المتسللين يسرقون مفاتيح التشفير السرية لـ Nordvpn. إليك ما نعرفه حتى الآن

قد يبدو الأمن السيبراني معقدًا للغاية ، لكن NordVPN يجعل الأمر سهلاً كما يحصل. تحمي التقنيات المتطورة نشاط الإنترنت الخاص بك من المتسللين والبرامج الضارة ، وحمايتك على شبكات Wi-Fi العامة ، وحتى منع الإعلانات المزعجة.

قارن وشراء مفاتيح CD Nordvpn

قد يبدو الأمن السيبراني معقدًا للغاية ، لكن NordVPN يجعل الأمر سهلاً كما يحصل. تحمي التقنيات المتطورة نشاط الإنترنت الخاص بك من المتسللين والبرامج الضارة ، وحمايتك على شبكات Wi-Fi العامة ، وحتى منع الإعلانات المزعجة.

سمات:
  • أعلم أن بياناتك دائمًا خاصة – خصوصية الإنترنت الحقيقية هي مجرد نقرة بعيدا. يحمي NordVPN عنوان IP الخاص بك ويتأكد من أنه لا يمكن لأي شخص آخر معرفة المواقع الإلكترونية التي تزورها أو الملفات التي تقوم بتنزيلها.
  • استمتع بالإنترنت بدون قيود – السفر للعمل أو المتعة? الدراسة أو العمل في الخارج? استمر في الوصول إلى مواقع الويب المفضلة لديك ومحتوى الترفيه ، وننسى حدود الرقابة أو النطاق الترددي.
  • أشعر بالأمان على أي جهاز – يمكنك تأمين ما يصل إلى 6 أجهزة مع حساب NORDVPN واحد – أجهزة الكمبيوتر والهواتف الذكية وأجهزة التوجيه والمزيد. لم يكن VPN أسهل وأكثر مرونة: في المنزل ، في المكتب وفي الذهاب.

المتسللين يسرقون مفاتيح التشفير السرية لـ Nordvpn. إليك ما نعرفه حتى الآن

حدث خرق منذ 19 شهرًا. خدمة VPN الشائعة تكشفها فقط الآن.

دان جودن – 21 أكتوبر ، 2019 10:48 مساءً بالتوقيت العالمي

المتسللون يسرقون مفاتيح التشفير السرية لـ Nordvpn. إليك ما نعرفه حتى الآن

تعليقات القارئ

انتهك المتسللين خادمًا يستخدمه مزود الشبكة الافتراضية الشهيرة NordVPN ومفاتيح التشفير التي يمكن استخدامها لتثبيت هجمات فك التشفير على شرائح من قاعدة عملائها.

يشير سجل الأوامر المستخدمة في الهجوم إلى أن المتسللين لديهم وصول جذر ، مما يعني أن لديهم تحكمًا غير مقيد تقريبًا على الخادم ويمكنهم قراءة أو تعديل أي بيانات مخزنة عليها فقط. تم استخدام واحدة من ثلاثة مفاتيح خاصة تم استخدامها لتأمين شهادة رقمية قدمت تشفير HTTPS لـ NordVPN.كوم. لم يكن من المقرر أن ينتهي المفتاح حتى أكتوبر 2018 ، أي بعد حوالي سبعة أشهر من خرق مارس 2018. كان يمكن للمهاجمين استخدام الشهادة المخترقة لانتحال شخصية NORDVPN.كوم موقع ويب أو هجمات جبل في الوسط على الأشخاص الذين يزورون الهجمات الحقيقية. تم تداول تفاصيل الانتهاك عبر الإنترنت منذ مايو 2018 على الأقل.

استنادًا إلى سجل الأوامر ، بدا أن المفاتيح السرية التي تم تسريبها تؤمن سلطة شهادة خاصة استخدمها NordVPN لإصدار الشهادات الرقمية. قد يتم إصدار هذه الشهادات لخوادم أخرى في شبكة NordVPN أو لمجموعة متنوعة من الأغراض الحساسة الأخرى. اقترح اسم الشهادة الثالثة أنه كان يمكن أيضًا استخدامه للعديد من الأغراض الحساسة المختلفة ، بما في ذلك تأمين الخادم الذي تم اختراقه في الخرق.

وجاءت الوحي في الوقت الذي ظهرت فيه أدلة تشير إلى أن خدمتين VPN منافسين ، Torguard و VikingVPN ، شهدت أيضًا خرقات تسربت مفاتيح التشفير. في بيان ، قال Torguard إنه مفتاح سري لشهادة أمن طبقة النقل لـ *.torguardvpnaccess.سُرقت كوم. حدثت السرقة في خرق خادم 2017. البيانات المسروقة المتعلقة بشهادة وكيل الحبار.

