Kiểm toán hạ tầng do Radically Open Security hoàn tất

 (mullvad.net)
2 điểm bởi GN⁺ 2023-08-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Radically Open Security (RoS), một công ty bảo mật có trụ sở tại Hà Lan, đã hoàn tất đợt kiểm toán hạ tầng của Mullvad VPN.
  • Đợt kiểm toán này tập trung vào các máy chủ VPN chạy trong RAM, cụ thể là một máy chủ OpenVPN và một máy chủ WireGuard.
  • Báo cáo cuối cùng của đợt kiểm toán bảo mật thứ ba, được hoàn tất vào giữa tháng 6 năm 2023, và các bản sửa lỗi đã được triển khai vào cuối tháng 6 năm 2023.
  • RoS đã phát hiện một số vấn đề, bao gồm vài phát hiện mới, nhưng các relay của Mullvad VPN cho thấy kiến trúc đã trưởng thành và không phát hiện việc ghi log dữ liệu hoạt động của người dùng.
  • RoS được cấp quyền truy cập SSH đầy đủ vào hai máy chủ VPN chạy trong RAM, sử dụng nhân Linux tinh gọn (6.3.2) và hệ điều hành tùy biến dựa trên Ubuntu 22.04 LTS.
  • Mục tiêu của đợt kiểm toán là xác minh bảo mật và cấu hình bên trong lẫn bên ngoài của máy chủ, đồng thời kiểm tra xem hoạt động của khách hàng có bị ghi log hay không.
  • RoS không phát hiện rò rỉ thông tin hay việc ghi log dữ liệu khách hàng, nhưng trong quá trình kiểm thử xâm nhập đã phát hiện 1 vấn đề mức nghiêm trọng cao, 6 vấn đề mức cao, 4 vấn đề mức trung bình, 10 vấn đề mức thấp và 4 vấn đề mức thông tin.
  • Một trong các vấn đề nghiêm trọng cao là người dùng pentest trên hệ thống thử nghiệm có thể nhìn thấy lưu lượng người dùng production được tạo mẫu.
  • Vấn đề mức cao là khả năng một tài khoản hệ thống đặc quyền thấp có thể thao túng nội dung script của bộ hẹn giờ systemd để leo thang lên quyền root.
  • Vấn đề mức trung bình là quản trị viên có khả năng truy cập lưu lượng VPN của người dùng production.
  • Vấn đề mức thấp là thông tin xác thực cơ sở dữ liệu Influx dùng chung mà Telegraf sử dụng giữa các máy chủ VPN, có thể bị dùng để thao túng các chỉ số máy chủ toàn cục.
  • Mullvad VPN đã triển khai các bản sửa lỗi cho những vấn đề này và có kế hoạch triển khai thêm nhiều thay đổi trong tương lai gần.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-08-10
Ý kiến trên Hacker News
  • Mullvad, nhà cung cấp dịch vụ VPN, được khen ngợi vì cam kết với quyền riêng tư và bảo mật của người dùng ngay cả khi phải hy sinh sự tiện lợi trong kinh doanh.
  • Công ty này đã đưa ra các quyết định như vô hiệu hóa gia hạn tự động với PayPal để tránh lưu trữ thông tin nhận dạng cá nhân.
  • Tài liệu kỹ thuật và các quyết định bảo mật của Mullvad được người dùng đánh giá cao, bất chấp những quyết định gây tranh cãi như vô hiệu hóa port forwarding.
  • Mullvad được xem là một công ty coi trọng tự do hơn sự tiện lợi, một đặc điểm hiếm thấy trong giới đam mê công nghệ.
  • Một số người dùng xem Mullvad là giải pháp VPN thương mại tốt nhất, giúp quyền riêng tư trở nên dễ tiếp cận hơn.
  • Tuy nhiên, cũng có ý kiến chỉ ra rằng VPN không phải là giải pháp hoàn chỉnh cho quyền riêng tư trên internet, dù vẫn cung cấp khả năng bảo vệ trước ISP và các endpoint.
  • Mullvad được công nhận là VPN phổ biến duy nhất không mang độ tin cậy đáng ngờ so với các nhà cung cấp khác như Proton VPN.
  • Có những lo ngại về quy trình kiểm toán, khi một số người dùng đặt câu hỏi liệu cuộc kiểm toán có xem xét các máy chủ phục vụ khách hàng hay chỉ kiểm tra các máy chủ thử nghiệm hoặc production.
  • Không giống Tor và các mạng overlay khác, Mullvad vận hành minh bạch và chưa trở thành mục tiêu của các chiến dịch bôi nhọ hay các bài báo thiên lệch.
  • Một số người dùng bày tỏ lo ngại rằng Mullvad có thể đối mặt với thách thức trong tương lai nếu các công ty công nghệ lớn quyết định giới hạn phạm vi trong các trung tâm dữ liệu của họ.
  • Khái niệm thanh toán theo thời gian sử dụng của Mullvad được người dùng yêu thích.