在重大安全漏洞被披露后NordVPN和TorGuard VPN在美国,我们正在降低NordVPN的评分,NordVPN以前是五星级的编辑选择VPN服务。它现在是一家四星服务,并将暂时保留其编辑选择奖。TorGuard将保持其四星评级。我将在下面解释原因和发生的事情。
这个故事始于几个月前的匿名留言板8chan上,一名用户吹嘘自己入侵了NordVPN、TorGuard VPN和一个我们尚未审查的名为VikingVPN的服务。这些吹嘘几个月来一直没有引起人们的注意,直到10月20日,一场推特风暴将针对这些公司的指控曝光。就在那时我发现了这件事。
我和其他人一样了解到,在NordVPN和TorGuard VPN的案例中,有人设法进入了这两家公司租用的VPN服务器。这两个NordVPN(在新窗口中打开)和TorGuard(在新窗口中打开)都发表了声明,概述了这次袭击。VikingVPN已经有很长一段时间没有更新博客了,该公司的Twitter账户也已经近两年没有活跃了。
作为一个评论者,我讨厌像今天这样的日子,不仅仅是因为我需要阅读一些真正卑鄙的8chan帖子才能找到这个故事的起源。我特别讨厌这种情况,因为它提出了非常困难的问题,而且没有特别令人满意的答案。
比如,惩罚一家参与攻击的公司公平吗?也许另一家公司有糟糕的安全措施,但只是没有成为攻击目标。我是否应该将一家公司的反应与另一家公司进行比较,从中挑选出一个赢家?这是不公平的,因为盲目的运气可能是导致这些结果的一个因素。既然这些公司都有强大的经济动机,想要把形势推向最好,我怎么能相信他们说的话呢?这是一个特别令人担忧的情况VPN行业,这个行业有着不幸的欺诈历史。
我很幸运,PCMag的读者信任我的VPN的beplay手机官网下载评论我知道,在评估安全和隐私产品方面,我负有特别特殊的责任。这些产品旨在保护人们,当它们不能保护人们时,它们就不仅仅是糟糕的购买:它们将人们置于危险之中。鉴于此,我将总结一下我对违规行为的理解,以及PCMag如何得出我们关于这两个vpn得分的决定。
这些漏洞有多严重?
根据NordVPN的声明,一名攻击者于2018年3月利用服务器上保留的远程访问功能访问了其位于芬兰的服务器。该服务器由NordVPN租用,但由第三方公司管理。NordVPN声称服务器公司在管理远程访问工具方面存在疏忽。TorGuard没有透露访问其服务器的确切方法,但这些事件似乎是有联系的。
NordVPN表示,攻击者能够获取传输层安全密钥,该密钥用于验证站点是否由NordVPN实际运行。TorGuard表示,它管理其证书颁发机构密钥的方式是,密钥不会直接存储在服务器上。两家公司都表示,他们之前就知道自己的服务器遭到了入侵,并已采取措施减轻未来的攻击。TorGuard VPN在意识到这一攻击后不久就披露了这一攻击。NordVPN直到10月21日才公开披露这个问题。
在这里我要简要说明一下,我已经了解到NordVPN和TorGuard VPN之间正在进行的与这些违规行为有关的法律案件。我们通常不把私人法律投诉作为我们审查的一部分,这里也是如此。beplay手机官网下载
很明显,攻击者拥有特权访问权限,这是任何人都不应该获得的。在攻击中获得的信息非常有价值,但NordVPN和TorGuard都表示,这些信息很难在实践中使用。
这是如何PCMag记者Michael Kan描述了潜在的袭击:
“窃取NordVPN的TLS密钥确实为所谓的‘中间人攻击’打开了大门,它可以将你未加密的流量暴露给黑客。但实施这样的计划并不容易。它需要创建一个虚拟的NordVPN客户端,然后欺骗用户安装它,最终只会使一台计算机受害。”
在给我的一封电子邮件中,NordVPN这样淡化了攻击的可能性:
