2 puan yazan GN⁺ 2023-08-10 | 1 yorum | WhatsApp'ta paylaş
  • Mullvad, VPN altyapısının üçüncü denetimi için Hollandalı güvenlik şirketi Radically Open Security(RoS) ile çalıştı ve RAM üzerinde çalışan bir OpenVPN sunucusu ile bir WireGuard sunucusunu inceledi
  • Denetim kapsamındaki sunucular, Linux kernel 6.3.2 ve Ubuntu 22.04 LTS tabanlı özel bir işletim sistemi kullanıyordu; üretim sunucuları gibi dağıtılmış olsalar da gerçek müşteri bağlantıları için hiç kullanılmadılar
  • RoS, iç ve dış sunucu yapılandırmaları ile müşteri etkinliği günlükleme yapılıp yapılmadığını doğruladı ve müşteri verisi günlükleme ya da bilgi sızıntısı tespit etmedi
  • Sızma testinde 1 High, 6 Elevated, 4 Moderate, 10 Low, 4 info bulgusu çıktı; başlıca düzeltmeler Haziran 2023 sonlarında dağıtıldı ve Temmuz ayında yeniden test edilip doğrulandı
  • Mullvad, SSH yönetici erişimi denetimini güçlendirdi, SSH'nin kaldırılmasını değerlendirmeye aldı ve Telegraf kimlik doğrulamasını iyileştirdi; bazı ek değişiklikler ise daha sonra dağıtılacak

Denetim kapsamı ve herkese açık rapor

  • Mullvad, VPN altyapısı için üçüncü güvenlik denetimini Radically Open Security'ye yaptırdı
  • Bu denetim, RAM üzerinde çalışan 2 VPN sunucusuna odaklandı
    • 1 OpenVPN sunucusu
    • 1 WireGuard sunucusu
  • RoS, denetimi Haziran 2023 ortasında tamamladı ve birçok düzeltme Haziran 2023 sonunda dağıtıldı
  • Temmuz 2023'te ek yeniden test ve doğrulama yapıldı
  • Nihai rapor ROS - Mullvad VPN 2023.pdf olarak yayımlandı

Test sunucusu yapılandırması ve doğrulama başlıkları

  • RoS, RAM üzerinde çalışan 2 VPN sunucusu için tam SSH erişim yetkisi aldı
  • Denetlenen sunucular, küçültülmüş güncel Linux çekirdeği 6.3.2 ve Ubuntu 22.04 LTS tabanlı özel bir işletim sistemi kullanıyordu
  • Bu sunucular, müşterilere hizmet veren üretim sunucuları gibi sağlandı ve dağıtıldı, ancak gerçek müşteri bağlantıları için hiç kullanılmadı
  • Doğrulama kapsamı üç başlıkta toplandı
    • Sunucu içi güvenlik ve yapılandırma
    • Sunucu dışı güvenlik ve yapılandırma
    • Müşteri etkinliği günlükleme yapılıp yapılmadığı
  • RoS ayrıca sistemde çalışan çeşitli ikili dosyaların kaynak kodunun incelenmesini ve donanım düzeyinde güvenlik değerlendirmesini önerdi, ancak Mullvad bunları kapsam dışında bıraktı
    • Bu denetim, “sistem çalışır haldeyken ve müşteri tarafından kullanıldıktan sonraki” durumla sınırlandırıldı

Genel sonuçlar

  • RoS, müşteri verisi günlükleme ya da bilgi sızıntısı tespit etmedi
  • Test edilen Mullvad VPN relay'inin “olgun bir mimari” sergilediği değerlendirildi
  • Bu sızma testinde toplam 25 bulgu tespit edildi
    • 1 High
    • 6 Elevated
    • 4 Moderate
    • 10 Low
    • 4 info

