Mullvad VPN altyapısının üçüncü denetimi Radically Open Security tarafından tamamlandı
(mullvad.net)- Mullvad, VPN altyapısının üçüncü denetimi için Hollandalı güvenlik şirketi Radically Open Security(RoS) ile çalıştı ve RAM üzerinde çalışan bir OpenVPN sunucusu ile bir WireGuard sunucusunu inceledi
- Denetim kapsamındaki sunucular, Linux kernel 6.3.2 ve Ubuntu 22.04 LTS tabanlı özel bir işletim sistemi kullanıyordu; üretim sunucuları gibi dağıtılmış olsalar da gerçek müşteri bağlantıları için hiç kullanılmadılar
- RoS, iç ve dış sunucu yapılandırmaları ile müşteri etkinliği günlükleme yapılıp yapılmadığını doğruladı ve müşteri verisi günlükleme ya da bilgi sızıntısı tespit etmedi
- Sızma testinde 1 High, 6 Elevated, 4 Moderate, 10 Low, 4 info bulgusu çıktı; başlıca düzeltmeler Haziran 2023 sonlarında dağıtıldı ve Temmuz ayında yeniden test edilip doğrulandı
- Mullvad, SSH yönetici erişimi denetimini güçlendirdi, SSH'nin kaldırılmasını değerlendirmeye aldı ve Telegraf kimlik doğrulamasını iyileştirdi; bazı ek değişiklikler ise daha sonra dağıtılacak
Denetim kapsamı ve herkese açık rapor
- Mullvad, VPN altyapısı için üçüncü güvenlik denetimini Radically Open Security'ye yaptırdı
- Bu denetim, RAM üzerinde çalışan 2 VPN sunucusuna odaklandı
- 1 OpenVPN sunucusu
- 1 WireGuard sunucusu
- RoS, denetimi Haziran 2023 ortasında tamamladı ve birçok düzeltme Haziran 2023 sonunda dağıtıldı
- Temmuz 2023'te ek yeniden test ve doğrulama yapıldı
- Nihai rapor ROS - Mullvad VPN 2023.pdf olarak yayımlandı
Test sunucusu yapılandırması ve doğrulama başlıkları
- RoS, RAM üzerinde çalışan 2 VPN sunucusu için tam SSH erişim yetkisi aldı
- Denetlenen sunucular, küçültülmüş güncel Linux çekirdeği 6.3.2 ve Ubuntu 22.04 LTS tabanlı özel bir işletim sistemi kullanıyordu
- Bu sunucular, müşterilere hizmet veren üretim sunucuları gibi sağlandı ve dağıtıldı, ancak gerçek müşteri bağlantıları için hiç kullanılmadı
- Doğrulama kapsamı üç başlıkta toplandı
- Sunucu içi güvenlik ve yapılandırma
- Sunucu dışı güvenlik ve yapılandırma
- Müşteri etkinliği günlükleme yapılıp yapılmadığı
- RoS ayrıca sistemde çalışan çeşitli ikili dosyaların kaynak kodunun incelenmesini ve donanım düzeyinde güvenlik değerlendirmesini önerdi, ancak Mullvad bunları kapsam dışında bıraktı
- Bu denetim, “sistem çalışır haldeyken ve müşteri tarafından kullanıldıktan sonraki” durumla sınırlandırıldı
Genel sonuçlar
- RoS, müşteri verisi günlükleme ya da bilgi sızıntısı tespit etmedi
- Test edilen Mullvad VPN relay'inin “olgun bir mimari” sergilediği değerlendirildi
- Bu sızma testinde toplam 25 bulgu tespit edildi
- 1 High
- 6 Elevated
- 4 Moderate
- 10 Low
- 4 info
MLL-024: Test sistemine maruz kalan üretim multihop trafiği
- MLL-024, High önem derecesinde sınıflandırıldı
- RoS, üretim kullanıcı trafiğinin sızma testi yapan kullanıcı tarafından görülebileceğine karar verdi
- Denetim kapsamındaki sunucu, müşteri bağlantıları için açık değildi, sunucu listesinde duyurulmuyordu ve kullanıcılara sunulmamıştı
- Ancak bu sunucular, WireGuard multihop özelliğine bağlıydı