“从本质上讲,攻击需要对用户的网络或设备进行非常特殊的访问才能实现。从理论上讲,这种攻击可能是由恶意或受损的ISP、恶意Wi-Fi网络、侵入式Wi-Fi网络管理员(如大学或办公室网络)或已经可以访问你设备的黑客实施的。”
就TorGuard而言,它是这样描述针对其基础设施的攻击的:
“TorGuard没有在任何端点上存储我们的主[证书颁发机构]密钥。但是,即使获得了CA密钥并且它是有效的,这样的攻击实际上也不可能实现,因为OpenVPN具有多层安全性。攻击者必须定位并同步多个攻击向量[…]人们有时抱怨OpenVPN很复杂,但这也是OpenVPN被高度评价为安全VPN协议的原因之一。”
也许更麻烦的是,攻击者在访问NordVPN的服务器时,可能已经能够观察到一些用户的活动。我已经联系了TorGuard,以澄清情况是否也是如此。在报告中,彭博(在新窗口中打开)引用了NordVPN顾问委员会成员Tom Okman关于这一具体问题的讲话。
Okman说,很难确定黑客是否获得了Nord用户的互联网使用信息,因为该公司不收集其服务器上的活动日志,这是对注重隐私的客户的一个卖点。奥克曼说,我认为最坏的情况是,他们可能会检查流量,看看你可以访问哪种网站。他表示,这只适用于使用其芬兰服务器访问未使用安全协议HTTPS的网站的Nord用户。”
彭博社说,NordVPN估计有50-200名客户使用了受影响的服务器。
我联系了NordVPN就这个具体问题发表评论。一名公司代表强调,虽然这是可能的,但没有证据表明攻击者观察了流量。该公司的回应是:
“即使黑客可以在连接到服务器时查看流量,他也只能看到普通ISP会看到的内容,但不可能个性化或链接到特定的用户名或电子邮件。无法监控历史VPN流量。”
虽然使用窃取的信息对攻击者来说似乎很困难(有趣的是,NordVPN和它的竞争对手TorGuard VPN都同意这一点),但我对攻击者可能已经观察到流量的可能性感到不安。好消息是,如今HTTPS比以往任何时候都更普遍,这将极大地限制攻击者可能观察到的东西,如果他们观察到任何东西的话。攻击者无法将观察到的流量归因于与服务器连接的特定用户,这也是一种解脱。但这仍然不能给人以安慰,因为它代表了一个VPN公司首先应该做的事情的彻底失败。
我还联系了TorGuard VPN,看看攻击者是否可以在连接到其服务器时观察到流量。该代表表示,这是不可能的,因为该公司使用安全的公钥基础设施(PKI)管理(在新窗口中打开)保护它的加密密钥。一位代表写道:
“不,这在TorGuard的案例中是不可能的。[…TorGuard的[证书颁发机构]CA私钥从未存储在任何VPN服务器上,因此攻击者不可能解密流经VPN的数据包。当VPN流量通过VPN适配器离开最终用户的计算机时,它是完全加密的。一旦数据包到达VPN提供商,查看活动的唯一方法是使用VPN提供商的私钥解密数据包。从理论上讲,攻击者可以记录流量或进一步检查它以进行利用。”
如何看待安全漏洞
NordVPN和TorGuard当然不是第一家遭遇重大安全漏洞的公司,甚至不是第一家遭遇重大安全漏洞的安全公司。一般来说,我评估遭受安全漏洞的产品的方法是,根据它们处理漏洞的方式和漏洞本身的严重程度来判断它们。
毕竟,针对存储用户信息的任何组织的攻击每一个组织是可以预期的。不是愤世嫉俗,但漏洞确实是会发生。它们可能很小,也可能很大,但最终,总会有人找到进入的方法。比防止数据泄露更重要的是应对后果。
以…为例LastPass。这个密码管理器记录登录,然后播放他们回来快速,轻松登录。它还可以为你的每个账户生成唯一的、复杂的密码。这是一个很棒的服务。在2015年,该公司宣布(在新窗口中打开)它是一次袭击的受害者。LastPass迅速通知了用户,并在其公开博客上发布了有关此次攻击的信息。该公司还为最坏的情况做了准备。它已经加密了所有用户的信息,因此被盗的信息即使不是不可能使用,也很难使用。它仍然建议用户更改主密码,以确保万无一失。