قال مسؤولو Torguard على Twitter إن المفتاح الخاص لم يكن على الخادم المتأثر وأن المهاجمين “لا يستطيعون فعل شيء مع تلك المفاتيح.”استمر بيان الاثنين في القول إن Torguard لم يزيل الخادم المخترق حتى أوائل عام 2018. وقالت Torguard أيضًا إنها علمت بانتهاكات VPN في مايو الماضي “، وفي تطور ذي صلة قدمنا ​​شكوى قانونية ضد Nordvpn.”

لم يعلق مسؤولو VikingVPN بعد.

مخاوف جدية

واحدة من تلك المفاتيح انتهت صلاحيتها في 31 ديسمبر 2018 ، والآخر ذهب إلى قبره في 10 يوليو من نفس العام ، أخبرتني متحدثة باسم الشركة. لم تقل ما كان الغرض من تلك المفاتيح. تضمن ميزة التشفير المعروفة باسم Perfect Forward Secrecy أن المهاجمين لا يستطيعون فك تشفير حركة المرور ببساطة عن طريق التقاط حزم مشفرة أثناء سفرهم عبر الإنترنت. ومع ذلك ، لم يكن من الممكن استخدام المفاتيح في الهجمات النشطة ، حيث يستخدم المتسللين مفاتيح تسرب على الخادم الخاص بهم لاعتراض البيانات وفك تشفيرها.

لم يكن من الواضح كم من الوقت ظل المهاجمون موجودين على الخادم أو إذا كانوا قادرين على استخدام وصولهم المميز للغاية لارتكاب جرائم خطيرة أخرى. قال خبراء الأمن إن شدة التسوية الخادم – التي تم تفكيكها بسرقة المفاتيح وعدم وجود تفاصيل من NordVPN -.

إليكم بعض ما أخبرني به دان جويدو ، وهو الرئيس التنفيذي لشركة الأمن تريل أوف بايت ،:

يمكن استخدام أسرار رئيسية معرضة للخطر ، مثل تلك المسروقة من NordvPN. لا يهمني ما تم تسريبه بقدر الوصول الذي كان مطلوبًا للوصول إليه. لا نعرف ما حدث ، أو ما الذي تم الحصول عليه ، أو ما قد حدث سوء المعاملة. هناك العديد من الاحتمالات بمجرد الوصول إلى هذه الأنواع من الأسرار الرئيسية والوصول إلى خادم الجذر.

الإدارة عن بُعد غير آمنة

في بيان صدر للمراسلين ، وصف مسؤولو NordVPN الضرر الذي حدث في الهجوم على أنه محدود.

لا يحتوي الخادم نفسه على أي سجلات نشاط المستخدم. لم ترسل أي من تطبيقاتنا بيانات اعتماد تم إنشاؤها للمستخدم للمصادقة ، لذلك لم يكن من الممكن اعتراض أسماء المستخدمين وكلمات المرور. توقف ملف التكوين الدقيق الموجود على الإنترنت من قبل باحثو الأمن في 5 مارس 2018. كانت هذه حالة معزولة ، ولم تتأثر أي مقدمي خدمات بيانات أخرى نستخدمها.

كان الانتهاك نتيجة لاستغلال المتسللين نظام إدارة عن بُعد غير آمنين يقوم مسؤولو مركز بيانات قائم على فنلندا بالتثبيت على خادم NORDVPN مستأجر. وقال البيان إن مركز البيانات لم يكشف عن اسمه قام بتثبيت نظام الإدارة الضعيف دون الكشف عنه على الإطلاق في NordVPN. أنهى NordvPN عقده مع مركز البيانات بعد ظهور نظام الإدارة عن بُعد بعد بضعة أشهر.

كشفت Nordvpn لأول مرة عن خرق الصحفيين يوم الأحد بعد تقارير الطرف الثالث مثل هذا على Twitter. وقال البيان إن مسؤولي NORDVPN لم يكشفوا عن خرق العملاء بينما كفلت أن بقية شبكتها لم تكن عرضة لهجمات مماثلة.

واصل البيان الرجوع إلى مفتاح TLS حسب انتهاء صلاحيته ، على الرغم من أنه كان صالحًا لمدة سبعة أشهر بعد الخرق. كتب مسؤولو الشركة:

تم أخذ مفتاح TLS المنتهي في نفس الوقت الذي تم فيه استغلال مركز البيانات. ومع ذلك ، لا يمكن استخدام المفتاح لفك تشفير حركة مرور VPN لأي خادم آخر. على نفس الملاحظة ، كانت الطريقة الوحيدة الممكنة لإساءة استخدام حركة مرور الموقع هي أداء هجوم MITM مخصص ومعقد لاعتراض اتصال واحد حاول الوصول إلى NordVPN.كوم.