- Müşteriler IP taraması yaparsa, başka bir VPN sunucusuna bağlıyken SOCKS5 proxy kullanarak bu sunucuya trafik gönderebiliyordu
- Bunu engelleyen bir mekanizma yoktu
- RoS'nin doğruladığı şey yalnızca WireGuard iç arayüzünün IP'siydi
- Bu arayüz yalnızca SOCKS5 multihop trafiği için kullanılıyor
- Dolayısıyla bu, giriş noktası WireGuard sunucusuna karşılık geliyor
- Mullvad, üretim sunucuları sunulmamış olsaydı bunun üretim sunucusu denetimi olarak geçerli olmayacağını ve sunucuda müşteri trafiğinin görünmesini engellemenin bir yolu olmadığını düşünüyor
MLL-019: systemd zamanlayıcısı ve dizin izinleri üzerinden root yetkisi yükseltme
- MLL-019, Elevated önem derecesinde sınıflandırıldı
- Düşük yetkili bir sistem hesabı, systemd zamanlayıcı betiğinin içeriğini değiştirerek root yetkisine yükselebiliyordu
- Mullvad, RoS ile yaptığı görüşmenin ardından temel nedeni iç içe geçmiş home dizini kullanımı ve yönetici kullanıcısının
madgrubuna dahil olması olarak değerlendirdi - İç içe geçmiş
/home/maddizin yapısı, RAM tabanlı VPN sunucularından önceki dönemin eski bir kalıntısı - Kısa vadeli önlem olarak tüm yönetici kullanıcılar
madgrubundan çıkarıldı - İlgili betikler
/opt/local_checkskonumuna taşındı ve RoS bu adımla sorunun çözüldüğünü kabul etti
MLL-045: Üretim makinelerine yönetici erişimi
- MLL-045, Moderate önem derecesinde sınıflandırıldı
- VPN sunucuları yönetici uzaktan oturum açmayı desteklediği için, yöneticiler teknik olarak üretimdeki kullanıcıların VPN trafiğini dinleyebiliyordu
- Mullvad bu sorunun zaten farkındaydı ve RoS ile yapılan görüşmeler mevcut planı yeniden doğruladı
- Planlanan iki önlem var
- Yetkisiz oturum açmaları denetlenebilir hale getirmek ve sunucuda kullanılan tüm komutları argümanlar olmadan kaydeden bir sistem kurmak
- SSH desteğini tamamen kaldırma yaklaşımını araştırmak
- SSH kaldırılırsa yöneticiler de SSH üzerinden müşteri trafiği günlüklemeyi etkinleştiremeyecek
- SSH'yi kaldırma yaklaşımının doğru şekilde uygulanması daha fazla zaman alacak
MLL-016: Sunucular arasında paylaşılan Telegraf parolası
- MLL-016, Low önem derecesinde sınıflandırıldı
- Tüm VPN sunucularında paylaşılan Telegraf Influx veritabanı kimlik bilgileri, küresel sunucu metriklerinin değiştirilmesini mümkün kılıyordu
- CPU kullanımı
- Disk kullanımı
- Ağ metrikleri
- Mullvad, Hashicorp Vault'un PKI altyapısını kullanarak kimlik doğrulama için istemci sertifikaları kullanıma aldı
- Bu adım tamamlandı
- Mullvad, altyapının başka bölümlerinde de bu tür sertifikaların kullanılmasını değerlendirecek
Sonraki değişiklikler
- Denetimde bulunan sorunlardan yalnızca bazı ilgi çekici örnekler özetlendi
- Yakın zamanda daha fazla değişiklik dağıtılacak
1 yorum
Hacker News yorumları
Mullvad’ın kalan müşterilerine ek güvenlik ve kararlılık sağlamak için ticari zararı göze alan tavrına gerçekten saygı duyuyorum
Bunu ilk kez PayPal otomatik yenilemeyi kapattıklarında hissetmiştim; çünkü otomatik yenilemeyi sürdürmek için hesapla birlikte kişisel bilgileri saklamaları gerekiyordu