这是一家公司妥善处理违规行为的一个例子。他们对袭击事件保持透明,并为受影响的个人提供了明确的建议。最重要的是,LastPass采取措施保护其持有的信息。数据被加密,密码被散列和加盐。当攻击者窃取数据时,该公司确信这些数据不会被用来发动进一步的攻击。
总的来说,NordVPN和TorGuard都有很好的响应,但它们确实有一些需要改进的地方。首先,TorGuard的一位代表告诉我,该公司披露了这一违规行为早在五月(在新窗口中打开)。TorGuard表示,他们认为这次攻击没有构成威胁,但还是重新颁发了验证其服务器身份的证书。NordVPN直到在Twitter上被曝光才披露了这一漏洞;NordVPN表示,它没有发表声明是为了验证其其他服务器都没有受到攻击,并实施额外的保护措施。但迅速、透明的回应对建立公司信任大有帮助。
事后看来,这很容易做出严厉的判断,但很明显,NordVPN可以在其服务器上使用额外的安全措施。我可以推断出这一点,部分原因是在这种非常相似的情况下,NordVPN和TorGuard之间关于TLS密钥的结果似乎不同。此外,NordVPN宣布,鉴于这次攻击,它将“将我们所有的服务器转移到RAM”,这极大地限制了服务器在任何给定时刻的信息量。这很好,但也可以在入侵之前完成,但没有。
这次攻击及其披露显示了vpn的另一个关键问题:依赖第三方承包商提供运营公司所需的服务器。NordVPN表示,其服务器租用的数据中心运营公司的松懈做法是入侵的根源。租赁服务器表面上没有什么问题,但这确实意味着,即使是想象中的完美VPN公司,也可能因服务器运营商的疏忽行为而受阻。两家公司都表示,他们已经切断了与各自数据中心的联系,不过目前尚不清楚两家公司是否使用了同一家数据中心提供商。一些VPN公司说,他们拥有自己的服务器,这在未来可能是一个更有吸引力的选择。
NordVPN方面则表示,它将更加注重与谁签订合同,为其提供服务器基础设施。该公司还表示,将接受公开的第三方审计,以验证基础设施的安全性。
从这些违规行为中可以学到什么?
希望其他VPN公司能好好审视一下自己的做法,以及他们使用的服务器提供商。这段经历对我来说也很有启发。我一直试图尽可能多地了解VPN公司为保护他们的客户所做的努力。在以后的评论中,我将询beplay手机官网下载问服务器舰队策略、数据如何存储在这些服务器上,以及公司如何为这种情况做准备。期待在不久的将来看到所有产品的更新评论。beplay手机官网下载
我还想借此机会强调一个我从开始报道整个VPN行业以来所看到的问题:验证VPN公司所做的声明的困难。外部观察者将很难验证VPN实际上一直在加密用户流量,并且不可能验证每个服务器的配置是否正确和安全。
这与安防行业的其他部分明显不同。例如,反病毒公司成立了AMTSO,允许个人验证他们的反病毒应用程序是否正常工作,并为第三方评估这些产品制定了指导方针。
与适用于其他科技公司的审查相比,vpn的运营也相对默默无闻。例如,急切的安全研究人员经常对苹果(Apple)或bb0进行调查,寻找漏洞。同样的关注还没有给予vpn,现在比以往任何时候都更需要它。显然,这里有很多工作要做。如果8Chan上的随机搜索都能找到值得研究的东西,那么安全研究人员肯定能做得更好。
我们在PCMag上的所beplay手机官网下载有评论都在有效地进行着。每当价格发生变化,添加新功能或删除旧功能,以及发生类似的不幸事件时,我都会更新VPN评论。还有很多人不知道的地方,为了写出更好的评论,我试着去学习。beplay手机官网下载我们改变评分的决定是基于我们现在掌握的信息。如果更多负面信息曝光,两家公司的得分都可能进一步下降。也有改进的机会。
我希望看到后者。
