上周,广泛讨论了对VPN提供商NordVPN的黑客攻击,以及其他几个类似的服务(特别是提到了TorGuard)。 信息来源是
Twitter ,然后来自那里的消息被媒体(
Techcrunch ,
Habr )接收。 在这些文章之后,
NordVPN和
TorGuard发表了反驳:在这两种情况下,私钥都是泄露的(一种情况是-在2018年,另一种是在2017年被盗)。 它是什么样的密钥,以及这种泄漏对用户造成的(或过去造成的)后果-意见不同。 NordVPN发布的事实表明,该公司数百台服务器中仅有一台受到了威胁,而且密钥泄漏甚至没有危及那些通过被黑服务器连接到网络的客户端。
可以说,这种情况非常复杂,因为VPN服务的营销相当激进,并且侧重于用户数据的安全性。 因此,这样的消息对于VPN提供商非常敏感,并且在社交网络中讨论这些消息时戏剧性程度过高。 在另一份有关改进服务安全性措施的NordVPN报告中,得出了正确的结论:没有100%的免受黑客攻击的能力。 这既适用于VPN提供商本身,也适用于用户。 这里的重点不是使用哪种类型的VPN:商业,免费或具有偏好和诗人的您自己的服务器。
最初的Twitter帖子包含指向NordVPN拥有的泄露的私钥的链接,该私钥于2018年10月到期。 根据NordVPN的说法,该密钥是在2018年3月从一台被黑客入侵的服务器上窃取的。 它是VPN服务用户可以重定向其流量的三千多台服务器之一。 同样,根据NordVPN,托管人自己也犯了一个配置错误-攻击者通过控制面板获得了对客户端服务器的访问权限。 托管者没有通知客户此事,而是默默地删除了受感染的帐户。 他们于2019年4月13日了解到NordVPN遭到黑客攻击后,立即删除了该服务器。
攻击者设法获得了对私钥的访问权。 根据NordVPN的说法,该证书的有效性在盗窃时已过期,但日期存在差异。 也许我们正在谈论的事实是,密钥在到期日期之后出现在网络上。 无论如何,密钥都不能用于解密客户端流量。 但是,根据上述推文中的版本以及根据TechCrunch上一篇文章中的匿名评论者所说,问题更加严重。 TechCrunch的名言:“这表明该提供商的基础架构已受到完全的远程入侵。”
谁相信? 一方面,NordVPN对事件进行了相当详细的描述,另一方面,不愿自称的专家和Twitter用户也发表了评论。 最有可能的是,没有什么大不了的,事实发生了。 访问服务器不会泄漏有关通过此服务器连接的用户的流量的信息:无论如何,NordVPN都不存储日志。 凭据也没有泄漏,因为NordVPN应用程序不会将真实的登录名和密码传输到服务器。 但是,等等,NordVPN和其他提供商可以直接连接到服务器! 那是什么情况呢?
充其量,可以将窃取的密钥用于NordVPN所谓的“复杂MITM攻击”。 就是说,从理论上讲,有人可以仍然使用钥匙来捡拾一个假冒的服务器(据称属于NordVPN),并使用DNS欺骗诱使用户使用它,并窃取所有传输的数据。 这样的情况可能吗? 概率不为零。 真的使用过吗? NordVPN用户遭受痛苦的比例有多少?
许多VPN服务宣传其服务的方法使整个讨论变得复杂。 他们倾向于夸大VPN连接的好处,他们说您的数据是完全安全的,尽管事实上,没有任何技术可以提供绝对的安全性。 VPN市场竞争激烈,并且由于诸如“我们的VPN的安全性比竞争对手的安全性”之类的讨论,相互指责以及其他与技术相距甚远的事件引起了讨论。
提供者本身,他们的客户以及社交网络中的其他人员都将有关该漏洞的任何消息视为一种世界末日,这并不完全正确。 结果是这样的:那些谈论“入侵整个基础架构”的人没有提供任何令人信服的证据。 NordVPN足够详细地描述了问题和解决方法,但是其材料几乎没有包含该事件的技术细节。 正如某些人建议的那样,并不是您自己的VPN服务器是正确的解决方案。 它需要技术技能,实际上,风险集合只是稍有变化。 我们决不能忘记,任何补救措施都可以解决任何一个问题,也无法消除全球范围内的所有威胁。 这不是完全放弃保护的理由。
还发生了什么:从Apple App Store中
删除了18个应用程序,这在后台增加了网站流量。 恶意活动的发生有所延迟,这使得应用程序可以通过Apple的审核。
Google Chrome浏览器已
更新至版本78。已修复了几个严重的漏洞。 修复了导致URL欺骗的错误。 先前承诺的HTTP-over-HTTPS功能的Beta测试决定推迟到下一个版本。 Firefox于9月
出现了类似的功能,在最新版本的Firefox 70中,
他们开始阻止社交网络上的跨站点Cookie。
卡巴斯基实验室的专家! 发布
了针对Steam游戏平台用户的威胁
概述 。 提供了考虑了两因素身份验证机制的网络钓鱼的有趣示例。
在日本连锁酒店的机器人助手中发现了一个有趣的
漏洞 。 该错误使您可以拦截来自便携式摄像机和设备的麦克风的流。 操作需要物理访问-首先将设备入侵旅馆,然后进行监视。
检测到小米猫食分配器中的
漏洞 。 允许您远程禁用设备。 或为您的宠物安排一场盛宴。