ليس صعبًا كما ادعى

إن الاقتراح بأن الهجمات النشطة في الوسط معقدة أو غير عملية لتنفيذها هو مشكلة. يمكن تنفيذ هذه الهجمات على الشبكات العامة أو من قبل موظفي خدمات الإنترنت. هم بالضبط نوع الهجمات التي من المفترض أن تحميها VPNs.

وقال مستشار أمن يستخدم المقبض المعرفة في HexDED وقضى الـ 36 ساعة الماضية في تحليل البيانات المكشوفة في الخرق “اعتراض حركة مرور TLS ليس بالأمر الصعب كما يبدو.”. “هناك أدوات للقيام بذلك ، وتمكنت من إعداد خادم ويب باستخدام مفتاح TLS الخاص بهم مع سطرين من التكوين. سيحتاج المهاجم إلى أن يكون قادرًا على اعتراض حركة الضحية (هـ.ز. على شبكة Wi-Fi العامة).”

موقع انتحال شخصية باستخدام NordVPN

لاحظ أيضًا أن العبارة تقول فقط أن مفتاح TLS المنتهي صلاحيته لا يمكن استخدامه لفك تشفير حركة مرور VPN لأي خادم آخر. لا يذكر البيان أي مفتاحين أخريين ونوع الوصول الذي سمحوا بهما. قد يكون حل وسط سلطة الشهادة الخاصة شديدة بشكل خاص لأنه قد يسمح للمهاجمين بتسوية مفاتيح متعددة يتم إنشاؤها بواسطة CA.

وضع كل بيضك في سلة واحدة

وضعت VPNs جميع حركة الإنترنت على الإنترنت في نفق مشفر واحد يتم فك تشفيره فقط وإرساله إلى وجهته النهائية بعد أن يصل إلى أحد خوادم الموفر. هذا يضع مزود VPN في وضع رؤية كميات ضخمة من العادات والبيانات الوصفية لعملائها على الإنترنت ، بما في ذلك عناوين IP الخادم ومعلومات SNI وأي حركة مرور غير مشفرة.

تلقى مزود VPN توصيات ومراجعات مواتية من CNET و TechRadar و PCMAG. لكن لم يكن الجميع أكثر متعة. قام Kenneth White ، وهو مهندس شبكات كبير متخصص في VPNS ، بإدراج NordVPN و Torguard منذ فترة طويلة في اثنين من VPNs لرفضهم لأنهم ، من بين أشياء أخرى ، ينشرون مفاتيح مشتركة مسبقًا عبر الإنترنت.

قراءة متعمقة

حتى يتوفر مزيد من المعلومات ، من الصعب أن نقول بالضبط كيف يجب على الأشخاص الذين يستخدمون NordVPN الرد. على الأقل ، يجب على المستخدمين الضغط على NORDVPN لتوفير العديد من التفاصيل حول الخرق والمفاتيح وأي بيانات أخرى تم تسريبها. كينيث وايت ، في الوقت نفسه ، اقترح الناس على الخروج من الخدمة تماما.

قال لي “لقد أوصيت ضد معظم خدمات VPN المستهلكين لسنوات ، بما في ذلك NordVPN”. “[الخدمات” استجابة الحوادث ومحاولة Pr Spin هنا لم يفرض هذا الرأي فقط. لقد تعرضوا لحياة الناشطين بشكل متهور في الخطر في هذه العملية. إنهم يقللون من شأن جدية الحادث الذي لم يكتشفوه حتى ، حيث كان للمهاجمين الوصول غير المقيد LXC “وضع الله”. وأبلغوا العملاء فقط عندما وصل المراسلون إليهم للتعليق.”

التعليقات التي تمت ترقيتها

thepirat3king سنيوريوس لوركوس

تقدم شركة Dan Guido’s Company of Bits مجموعة مناسبة من البرامج النصية ANSIBLE على صفحة GitHub لإعداد VPN الخاص بك مع مزود السحابة المفضل لديك (يمكن لـ VPN أيضًا أن يعمل اختياريًا كباهول ، مع حظر إعلانات مستوى DNS). يطلق عليه algo. أيد كينيث وايت (مقتبس أيضًا في المقالة) شجاعةها ، وكذلك Grugq.
جيثب.com/trailofbits/algo

29 وظيفة | مسجل 1/31/2013

تعليقات القارئ

دان جودن دان جودن هو كبير محررين أمن في ARS Technica ، حيث يشرف على تغطية البرامج الضارة ، والتجسس للكمبيوتر ، والبوت ، وقرصنة الأجهزة ، والتشفير ، وكلمات المرور. في أوقات فراغه ، يستمتع بالحدائق والطبخ واتباع المشهد الموسيقي المستقل.