Mullvad, RAM-only VPN altyapısına geçişi tamamladı
(mullvad.net)- Mullvad, VPN altyapısında disk kullanımına dair tüm izleri kaldırarak sunucuların yalnızca RAM-only dağıtım yöntemiyle çalışacak şekilde geçişini tamamladı
- Bu çalışma, 2022 başında
stbootbootloader tabanlı disksiz altyapıya geçişin duyurulmasının ardından gelen sonuç niteliğinde - Bu yapılandırma 2022 ve 2023’te iki kez denetlendi; bundan sonraki VPN sunucusu denetimleri de yalnızca RAM-only dağıtımı kapsayacak
- Sunucular, mainline kernel geliştirmelerini takip eden özel ve hafifletilmiş bir Linux kernel kullanarak en yeni özellikleri ve performans iyileştirmelerini içeriyor, gereksiz bileşenleri ise kaldırıyor
- Yeniden başlatma veya ilk provizyonlama sırasında yeni bir kernel, günlük dosyası izi olmayan bir durum ve tamamen yamalanmış bir işletim sistemi sağlamak bu işletim modelinin temelini oluşturuyor
Disksiz VPN altyapısına geçiş
- Mullvad, VPN altyapısında disk kullanım izlerinin tamamını kaldırdığını duyurdu
- 2022 başında
stbootbootloader kullanan disksiz altyapıya geçişin başladığını duyurmasından bu yana geçişi sürdürüyor - Bu yapılandırmadaki VPN altyapısı iki kez denetlendi
- Bundan sonraki VPN sunucusu denetimleri yalnızca RAM-only dağıtımı kapsayacak
Kernel ve önyükleme işletim sistemi yapılandırması
- Tüm VPN sunucuları, özel olarak büyük ölçüde küçültülmüş bir Linux kernel kullanmaya devam ediyor
- Kernel geliştirme süreci mainline dalını takip ediyor; yeni özellikleri ve performans iyileştirmelerini yansıtmak için en güncel sürümler alınıyor
- Gereksiz kernel bileşenleri kaldırılarak hafif yapı korunuyor
- Dağıtım öncesinde önyükleme işletim sisteminin boyutu 200 MB’ın biraz üzerinde
- Sunucu yeniden başlatıldığında veya ilk kez provizyonlandığında şu durumlar sağlanıyor
- Yeni derlenmiş kernel
- Günlük dosyası izi yok
- Tamamen yamalanmış OS
1 yorum
Hacker News yorumları
Gerçekten harika. Güvenlik ve şeffaflığı önemseyen bir VPN sağlayıcısının Mullvad gibi davranmasını bekler hale geliyorsunuz.
Bazı şirketler influencer’lara para döküp “güvenliği önemsiyoruz” dedirtiyor, bazıları ise gerçekten güvenliği iyileştirmeye odaklanıyor.
Bu arada hepsi açık kaynak: https://github.com/system-transparency/stboot
HTTPS her derde deva değil ama YouTube reklamı yapan büyük VPN şirketlerinin korku pazarlaması, bir kafede Amazon’a bağlandığınız için birinin kredi kartınızı çalacakmış gibi görünmesine yol açıyor.
Bu konuda düzgün bir video yapan yalnızca Tom Scott’ı gördüm [0]
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
Klişe bir tepkiyi tetiklemeye çalışmıyorum ama teknik kapasitesi olan VPN sağlayıcılarının disksiz işletim, kernel özelleştirmesi ve daha güçlü güvenlik gibi gereksinimleri olmasına rağmen BSD yerine Linux kullanması ilginç.
Disksiz tarafta, yüksek ölçüde özelleştirilmiş Ubuntu ile disksiz blade sunucularda 25.000’den fazla iPXE dağıtımı çalıştırdım ve çok iyi işledi.
İşletim sistemi seçiminden bağımsız olarak disksiz yaklaşım oldukça iyi. Bir güvenlik sorunu varsa ya da yükseltme gerekiyorsa yeniden başlatmanız yeterli. Tabii 25.000 sunucuyu yeniden başlatmak gigE üzerinde bile epey zaman alıyor.