MLL-024: Test sistemine maruz kalan üretim multihop trafiği

  • MLL-024, High önem derecesinde sınıflandırıldı
  • RoS, üretim kullanıcı trafiğinin sızma testi yapan kullanıcı tarafından görülebileceğine karar verdi
  • Denetim kapsamındaki sunucu, müşteri bağlantıları için açık değildi, sunucu listesinde duyurulmuyordu ve kullanıcılara sunulmamıştı
  • Ancak bu sunucular, WireGuard multihop özelliğine bağlıydı
    • Müşteriler IP taraması yaparsa, başka bir VPN sunucusuna bağlıyken SOCKS5 proxy kullanarak bu sunucuya trafik gönderebiliyordu
    • Bunu engelleyen bir mekanizma yoktu
  • RoS'nin doğruladığı şey yalnızca WireGuard iç arayüzünün IP'siydi
    • Bu arayüz yalnızca SOCKS5 multihop trafiği için kullanılıyor
    • Dolayısıyla bu, giriş noktası WireGuard sunucusuna karşılık geliyor
  • Mullvad, üretim sunucuları sunulmamış olsaydı bunun üretim sunucusu denetimi olarak geçerli olmayacağını ve sunucuda müşteri trafiğinin görünmesini engellemenin bir yolu olmadığını düşünüyor

MLL-019: systemd zamanlayıcısı ve dizin izinleri üzerinden root yetkisi yükseltme

  • MLL-019, Elevated önem derecesinde sınıflandırıldı
  • Düşük yetkili bir sistem hesabı, systemd zamanlayıcı betiğinin içeriğini değiştirerek root yetkisine yükselebiliyordu
  • Mullvad, RoS ile yaptığı görüşmenin ardından temel nedeni iç içe geçmiş home dizini kullanımı ve yönetici kullanıcısının mad grubuna dahil olması olarak değerlendirdi
  • İç içe geçmiş /home/mad dizin yapısı, RAM tabanlı VPN sunucularından önceki dönemin eski bir kalıntısı
  • Kısa vadeli önlem olarak tüm yönetici kullanıcılar mad grubundan çıkarıldı
  • İlgili betikler /opt/local_checks konumuna taşındı ve RoS bu adımla sorunun çözüldüğünü kabul etti

MLL-045: Üretim makinelerine yönetici erişimi

  • MLL-045, Moderate önem derecesinde sınıflandırıldı
  • VPN sunucuları yönetici uzaktan oturum açmayı desteklediği için, yöneticiler teknik olarak üretimdeki kullanıcıların VPN trafiğini dinleyebiliyordu
  • Mullvad bu sorunun zaten farkındaydı ve RoS ile yapılan görüşmeler mevcut planı yeniden doğruladı
  • Planlanan iki önlem var
    • Yetkisiz oturum açmaları denetlenebilir hale getirmek ve sunucuda kullanılan tüm komutları argümanlar olmadan kaydeden bir sistem kurmak
    • SSH desteğini tamamen kaldırma yaklaşımını araştırmak
  • SSH kaldırılırsa yöneticiler de SSH üzerinden müşteri trafiği günlüklemeyi etkinleştiremeyecek
  • SSH'yi kaldırma yaklaşımının doğru şekilde uygulanması daha fazla zaman alacak

MLL-016: Sunucular arasında paylaşılan Telegraf parolası

  • MLL-016, Low önem derecesinde sınıflandırıldı
  • Tüm VPN sunucularında paylaşılan Telegraf Influx veritabanı kimlik bilgileri, küresel sunucu metriklerinin değiştirilmesini mümkün kılıyordu
    • CPU kullanımı
    • Disk kullanımı
    • Ağ metrikleri
  • Mullvad, Hashicorp Vault'un PKI altyapısını kullanarak kimlik doğrulama için istemci sertifikaları kullanıma aldı
  • Bu adım tamamlandı
  • Mullvad, altyapının başka bölümlerinde de bu tür sertifikaların kullanılmasını değerlendirecek

Sonraki değişiklikler

  • Denetimde bulunan sorunlardan yalnızca bazı ilgi çekici örnekler özetlendi
  • Yakın zamanda daha fazla değişiklik dağıtılacak

