Хакерите крадат тайни крипто ключове за nordvpn. Ето какво знаем досега

Киберсигурността може да изглежда много сложна, но nordvpn го прави толкова лесно, колкото се получава. Авангардни технологии Закрийте вашата интернет дейност от хакери и злонамерен софтуер, защитавайте ви в обществени Wi-Fi мрежи и дори блокирайте досадни реклами.

Сравнете и купете NORDVPN CD клавиши

Киберсигурността може да изглежда много сложна, но nordvpn го прави толкова лесно, колкото се получава. Авангардни технологии Закрийте вашата интернет дейност от хакери и злонамерен софтуер, защитавайте ви в обществени Wi-Fi мрежи и дори блокирайте досадни реклами.

Характеристика:
  • Знайте, че вашите данни са винаги частни – Истинската поверителност в Интернет е само на кликване далеч. Nordvpn защитава вашия IP адрес и се уверява, че никой друг не може да види кои уебсайтове посещавате или какви файлове изтегляте.
  • Насладете се на интернет без ограничения – Пътуване за бизнес или удоволствие? Учене или работа в чужбина? Дръжте достъп до любимите си уебсайтове и развлекателно съдържание и забравете за цензурата или ограниченията на честотната лента.
  • Чувствайте се в безопасност на всяко устройство – Можете да защитите до 6 устройства с един акаунт в NORDVPN – компютри, смартфони, рутери и други. VPN никога не е бил по -лесен и по -гъвкав: у дома, в офиса и в движение.

Хакерите крадат тайни крипто ключове за nordvpn. Ето какво знаем досега

Нарушение се случи преди 19 месеца. Популярната VPN услуга го разкрива само сега.

Дан Гудин – 21 октомври 2019 г. 22:48 ч. UTC

Хакерите крадат тайни криптовалути за NORDVPN. Ето какво знаем досега

Коментари на читателите

Хакерите нарушиха сървър, използван от популярния доставчик на виртуална мрежа NORDVPN и откраднаха ключове за криптиране, които могат да бъдат използвани за монтиране на атаки на декриптиране на сегменти от нейната клиентска база.

Дневник на команди, използвани в атаката, предполага, че хакерите са имали достъп до корен, което означава, че са имали почти неограничен контрол над сървъра и могат да четат или променят почти всички данни, съхранявани върху него. Един от трите изтекли частни клавиша е използван за осигуряване на цифров сертификат, който предоставя HTTPS криптиране за NORDVPN.com. Ключът не изтича до октомври 2018 г., около седем месеца след нарушението на март 2018 г. Нападателите можеха да използват компрометирания сертификат, за да се представят за NORDVPN.com уебсайт или монтиране на нападения на човек в средата на хора, посещаващи истинския. Подробности за нарушението се разпространяват онлайн от поне май 2018 г.

Въз основа на командния дневник се появи друг от изтичащите тайни ключове, за да осигури частен сертификат, който NordVPN използва за издаване на цифрови сертификати. Тези сертификати могат да бъдат издадени за други сървъри в мрежата на NORDVPN или за различни други чувствителни цели. Името на третия сертификат подсказва, че той също може да бъде използван за много различни чувствителни цели, включително осигуряване на сървъра, който е компрометиран в нарушението.

Разкритията се появиха като доказателства, които предполагат, че две конкурентни VPN услуги, Torguard и VikingVPN също са имали нарушения, които изтичаха ключове за криптиране. В изявление Torguard каза таен ключ за сертификат за сигурност на транспортен слой за *.torguardvpnaccess.com беше откраднат. Кражбата се случи при нарушение на сървъра през 2017 г. Откраднатите данни, свързани със сертификат за прокси на калмари.

Служители на Torguard казаха в Twitter, че частният ключ не е на засегнатия сървър и че нападателите „не могат да направят нищо с тези ключове.„Изявлението в понеделник продължава да се казва, че Torguard не е премахнал компрометирания сървър до началото на 2018 г. Torguard каза също, че е научил за нарушения на VPN миналия май, “и в свързано развитие подадохме правна жалба срещу NordVPN.”

Служителите на VikingVPN все още не са коментирали.

Сериозни притеснения

Единият от тези ключове изтече на 31 декември 2018 г., а другият отиде на гроба си на 10 юли същата година, говорител на компанията ми каза. Тя не каза каква е целта на тези ключове. Функцията за криптография, известна като перфектна секретност напред, гарантира, че нападателите не могат да дешифрират трафика, просто като улавят криптирани пакети, докато пътуват през интернет. Ключовете обаче все още биха могли да бъдат използвани при активни атаки, при които хакерите използват изтекли ключове на собствения си сървър за прихващане и декриптиране на данни.

Не беше ясно колко дълго нападателите останаха на сървъра или дали успяха да използват своя силно привилегирован достъп, за да извършат други сериозни престъпления. Експертите по сигурността заявиха, че тежестта на компромиса на сървъра – притиснала с кражбата на ключовете и липсата на подробности от NORDVPN – повдигна сериозни притеснения.

Ето някои от това, което Дан Гуидо, който е изпълнителен директор на Security Firc Trail of Bits, ми каза:

Компрометираните главни тайни, като тези, откраднати от NORDVPN, могат да бъдат използвани за декриптиране на прозореца между предоговаряне на ключове и представяне на тяхната услуга на другите. Не ме интересува какво е изтекъл толкова, колкото достът, който би бил необходим за достигане до него. Не знаем какво се е случило, какъв по -нататъшен достъп е получил или каква злоупотреба може да е настъпила. Има много възможности, след като имате достъп до тези видове главни тайни и достъп до коренен сървър.

