Mullvad VPN güvenlik denetimi incelemesi
(x41-dsec.de)- X41, kaynak kod erişimi de dahil olmak üzere beyaz kutu sızma testiyle Mullvad VPN uygulamasını inceledi ve buna hafif bir tehdit modeli oluşturmayı da dahil etti
- Denetim kapsamındaki sürümler Android 2024.8-beta1, iOS 2024.8 ve Desktop 2024.6 kodlarıydı; Linux, Windows, macOS, Android, iOS olmak üzere 5 platformdaki çalışma varsayıldı
- Testlerde 6 güvenlik açığı bulundu, ancak Mullvad VPN uygulaması rapordaki tehdit modeli ölçütlerine göre genel olarak yüksek bir güvenlik seviyesi gösterdi
- En ciddi sorun, sinyal işleyicideki yarış durumu ve zamansal güvenlik ihlali nedeniyle oluşan bellek bozulmasıydı; ancak saldırganın önce başka bir kusur üzerinden sinyal tetiklemesi gerektiği için ciddiyeti düşüyor
- Bazı açıklar, komşu ağdaki bir saldırganın kullanıcı kimlik bilgilerinin sızmasına veya belirli koşullarda yan kanal saldırılarına yol açabiliyordu; Mullvad VPN AB düzeltmeleri hızla uyguladı
Denetim kapsamı ve hedefin özellikleri
- X41, Mullvad VPN uygulamasına yönelik beyaz kutu sızma testi gerçekleştirdi
- Kaynak koda erişim vardı ve hafif bir tehdit modeli oluşturulması da kapsama dahildi
- Denetim kapsamındaki kaynak kod sürümleri şunlardı
- Hedef uygulama büyük ölçekli ve 5 platformda çalıştığı için denetim zorluğu yüksek
- Desteklenen platformlar Linux, Windows, macOS, Android ve iOS
- Mullvad VPN düzenli denetimler yaptırıyor; mevcut kodda yeni açıkların bulunması, ürünün karmaşıklığı göz önüne alındığında sürekli güvenlik incelemesine ihtiyaç olduğunu gösteriyor
- Olgun hedeflerde bulguların, uygulama geliştirme ekibinin doğrudan kontrolü veya odağı dışındaki alanlara kayma eğilimi var
- İşletim sisteminin davranış özellikleri
- Farklı ağ katmanları ve protokolleri arasındaki etkileşim
Bulgular ve güvenlik değerlendirmesi
- X41 testlerinde toplam 6 güvenlik açığı bulundu
- Mullvad VPN uygulaması, rapordaki tehdit modeli ölçütlerine göre yüksek bir güvenlik seviyesi gösterdi
- Güvenli kodlama ve tasarım kalıpları
- Düzenli denetimler ve sızma testleri
- Güçlendirilmiş çalışma ortamı
- En ciddi güvenlik açığı, sinyal işleyici kodundaki yarış durumu ve zamansal güvenlik ihlalinin yol açtığı bellek bozulmasıydı
- Sinyal işleyici kodu bir kez tetiklendiğinde sömürülebilirlik olasılığı düşük görünmüyor
- Ancak saldırganın önce başka bir kusurla sinyal tetiklemesi gerektiğinden genel ciddiyet düşüyor
- Diğer açıklar, komşu ağdaki bir saldırganın kullanıcı kimlik bilgilerini sızdırmasını veya belirli koşullarda istemcinin o anda eriştiği siteyi ortaya çıkaran yan kanal saldırılarını mümkün kılabiliyordu
- Yan kanal saldırıları büyük ölçüde azaltıldı
- İstisna, NAT ve modern HTTP protokol varyantları gibi birden fazla teknolojinin birleşiminden kaynaklanan protokol düzeyi saldırılar; bu da Mullvad VPN AB’nin kontrol kapsamı dışında
- Daha yüksek güvenlik ve gizlilik gereksinimi olan kullanıcılar, korumalı VPN içinde obfuscation tekniklerini ve proxy hizmetlerini seçenek olarak değerlendirebilir
- Mullvad VPN AB bulguları hızla düzeltti ve düzeltmelerin de düzgün çalıştığı denetlendi
1 yorum
Hacker News yorumları
Tespit edilen sorun başlıkları arasında signal handler için yedek stack yetersizliği, async-signal-safe olmayan fonksiyon kullanımı, tünel cihazının sanal IP adresinin sızması, NAT üzerinden anonimlik bozulması, MTU üzerinden anonimlik bozulması ve kurulum sürecinde sideloading yer alıyor.
