- Mullvad đã giao cho công ty bảo mật Hà Lan Radically Open Security(RoS) thực hiện đợt kiểm toán lần 3 đối với hạ tầng VPN, kiểm tra 1 máy chủ OpenVPN và 1 máy chủ WireGuard chạy trên RAM
- Các máy chủ được kiểm toán sử dụng HĐH tùy biến dựa trên Ubuntu 22.04 LTS với Linux kernel 6.3.2, được triển khai như máy chủ vận hành thực tế nhưng chưa từng dùng để phục vụ kết nối của khách hàng
- RoS đã xác minh cấu hình máy chủ bên trong và bên ngoài, cũng như việc có ghi log hoạt động khách hàng hay không, và không phát hiện việc ghi log dữ liệu khách hàng hoặc rò rỉ thông tin
- Trong bài kiểm thử xâm nhập, có 1 High, 6 Elevated, 4 Moderate, 10 Low, 4 info; các bản sửa chính được triển khai vào cuối tháng 6/2023 rồi được kiểm thử lại và xác minh trong tháng 7
- Mullvad đã tăng cường kiểm toán quyền truy cập quản trị qua SSH, xem xét loại bỏ SSH và cải thiện xác thực Telegraf; một số thay đổi bổ sung sẽ được triển khai sau đó
Phạm vi kiểm toán và báo cáo công khai
- Mullvad đã thuê Radically Open Security thực hiện đợt kiểm toán bảo mật thứ ba đối với hạ tầng VPN
- Đợt kiểm toán lần này tập trung vào 2 máy chủ VPN chạy trên RAM
- 1 máy chủ OpenVPN
- 1 máy chủ WireGuard
- RoS đã hoàn tất kiểm toán vào giữa tháng 6/2023, và nhiều bản sửa đã được triển khai vào cuối tháng 6/2023
- Tháng 7/2023, các bước kiểm thử lại và xác minh bổ sung đã được tiến hành
- Báo cáo cuối cùng được công bố tại ROS - Mullvad VPN 2023.pdf
Cấu hình máy chủ thử nghiệm và các hạng mục xác minh
- RoS được cấp toàn quyền truy cập SSH vào 2 máy chủ VPN chạy trên RAM
- Các máy chủ được kiểm toán dùng 6.3.2, một Linux kernel hiện đại đã được tinh gọn, cùng HĐH tùy biến dựa trên Ubuntu 22.04 LTS
- Các máy chủ này được cấp phát và triển khai như máy chủ vận hành dành cho khách hàng, nhưng chưa từng được sử dụng cho kết nối thực tế của khách hàng
- Phạm vi xác minh được chia thành ba phần
- Bảo mật và cấu hình bên trong máy chủ
- Bảo mật và cấu hình bên ngoài máy chủ
- Việc có ghi log hoạt động khách hàng hay không
- RoS cũng đề xuất kiểm tra mã nguồn của nhiều binary đang chạy trong hệ thống và rà soát bảo mật ở cấp phần cứng, nhưng Mullvad đã loại trừ các hạng mục này
- Đợt kiểm toán lần này bị giới hạn ở trạng thái “sau khi hệ thống đã chạy và được khách hàng sử dụng”
Kết quả tổng thể
- RoS không phát hiện việc ghi log dữ liệu khách hàng hoặc rò rỉ thông tin
- Các relay Mullvad VPN được thử nghiệm được đánh giá là có “kiến trúc trưởng thành”
- Tổng cộng có 25 vấn đề được phát hiện trong bài kiểm thử xâm nhập lần này
- 1 High
- 6 Elevated
- 4 Moderate
- 10 Low
- 4 info
MLL-024: Lưu lượng multihop đang vận hành bị lộ trên hệ thống thử nghiệm
- MLL-024 được phân loại là vấn đề mức độ nghiêm trọng High
- RoS cho rằng lưu lượng của người dùng đang vận hành có thể bị người dùng kiểm thử xâm nhập nhìn thấy
- Máy chủ được kiểm toán không được công khai để khách hàng kết nối, không được quảng bá trong danh sách máy chủ và cũng không được cung cấp cho người dùng
- Tuy nhiên, các máy chủ này đã được kết nối với tính năng multihop của WireGuard
- Nếu khách hàng quét IP, họ có thể gửi lưu lượng tới máy chủ đó bằng proxy SOCKS5 trong khi đang kết nối tới một máy chủ VPN khác