1 yorum

 
GN⁺ 2023-08-10
Hacker News yorumları
  • Mullvad’ın kalan müşterilerine ek güvenlik ve kararlılık sağlamak için ticari zararı göze alan tavrına gerçekten saygı duyuyorum
    Bunu ilk kez PayPal otomatik yenilemeyi kapattıklarında hissetmiştim; çünkü otomatik yenilemeyi sürdürmek için hesapla birlikte kişisel bilgileri saklamaları gerekiyordu
    Ancak benim için bir fedakârlık fazla geldi ve port forwarding’i devre dışı bıraktılar. Müşterileri uyarmak için iletişim bilgisi saklamadıklarından, bir gün bağlantı aniden başarısız oldu ve elimde aylarca peşin ödenmiş hizmet kaldı
    Bu konuda biraz buruk hissediyorum ama teknik yazıları ve güvenlik kararlarıyla biriktirdikleri iyi niyet yeterli; parayı alsınlar istiyorum. Şüpheli gelmeyen tek VPN, başarılı olmalarını dilerim
    https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...

    • Yaşattığımız rahatsızlık için içtenlikle özür dileriz
      Böyle bir özelliğin kaldırılmasını yalnızca 30 gün önceden duyurmak, genel olarak işimizi yürütmek istediğimiz tarz değil. Bu özelliğe güvenen müşterilerin hem özelliğin kaldırılmasından hem de bunun ele alınış biçiminden hayal kırıklığına uğramış olacağını düşünüyoruz
      Yine de doğru karar buydu. Son aylarda kötüye kullanımın biçimi ve ölçeği o kadar büyüdü ki artık sunmaya devam edemezdik. Bu özellik çok daha önce, daha uzun bir geçiş süresiyle kaldırılmalıydı. Bunu yapmamış olmamız bizim hatamızdı ve siz dahil bazı kullanıcılar bundan zarar gördü
      Kullanılamaz hale gelen peşin ödenmiş hizmet için elbette geri ödeme alabilirsiniz
      Port forwarding kullanarak açık internette bir hizmeti erişilebilir kılmaya çalışıyorsanız, size memnuniyetle hizmet verecek çok sayıda iyi hosting sağlayıcısı var
      Amacınız bir hizmeti erişilebilir kılarken anonimliği korumaksa Tor’un onion service özelliğini şiddetle öneririz. Tam da bu kullanım senaryosu düşünülerek oluşturulmuş bir özellik
      Amacınız bir hizmeti açık internette erişilebilir kılarken aynı anda anonimliği korumaksa, önerebileceğimiz iyi bir seçenek yok
      Port forwarding’i ahlaki nedenlerle kaldırmamız gerekiyordu. Kitlesel gözetim ve sansürü etkisiz kılma yönündeki temel misyonumuza fazlasıyla büyük bir engel olmaya başlamıştı
      Bu açıklama hayal kırıklığınızı tamamen azaltmasa bile en azından bir miktar netlik sağlamış olmasını umarım
      Fredrik Stromberg, Mullvad VPN kurucu ortağı
    • Bu durum önlenebilirmiş gibi geliyor. Ödeme ya da kayıt akışında, bildirim gönderebilen istemcinin RSS endpoint’ini doğrudan yoklaması gerektiğine dair büyük ve açık bir uyarı konulamaz mıydı diye düşünüyorum
    • Ağ konusunda acemi olduğum için bunun ne kadar önemli olduğunu tam bilmiyorum. Eskiden ev dışından Plex sistemime erişmek için yönlendiricide port forwarding yapmıştım
      Torrent kullanırken de port forwarding ayarlardım ama artık onsuz da Linux ISO’ları indirebildiğimi öğrendim. Mullvad’ı epey kullanmama rağmen pek umursamadım
      Port forwarding kapatıldığında bunun beni ne zamandan itibaren etkileyeceğini, başka bir deyişle hangi kullanım senaryolarının engelleneceğini merak ediyorum
    • Port forwarding devre dışı bırakıldıktan sonra ProtonVPN’e geçtim. Bir sonraki en iyi seçenek gibi görünüyor ve şimdilik port forwarding’i kaldırma niyetleri olmadığını söylemeye devam ediyorlar
    • Bunu okuduğuma sevindim. Bu yılın başında Mullvad’a geçmeyi düşünmüştüm ama bütçeyi tutturamadığım için beklemedeydim; bu benim için anlaşmayı bitiren şart
      Gerçekten geçmiş olsaydım, amaçladığım şekilde kullanamayacağım epey peşin ödenmiş hizmetin kaldığı aynı durumda olacaktım
  • Mullvad’ın kurucusu e-posta gönderdiğinde katılmamış olmak kariyerimdeki en büyük pişmanlık
    Değerlerinin önemli bir kısmı benim değerlerimle örtüşüyor ve rahatlıktan çok özgürlüğü önceleyen teknoloji meraklıları ne yazık ki çok nadir. Bu yüzden çoğumuz ABD hükümetinin yargı yetkisi altında olan büyük bulut sağlayıcılarını kullanır hale geliyoruz
    Şimdiden söyleyeyim, bu benim kariyerimde de gerçekten sorun oldu. Bulut sağlayıcıları ABD yaptırımlarına uymak zorunda olduğundan, Küba, İran veya Kırım’dan olanlar yaptığım oyunu oynayamıyordu. Rusya ve Ukrayna’da oyunumuzu yasal olarak satın alabiliyorsunuz ama işgal altındaki bölgelerdeyseniz oynayamıyorsunuz; bu sinir bozucuydu
    Konudan biraz saptım ama dışarıdan bakıldığında şüpheli görünmeyen ve özgürlüğe değer veren bir şirket görmek gerçekten ferahlatıcı

