image

Vpn-provider NordVPN bevestigt inbraak op Finse server

maandag 21 oktober 2019, 17:04 door Redactie, 25 reacties

Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.

Gisteren verschenen op Twitter de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.

De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder. Wel was het mogelijk geweest om via de server een gepersonaliseerde man-in-the-middle-aanval uit te voeren, waarbij "een enkele verbinding" van een gebruiker die verbinding met NordVPN probeerde te maken had kunnen worden onderschept. Met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.

De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.

Image

Reacties (25)
21-10-2019, 17:23 door Anoniem
En wij maar denken dat vpn zo veilig is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
21-10-2019, 21:41 door Anoniem
Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.
21-10-2019, 22:33 door [Account Verwijderd]
Door Anoniem: Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.

Dat denk ik ook. En het is ook een monster van gigantische proporties.
21-10-2019, 23:01 door CuttUr6
Een veilig gevoel op internet is dan ook altijd een vals gevoel van veiligheid.
Alles is te compromitteren
21-10-2019, 23:18 door Anoniem
Door Anoniem: Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.
Maar is persoonlijk beter, ook echt veel beter?
22-10-2019, 08:19 door Anoniem
toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
22-10-2019, 08:37 door [Account Verwijderd]
Door CuttUr6: Een veilig gevoel op internet is dan ook altijd een vals gevoel van veiligheid.
Alles is te compromitteren

Dat geldt voor de hele wereld. Elk gevoel van veiligheid is bij nadere beschouwing schijnveiligheid te noemen.
22-10-2019, 08:52 door Anoniem
Er is (helaas) maar één goede VPN provider en dat is Mullvad, de anderen zijn op zijn minst discutabel als je het complete plaatje bekijkt.
22-10-2019, 09:03 door Anoniem
Door Anoniem: Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.

Leuk een persoonlijke mening, toch zie ik liever feiten.
22-10-2019, 09:12 door Anoniem
Is het pijnlijk als je als VPN provider een potentieel MITM lek hebt? Zeker.

Vind ik dit een wereldschokkend lek door beschamende incompetentie? Valt eigenljk wel mee. Zoals ik het lees zat de oorzaak bij het datacenter, niet bij spullen beheerd door NordVPN zelf. Natuurlijk hoop je dat ze met reputabele datacenters in zee gaan, maar shit happens. En dan is er één sleutel gelekt waardoor mogelijk één verbinding kon worden onderschept? Dat vind ik een impact die best te overzien is.

Jammer, maar niet eentje voor de datalekken wall of shame.
22-10-2019, 10:14 door Anoniem
En wij maar denken dat vpn zo veilig is. En al die reclame voor Nord-vpn hwt laatste jaar. Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.

Is allemaal mensenwerk, en blijft dus allemaal kwetsbaar. Naast risico op hacking; veel mensen denken dat een non-logging policy iets inhoudt wanneer mensen illegale activiteiten ondernemen, via een VPN verbinding.

Terwijl een non-logging policy *niet* inhoudt dat een VPN provider geen tap apparatuur installeert voor bijvoorbeeld politie, aan de hand van een gerechtelijk bevel.

Je veiligheid, daar moet je verder zelf voor zorgen. Vertrouwen dat een commerciele onderneming dat voor je doet (en daarbij voor je door het vuur gaat, wanneer je illegale handelingen verricht via een VPN), is redelijk lachwekkend.
22-10-2019, 10:24 door Anoniem
toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.

Tot ze, gedwongen door een gerechtelijk bevel, tap apparatuur installeren voor de politie bijvoorbeeld. Natuurlijk weten ze wie je bent, op het moment dat het nodig mocht zijn. Laat je je zand in de ogen strooien door zaken als een non-logging policy ?

Geen enkele ondernemer zal gerechtelijke bevelen negeren, om jou ter wille te zijn. Hun belang is niet jouw belang. Ongeacht over welke VPN provider je het hebt.

The false non-logging advertisement
https://www.skadligkod.se/vpn/the-5-9-14-eyes-misleading-vpn-argument/
22-10-2019, 10:41 door Anoniem
Dit is inderdaad niet heel schokkend, mensen die geen vpn gebruiken zijn er vele malen vaker kwetsbaar voor.

En ze maken het tenminste bekend, ze zijn dus open en eerlijk erover. Wie zegt dat andere vpn diensten niet het zelfde probleem hebben gehad en niks erover hebben gezegd.
22-10-2019, 12:00 door Tha Cleaner
Door Anoniem: Er is (helaas) maar één goede VPN provider en dat is Mullvad, de anderen zijn op zijn minst discutabel als je het complete plaatje bekijkt.
Op basis waarvan?
Zie zegt dat ze niet last hebben van het zelfde issue? Of andere problemen hebben?
Op welke feiten baseer je, jouw mening? Feiten zeggen namelijk meer dan zomaar een post van een anoniem.
22-10-2019, 12:18 door botbot
Door Anoniem: En wij maar denken dat vpn zo veilig is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.