- Không có cơ chế nào để chặn việc này
- Điều RoS xác nhận chỉ là IP của giao diện nội bộ WireGuard
- Giao diện này chỉ được dùng cho lưu lượng multihop qua SOCKS5
- Vì vậy nó tương ứng với máy chủ WireGuard ở điểm vào
- Mullvad cho rằng nếu không cung cấp máy chủ vận hành thì cuộc kiểm toán sẽ không còn hợp lệ như một đợt kiểm toán máy chủ vận hành, và cũng không có cách nào để ngăn tình huống lưu lượng khách hàng hiển thị trên máy chủ
MLL-019: Leo thang đặc quyền root thông qua systemd timer và quyền thư mục
- MLL-019 được phân loại là vấn đề mức độ nghiêm trọng Elevated
- Một tài khoản hệ thống có quyền thấp có thể leo thang lên quyền root nếu thao túng nội dung script của systemd timer
- Sau khi thảo luận với RoS, Mullvad xác định nguyên nhân cốt lõi là việc sử dụng thư mục home lồng nhau và người dùng quản trị thuộc nhóm
mad - Cấu trúc thư mục
/home/madlồng nhau là di sản cũ từ thời trước khi chuyển sang máy chủ VPN chạy trên RAM - Biện pháp ngắn hạn là loại toàn bộ người dùng quản trị khỏi nhóm
mad - Các script liên quan đã được chuyển sang
/opt/local_checks, và RoS công nhận rằng biện pháp này giải quyết được vấn đề
MLL-045: Quyền truy cập quản trị vào máy vận hành
- MLL-045 được phân loại là vấn đề mức độ nghiêm trọng Moderate
- Máy chủ VPN cho phép quản trị viên đăng nhập từ xa, nên về mặt kỹ thuật quản trị viên có thể chặn bắt lưu lượng VPN của người dùng đang vận hành
- Mullvad cho biết họ đã nhận thức được vấn đề này từ trước và, sau khi trao đổi với RoS, đã xác nhận lại kế hoạch hiện có
- Có hai biện pháp được lên kế hoạch
- Triển khai hệ thống giúp có thể kiểm toán các lần đăng nhập trái phép và ghi lại mọi lệnh được sử dụng trên máy chủ mà không kèm đối số
- Nghiên cứu phương án loại bỏ hoàn toàn hỗ trợ SSH
- Nếu SSH bị loại bỏ, ngay cả quản trị viên cũng sẽ không thể kích hoạt việc ghi log lưu lượng khách hàng qua SSH
- Việc loại bỏ SSH đúng cách sẽ cần thêm thời gian
MLL-016: Mật khẩu Telegraf dùng chung giữa các máy chủ
- MLL-016 được phân loại là vấn đề mức độ nghiêm trọng Low
- Thông tin xác thực cơ sở dữ liệu Influx của Telegraf được dùng chung trên toàn bộ các máy chủ VPN, khiến việc thao túng các chỉ số máy chủ toàn cục là có thể xảy ra
- Mức sử dụng CPU
- Mức sử dụng đĩa
- Chỉ số mạng
- Mullvad đã sử dụng hạ tầng PKI của Hashicorp Vault để đưa vào chứng chỉ máy khách cho xác thực
- Biện pháp này đã được triển khai xong
- Mullvad dự định xem xét sử dụng các chứng chỉ như vậy ở những vị trí khác trong hạ tầng
Các thay đổi tiếp theo
- Bài viết chỉ tổng hợp một số trường hợp đáng chú ý trong các vấn đề được phát hiện từ cuộc kiểm toán
- Sẽ có thêm nhiều thay đổi được triển khai trong thời gian tới
1 bình luận
Ý kiến trên Hacker News
Tôi thực sự tôn trọng thái độ của Mullvad khi chấp nhận thiệt hại kinh doanh để mang lại bảo mật và sự ổn định bổ sung cho những khách hàng còn lại
Lần đầu tôi cảm nhận được điều đó là khi họ tắt tính năng tự động gia hạn qua PayPal, vì để duy trì tự động gia hạn thì họ phải lưu thông tin cá nhân cùng với tài khoản
Tuy nhiên với tôi thì có một sự hy sinh là quá nhiều, đó là việc họ vô hiệu hóa port forwarding. Vì họ không lưu thông tin liên hệ để cảnh báo khách hàng, nên một ngày nọ kết nối bỗng dưng thất bại, trong khi tôi vẫn còn vài tháng dịch vụ đã trả trước
