジングログを保存しないと宣伝している
    だとすれば、欧州と米国の法律に違反していることになる
    だからディスクレスVPNをどう見ればいいのか分からない

  • コメントで出ていた良い指摘だが、仮想マシンはメモリ状態全体をスナップショットとして残せる。この点にも注意が必要だ

  • 「新しくビルドされたカーネル、ログファイルの痕跡なし、完全にパッチ適用済みのOS」なら、ディスクを読み取り専用モードで使うだけでも同じ効果にならないのか?

    • 最近のディスクには、常に読み取り専用スイッチがあるわけでもない。フロッピーディスクの物理的な切り欠きが懐かしい
      それに第三者が、そのスイッチが正しく設定されていることを監査で証明するのも難しい
  • 「当社のすべてのVPNサーバーは、継続的にカスタム化し大幅に削減したLinuxカーネルを使用し、カーネル開発のメインラインブランチに追随している」とあったが、カスタムサーバーはセキュリティ上のニッチな弱点になり得る
    一般的なサーバーは継続的に研究されパッチが当てられるが、こうしたサーバーにも同じことを期待できるわけではない
    誰かがセキュリティホールを見つければ、攻撃者がそれを買い取れるし、システムが侵害された事実を誰にも気づかれないままにできる