1 puan yazan GN⁺ 2023-09-21 | 1 yorum | WhatsApp'ta paylaş
  • Mullvad, VPN altyapısında disk kullanımına dair tüm izleri kaldırarak sunucuların yalnızca RAM-only dağıtım yöntemiyle çalışacak şekilde geçişini tamamladı
  • Bu çalışma, 2022 başında stboot bootloader tabanlı disksiz altyapıya geçişin duyurulmasının ardından gelen sonuç niteliğinde
  • Bu yapılandırma 2022 ve 2023’te iki kez denetlendi; bundan sonraki VPN sunucusu denetimleri de yalnızca RAM-only dağıtımı kapsayacak
  • Sunucular, mainline kernel geliştirmelerini takip eden özel ve hafifletilmiş bir Linux kernel kullanarak en yeni özellikleri ve performans iyileştirmelerini içeriyor, gereksiz bileşenleri ise kaldırıyor
  • Yeniden başlatma veya ilk provizyonlama sırasında yeni bir kernel, günlük dosyası izi olmayan bir durum ve tamamen yamalanmış bir işletim sistemi sağlamak bu işletim modelinin temelini oluşturuyor

Disksiz VPN altyapısına geçiş

  • Mullvad, VPN altyapısında disk kullanım izlerinin tamamını kaldırdığını duyurdu
  • 2022 başında stboot bootloader kullanan disksiz altyapıya geçişin başladığını duyurmasından bu yana geçişi sürdürüyor
  • Bu yapılandırmadaki VPN altyapısı iki kez denetlendi
  • Bundan sonraki VPN sunucusu denetimleri yalnızca RAM-only dağıtımı kapsayacak

Kernel ve önyükleme işletim sistemi yapılandırması

  • Tüm VPN sunucuları, özel olarak büyük ölçüde küçültülmüş bir Linux kernel kullanmaya devam ediyor
  • Kernel geliştirme süreci mainline dalını takip ediyor; yeni özellikleri ve performans iyileştirmelerini yansıtmak için en güncel sürümler alınıyor
  • Gereksiz kernel bileşenleri kaldırılarak hafif yapı korunuyor
  • Dağıtım öncesinde önyükleme işletim sisteminin boyutu 200 MB’ın biraz üzerinde
  • Sunucu yeniden başlatıldığında veya ilk kez provizyonlandığında şu durumlar sağlanıyor
    • Yeni derlenmiş kernel
    • Günlük dosyası izi yok
    • Tamamen yamalanmış OS

1 yorum

 
GN⁺ 2023-09-21
Hacker News yorumları
  • Gerçekten harika. Güvenlik ve şeffaflığı önemseyen bir VPN sağlayıcısının Mullvad gibi davranmasını bekler hale geliyorsunuz.
    Bazı şirketler influencer’lara para döküp “güvenliği önemsiyoruz” dedirtiyor, bazıları ise gerçekten güvenliği iyileştirmeye odaklanıyor.
    Bu arada hepsi açık kaynak: https://github.com/system-transparency/stboot

    • Bununla biraz ayrı bir konu olarak, büyük VPN sağlayıcılarının, sanki kullanıcıların ziyaret ettiği sitelerin çoğu HTTPS değilmiş gibi konuşması ve HTTPS’in zaten kapattığı boşlukları kendilerinin doldurmasının temel faydalarıymış gibi reklam yapması beni hep rahatsız ediyor.
      HTTPS her derde deva değil ama YouTube reklamı yapan büyük VPN şirketlerinin korku pazarlaması, bir kafede Amazon’a bağlandığınız için birinin kredi kartınızı çalacakmış gibi görünmesine yol açıyor.
      Bu konuda düzgün bir video yapan yalnızca Tom Scott’ı gördüm [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • stboot ve destek bileşenleri ile dokümantasyon çalışmaları ayrı bir GitLab’a taşındı: https://git.glasklar.is/system-transparency/core/stboot
  • Klişe bir tepkiyi tetiklemeye çalışmıyorum ama teknik kapasitesi olan VPN sağlayıcılarının disksiz işletim, kernel özelleştirmesi ve daha güçlü güvenlik gibi gereksinimleri olmasına rağmen BSD yerine Linux kullanması ilginç.

    • Benim açımdan Linux’u en ince ayrıntısına kadar bilen kişileri işe alabileceğiniz havuz çok daha büyük. Algılanan güvenlik sorunlarını göze aldıracak kadar büyük bir avantaj.
      Disksiz tarafta, yüksek ölçüde özelleştirilmiş Ubuntu ile disksiz blade sunucularda 25.000’den fazla iPXE dağıtımı çalıştırdım ve çok iyi işledi.
      İşletim sistemi seçiminden bağımsız olarak disksiz yaklaşım oldukça iyi. Bir güvenlik sorunu varsa ya da yükseltme gerekiyorsa yeniden başlatmanız yeterli. Tabii 25.000 sunucuyu yeniden başlatmak gigE üzerinde bile epey zaman alıyor.
      Bunu güvenilir biçimde yöneten bir zamanlama sistemi kurmak epey emek istedi ama sonuç oldukça iyiydi.
    • Bu tür kullanım için daha iyi bir BSD var mı?
  • “Log tutmuyoruz veya saklamıyoruz” diyen VPN’leri merak ediyorum. Gerçekten öyle olabilir ama kendileri saklamak yerine kolluk kuvvetlerine ya da istihbarat kurumlarına gerçek zamanlı veri akışı gönderiyor da olabilirler.
    O zaman “log tutmuyoruz” demeleri technically doğru olur.