Bunu güvenilir biçimde yöneten bir zamanlama sistemi kurmak epey emek istedi ama sonuç oldukça iyiydi.
“Log tutmuyoruz veya saklamıyoruz” diyen VPN’leri merak ediyorum. Gerçekten öyle olabilir ama kendileri saklamak yerine kolluk kuvvetlerine ya da istihbarat kurumlarına gerçek zamanlı veri akışı gönderiyor da olabilirler.
O zaman “log tutmuyoruz” demeleri technically doğru olur.
Ama OVPN gibi “log yok” iddiasının gerçek olduğunu mahkemede kanıtlamış şirketler de var[1]
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
Sistemler güvenlik açıkları ve sosyal mühendislik yoluyla; ayrıca para, ideoloji, zayıf noktalar ve ego gibi klasik psikolojik operasyon araçlarını içeren zorlamalarla aşılabilir.
Ya da bir hükümetten yasal emir gelebilir. Dünyadaki neredeyse tüm hükümetlerin, kara para aklama ve terörle mücadele, yani AML/CFT gerekçesiyle herhangi bir aktörü veri teslim etmeye zorlayan yasaları ve operasyonel uygulamaları var.
Bu tür saldırılara karşı güçlü savunma yapmak çok pahalıdır. Aylık 5 dolarlık ücretle normal işletme giderlerini ve bu tür olaylara müdahaleyi karşılayabilecek uygulanabilir bir iş modeli pek göremiyorum.
Ek olarak, zaten kullanıyor olabilecekleri temel teknolojilere gömülü arka kapılar da var. Bu hafta ortaya çıkan Cavium HSM vakası buna bir örnek.
NYPD’nin yasa dışı, milyon dolarlık cep telefonu dinleme ekipmanı satın aldığı bildirildi ama ABD’nin en büyük yerel kolluk kurumlarının ulaşabildiği seviye de genelde bununla sınırlı.
Zaten bu nasıl işleyecek? Mahkeme tarafından verilmiş bir gizlilik emri yoksa birkaç hafta içinde içeriden söylentiler sızar.
Cep telefonu ekipmanlarının gizli kalmasının nedeni yalnızca polis teşkilatı çalışanlarının işin içinde olmasıydı; VPN sağlayıcılarında bu yöntem mümkün değil. Bunların CIA ya da NSA’in, bazen de FBI’ın sahip olduğu haksız ayrıcalıkları yok.
Benim yapabileceğim ve kolluk kuvvetlerinin merakını çekebilecek şeyler, federal istihbarat kurumlarının ilgi alanlarının çok altında. Elbette sizin hayatınız daha ilginç olabilir.
VPN sağlayıcılarını etkileyen yasal dinleme yükümlülüğü olup olmadığını görmek için ilgili yargı alanının yasalarına bakmak gerekir. Ya da Mullvad bunu netleştirebilir.
İsveç’te tüm iletişim ekipmanları için kesinlikle yasal dinleme gereksinimleri var, ama VPN’ler için durumdan emin değilim.
Bana kalırsa müşteri faaliyetlerini VPN’in kaydedip sonra başka bir yere göndererek orada saklatması anlamına gelir.
VPN’ler hakkında hep merak ettiğim bir şey var
Örneğin bir pedofil Mullvad kullanarak yasaklı görseller indirirse, bundan VPN mi sorumlu tutulur?
Kolluk kuvvetleri IP’nin Mullvad ofisinden çıktığını göreceği için, bunu onların yaptığı varsayılmaz mı? Bundan nasıl kaçındıklarını merak ediyorum
Aptalca bir soru olabilir ama gerçekten merak ediyorum
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
“Ama bir şey almış olsalar bile, hiçbir müşteri bilgisine erişemezlerdi.”
“İsveç’te gizlilik odaklı bir VPN hizmeti işletmeyi mümkün kılan ulusal yasalar şunlardır.”