Несигурно отдалечено управление

В изявление, издадено на репортери, служители на NORDVPN характеризираха щетите, нанесени при нападението като ограничени.

Самият сървър не съдържаше регистрационни файлове за активност на потребителите. Нито едно от нашите приложения не изпраща създадени от потребителя идентификационни данни за удостоверяване, така че потребителски имена и пароли също не биха могли да бъдат прихванати. Точният конфигурационен файл, намерен в интернет от изследователите по сигурността, престана да съществува на 5 март 2018 г. Това беше изолиран случай, няма други доставчици на данни, които използваме, не са засегнати.

Нарушаването е резултат от хакерите, които експлоатират несигурна система за отдалечено управление, която администраторите на базиран на Финландия център за данни са инсталирани на сървър NordVPN, отдаден под наем. Неназованият център за данни, се казва в изявлението, инсталира уязвимата система за управление, без изобщо да я разкрие на своя NordVPN. NORDVPN прекрати договора си с центъра за данни, след като системата за отдалечено управление се появи няколко месеца по -късно.

NORDVPN за първи път разкри нарушението пред репортерите в неделя след доклади на трети страни като този в Twitter. В изявлението се казва, че служителите на NORDVPN не разкриват нарушението на клиентите, докато гарантира, че останалата част от неговата мрежа не е уязвима за подобни атаки.

Изявлението продължи да се отнася до ключа на TLS като изтекъл, въпреки че е валидно за седем месеца след нарушението. Служители на компанията написаха:

Ключът на изтекъл с изтекъл срок на изтичане е взет едновременно с центровете за данни. Ключът обаче не би могъл да се използва за декриптиране на VPN трафика на всеки друг сървър. На същата бележка единственият възможен начин за злоупотреба с трафика на уебсайта беше чрез извършване на персонализирана и сложна атака на MITM за прихващане на една връзка, която се опита да получи достъп до NORDVPN.com.

Не е толкова трудно, колкото се твърди

Предложението, че активните атаки на човека в средата са сложни или непрактични за извършване, е проблематично. Такива атаки могат да се извършват в обществени мрежи или от служители на интернет услуги. Те са именно типът атаки, от които трябва да се защитават VPN.

“Прехващането на TLS трафикът не е толкова трудно, колкото го прави”, каза консултант по сигурността, който използва дръжката HexDefined и е прекарал последните 36 часа, анализирайки данните, изложени в нарушението. „Има инструменти за това и аз успях да настроя уеб сървър, използвайки техния TLS ключ с два реда конфигурация. Нападателят ще трябва да може да пресече трафика на жертвата (E.g. На публичен Wi-Fi).”

Криптографски представен сайт, използващ nordvpn

Имайте предвид също, че в изявлението се казва, че ключът на изтекъл с изтекъл TLS не би могъл да се използва за декриптиране на VPN трафик на всеки друг сървър. Изявлението не споменава другите два ключа и какъв тип достъп са позволили. Компромисът на частен орган за сертификат може да бъде особено тежък, тъй като може да позволи на нападателите да компрометират множество ключове, които се генерират от CA.

Поставяне на всичките си яйца в една кошница

VPN влагат целия интернет трафик на компютъра в един криптиран тунел, който е декриптиран само и изпратен до крайната му дестинация, след като достигне до един от сървърите на доставчика. Това поставя доставчика на VPN в позицията да види огромни количества от онлайн навиците и метаданните на своите клиенти, включително IP адреси на сървъра, информация за SNI и всеки трафик, който не е криптиран.

Доставчикът на VPN получи препоръки и благоприятни отзиви от CNET, Techradar и PCMAG. Но не всички са били толкова сангвини. Кенет Уайт, старши мрежов инженер, специализиран в VPNS, отдавна изброява NordVPN и Torguard като двама от VPN, които да отхвърлят, защото, наред с други неща, публикуват предварително споделени ключове онлайн.

Допълнителна информация

Докато не е налична повече информация, е трудно да се каже точно как хората, които използват nordvpn, трябва да реагират. Като минимум, потребителите трябва да натискат NORDVPN, за да предоставят много повече подробности за нарушението и клавишите и всички други данни, които са изтекли. Междувременно Кенет Уайт предложи хората да се преместят изцяло от услугата.

“Препоръчвам се срещу повечето потребителски VPN услуги от години, включително NORDVPN”, каза ми той. „[Реакцията на инцидента на службите и опита за PR Spin тук само наложи това мнение. Те безразсъдно излагат на риск живота на активистите в процеса. Те омаловажават сериозността на инцидента, който дори не са открили, при който нападателите са имали неограничен достъп до администратор LXC „бог режим“. И те уведомяват клиентите само когато репортерите се обърнаха към тях за коментар.”

Популяризирани коментари

thepirat3king старши Луркий

Фирмената пътека на Dan Guido на BITS предлага удобен набор от Ansible скриптове на страницата на Github, за да настроите свой собствен частен VPN с вашия облачен доставчик на избор (VPN може по избор да действа като Pihole, с блокиране на рекламата на ниво DNS). Нарича се Algo. Кенет Уайт (също цитиран в статията) одобри това, че е червата, както и Grugq.
github.com/trailofbits/algo

29 публикации | Регистриран 1/31/2013

Коментари на читателите

Дан Гудин Дан Гудин е старши редактор на сигурността в ARS Technica, където той ръководи покритието на злонамерен софтуер, компютърен шпионаж, ботнети, хардуерно хакерство, криптиране и пароли. В свободното си време той се радва на градинарство, готвене и следвайки независимата музикална сцена.