Ancak benim için bir fedakârlık fazla geldi ve port forwarding’i devre dışı bıraktılar. Müşterileri uyarmak için iletişim bilgisi saklamadıklarından, bir gün bağlantı aniden başarısız oldu ve elimde aylarca peşin ödenmiş hizmet kaldı
Bu konuda biraz buruk hissediyorum ama teknik yazıları ve güvenlik kararlarıyla biriktirdikleri iyi niyet yeterli; parayı alsınlar istiyorum. Şüpheli gelmeyen tek VPN, başarılı olmalarını dilerim
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
Böyle bir özelliğin kaldırılmasını yalnızca 30 gün önceden duyurmak, genel olarak işimizi yürütmek istediğimiz tarz değil. Bu özelliğe güvenen müşterilerin hem özelliğin kaldırılmasından hem de bunun ele alınış biçiminden hayal kırıklığına uğramış olacağını düşünüyoruz
Yine de doğru karar buydu. Son aylarda kötüye kullanımın biçimi ve ölçeği o kadar büyüdü ki artık sunmaya devam edemezdik. Bu özellik çok daha önce, daha uzun bir geçiş süresiyle kaldırılmalıydı. Bunu yapmamış olmamız bizim hatamızdı ve siz dahil bazı kullanıcılar bundan zarar gördü
Kullanılamaz hale gelen peşin ödenmiş hizmet için elbette geri ödeme alabilirsiniz
Port forwarding kullanarak açık internette bir hizmeti erişilebilir kılmaya çalışıyorsanız, size memnuniyetle hizmet verecek çok sayıda iyi hosting sağlayıcısı var
Amacınız bir hizmeti erişilebilir kılarken anonimliği korumaksa Tor’un onion service özelliğini şiddetle öneririz. Tam da bu kullanım senaryosu düşünülerek oluşturulmuş bir özellik
Amacınız bir hizmeti açık internette erişilebilir kılarken aynı anda anonimliği korumaksa, önerebileceğimiz iyi bir seçenek yok
Port forwarding’i ahlaki nedenlerle kaldırmamız gerekiyordu. Kitlesel gözetim ve sansürü etkisiz kılma yönündeki temel misyonumuza fazlasıyla büyük bir engel olmaya başlamıştı
Bu açıklama hayal kırıklığınızı tamamen azaltmasa bile en azından bir miktar netlik sağlamış olmasını umarım
Fredrik Stromberg, Mullvad VPN kurucu ortağı
Torrent kullanırken de port forwarding ayarlardım ama artık onsuz da Linux ISO’ları indirebildiğimi öğrendim. Mullvad’ı epey kullanmama rağmen pek umursamadım
Port forwarding kapatıldığında bunun beni ne zamandan itibaren etkileyeceğini, başka bir deyişle hangi kullanım senaryolarının engelleneceğini merak ediyorum
Gerçekten geçmiş olsaydım, amaçladığım şekilde kullanamayacağım epey peşin ödenmiş hizmetin kaldığı aynı durumda olacaktım
Mullvad’ın kurucusu e-posta gönderdiğinde katılmamış olmak kariyerimdeki en büyük pişmanlık
Değerlerinin önemli bir kısmı benim değerlerimle örtüşüyor ve rahatlıktan çok özgürlüğü önceleyen teknoloji meraklıları ne yazık ki çok nadir. Bu yüzden çoğumuz ABD hükümetinin yargı yetkisi altında olan büyük bulut sağlayıcılarını kullanır hale geliyoruz
Şimdiden söyleyeyim, bu benim kariyerimde de gerçekten sorun oldu. Bulut sağlayıcıları ABD yaptırımlarına uymak zorunda olduğundan, Küba, İran veya Kırım’dan olanlar yaptığım oyunu oynayamıyordu. Rusya ve Ukrayna’da oyunumuzu yasal olarak satın alabiliyorsunuz ama işgal altındaki bölgelerdeyseniz oynayamıyorsunuz; bu sinir bozucuydu
