1 điểm bởi GN⁺ 2023-09-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Mullvad đã chuyển đổi hạ tầng VPN để loại bỏ hoàn toàn mọi dấu vết sử dụng ổ đĩa, khiến các máy chủ chỉ vận hành theo mô hình triển khai RAM-only
  • Đây là kết quả tiếp nối sau khi hãng công bố quá trình di chuyển sang hạ tầng không dùng ổ đĩa dựa trên bootloader stboot từ đầu năm 2022
  • Cấu hình này đã được kiểm toán hai lần vào năm 2022 và 2023, và các đợt kiểm toán máy chủ VPN trong tương lai cũng sẽ chỉ nhắm vào triển khai RAM-only
  • Các máy chủ sử dụng nhân Linux nhẹ tùy biến, bám theo phát triển kernel mainline để phản ánh các tính năng mới nhất, cải thiện hiệu năng và loại bỏ các thành phần không cần thiết
  • Điểm cốt lõi của cách vận hành là khi khởi động lại hoặc provision lần đầu, hệ thống luôn có kernel mới, không còn dấu vết file log và một HĐH đã được vá đầy đủ

Chuyển sang hạ tầng VPN không dùng ổ đĩa

  • Mullvad công bố đã loại bỏ hoàn toàn dấu vết sử dụng ổ đĩa trong hạ tầng VPN
  • Sau khi thông báo bắt đầu di chuyển sang hạ tầng không dùng ổ đĩa sử dụng bootloader stboot từ đầu năm 2022, hãng đã tiếp tục hoàn tất quá trình chuyển đổi
  • Hạ tầng VPN với cấu hình này đã được kiểm toán hai lần
  • Các đợt kiểm toán máy chủ VPN trong tương lai sẽ chỉ áp dụng cho triển khai RAM-only

Cấu hình kernel và HĐH khởi động

  • Tất cả máy chủ VPN tiếp tục sử dụng nhân Linux tùy biến đã được tinh gọn đáng kể
  • Việc phát triển kernel bám theo nhánh mainline, lấy các phiên bản mới nhất để phản ánh tính năng mới và cải thiện hiệu năng
  • Các thành phần kernel không cần thiết được loại bỏ để duy trì cấu hình gọn nhẹ
  • Trước khi triển khai, kích thước của hệ điều hành khởi động chỉ ở mức hơn 200MB một chút
  • Khi máy chủ khởi động lại hoặc được provision lần đầu, hệ thống sẽ bảo đảm các trạng thái sau
    • Kernel được build mới
    • Không còn dấu vết file log
    • HĐH đã được vá đầy đủ

1 bình luận

 
GN⁺ 2023-09-21
Ý kiến trên Hacker News
  • Thật sự rất tuyệt. Với một nhà cung cấp VPN quan tâm đến bảo mật và tính minh bạch, người ta sẽ kỳ vọng họ hành động như Mullvad
    Có hãng đổ tiền cho influencer để họ nói rằng mình “coi trọng bảo mật”, còn có hãng thì thật sự tập trung vào việc cải thiện bảo mật
    Nhân tiện, tất cả đều là mã nguồn mở: https://github.com/system-transparency/stboot

    • Hơi ngoài lề một chút, tôi luôn thấy khó chịu khi các nhà cung cấp VPN lớn nói như thể phần lớn các trang người dùng truy cập không phải là HTTPS, rồi quảng cáo rằng lợi ích cốt lõi của họ là lấp đầy khoảng trống mà HTTPS vốn đã lấp rồi
      HTTPS không phải vạn năng, nhưng kiểu tiếp thị gieo sợ hãi của các công ty VPN lớn chạy quảng cáo trên YouTube khiến mọi chuyện trông như thể chỉ vì bạn vào Amazon ở quán cà phê là sẽ có người đánh cắp thẻ tín dụng của bạn
      Tôi chỉ thấy Tom Scott làm một video đúng đắn về chủ đề này [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • stboot cùng các thành phần hỗ trợ và tài liệu đã được chuyển sang GitLab riêng: https://git.glasklar.is/system-transparency/core/stboot
  • Không định gợi ra phản ứng hiển nhiên, nhưng thật thú vị khi các nhà cung cấp VPN có năng lực kỹ thuật vẫn dùng Linux thay vì BSD, dù có các yêu cầu như vận hành không đĩa, tùy biến kernel và bảo mật mạnh hơn