    • Bir Kübalı olarak, bu bazen sinir bozucu düzeyde, bazen de bunun ötesinde. Bazı bulut sağlayıcılarına tamamen erişilemiyor, bazılarına izin veriliyor, bazıları ise bazı hizmetlere izin verip bazılarını engelliyor
      Geçerli bir OFAC lisansınız olsa bile erişimi reddedenler bile var. Muhtemelen erişim kontrol listeleri karmaşık olduğu için; genel olarak her biri farklı davranıyor
      Bu yüzden zamanın %95’inde berbat bir VPN’i açık tutuyorum. Hem ABD yaptırımlarını hem de kendi ülkemin sansür mekanizmasını aşmam gerektiği için
      Yaptırımların onlarca yıl önce neden ortaya çıktığını bir ölçüde anlıyorum ama bu mantığın hâlâ geçerli olup olmadığını bilmiyorum. Ne yazık ki yaptırımlardan en çok etkilenenler benim gibi sıradan insanlar. Yönetici elitler hiç değil
    • Belirli ülkeleri engellemek için GeoIP takibi uygulamak zorunda kaldığımda ben de öfkelenmiştim. Çünkü sunduğumuz ücretsiz hizmete erişemeyecek insanları düşünüyordum
      O hizmetin küçük bir iş kuran birine yardımcı olabileceğini ve potansiyel olarak hayatını iyileştirebileceğini düşünüyordum
      Ancak yaptırımları savaş eylemi olarak gören çok kişi de var[0]. Böyle düşününce elbette korkunç. Bu savaş ve savaş benzeri sonuçlar her zaman sahadaki insanlara acı çektirir
      Patronunuz yaptırımlar nedeniyle bölgesel engelleme uygulamanızı isterse yalnızca gerektiği kadarını yapmalı, VPN kullanıcılarını da engellemek gibi aşırı şeylere kalkışmamalısınız. Yani yasayı çiğnemeyin ama sahadaki insanların internete erişim hakkını kullanmasını daha da zorlaştırmayın
      https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
    • Kırım’dan epey kişi tanıyorum; bizim doğal karşıladığımız pek çok şey onlar için şaşırtıcı derecede karmaşık. Küba veya İran’dan olanlar en azından hangi ülkede olduklarından emin
    • Muhtemelen hâlâ geç değil
    • Bu arada hâlâ insan arıyorlar gibi görünüyor. Burada Gothenburg otobüslerinde işe alım ilanları var
  • Öncelikle şunu söyleyeyim: Mullvad’ın en iyi ticari VPN çözümü olduğunu ve iyi gizlilik korumasını daha erişilebilir kılma konusunda iyi iş çıkardığını düşünüyorum.
    Ancak buradaki birçok yorum, genel olarak VPN’i internette gizliliğin cevabıymış gibi yüceltiyor gibi görünüyor.
    VPN’in gerçekten koruduğu şeylerin temelde yalnızca iki şey olduğunu hatırlatmak isterim: internet sağlayıcısı ve uç nokta. O da internet sağlayıcısının şüpheli analizler yapmadığı varsayımıyla.
    Yine de yalnızca bu ikisini ortadan kaldırmak bile gizlilik için büyük bir avantajdır ve elbette yapılması gereken bir şeydir.