Tôi vẫn hơi đắng lòng về chuyện đó, nhưng thiện cảm mà họ tích lũy được qua các bài viết kỹ thuật và các quyết định bảo mật là đủ lớn, nên cứ giữ tiền đi. Đây là VPN duy nhất không khiến tôi thấy đáng ngờ, nên tôi mong họ thành công
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
Việc thông báo chỉ trước 30 ngày khi loại bỏ một tính năng như thế này, nói chung, không phải là cách chúng tôi muốn vận hành doanh nghiệp. Tôi hiểu rằng những khách hàng phụ thuộc vào tính năng này hẳn đã thất vọng cả về việc tính năng bị gỡ bỏ lẫn cách xử lý việc đó
Dù vậy, đó là quyết định đúng đắn. Trong vài tháng gần đây, cách thức và quy mô lạm dụng đã trở nên quá lớn khiến chúng tôi không thể tiếp tục cung cấp nữa. Tính năng này lẽ ra phải được loại bỏ từ lâu hơn nhiều, với thời gian gia hạn dài hơn. Việc không làm như vậy là lỗi của chúng tôi, và một số người dùng, trong đó có bạn, đã bị ảnh hưởng
Tất nhiên bạn có thể được hoàn tiền cho phần dịch vụ trả trước mà giờ không còn sử dụng được
Nếu bạn định dùng port forwarding để khiến một dịch vụ nào đó có thể truy cập được từ Internet công cộng, có rất nhiều nhà cung cấp hosting tốt sẵn lòng phục vụ bạn
Nếu mục đích của bạn là khiến dịch vụ có thể truy cập được trong khi vẫn giữ ẩn danh, tôi thực sự khuyên dùng tính năng onion service của Tor. Nó được tạo ra chính là cho trường hợp sử dụng đó
Nếu mục đích của bạn là khiến dịch vụ có thể truy cập được từ Internet công cộng đồng thời vẫn giữ ẩn danh, thì chúng tôi không có lựa chọn tốt nào để khuyến nghị
Port forwarding phải bị loại bỏ vì lý do đạo đức. Nó đang gây cản trở quá lớn cho sứ mệnh cốt lõi là vô hiệu hóa giám sát và kiểm duyệt quy mô lớn
Hy vọng lời giải thích này, dù không thể làm dịu hết sự thất vọng, ít nhất cũng mang lại phần nào sự rõ ràng
Fredrik Stromberg, đồng sáng lập Mullvad VPN
Khi dùng torrent tôi cũng hay cấu hình port forwarding, nhưng giờ tôi biết là vẫn có thể tải Linux ISO mà không cần nó. Dù dùng Mullvad khá nhiều, tôi cũng không bận tâm lắm
Tôi tò mò khi port forwarding bị tắt thì từ lúc nào nó sẽ ảnh hưởng đến tôi, nói cách khác là những trường hợp sử dụng nào sẽ bị chặn
Nếu thực sự đã chuyển, tôi hẳn cũng rơi vào tình huống còn nhiều dịch vụ trả trước nhưng không thể dùng theo đúng mục đích
Việc không gia nhập khi nhà sáng lập Mullvad gửi email cho tôi là hối tiếc lớn nhất trong sự nghiệp của tôi
Phần lớn các giá trị của họ phù hợp với giá trị của tôi, và những người yêu công nghệ đặt tự do lên trên sự tiện lợi thì đáng tiếc là cực kỳ hiếm. Vì thế hầu hết chúng ta cuối cùng lại dùng các nhà cung cấp cloud lớn nằm dưới thẩm quyền của chính phủ Mỹ
Nói trước là chuyện này thực sự đã gây vấn đề trong sự nghiệp của tôi. Vì nhà cung cấp cloud phải tuân theo lệnh trừng phạt của Mỹ, nên nếu bạn đến từ Cuba, Iran hoặc Crimea thì bạn không thể chơi game do tôi làm. Ở Nga và Ukraine, bạn có thể mua game của chúng tôi một cách hợp pháp, nhưng nếu ở vùng bị chiếm đóng thì lại không chơi được, điều đó thật khó chịu
Hơi lạc đề, nhưng nhìn từ bên ngoài, thật sự rất mới mẻ khi thấy một công ty không có vẻ đáng ngờ và coi trọng tự do
