Radically Open Security tarafından tamamlanan altyapı denetimi

 (mullvad.net)
2 puan yazan GN⁺ 2023-08-10 | 1 yorum | WhatsApp'ta paylaş
  • Hollanda merkezli güvenlik şirketi Radically Open Security(RoS), Mullvad VPN’in altyapı denetimini tamamladı.
  • Bu denetim, RAM üzerinde çalışan VPN sunucularına, özellikle bir OpenVPN sunucusu ile bir WireGuard sunucusuna odaklandı.
  • 2023 Haziran ortasında sonuçlandırılan üçüncü güvenlik denetiminin nihai raporu yayımlandı ve düzeltmeler 2023 Haziran sonunda dağıtıldı.
  • RoS, bazı yeni bulgular da dahil olmak üzere bazı sorunlar tespit etti; ancak Mullvad VPN relay’leri olgun bir mimari sergiledi ve kullanıcı etkinliği verilerinin kaydedildiğine dair bir bulguya rastlamadı.
  • RoS’ye, RAM üzerinde çalışan iki VPN sunucusuna tam SSH erişimi verildi; bu sunucular küçültülmüş bir Linux çekirdeği (6.3.2) ve özel bir Ubuntu 22.04 LTS tabanlı işletim sistemi kullanıyordu.
  • Bu denetimin amacı, sunucuların iç ve dış güvenliğini ve yapılandırmasını doğrulamak ve müşteri etkinliğinin kayda alınıp alınmadığını kontrol etmekti.
  • RoS, müşteri verilerinde bilgi sızıntısı veya kayıt tutma bulgusu tespit etmedi; ancak sızma testleri sırasında 1 kritik, 6 yüksek, 4 orta, 10 düşük ve 4 bilgilendirme düzeyinde sorun buldu.
  • Kritik sorunlardan biri, test sisteminde pentest kullanıcısının üretim kullanıcı trafiğini görebilmesiydi.
  • Yüksek riskli sorunlardan biri, düşük yetkili bir sistem hesabının systemd zamanlayıcı betiğinin içeriğini değiştirerek root yetkisine yükselebilme ihtimaliydi.
  • Orta riskli sorunlardan biri, yöneticilerin üretim kullanıcılarının VPN trafiğine erişebilmesiydi.
  • Düşük riskli sorunlardan biri, Telegraf’ın VPN sunucuları arasında kullandığı paylaşılan Influx veritabanı kimlik bilgilerinin küresel sunucu metriklerinin manipüle edilmesine izin verebilmesiydi.
  • Mullvad VPN bu sorunlara yönelik düzeltmeleri uyguladı ve yakın gelecekte daha fazla değişiklik dağıtmayı planlıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-08-10
Hacker News görüşleri
  • VPN hizmeti sağlayıcısı Mullvad, iş kolaylığından ödün verme pahasına bile kullanıcı gizliliği ve güvenliğine bağlılığı nedeniyle övgü alıyor.
  • Şirket, kişisel olarak tanımlanabilir bilgileri saklamamak için PayPal ile otomatik yenilemeyi devre dışı bırakmak gibi kararlar aldı.
  • Mullvad'ın teknik dokümantasyonu ve güvenlik kararları, port yönlendirmeyi devre dışı bırakmak gibi tartışmalı kararlara rağmen kullanıcılar arasında beğeni topluyor.
  • Mullvad, kullanım kolaylığından çok özgürlüğe değer veren bir şirket olarak görülüyor; bu da teknoloji meraklıları arasında nadir bir özellik.
  • Bazı kullanıcılar Mullvad'ı en iyi ticari VPN çözümü olarak görüyor ve gizliliği daha erişilebilir hale getirdiğini düşünüyor.
  • Ancak VPN'in internet gizliliği için tam bir çözüm olmadığı, buna karşın ISP'ye ve uç noktalara karşı koruma sağladığı belirtiliyor.
  • Mullvad, Proton VPN gibi diğer sağlayıcılara kıyasla şüpheli güvenilirlik sorunları olmayan tek ana akım VPN olarak değerlendiriliyor.
  • Denetim sürecine ilişkin endişeler var; bazı kullanıcılar denetimin müşteri karşısındaki sunucuları mı yoksa yalnızca test üretim sunucularını mı incelediğini sorguluyor.
  • Tor ve diğer overlay ağlarının aksine, açık şekilde işletilen Mullvad karalama kampanyalarının veya yanlı haberlerin hedefi olmadı.
  • Bazı kullanıcılar, büyük teknoloji şirketleri veri merkezlerini kapsam içinde sınırlamaya karar verirse Mullvad'ın gelecekte zorluklarla karşılaşabileceği yönünde endişe dile getiriyor.
  • Kullanılan süre kadar ödeme yapma fikri de kullanıcılar tarafından olumlu karşılanıyor.