Mullvad、RAMのみのVPNインフラへの移行を完了
(mullvad.net)- MullvadはVPNインフラからディスク使用の痕跡をすべて排除し、サーバーがRAMのみのデプロイ方式だけで運用されるよう移行した
- この取り組みは、2022年初めに
stbootブートローダーをベースにしたディスクレスインフラへの移行を発表した後の成果である - この構成は2022年と2023年に2回監査を受けており、今後のVPNサーバー監査もRAMのみのデプロイだけを対象に実施される
- サーバーはmainlineカーネル開発に追随するカスタムの軽量Linuxカーネルを使用し、最新機能・性能改善を取り込み、不要な要素を削除している
- 再起動時や初回プロビジョニング時に、新しいカーネル、ログファイルの痕跡がない状態、完全にパッチ適用済みのOSを確保する運用方式が中核となる
ディスクレスVPNインフラへの移行
- MullvadはVPNインフラからディスク使用の痕跡をすべて排除したと発表した
- 2022年初めに
stbootブートローダーを使用するディスクレスインフラへの移行開始を発表して以来、移行を進めてきた - この構成のVPNインフラは2回監査を受けている
- 今後のVPNサーバー監査はRAMのみのデプロイだけを対象に実施される
カーネルと起動OSの構成
- すべてのVPNサーバーは、カスタムで大幅に縮小したLinuxカーネルを引き続き使用する
- カーネル開発はmainlineブランチに追随し、最新バージョンを取り込んで新機能と性能改善を反映する
- 不要なカーネル要素は削除し、軽量な構成を維持する
- デプロイ前の起動OSのサイズは200MBを少し超える程度である
- サーバーが再起動されるとき、または初めてプロビジョニングされるときに、次の状態を確保する
- 新しくビルドされたカーネル
- ログファイルの痕跡がないこと
- 完全にパッチ適用済みのOS
1件のコメント
Hacker News のコメント
本当に素晴らしい。セキュリティと透明性を気にする VPN 事業者なら、Mullvad のように振る舞ってほしいと思うようになる
ある事業者はインフルエンサーに大金を投じて「セキュリティを重視している」と言わせ、別の事業者は実際にセキュリティを改善することに集中している
ちなみに全部オープンソース: https://github.com/system-transparency/stboot
HTTPS は万能ではないが、YouTube 広告を出している大手 VPN 企業の恐怖マーケティングは、カフェで Amazon にアクセスしただけで誰かにクレジットカードを盗まれるかのように見せている
Tom Scott だけがこのテーマについてまともな動画を作っていたのを見た [0]
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
ありきたりな反応を誘おうというわけではないが、技術力のある VPN 事業者が、ディスクレス運用、カーネルのカスタマイズ、より強固なセキュリティといった要件があるにもかかわらず、BSD より Linux を使っている点は興味深い
ディスクレスの面では、高度にカスタマイズした Ubuntu で25,000 台以上の iPXE デプロイをディスクレスのブレードサーバー上で運用したことがあり、非常にうまくいった
OS の選択に関係なく、ディスクレスはかなり良い。セキュリティ問題があるかアップグレードが必要なら再起動すればいい。ただし 25,000 台のサーバーを再起動するには、gigE でもかなり時間がかかる
これを安定して処理するスケジューリングシステムを作るのはかなり手間がかかったが、結果はかなり良かった
「ログを残したり保存したりしない」と言う VPN が気になる。実際にそうなのかもしれないが、自分たちで保存する代わりに、法執行機関や情報機関などへリアルタイムのデータストリームを送っている可能性もある
そうすれば「私たちはログを残さない」と言うのは technically には正しいことになる
しかし OVPN のように、「ログなし」が本当であることを法廷で証明した会社もある[1]
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
システムはセキュリティ脆弱性やソーシャルエンジニアリング、そして金・思想・弱み・自尊心といった典型的な心理戦の手段を含む強要によって破られうる
あるいは政府の法的命令を受けることもある。世界中のほぼすべての政府は、マネーロンダリングやテロ対策、つまり AML/CFT の名目で、どんな主体にもデータを引き渡させる法律と運用慣行を持っている
こうした攻撃に強く防御するには非常にコストが高い。月額 5 ドルの料金で通常の運営費とこうした事案への対応まで賄える、実行可能なビジネスモデルはあまり見えない
付け加えると、すでに使っているであろう基盤技術に組み込まれたバックドアもある。今週明らかになった Cavium HSM のような事例がそれだ
NYPD が違法な 100 万ドル規模の携帯電話傍受装置を購入したと報じられてはいるが、米国でも最大級の自治体法執行機関が到達する水準も、だいたいその程度が限界だ
そもそもそれはどう機能するのか。裁判所の口止め命令がなければ、数週間以内に内部の噂が漏れるだろう
携帯電話関連の装置が準備済み状態だったのは警察署の職員だけが関与していたからだが、VPN 事業者にはそのやり方は不可能だ。彼らには CIA や NSA、時には FBI が受ける不当な特権もない
私ができることのうち、法執行機関の好奇心を引きそうなものは、連邦情報機関の関心事よりはるかに下にある。もちろん、あなたの人生はもっと興味深いかもしれない
VPN 事業者に影響する合法的傍受義務があるかどうかは、その管轄区域の法律を見る必要がある。あるいは Mullvad が明確にしてくれるかもしれない
スウェーデンではすべての通信機器に合法的傍受の要件が確実にあるが、VPN についてはよく分からない
私には、顧客の活動を VPN が記録したうえで、別の場所に送って保存させているように見える
VPNについて、ずっと気になっていたことがある
例えば小児性愛者がMullvadを使って禁止画像を受け取った場合、VPNが責任を負うのだろうか?