Konudan biraz saptım ama dışarıdan bakıldığında şüpheli görünmeyen ve özgürlüğe değer veren bir şirket görmek gerçekten ferahlatıcı
Geçerli bir OFAC lisansınız olsa bile erişimi reddedenler bile var. Muhtemelen erişim kontrol listeleri karmaşık olduğu için; genel olarak her biri farklı davranıyor
Bu yüzden zamanın %95’inde berbat bir VPN’i açık tutuyorum. Hem ABD yaptırımlarını hem de kendi ülkemin sansür mekanizmasını aşmam gerektiği için
Yaptırımların onlarca yıl önce neden ortaya çıktığını bir ölçüde anlıyorum ama bu mantığın hâlâ geçerli olup olmadığını bilmiyorum. Ne yazık ki yaptırımlardan en çok etkilenenler benim gibi sıradan insanlar. Yönetici elitler hiç değil
O hizmetin küçük bir iş kuran birine yardımcı olabileceğini ve potansiyel olarak hayatını iyileştirebileceğini düşünüyordum
Ancak yaptırımları savaş eylemi olarak gören çok kişi de var[0]. Böyle düşününce elbette korkunç. Bu savaş ve savaş benzeri sonuçlar her zaman sahadaki insanlara acı çektirir
Patronunuz yaptırımlar nedeniyle bölgesel engelleme uygulamanızı isterse yalnızca gerektiği kadarını yapmalı, VPN kullanıcılarını da engellemek gibi aşırı şeylere kalkışmamalısınız. Yani yasayı çiğnemeyin ama sahadaki insanların internete erişim hakkını kullanmasını daha da zorlaştırmayın
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
Öncelikle şunu söyleyeyim: Mullvad’ın en iyi ticari VPN çözümü olduğunu ve iyi gizlilik korumasını daha erişilebilir kılma konusunda iyi iş çıkardığını düşünüyorum.
Ancak buradaki birçok yorum, genel olarak VPN’i internette gizliliğin cevabıymış gibi yüceltiyor gibi görünüyor.
VPN’in gerçekten koruduğu şeylerin temelde yalnızca iki şey olduğunu hatırlatmak isterim: internet sağlayıcısı ve uç nokta. O da internet sağlayıcısının şüpheli analizler yapmadığı varsayımıyla.
Yine de yalnızca bu ikisini ortadan kaldırmak bile gizlilik için büyük bir avantajdır ve elbette yapılması gereken bir şeydir.
Başlıkta Radically kelimesi eksik. “Open Security”yi bilmiyordum ama “Radically Open Security” benim bir makale yazdığım yerdi.
Düzenleme: u/progbits benden 1 dakika önce davranmış https://news.ycombinator.com/item?id=37060828
Tabii benim sorumlu olduğum sistemde birkaç yorum dışında hiçbir şey bulamadılar. O yorumlar da statik analiz aracının iyileştirme adayı olarak işaretlediği ve bizim zaten açıkça not düştüğümüz düzeydeydi sanırım. “Burada değişken adı daha iyi olabilir”, “guard clause kullanılırsa basitleştirilebilir” gibi şeylerdi.
Aşırı koşullarda ve neredeyse hiç uyumamış halde yapılmış bir şey için fena değildi. 6 aylık bebek, COVID, crunch ve hareketli iki küçük çocuk bir araya gelince cehennem oluyor.
Mullvad, ciddi derecede şüpheli güvenilirlik sorunları olmayan tek ana akım VPN.
Proton VPN bile iyi değil. Bunu takip eden kişiler, onun NordVPN’in yalnızca white-label bir sürümü olduğunu ortaya çıkardı.
Alternatif olmadığı için Mullvad’ın bütünlüğe dönük taahhüdünü daha güçlü biçimde ileri taşımasına minnettarım.
Düzenleme: Yazı geçmişine biraz baktım; aylardır bu iddiayı dile getiriyorsun ama hiçbir kanıt sunmamış gibisin. Şüpheli.