    • Theo tôi, nguồn ứng viên có thể tuyển được những người hiểu Linux đến tận ngọn ngành lớn hơn rất nhiều. Lợi ích đủ lớn để chấp nhận các vấn đề bảo mật được cảm nhận
      Về khía cạnh không đĩa, tôi từng vận hành hơn 25.000 triển khai iPXE trên các máy chủ blade không đĩa bằng một bản Ubuntu tùy biến rất sâu, và nó chạy cực kỳ tốt
      Bất kể chọn hệ điều hành nào, không đĩa khá tuyệt. Nếu có vấn đề bảo mật hoặc cần nâng cấp thì chỉ cần khởi động lại. Tuy nhiên, khởi động lại 25.000 máy chủ thì ngay cả trên gigE cũng mất kha khá thời gian
      Việc xây dựng một hệ thống lập lịch để xử lý ổn định chuyện này tốn khá nhiều công sức, nhưng kết quả khá tốt
    • Có bản BSD nào tốt hơn cho kiểu mục đích này không?
  • Tôi thắc mắc về các VPN nói rằng họ “không ghi hoặc lưu log”. Có thể họ thật sự làm vậy, nhưng cũng có thể thay vì tự lưu, họ gửi luồng dữ liệu thời gian thực cho cơ quan thực thi pháp luật hoặc cơ quan tình báo, v.v.
    Khi đó nói “chúng tôi không ghi log” về mặt kỹ thuật vẫn đúng

    • Chắc chắn sẽ có tác nhân xấu
      Nhưng cũng có những công ty như OVPN đã chứng minh trước tòa rằng “không log” là thật[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • Ngay cả với công ty trung thực, áp lực cũng đến từ hai hướng. Một là bảo mật, hai là áp lực pháp lý
      Hệ thống có thể bị phá vỡ bởi lỗ hổng bảo mật, social engineering, và cưỡng ép bao gồm các công cụ tâm lý chiến điển hình như tiền bạc, ý thức hệ, điểm yếu, lòng tự ái
      Hoặc họ có thể nhận lệnh pháp lý từ chính phủ. Hầu như mọi chính phủ trên thế giới đều có luật và thông lệ vận hành cho phép buộc bất kỳ chủ thể nào giao nộp dữ liệu dưới danh nghĩa chống rửa tiền và chống khủng bố, tức AML/CFT
      Phòng thủ vững trước những kiểu tấn công này rất tốn kém. Tôi khó thấy một mô hình kinh doanh khả thi với phí 5 USD/tháng mà vừa trang trải chi phí vận hành thông thường vừa ứng phó được các sự cố kiểu này
      Nói thêm, còn có các backdoor tích hợp sẵn trong công nghệ nền tảng mà có lẽ họ đã dùng. Trường hợp Cavium HSM bị lộ trong tuần này là một ví dụ như vậy
    • Tôi không nghĩ Houston Police Department hay bất kỳ cảnh sát thành phố nào đủ tinh vi để dựng một chiến dịch hút dữ liệu từ backbone cáp quang kiểu NSA
      Đúng là NYPD được cho là đã mua thiết bị nghe lén điện thoại di động bất hợp pháp trị giá hàng triệu đô, nhưng mức mà các cơ quan thực thi pháp luật cấp địa phương lớn nhất nước Mỹ đạt tới nhìn chung cũng chỉ đến đó là giới hạn
      Ngay từ đầu thì chuyện đó vận hành thế nào được? Nếu không có lệnh bịt miệng của tòa, tin đồn nội bộ sẽ rò rỉ trong vài tuần
      Lý do các thiết bị liên quan đến điện thoại di động vẫn được giữ bí mật là vì chỉ có nhân viên sở cảnh sát tham gia, còn với nhà cung cấp VPN thì cách đó không khả thi. Họ không có những đặc quyền bất công mà CIA hay NSA, đôi khi là FBI, nhận được
      Những việc tôi có thể làm khiến cơ quan thực thi pháp luật tò mò còn thấp hơn rất nhiều so với mối quan tâm của các cơ quan tình báo liên bang. Tất nhiên cuộc đời bạn có thể thú vị hơn
    • Các hệ thống nghe lén hợp pháp đã vận hành theo kiểu này từ thập niên 1990
      nghĩa vụ nghe lén hợp pháp ảnh hưởng đến nhà cung cấp VPN hay không thì phải xem luật của khu vực tài phán đó. Hoặc Mullvad có thể làm rõ điều này
      Thụy Điển chắc chắn có yêu cầu nghe lén hợp pháp đối với mọi thiết bị viễn thông, nhưng với VPN thì tôi không rõ
    • Cách đó có vẻ là một diễn giải khá độc đáo về việc ghi log
      Theo tôi, đó là việc VPN ghi lại hoạt động của khách hàng rồi gửi đi nơi khác để lưu trữ
  • Có một điều tôi luôn thắc mắc về VPN
    Ví dụ, nếu một kẻ ấu dâm dùng Mullvad để tải các hình ảnh bị cấm, thì VPN có phải chịu trách nhiệm không?
    Cơ quan thực thi pháp luật sẽ thấy IP xuất phát từ văn phòng của Mullvad, vậy chẳng phải họ sẽ giả định đó là việc do Mullvad làm sao? Tôi tò mò họ tránh chuyện này như thế nào
    Có thể là câu hỏi ngớ ngẩn, nhưng tôi thực sự muốn biết