    • “Buradaki birçok yorum, genel olarak VPN’i internette gizliliğin cevabıymış gibi yüceltiyor gibi görünüyor” derken bunun nerede olduğunu anlamıyorum.
    • “İnternet sağlayıcısının şüpheli analizler yapmadığı varsayımı” kısmını biraz daha açıklayabilir misin? İnternet sağlayıcıları VPN kullanımını boşa çıkaran teknikleri sık kullanıyor mu? Hangi sağlayıcıların hangi teknikleri kullandığını merak ediyorum.
    • Bu iki şey yine de çok büyük. Güvenliğe yönelik çok katmanlı yaklaşımın da bir parçası. Çoğu insanın “VPN varsa tamamdır” diye düşündüğünden şüpheliyim.
  • Başlıkta Radically kelimesi eksik. “Open Security”yi bilmiyordum ama “Radically Open Security” benim bir makale yazdığım yerdi.
    Düzenleme: u/progbits benden 1 dakika önce davranmış https://news.ycombinator.com/item?id=37060828

    • Birkaç yıl önce üzerinde çalıştığım projelerden biri Radically Open Security tarafından denetlenmişti; uzmanların kalitesinden çok derinden etkilenmiştim.
      Tabii benim sorumlu olduğum sistemde birkaç yorum dışında hiçbir şey bulamadılar. O yorumlar da statik analiz aracının iyileştirme adayı olarak işaretlediği ve bizim zaten açıkça not düştüğümüz düzeydeydi sanırım. “Burada değişken adı daha iyi olabilir”, “guard clause kullanılırsa basitleştirilebilir” gibi şeylerdi.
      Aşırı koşullarda ve neredeyse hiç uyumamış halde yapılmış bir şey için fena değildi. 6 aylık bebek, COVID, crunch ve hareketli iki küçük çocuk bir araya gelince cehennem oluyor.
  • Mullvad, ciddi derecede şüpheli güvenilirlik sorunları olmayan tek ana akım VPN.
    Proton VPN bile iyi değil. Bunu takip eden kişiler, onun NordVPN’in yalnızca white-label bir sürümü olduğunu ortaya çıkardı.
    Alternatif olmadığı için Mullvad’ın bütünlüğe dönük taahhüdünü daha güçlü biçimde ileri taşımasına minnettarım.

    • NordVPN iddiası için bir kaynak var mı?
      Düzenleme: Yazı geçmişine biraz baktım; aylardır bu iddiayı dile getiriyorsun ama hiçbir kanıt sunmamış gibisin. Şüpheli.
    • İçime sinmedi. Kaynak var mı?
  • “by Radically Open Security” olmalıydı; HN’nin başlığı otomatik kırpması yine patlamış. Asıl gönderiyi yazan kişi, şirket adı doğru görünecek şekilde başlığı düzeltebilir mi?

  • Bu denetimde yalnızca test amaçlı üretim sunucularının incelendiği anlaşılıyor.
    Şeytanın avukatlığını yapacak olursak, Mullvad’ın Open Security ekibine günlükleme işlevi kaldırılmış bir sürüm sunmasını ne engeller? Bu kadar şüpheci olmak istemiyorum ama gerçek bir denetimse müşterilerin kullandığı sunucuları incelemek gerekmez mi? Elbette denetçinin bilgi kaydetmesini engelleyecek sınırlar konmuş halde.
    Yanılıyor olabilirim; bilen varsa söylesin. Ama bu düzeydeki testin Mullvad’ın kayıtsızlık iddiasını kanıtladığından emin değilim.