“by Radically Open Security” olmalıydı; HN’nin başlığı otomatik kırpması yine patlamış. Asıl gönderiyi yazan kişi, şirket adı doğru görünecek şekilde başlığı düzeltebilir mi?
Bu denetimde yalnızca test amaçlı üretim sunucularının incelendiği anlaşılıyor.
Şeytanın avukatlığını yapacak olursak, Mullvad’ın Open Security ekibine günlükleme işlevi kaldırılmış bir sürüm sunmasını ne engeller? Bu kadar şüpheci olmak istemiyorum ama gerçek bir denetimse müşterilerin kullandığı sunucuları incelemek gerekmez mi? Elbette denetçinin bilgi kaydetmesini engelleyecek sınırlar konmuş halde.
Yanılıyor olabilirim; bilen varsa söylesin. Ama bu düzeydeki testin Mullvad’ın kayıtsızlık iddiasını kanıtladığından emin değilim.
Denetlenen tarafın aktif olarak kandırmadığına veya kötü niyetli olmadığına dair belli bir güven gerekir; aksi halde denetimin rastgele zamanlarda, herhangi bir anda yapılabilmesi gerekir.
Operasyonel sunuculara saldırganın kısmi erişim elde ettiği tehdit modeliyle ilgili olduğunu düşünüyorum. Örneğin kazara günlükleme olup olmadığı gibi. Buna karşılık Mullvad’ın kötü amaçlı kod dağıttığı tehdit modeli için geçerli değil.
Anlamlı bir denetim gibi geliyor, ama bu noktanın daha açık belirtilmesini isterdim.
Elbette VPS sağlayıcısı trafiğin bir tarafını görebileceği için kusursuz değildir, ama azaltılabilir.
Mullvad, buna zamanı olmayan ya da nasıl yapacağını bilmeyen kişiler için iyi bir orta nokta. En azından görünümü korumaya çalıştıklarını görmek güzel.
Sonra bu, gerçekten kullanımda olan sunucuların denetimine dönüşebilirdi.
Kullanımda olan müşteri sunucularını denetlemek için, denetçinin potansiyel müşteri verilerini kaydetmemesi adına ciddi kontroller mutlaka gerekir.
Mullvad’ı zor günlerin beklediği bir gelecek kolayca hayal edilebiliyor. Çünkü büyük teknoloji şirketleri Mullvad’ın veri merkezi IP aralıklarının tamamını engelleyebilir.
Cloudflare ile bireysel yöneticiler arasında bunun bir ölçüde zaten yaşandığı görülüyor; Mullvad üzerinden bağlanınca ChatGPT kullanımının engellendiği durumlar da var gibi. En azından bağlantılı görünüyor.
Sonunda bir şeye erişmek veya scraping yapmak için şüpheli konut tipi proxy gerekebilir.
Kendi barındırdığın VPS de, şirketi yaklaşan toplu engellemelerden kaçacak kadar küçükse işe yarayabilir; ama bunu zaman gösterecek.
Daha önce HN’de Mullvad’ın günlük tutmadığını ve yetkililere verecek günlüklerinin olmadığını okuduktan sonra Mullvad’a geçtim.
Linkim yok ama etkileyiciydi; bu denetimler de o kararın doğru olduğuna dair ek kanıt.
Ayrıntılar için linklere bakabilirsiniz ama alıntılamak gerekirse: “Rights Alliance ve güvenlik uzmanları, OVPN sistemlerinde günlüklerin saklanabileceği anlamına gelen bir zafiyeti kanıtlayamadı.”
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
Mullvad’ı kısa süre önce öğrendim; sanırım Mozilla ile bir anlaşmaları vardı.
Her neyse, hizmet mükemmel ve hiçbir gereksiz prosedür olmadan sadece hizmet için ödeme yapabilmenin bu kadar nadir olması şaşırtıcı.
Hesap oluşturmak için buraya tıklayıp, ardından çok sayıdaki ödeme yönteminden biriyle ödeme yapmanız yeterli. Postayla nakit ödeme bile dahil.