Burada “hiç log tutmuyoruz” ifadesi ve yapının yalnızca RAM’de çalışması önem kazanıyor
Arama emri donanımın götürülmesine izin verse bile güç kesildiğinde tüm veriler kaybolur. Kolluk kuvvetlerinin yanlarında bir sürü pil getirmesi gerekir
Polise VPN’i ve IP adresini açıklamanız gerekirse bol şans. Benim korkum bu
“Onların” tek yapması gereken ekipmana sıvı azot döküp rack’ten çıkarmak, ardından DRAM’i sıvı azot dolu bir termosa koyup götürerek verileri yavaşça okumak
https://ieeexplore.ieee.org/document/8388826
Bu özelliğe ileri gizlilik denir ve anahtar daha sonra sızsa bile geçmiş trafiği korur
Mullvad’ın kullandığı WireGuard bunu destekliyor. Sebebini, her neyse, okuyucuya bırakıyorum ama Wi-Fi’daki WPA hâlâ bunu yapmıyor
Anahtar CPU’nun içindedir ve her açılışta rastgeleleştirilir. Çalışır durumdaki RAM çiplerini dinleseniz ya da kusursuz biçimde korunmuş soğutulmuş RAM’i okusanız bile hiçbir şey elde edemezsiniz
Xbox One’ın hacklenmemiş olmasının büyük nedenlerinden biri de buydu
AMD tabanlı iş dizüstülerinde ve AMD EPYC sunucularda SME BIOS’tan etkinleştirilebilir
Bunu “tek yapmaları gereken” bir şeye dönüştürmek için görevlilerin, Mullvad tepki vermeden önce bina altyapısının neredeyse tamamını ele geçirmesi gerekir; bu da söylendiği kadar kolay değil
Önemsiz bir iş olsa bile rakip VPN hizmetleriyle karşılaştırıldığında hâlâ birkaç kademe daha üst düzeyde
Yine de donanım tabanlı arka kapıları ya da bellek enjeksiyonu, tedarik zinciri gibi başka tür arka kapılarla gerçek zamanlı verileri dışarı sızdıran saldırıları engellemez
“Sunucu yeniden başlatıldığında veya ilk kez provizyonlandığında yeni derlenmiş bir kernel aldığından emin olabiliriz” demişler; bu döngünün ne kadar olduğunu merak ediyorum
Günlük mü, haftalık mı, yoksa saatte bir mi? Döngü ne kadar uzunsa bazı saldırı vektörlerinin olasılığı o kadar azalır
Kuzey Amerika ve Avrupa’da VPN’lerin yasal olarak VPN kullanım kayıtlarını, yani ziyaret edilen siteleri veya kayıt e-postalarını 1-2 yıl saklaması gerekir
Çoğu VPN şirketi gezinme loglarını tutmadığını ilan eder
O halde Avrupa ve ABD yasalarını ihlal etmiş oluyorlar
Bu yüzden disksiz VPN’e nasıl bakmam gerektiğini bilmiyorum
Yorumlarda dile getirilen iyi bir nokta: sanal makineler tüm bellek durumunu anlık görüntü olarak kaydedebilir. Buna da dikkat etmek gerekir
“Yeni derlenmiş kernel, log dosyası izi yok, tamamen yamalanmış işletim sistemi” ise diski salt okunur modda kullanmak da aynı etkiyi sağlamaz mı?
Ayrıca üçüncü bir tarafın o anahtarın doğru ayarlandığını denetimle kanıtlaması da zor
“Tüm VPN sunucularımız sürekli olarak özelleştirilmiş ve büyük ölçüde küçültülmüş bir Linux kernel’i kullanıyor ve kernel geliştirmesinin mainline dalını takip ediyor” denmiş; özel sunucular güvenlik açısından niş bir nokta
Genel sunucular sürekli araştırılıp yamalanır, ama bu tür sunucular için aynı şeyi bekleyemeyiz
Biri bir güvenlik açığı bulursa saldırganlar bunu satın alabilir ve sistemin ele geçirildiğini kimse fark etmeyebilir