Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
NordVPN potwierdza hack części swojej infrastruktury
Zaczęło się od pewnych informacji dotyczących kradzieży klucza prywatnego powiązanego z certyfikatem TLS należącym do NordVPN (klucz ten bez problemu można obecnie znaleźć znaleźć w Internecie):
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys…
Dalej mowa jest również o kluczach OpenVPN:
OpenVPN keys were leaked as well as the expired *.nordvpn.com TLS cert. I haven't researched enough about OpenVPN to know if it's using forward secrecy, though you'd hope so
— undefined (@hexdefined) October 20, 2019
Wyciek klucza prywatnego związanego z certyfikatem nic dobrego nie wróży. Jak mawiają, uderz w stół a nożyce się odezwą. Odezwały się w ten sposób:
NordVPN told TechCrunch that one of its data centers was accessed in March 2018. “One of the data centers in Finland we are renting our servers from was accessed with no authorization,” said NordVPN
The attacker gained access to the server — which had been active for about a month — by exploiting an insecure remote management system left by the data center provider, which NordVPN said it was unaware that such a system existed.
Trochę zastanawiające jest to, że NordVPN pisze najpierw o całym „data center w Finlandii”, później o „jednym serwerze”. To jak w końcu było?
Jeśli chodzi o timeline całego wydarzenia, wiemy tyle: w styczniu 2018r. dodano nowy serwer do infrastruktury NordVPN, w marcu 2018r. data center wykryło problem (włam?) i usunęło feralne konto, nie informując jednak o tym fakcie NordVPN. Natomiast sami zaatakowani dowiedzieli się o problemie w okolicach połowy 2019 roku.
Informacje o podaniu informacji dopiero dzisiaj NordVPN tłumaczy tak:
NordVPN said it found out about the breach a “few months ago,” but the spokesperson said the breach was not disclosed until today because the company wanted to be “100% sure that each component within our infrastructure is secure.”
Firma dodaje, że nie wyciekły loginy/hasła czy aktywność użytkowników. Nie jesteśmy native speakerami, ale część z wyjaśnień NordVPN wygląda nieco dziwnie. Co to znaczy „we accelerated the encryption” – dodana jakaś „akceleracja” sprzętowa? ;-)
We then immediately took action to audit our entire server network and accelerated the encryption of all of our servers.
Naszym zdaniem wygląda to trochę jak przymuszone przyznanie się do winy, bez wskazania konkretnego „mięsa” (o którym musimy dowiadywać się ze wskazanych wyżej tweetów…).
–ms
„we accelerated the encryption” – może chodzi o to że jak „najszybciej jak to możliwe”/”najszybciej”
> Co to znaczy „we accelerated the encryption”
To znaczy że przyspieszyli wdrażanie szyfrowania na każdym z serwerów. Ja to rozumiem tak, że serwery same w sobie (dane, system plików) nie były zaszyfrowane, a teraz już są.
Tak to trochę wyglada.
Możliwe ze był to prosty atak: boot serwera z USB/cd albo przełączenie dysku do swojego sprzętu albo wyjęcie jednego dysku z raidu, zrzut danych i szukanie skarbów w domu ;)
To ten vpn POLECANY przez niebezpiecznik xD ?
A tego newsa juz badaliscie:
http://www.iswinoujscie.pl/artykuly/62467/
Awaria czy hack ?
tutaj tez piszą:
https://businessjournal.pl/niebezpieczne-podwojne-standardy-ekspertow-it-w-polsce/
Fajny artykuł tutaj: https://businessjournal.pl/niebezpieczne-podwojne-standardy-ekspertow-it-w-polsce/