Genel olarak oldukça anlaşılır; DAITA'ya (yapay zeka trafik analizine karşı savunma) fazlasıyla yaslanıyor gibi, henüz tam anlamadım ama daha fazla okumaya değer görünüyor: https://mullvad.net/en/vpn/daita
OpenSSH'nin bile bununla ilgili bir sorunu vardı https://blog.qualys.com/vulnerabilities-threat-research/2024..., açık bir function coloring mekanizması olmadan herhangi bir dilde iyi bir soyutlama kurmak zor görünüyor.
Belki Haskell gibi saf fonksiyonel bir dilde mümkün olabilir.
Async-signal-safe olmayan fonksiyon kullanımı yaygın bir sorun ama pratikte istismar edilmesi zor; signal handler ile uğraşmış geliştiricilerin, yeniden üretmesi aşırı zor zamanlama sorunları yüzünden en az bir kez yapmış olacağı türden bir hata.
ARP adres sızıntısı Mullvad'ın kendisine özgü bir sorun olmaktan çok sadece yerel ağda istismar edilebilir ve anonimlik bozma saldırıları tüm VPN'ler için geçerlidir; daha fazla anonimleştirme mümkün ama maliyetlidir.
Sideloading muhtemelen en kötü sorun ama tek başına istismar edilemiyor.
Yine de Rust programında heap bozulması zafiyetini gerçekten tetiklenebilir şekilde bulmuş olmaları iyi bir yakalama.
Ancak sonraki zafiyete yüksek önem derecesi vermeleri teorik görünüyor, ortada bir PoC da yok gibi ve bu bir bellek bozulması da değil; dolayısıyla derece enflasyonu gibi duruyor.
Ayrı bir tehdit modeli bölümü, birçok denetim şirketinin raporlarda atladığı bir şey.
Cure53, Assured ve Atredis gibi önceki denetçilerin de Mullvad ile önceden uygun bir tehdit modeli belirlediğine eminim, ancak bu okuyucu için açıkça yazılmadığında sonuçların yanlış anlaşılması mümkün oluyor.
Hedefin denetime veya saldırı yöntemine dair söz hakkı varsa, sonucun hedef lehine önyargılı olmaması zor.
En az önyargılı yöntem, hedefin denetçinin ne yapacağını hiç bilmemesi değil mi?
Mullvad yönteme dahil olduysa veya test kapsamını sınırladıysa, sonuçların zaten bir değeri yoktur.
OpenVPN desteğini bırakmaları da benim için iyi değil; buna ihtiyaç duyan birkaç kullanım senaryom var, bu yüzden başka bir yere geçmeyi planlıyorum.
Uzun süre iyi iş çıkarmış bir yer olduğu için üzücü.
Port forwarding'in kaldırılması, uğraşılması gereken suistimal miktarını ciddi ölçüde azaltıyor ve sadece aşırı küçük bir ileri düzey kullanıcı kitlesini etkiliyor.
Bir süredir Mullvad ile torrent kullanıyorum; seed'i az olan torrentlerde bazen başlaması uzun sürüyor ama sonunda iniyor.
Daha niş içerikler içinse bazen birkaç gün önceden düşünmek gerekiyor.
Dürüst olmak gerekirse OpenVPN desteği olmayan sağlayıcıları hiç değerlendirmem gibi geliyor; o zaman bunun ne anlamı var?
Nedense benim router'ımda site-to-site VPN olarak çok daha iyi ve daha kararlı çalışıyor.
man wg).İyi çalışıyor ve anonimlik için Bitcoin ile aylık satın alma da mümkün.
Bir şeyi yanlış mı anladım?
Ara sıra VPN kullandığım gerçeğini gizlemeye çalışmıyorum; ISP tüneli görüyor, ziyaret edilen web siteleri VPN IP'sini görüyor ve netflow'da zaman, süre, aktarılan veri miktarı gibi bilgiler kalıyor.
VPN kullanımı başlı başına bir sır değil.
Bence çoğu VPN kullanıcısı, benim gibi çevrimiçi reklam şirketlerinden ve veri toplayıcılardan gizlilik isteyen sıradan insanlar.