Thậm chí có nơi còn từ chối truy cập dù có giấy phép OFAC hợp lệ. Có lẽ vì danh sách kiểm soát truy cập quá phức tạp, và nhìn chung thì rất thiếu nhất quán
Vì vậy 95% thời gian tôi phải bật một VPN tệ hại. Bởi tôi vừa phải né lệnh trừng phạt của Mỹ, vừa phải né bộ máy kiểm duyệt của đất nước mình
Tôi phần nào hiểu vì sao các lệnh trừng phạt ra đời từ hàng chục năm trước, nhưng không biết liệu logic đó đến nay còn hiệu lực hay không. Đáng buồn là những người chịu ảnh hưởng nặng nhất từ trừng phạt lại là những người bình thường như tôi. Hoàn toàn không phải giới tinh hoa cầm quyền
Tôi cho rằng dịch vụ đó có thể giúp những người đang khởi sự kinh doanh nhỏ, và có khả năng cải thiện cuộc sống của họ
Tuy nhiên cũng có nhiều người xem các lệnh trừng phạt là hành vi chiến tranh[0]. Nếu nghĩ như vậy thì rõ ràng điều đó thật khủng khiếp. Đó là chiến tranh, và hệ quả kiểu chiến tranh luôn gây đau khổ cho những người tại hiện trường
Nếu sếp yêu cầu triển khai chặn khu vực vì lệnh trừng phạt, thì chỉ nên làm đúng mức cần thiết, đừng làm quá như chặn cả người dùng VPN. Ý là đừng vi phạm pháp luật, nhưng cũng đừng khiến những người tại hiện trường khó sử dụng quyền truy cập Internet hơn
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
Trước hết, tôi cho rằng Mullvad là giải pháp VPN thương mại tốt nhất và họ đang làm tốt việc giúp quyền riêng tư tốt hơn trở nên dễ tiếp cận hơn
Nhưng nhiều bình luận ở đây có vẻ đang tôn VPN nói chung như thể đó là lời giải cho quyền riêng tư trên Internet
Tôi muốn nhắc rằng về cơ bản VPN thực sự bảo vệ bạn khỏi hai thứ: nhà cung cấp Internet và điểm đầu cuối mà thôi. Ngay cả điều đó cũng đi kèm giả định rằng nhà cung cấp Internet không thực hiện các phân tích đáng ngờ
Dù vậy, chỉ riêng việc loại bỏ hai yếu tố này cũng đã mang lại lợi ích lớn cho quyền riêng tư, và tất nhiên là việc nên làm
Tiêu đề đang thiếu từ Radically. Tôi không biết “Open Security”, nhưng “Radically Open Security” là nơi tôi từng viết bài nghiên cứu
Sửa: u/progbits đã nhanh hơn tôi 1 phút https://news.ycombinator.com/item?id=37060828
Tất nhiên, với hệ thống tôi phụ trách thì họ không tìm thấy gì ngoài vài nhận xét. Những nhận xét đó dường như chỉ ở mức mà công cụ phân tích tĩnh đã đánh dấu là điểm cần cải thiện và chúng tôi đã chú thích rõ từ trước. Kiểu như “có thể đặt tên biến này tốt hơn”, “dùng guard clause sẽ đơn giản hóa được”
Xét việc nó được làm trong hoàn cảnh cực đoan và gần như thiếu ngủ, thì không tệ. Có con 6 tháng tuổi, COVID, crunch, và hai đứa trẻ nhỏ hiếu động chồng lên nhau đúng là địa ngục
Mullvad là VPN phổ biến duy nhất không có vấn đề độ tin cậy đáng ngờ nghiêm trọng
Ngay cả Proton VPN cũng không ổn. Những người theo dấu đã phát hiện nó chỉ là phiên bản white-label của NordVPN
Vì không có lựa chọn thay thế, tôi biết ơn vì Mullvad đang thúc đẩy mạnh hơn cam kết về tính toàn vẹn
Sửa: Tôi xem qua lịch sử bài viết của bạn, và có vẻ bạn đã đưa ra tuyên bố này suốt vài tháng mà không đưa bằng chứng nào. Đáng ngờ
Phải là “by Radically Open Security”, nhưng tính năng tự động loại bỏ tiêu đề của HN lại bị lỗi nữa rồi. Người đăng bài gốc có thể sửa tiêu đề để tên công ty hiển thị đúng không?