    • Kötü aktörler kaçınılmaz olarak var olabilir.
      Ama OVPN gibi “log yok” iddiasının gerçek olduğunu mahkemede kanıtlamış şirketler de var[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • Dürüst bir şirket için bile baskı iki yönlüdür. Biri güvenlik, diğeri hukuki baskıdır.
      Sistemler güvenlik açıkları ve sosyal mühendislik yoluyla; ayrıca para, ideoloji, zayıf noktalar ve ego gibi klasik psikolojik operasyon araçlarını içeren zorlamalarla aşılabilir.
      Ya da bir hükümetten yasal emir gelebilir. Dünyadaki neredeyse tüm hükümetlerin, kara para aklama ve terörle mücadele, yani AML/CFT gerekçesiyle herhangi bir aktörü veri teslim etmeye zorlayan yasaları ve operasyonel uygulamaları var.
      Bu tür saldırılara karşı güçlü savunma yapmak çok pahalıdır. Aylık 5 dolarlık ücretle normal işletme giderlerini ve bu tür olaylara müdahaleyi karşılayabilecek uygulanabilir bir iş modeli pek göremiyorum.
      Ek olarak, zaten kullanıyor olabilecekleri temel teknolojilere gömülü arka kapılar da var. Bu hafta ortaya çıkan Cavium HSM vakası buna bir örnek.
    • Houston Police Department ya da herhangi bir şehir polisi, NSA tarzı fiber omurga veri emme operasyonu kuracak kadar sofistike görünmüyor.
      NYPD’nin yasa dışı, milyon dolarlık cep telefonu dinleme ekipmanı satın aldığı bildirildi ama ABD’nin en büyük yerel kolluk kurumlarının ulaşabildiği seviye de genelde bununla sınırlı.
      Zaten bu nasıl işleyecek? Mahkeme tarafından verilmiş bir gizlilik emri yoksa birkaç hafta içinde içeriden söylentiler sızar.
      Cep telefonu ekipmanlarının gizli kalmasının nedeni yalnızca polis teşkilatı çalışanlarının işin içinde olmasıydı; VPN sağlayıcılarında bu yöntem mümkün değil. Bunların CIA ya da NSA’in, bazen de FBI’ın sahip olduğu haksız ayrıcalıkları yok.
      Benim yapabileceğim ve kolluk kuvvetlerinin merakını çekebilecek şeyler, federal istihbarat kurumlarının ilgi alanlarının çok altında. Elbette sizin hayatınız daha ilginç olabilir.
    • Yasal dinleme sistemleri 1990’lardan beri bu şekilde çalışıyor.
      VPN sağlayıcılarını etkileyen yasal dinleme yükümlülüğü olup olmadığını görmek için ilgili yargı alanının yasalarına bakmak gerekir. Ya da Mullvad bunu netleştirebilir.
      İsveç’te tüm iletişim ekipmanları için kesinlikle yasal dinleme gereksinimleri var, ama VPN’ler için durumdan emin değilim.
    • Bu, log kaydını epey sıra dışı yorumlamak gibi görünüyor.
      Bana kalırsa müşteri faaliyetlerini VPN’in kaydedip sonra başka bir yere göndererek orada saklatması anlamına gelir.
  • VPN’ler hakkında hep merak ettiğim bir şey var
    Örneğin bir pedofil Mullvad kullanarak yasaklı görseller indirirse, bundan VPN mi sorumlu tutulur?
    Kolluk kuvvetleri IP’nin Mullvad ofisinden çıktığını göreceği için, bunu onların yaptığı varsayılmaz mı? Bundan nasıl kaçındıklarını merak ediyorum
    Aptalca bir soru olabilir ama gerçekten merak ediyorum