    • Mullvad thực tế từng bị cảnh sát khám xét, tịch thu trong một vụ tương tự, và việc đó được giải thích ở đây:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      “Nhưng ngay cả nếu họ có lấy thứ gì đó đi, họ cũng sẽ không thể truy cập bất kỳ thông tin khách hàng nào.”
      “Các luật trong nước cho phép vận hành một dịch vụ VPN chú trọng quyền riêng tư tại Thụy Điển như sau.”
    • Tôi không phải luật sư, nhưng theo hiểu biết của tôi thì thường nó thuộc phạm vi Section 230. Vì có thể áp dụng cùng logic đó cho Comcast, AT&T và các công ty để byte đi qua hạ tầng của họ
    • Khi đó cuộc điều tra chỉ sẽ chuyển sang hướng gửi lệnh khám xét hoặc trát đòi tới dịch vụ VPN, yêu cầu các tài liệu liên quan như thông tin chi tiết người dùng và log của tài khoản đó
      Đây là lúc câu “chúng tôi không lưu bất kỳ log nào” và kiến trúc chỉ chạy trên RAM trở nên quan trọng
      Ngay cả khi lệnh cho phép mang phần cứng đi, mọi dữ liệu sẽ biến mất khi tắt nguồn. Cơ quan thực thi pháp luật chắc sẽ phải mang theo rất nhiều pin
    • Không tránh được. Vì vậy mà đã có lúc họ bị cảnh sát khám xét, tịch thu, và họ không còn cung cấp port forwarding nữa
    • Nhưng giả sử bạn đăng nhập vào VPN đó, tìm kiếm áo len trẻ em cho con mình và vẫn để phiên bật. Trong lúc đó, cơ quan thực thi pháp luật tra cứu IP liên quan đến hoạt động trước đó, và IP ấy giờ được gán cho bạn
      Nếu bạn phải giải thích VPN và địa chỉ IP cho cảnh sát thì chúc may mắn. Đó là nỗi lo của tôi
  • “Họ” chỉ cần phun nitơ lỏng lên thiết bị, rút nó khỏi rack, rồi cho DRAM vào bình giữ nhiệt chứa nitơ lỏng mang đi và từ từ đọc dữ liệu là được
    https://ieeexplore.ieee.org/document/8388826