法執行機関からはIPがMullvadのオフィスから出ているように見えるはずなので、彼らがやったことだと推定しないのだろうか? どうやってこれを回避しているのか気になる
ばかな質問かもしれないが、本当に気になっている
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
「しかし、彼らが何かを持ち去っていたとしても、いかなる顧客情報にもアクセスできなかっただろう。」
「スウェーデンでプライバシー重視のVPNサービスを運営できるようにしている国内法は次のとおりだ。」
そこで「私たちはログを一切残さない」という文言と、RAM上だけで実行する構成が重要になる
令状がハードウェアの持ち出しを認めていても、電源が切れれば全データは消える。法執行機関は大量のバッテリーを持ってくる必要があるだろう
警察にVPNとIPアドレスを説明しなければならないなら、幸運を祈る。これが私の恐れていることだ
「彼ら」は機器に液体窒素をかけてラックから抜き取り、DRAMを液体窒素入りの魔法瓶に入れて持ち帰り、ゆっくりデータを読めばいいだけだ
https://ieeexplore.ieee.org/document/8388826
この機能は前方秘匿性と呼ばれ、後で鍵が漏えいしても過去のトラフィックを保護する
Mullvadが使っているWireGuardはこれをサポートしている。なぜか、理由の推測は読者に任せるが、Wi-FiのWPAはいまだにそうではない
鍵はCPU内部にあり、起動のたびにランダム化される。動作中のRAMチップをスニッフィングしても、完全に保存された冷却RAMを読んでも、何も得られない
Xbox Oneがハッキングされなかった大きな理由でもある
AMDベースのビジネスノートPCやAMD EPYCサーバーでは、BIOSでSMEを有効にできる
これを「ただ」やるには、Mullvadが反応する前に捜査員が建物のインフラをほぼ完全に掌握しなければならず、言うほど簡単ではない
たとえ些細なことだとしても、競合VPNサービスと比べれば、それでも数段上のレベルだ
それでも、ハードウェアベースのバックドアや、メモリインジェクション、サプライチェーンのような別種のバックドアでリアルタイムデータを抜き取る攻撃までは防げない
「サーバーが再起動されるか、初回プロビジョニングされるときに、新しくビルドされたカーネルを受け取ると確信できる」とあったが、その周期がどの程度なのか気になる
毎日なのか、毎週なのか、それとも1時間ごとなのか? 周期が長いほど、一部の攻撃ベクトルの可能性は低くなる
北米と欧州では、VPNは法的にVPNの利用記録、つまり訪問サイトや登録メールアドレスなどを1〜2年保存しなければならない
ほとんどのVPN会社はブラウジングログを保存しないと宣伝している
だとすれば、欧州と米国の法律に違反していることになる
だからディスクレスVPNをどう見ればいいのか分からない
コメントで出ていた良い指摘だが、仮想マシンはメモリ状態全体をスナップショットとして残せる。この点にも注意が必要だ
「新しくビルドされたカーネル、ログファイルの痕跡なし、完全にパッチ適用済みのOS」なら、ディスクを読み取り専用モードで使うだけでも同じ効果にならないのか?
それに第三者が、そのスイッチが正しく設定されていることを監査で証明するのも難しい
「当社のすべてのVPNサーバーは、継続的にカスタム化し大幅に削減したLinuxカーネルを使用し、カーネル開発のメインラインブランチに追随している」とあったが、カスタムサーバーはセキュリティ上のニッチな弱点になり得る
一般的なサーバーは継続的に研究されパッチが当てられるが、こうしたサーバーにも同じことを期待できるわけではない
誰かがセキュリティホールを見つければ、攻撃者がそれを買い取れるし、システムが侵害された事実を誰にも気づかれないままにできる