Có vẻ cuộc kiểm toán này chỉ xem xét máy chủ vận hành dùng cho thử nghiệm
Thử đóng vai người phản biện: điều gì ngăn Mullvad cung cấp cho đội Open Security một phiên bản đã gỡ bỏ chức năng ghi log? Tôi không muốn hoài nghi như vậy, nhưng nếu là kiểm toán thực sự thì chẳng phải nên xem xét máy chủ mà khách hàng đang dùng sao? Tất nhiên là trong điều kiện có ranh giới để kiểm toán viên không thể ghi lại thông tin
Có thể tôi sai, nếu vậy mong được chỉ ra. Nhưng tôi không chắc mức thử nghiệm này chứng minh được tuyên bố không ghi log của Mullvad
Cần có một mức độ tin tưởng nhất định rằng bên được kiểm toán không chủ động lừa dối hay có ác ý, nếu không thì kiểm toán phải có thể diễn ra ngẫu nhiên bất cứ lúc nào
Tôi nghĩ nó liên quan đến mô hình đe dọa trong đó kẻ tấn công có quyền truy cập một phần vào máy chủ vận hành. Ví dụ như việc có ghi log vô tình hay không. Ngược lại, nó không áp dụng cho mô hình đe dọa trong đó Mullvad phát tán mã độc
Tôi cảm thấy đây là một cuộc kiểm toán có ý nghĩa, nhưng giá như điểm này được nêu rõ hơn
Tất nhiên nhà cung cấp VPS có thể nhìn thấy một phía của lưu lượng nên nó không hoàn hảo tuyệt đối, nhưng có thể giảm thiểu được
Mullvad là điểm trung gian tốt cho những người không có thời gian hoặc không biết cách làm việc đó. Ít nhất việc họ cố giữ hình ảnh như vậy là điều đáng mừng
Sau đó có thể tiếp nối bằng kiểm toán các máy chủ đang được sử dụng thật
Để kiểm toán máy chủ đang phục vụ khách hàng, nhất thiết phải có các biện pháp kiểm soát đáng kể để kiểm toán viên không ghi lại dữ liệu khách hàng tiềm tàng
Có thể dễ dàng hình dung một tương lai Mullvad sẽ gặp khó khăn. Vì các công ty công nghệ lớn có thể chặn toàn bộ dải băng thông trung tâm dữ liệu của Mullvad
Điều đó dường như đã xảy ra ở một mức độ nào đó giữa Cloudflare và các quản trị viên riêng lẻ, và có vẻ đôi khi truy cập bằng Mullvad thì bị chặn dùng ChatGPT. Ít nhất là có liên quan
Cuối cùng, để truy cập hoặc scraping thứ gì đó, có thể sẽ cần đến proxy dân cư đáng ngờ
VPS tự host cũng có thể dùng được nếu công ty đủ nhỏ để tránh các đợt chặn hàng loạt sắp tới, nhưng chỉ thời gian mới trả lời
Trước đây tôi đã chuyển sang Mullvad sau khi đọc một bài trên HN nói rằng Mullvad không lưu log và cũng không có log để cung cấp cho nhà chức trách
Tôi không có liên kết, nhưng điều đó rất ấn tượng, và các cuộc kiểm toán lần này là thêm bằng chứng cho thấy quyết định đó là đúng
Chi tiết thì xem liên kết, nhưng trích dẫn là: “Rights Alliance và các chuyên gia bảo mật của họ đã không thể chứng minh lỗ hổng trong hệ thống OVPN theo nghĩa log có thể được lưu trữ”
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
Gần đây tôi mới biết đến Mullvad, hình như họ từng ký hợp đồng với Mozilla
Dù sao thì dịch vụ này rất tốt, và thật đáng ngạc nhiên là việc chỉ cần trả tiền cho dịch vụ mà không phải qua đủ loại thủ tục vô ích lại hiếm đến vậy
Muốn tạo tài khoản thì bấm vào đây, rồi chỉ cần thanh toán bằng một trong rất nhiều phương thức thanh toán. Thậm chí có cả thanh toán tiền mặt qua bưu điện