    • Với các giao thức mã hóa hiện đại, làm vậy cũng chẳng thu được gì
      Tính năng này gọi là forward secrecy, bảo vệ lưu lượng trong quá khứ ngay cả khi khóa bị lộ về sau
      WireGuard mà Mullvad dùng có hỗ trợ điều này. Vì lý do nào đó, xin để độc giả tự suy đoán, WPA của Wi‑Fi đến nay vẫn chưa có
    • Bộ xử lý AMD hỗ trợ RAM mã hóa gọi là SME[1]
      Khóa nằm bên trong CPU và được ngẫu nhiên hóa mỗi lần khởi động. Dù sniff các chip RAM đang hoạt động hay đọc RAM được làm lạnh và bảo toàn hoàn hảo thì cũng chẳng lấy được gì
      Đây cũng là một lý do lớn khiến Xbox One chưa bị hack
      Trên laptop doanh nghiệp dùng AMD và máy chủ AMD EPYC, có thể bật SME trong BIOS
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • Từ “chỉ cần” ở đây đang gánh rất nhiều thứ
      Để “chỉ cần” làm được chuyện này, đặc vụ gần như phải kiểm soát hoàn toàn hạ tầng tòa nhà trước khi Mullvad kịp phản ứng, mà nói thì dễ hơn làm
      Ngay cả nếu đó là việc nhỏ, so với các dịch vụ VPN cạnh tranh thì mức này vẫn cao hơn vài bậc
    • Việc đó có vẻ tốn công hơn rất nhiều so với rút SSD ra và đọc file log, và khả năng mắc lỗi cũng lớn hơn nhiều
  • Dù vậy, nó vẫn không ngăn được các cuộc tấn công rút dữ liệu thời gian thực thông qua backdoor dựa trên phần cứng, hoặc các loại backdoor khác như memory injection hay chuỗi cung ứng
    Họ nói “có thể tin chắc rằng máy chủ sẽ nhận một kernel mới được build khi khởi động lại hoặc khi được provision lần đầu”, nhưng tôi tò mò chu kỳ đó là bao lâu
    Hằng ngày, hằng tuần, hay mỗi giờ? Chu kỳ càng dài thì khả năng của một số vector tấn công càng thấp

  • Ở Bắc Mỹ và châu Âu, về mặt pháp lý VPN phải lưu giữ 1–2 năm lịch sử sử dụng VPN, tức các trang đã truy cập hoặc email đăng ký, v.v.
    Hầu hết công ty VPN quảng cáo rằng họ không lưu log duyệt web
    Nếu vậy thì họ đang vi phạm luật châu Âu và Mỹ
    Vì thế tôi không biết nên nhìn nhận VPN không dùng đĩa như thế nào

  • Một ý hay được nêu trong phần bình luận là máy ảo có thể chụp snapshot toàn bộ trạng thái bộ nhớ. Cũng cần lưu ý điểm này

  • Nếu là “kernel mới được build, không có dấu vết file log, OS được vá đầy đủ”, thì chẳng phải chỉ cần dùng đĩa ở chế độ chỉ đọc cũng có hiệu quả tương tự sao?

    • Ngày nay ổ đĩa không phải lúc nào cũng có công tắc chỉ đọc. Tôi thật nhớ cái rãnh vật lý trên đĩa mềm
      Và bên thứ ba cũng khó chứng minh qua kiểm toán rằng công tắc đó đã được đặt đúng
  • Họ nói “tất cả máy chủ VPN của chúng tôi tiếp tục dùng kernel Linux tùy chỉnh và được rút gọn rất nhiều, đồng thời theo sát nhánh mainline của quá trình phát triển kernel”, nhưng máy chủ tùy chỉnh là một điểm ngách về bảo mật
    Máy chủ thông thường liên tục được nghiên cứu và vá lỗi, nhưng không thể kỳ vọng điều tương tự với loại máy chủ này
    Nếu ai đó tìm thấy lỗ hổng bảo mật, kẻ tấn công có thể mua nó, và có thể sẽ không ai biết hệ thống đã bị xâm phạm