    • Büyük bir fark olacağını sanmıyorum. Çünkü gerçek sunucularda da yalnızca denetim süresince aynısını yapabilirler.
      Denetlenen tarafın aktif olarak kandırmadığına veya kötü niyetli olmadığına dair belli bir güven gerekir; aksi halde denetimin rastgele zamanlarda, herhangi bir anda yapılabilmesi gerekir.
    • Açıkça söylemiyorlar ama bu daha çok “hata yapmama yetkinliğine sahibiz” denetimi gibi; “sözümüzü tutuyoruz” denetimi değil.
      Operasyonel sunuculara saldırganın kısmi erişim elde ettiği tehdit modeliyle ilgili olduğunu düşünüyorum. Örneğin kazara günlükleme olup olmadığı gibi. Buna karşılık Mullvad’ın kötü amaçlı kod dağıttığı tehdit modeli için geçerli değil.
      Anlamlı bir denetim gibi geliyor, ama bu noktanın daha açık belirtilmesini isterdim.
    • Paranoya belli bir seviyeye ulaştığında VPN’i kendi kendine barındırmayı ciddi ciddi araştırmak gerekir.
      Elbette VPS sağlayıcısı trafiğin bir tarafını görebileceği için kusursuz değildir, ama azaltılabilir.
      Mullvad, buna zamanı olmayan ya da nasıl yapacağını bilmeyen kişiler için iyi bir orta nokta. En azından görünümü korumaya çalıştıklarını görmek güzel.
    • Bu, Mullvad’dan dışarıdan birinin müşteri bağlantılarına erişmesine izin vermesini istemek olur. Mullvad’ın asla yapmayacağına söz verdiği bir şey.
    • Denetimde, o sunucuya normal kullanıcı gibi kullanılacak birkaç giriş hesabı sağlansaydı iyi olurdu diye düşünüyorum. Gerçek bir sunucu gibi davranması için.
      Sonra bu, gerçekten kullanımda olan sunucuların denetimine dönüşebilirdi.
      Kullanımda olan müşteri sunucularını denetlemek için, denetçinin potansiyel müşteri verilerini kaydetmemesi adına ciddi kontroller mutlaka gerekir.
  • Mullvad’ı zor günlerin beklediği bir gelecek kolayca hayal edilebiliyor. Çünkü büyük teknoloji şirketleri Mullvad’ın veri merkezi IP aralıklarının tamamını engelleyebilir.
    Cloudflare ile bireysel yöneticiler arasında bunun bir ölçüde zaten yaşandığı görülüyor; Mullvad üzerinden bağlanınca ChatGPT kullanımının engellendiği durumlar da var gibi. En azından bağlantılı görünüyor.
    Sonunda bir şeye erişmek veya scraping yapmak için şüpheli konut tipi proxy gerekebilir.
    Kendi barındırdığın VPS de, şirketi yaklaşan toplu engellemelerden kaçacak kadar küçükse işe yarayabilir; ama bunu zaman gösterecek.

  • Daha önce HN’de Mullvad’ın günlük tutmadığını ve yetkililere verecek günlüklerinin olmadığını okuduktan sonra Mullvad’a geçtim.
    Linkim yok ama etkileyiciydi; bu denetimler de o kararın doğru olduğuna dair ek kanıt.

    • OVPN’in de bir seçenek olduğunu belirtmek gerekir. Mahkemeye kadar gitti ve kazandı; bu yüzden OVPN’in kayıtsızlığının gerçekten kayıtsızlık olduğunu makul şüphenin ötesinde kanıtladı.
      Ayrıntılar için linklere bakabilirsiniz ama alıntılamak gerekirse: “Rights Alliance ve güvenlik uzmanları, OVPN sistemlerinde günlüklerin saklanabileceği anlamına gelen bir zafiyeti kanıtlayamadı.”
      https://www.ovpn.com/en
      https://www.ovpn.com/en/blog/ovpn-wins-court-order
  • Mullvad’ı kısa süre önce öğrendim; sanırım Mozilla ile bir anlaşmaları vardı.
    Her neyse, hizmet mükemmel ve hiçbir gereksiz prosedür olmadan sadece hizmet için ödeme yapabilmenin bu kadar nadir olması şaşırtıcı.
    Hesap oluşturmak için buraya tıklayıp, ardından çok sayıdaki ödeme yönteminden biriyle ödeme yapmanız yeterli. Postayla nakit ödeme bile dahil.