    • Mullvad’ın gerçekten benzer bir olay nedeniyle polis baskınına uğradığı olmuştu; burada açıklanıyor:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      “Ama bir şey almış olsalar bile, hiçbir müşteri bilgisine erişemezlerdi.”
      “İsveç’te gizlilik odaklı bir VPN hizmeti işletmeyi mümkün kılan ulusal yasalar şunlardır.”
    • Avukat değilim ama benim anladığım kadarıyla bu genelde Section 230 kapsamına giriyor. Çünkü aynı mantık, kendi altyapıları üzerinden baytların geçmesine izin veren Comcast, AT&T gibi şirketlere de uygulanabilir
    • Bu durumda soruşturma yalnızca VPN hizmetine bir arama emri veya celp gönderilip ilgili hesap için kullanıcı ayrıntıları ve loglar gibi materyallerin talep edilmesi yönünde ilerler
      Burada “hiç log tutmuyoruz” ifadesi ve yapının yalnızca RAM’de çalışması önem kazanıyor
      Arama emri donanımın götürülmesine izin verse bile güç kesildiğinde tüm veriler kaybolur. Kolluk kuvvetlerinin yanlarında bir sürü pil getirmesi gerekir
    • Kaçınamıyorlar. Bu yüzden bir dönem polis baskınına uğradılar ve artık port yönlendirme sunmamaya başladılar
    • Ama diyelim ki o VPN’e giriş yaptınız, çocuklar için çocuk kazağı arıyorsunuz ve oturumu açık bıraktınız. Bu sırada kolluk kuvvetleri önceki faaliyetle bağlantılı IP’yi sorguluyor ve o IP artık size atanmış durumda
      Polise VPN’i ve IP adresini açıklamanız gerekirse bol şans. Benim korkum bu
  • “Onların” tek yapması gereken ekipmana sıvı azot döküp rack’ten çıkarmak, ardından DRAM’i sıvı azot dolu bir termosa koyup götürerek verileri yavaşça okumak
    https://ieeexplore.ieee.org/document/8388826

    • Modern şifreleme protokollerinde bunu yapsanız bile hiçbir şey elde edemezsiniz
      Bu özelliğe ileri gizlilik denir ve anahtar daha sonra sızsa bile geçmiş trafiği korur
      Mullvad’ın kullandığı WireGuard bunu destekliyor. Sebebini, her neyse, okuyucuya bırakıyorum ama Wi-Fi’daki WPA hâlâ bunu yapmıyor
    • AMD işlemciler SME adlı şifreli RAM’i destekler[1]
      Anahtar CPU’nun içindedir ve her açılışta rastgeleleştirilir. Çalışır durumdaki RAM çiplerini dinleseniz ya da kusursuz biçimde korunmuş soğutulmuş RAM’i okusanız bile hiçbir şey elde edemezsiniz
      Xbox One’ın hacklenmemiş olmasının büyük nedenlerinden biri de buydu
      AMD tabanlı iş dizüstülerinde ve AMD EPYC sunucularda SME BIOS’tan etkinleştirilebilir
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Burada “tek yapması gereken” ifadesi çok şeyi sırtlanıyor
      Bunu “tek yapmaları gereken” bir şeye dönüştürmek için görevlilerin, Mullvad tepki vermeden önce bina altyapısının neredeyse tamamını ele geçirmesi gerekir; bu da söylendiği kadar kolay değil
      Önemsiz bir iş olsa bile rakip VPN hizmetleriyle karşılaştırıldığında hâlâ birkaç kademe daha üst düzeyde
    • Bu, SSD’yi söküp log dosyalarını okumaktan çok daha fazla iş gibi görünüyor ve hata yapma ihtimali de çok daha yüksek
  • Yine de donanım tabanlı arka kapıları ya da bellek enjeksiyonu, tedarik zinciri gibi başka tür arka kapılarla gerçek zamanlı verileri dışarı sızdıran saldırıları engellemez
    “Sunucu yeniden başlatıldığında veya ilk kez provizyonlandığında yeni derlenmiş bir kernel aldığından emin olabiliriz” demişler; bu döngünün ne kadar olduğunu merak ediyorum
    Günlük mü, haftalık mı, yoksa saatte bir mi? Döngü ne kadar uzunsa bazı saldırı vektörlerinin olasılığı o kadar azalır

  • Kuzey Amerika ve Avrupa’da VPN’lerin yasal olarak VPN kullanım kayıtlarını, yani ziyaret edilen siteleri veya kayıt e-postalarını 1-2 yıl saklaması gerekir
    Çoğu VPN şirketi gezinme loglarını tutmadığını ilan eder
    O halde Avrupa ve ABD yasalarını ihlal etmiş oluyorlar
    Bu yüzden disksiz VPN’e nasıl bakmam gerektiğini bilmiyorum

  • Yorumlarda dile getirilen iyi bir nokta: sanal makineler tüm bellek durumunu anlık görüntü olarak kaydedebilir. Buna da dikkat etmek gerekir

  • “Yeni derlenmiş kernel, log dosyası izi yok, tamamen yamalanmış işletim sistemi” ise diski salt okunur modda kullanmak da aynı etkiyi sağlamaz mı?

    • Günümüzde disklerde her zaman salt okunur anahtar bulunmuyor. Disketlerdeki fiziksel çentiği özlüyorum
      Ayrıca üçüncü bir tarafın o anahtarın doğru ayarlandığını denetimle kanıtlaması da zor
  • “Tüm VPN sunucularımız sürekli olarak özelleştirilmiş ve büyük ölçüde küçültülmüş bir Linux kernel’i kullanıyor ve kernel geliştirmesinin mainline dalını takip ediyor” denmiş; özel sunucular güvenlik açısından niş bir nokta
    Genel sunucular sürekli araştırılıp yamalanır, ama bu tür sunucular için aynı şeyi bekleyemeyiz
    Biri bir güvenlik açığı bulursa saldırganlar bunu satın alabilir ve sistemin ele geçirildiğini kimse fark etmeyebilir