VPN sağlayıcısından gizlilik ne istiyorum ne de bekliyorum
Sonuçta kendi adıma kayıtlı hesabın ev tipi ISP IP’sinden onların VPN hizmetine bağlanıyorum
VPN ödemesini nasıl gizlerseniz gizleyin, sonunda kim olduğunuzu öğreniyorlar
Teknik kişiler, özellikle güvenlik tarafındakiler, bu tür konularda sık sık fazla ileri gidip gerçekçi olmayan bir noktaya varıyor; sanki gerçek tehdit modeli ve kullanım senaryolarından kopuyorlar
James Mickens’in kısa yazısı “This World of Ours” bu konuyu iyi ele alıyor: https://www.usenix.org/system/files/1401_08-12_mickens.pdf
Denediğim VPN uygulamaları arasında en istikrarlı olanıydı ve hesap başına en fazla 5 cihaz kullanılabiliyor
İddia edildiği gibi log tutmuyorlarsa, sizin hakkınızda ne biliyor olurlarsa olsunlar, polisin sorduğu IP’yi binlerce müşteriden herhangi biri kullanmış olabilir; yani isteseler bile yetkililere verebilecekleri bir şey olmaz
Yoksa benim gözden kaçırdığım bir nokta mı var?
Oldukça fazla saçmalık var gibi görünüyor ve “havalı” VPN’lerin İskandinav ülkelerinden çıkması gerektiği yönünde bir hava da var, ama gerçekte çoğu öyle değil
En iyi ihtimalle ana metinle yalnızca dolaylı bir ilişkisi var ve ifade o kadar belirsiz ki, sanki konudaki Mullvad kötü bir şey yapıyormuş gibi duyuluyor
Mullvad İsveç merkezli olduğunu açıkça söylüyor; değil mi demek istiyorsunuz? Sunucu konumlarını ve sahiplerini de açıklıyorlar
VPN’i neden kullanmanız veya kullanmamanız gerektiğine dair epey bilgi de veriyorlar, müşteri verisi kaydetmiyorlar, yalnızca RAM kullanan altyapıya geçtiler ve tek sabit ücretle ucuzlar
Tam olarak saçmalık olan şeyin ne olduğunu ve neyi farklı yapmalarını istediğinizi merak ediyorum
Bunun neden böyle olması gerektiğini de, neden doğru olmadığını da anlamıyorum
Adil olmak gerekirse, benim bildiğim güçlü gizlilik odaklı ve İskandinav olmayan tek VPN ProtonVPN
Birkaç yıl önce Nord kullanırken, bağlı göründüğü hâlde gerçekte VPN’e bağlanmayan sessiz bir hata buldum; bildirdiğimde bunun bilinen bir sorun olduğu ve endişelenmemem gerektiği söylendi
Bildiğim kadarıyla bununla ilgili bir güvenlik duyurusu yayımlamadılar
YouTube ya da iş ortaklığı sitelerine devasa reklam bütçeleri harcamamaları aksine bana güven veriyor
Şüpheli şirketlerin sığınağı gibi görünen bir yargı alanında olmamalarını da tercih ediyorum
Kısacası daha az saçmalık ve daha düzgün göründükleri için seviyorum
PIA ya da benzeri şirketlere güvenebileceğimi sanmıyorum
Bu agresif engellemenin kötüye kullanım yüzünden değil, VPN’lerin takip ve veri madenciliği açısından gerçekten sorun oluşturduğu için yapıldığına oldukça eminim
Çıkış sunucusu çoğu zaman ikisinden birinde çalışıyor ama diğerinde çalışmıyor; bu da YouTube ile Reddit arasında IP engelleme konusunda bir miktar eşgüdüm olup VPN kullanımını uğraştırıcı hâle getirerek caydırmaya çalıştıkları şüphesini doğuruyor
VPN kullanıcıları için sosyal medyanın pinponunu bozmak, davranışı etkilemek açısından etkili bir strateji gibi görünüyor ve ikisi de fiilen doğal tekel olduğundan bunu yaparak kullanıcı kaybetme riskleri neredeyse yok
Bu, çerez banner’larının veri madenciliği lehine insanların gizlilik düzenlemelerine dair duygularını değiştirmek için kötüye kullanılmasına benziyor
Hatta birçok teknik kişi bile sinir bozucu çerez banner’larının AB’nin suçu olduğuna inanıyor, oysa gerçek uygulamalar çoğu zaman kötü niyetli uyumluluk, gereksiz tasarım ya da apaçık yasa dışı durumlar
Her hâlükârda gerçekten sinir bozucu ve genel web enshittification sürecinin ve hızla büyüyen hoşnutsuzluğun bir yönü gibi geliyor
Fiilen istenmeyen kişi gibi muamele görüyorum ve birçok captcha aslında doğrudan engelleme; sanki bedava eğitim emeği bekliyorlar gibi