En ik maar denken dat die 10 sloten op mijn deur veilig zijn, als ik ze open laat.
Een computer die niet gehackt kan worden is een computer die niet bestaat. Als je 100% zeker wilt weten dat je internetgebruik niet bespied wordt, dan moet je geen internet gebruiken.

Het is *altijd* een tradeoff. Je kan zelf een VPN gaan opzetten, dan wordt je zelf verantwoordelijk voor het beveiligen van de verbinding, het beheer, het patchen etc. En dan ben je weer afhankelijk van de betrouwbaarheid van bv OpenVPN. Dan kun je zelf een OpenVPN-achtig iets gaan bouwen. Maar aangezien je core business bijvoorbeeld het verkopen van paperclips is heb je daar geen tijd voor (en verstand van). Zo is het altijd.

Dan kun je wel heel tendentieus zeggen: en wij maar denken dat VPN veilig is , maar als je niet denkt dat het veilig genoeg is gebruik je het toch niet? Doe je lekker alles plaintext. Het is altijd een vorm van vertrouwen en ingecalculeerd risico. Dat is altijd zo, overal mee, met alles in het leven.
22-10-2019, 12:21 door botbot
Door Anoniem: toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
Bij expressvpn ook niet. Je kunt gewoon met bitcoin betalen en hoeft geen persoonlijke info te geven.
22-10-2019, 12:24 door Anoniem
PIA vpn, voor mij al jaren de beste
22-10-2019, 12:30 door Anoniem
Blijft boeiend om te zien hoe sommige mensen alles en iedereen wantrouwen maar wel *al* hun internetverkeer volledig in handen geven van partijen waar ze niets van weten.

Tuurlijk, mooie claims op sites als die van Mullvad (die momenteel onbereikbaar is, maar dat terzijde), maar uiteindelijk gaat al jouw Internet verkeer in klare tekst door hun systemen.

En er zijn precies 2 mogelijkheden: ofwel Mullvad is een keurig bedrijf dat zich netjes aan de nationale en internationale regels houdt (en dus keurig logt en informatie deelt met de daartoe gerechtigde instanties). Ofwel Mullvad is in handen van partijen die zich aan de regels proberen te onttrekken, en wie wil daar zaken mee doen?
22-10-2019, 12:34 door botbot - Bijgewerkt: 22-10-2019, 12:39
Door Anoniem:
Je veiligheid, daar moet je verder zelf voor zorgen. Vertrouwen dat een commerciele onderneming dat voor je doet (en daarbij voor je door het vuur gaat, wanneer je illegale handelingen verricht via een VPN), is redelijk lachwekkend.

Dat is ook weer een beetje overdreven. Het is niet lachwekkend dat je een commerciële onderneming, wiens core business, verdienmodel en reputatie 100% afhankelijk is van het veilig houden van data vertrouwd op het feit dat ze het goed doen.

In heel veel gevallen is het veel veiliger dan het zelf beheren. Vertrouw jij met je MKB bedrijfje die ene 15Euro/uur ICT gast die eens per week het netwerk komt onderhouden meer met het opzetten en beheren van de VPN verbinding?

Ga je het zelf doen? Dan zul je toch echt moeten vertrouwen op het feit dat bijvoorbeeld OpenVPN geen bugs heeft. Is ook maar een groepje mensen die fouten kunnen maken hoor. Of ga je zelf je VPN implementatie coden in C?

Daarnaast, hoe ga je zelf zo'n VPN dienst maken als NordVPN/ExpressVPN/etc... Je zult toch een exit node moeten hebben. Als je die zelf in beheer hebt verslaat dat het hele idee van een "anoniem" exit point, zeker als jij de enige bent die die exitnode gebruikt. Als je hem deelt is dat dus identiek aan het geheel uitbesteden aan NordVPN.
22-10-2019, 18:13 door Anoniem
Door Anoniem: toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
Maar ze kennen wel je ip's, de ip's van websites die je bezoekt, en als je hun dns gebruikt dan hebben ze zelfs de domeinen.

kortom: als je het echt veilig wil hebben zet je je eigen vpn server op (random ergens op de cloud bijvoorbeeld)
22-10-2019, 19:00 door Anoniem
Mullvad dot net, zoals de kraam (de website) zal de dienstverlening ook wel zijn:
https://app.upguard.com/webscan#/mullvad.net'

Kwetsbaar voor MiM aanvallen, vanwege
Aanwezige onveilige SSL/TLS versies
en HSTS header niet geschikt voor preload list inclusie.

Domein kan gehijacked worden
Domain registrar deletion protection not enabled
Domain registrar update protection not enabled
Domain registry deletion protection not enabled
Domain registry transfer protection not enabled
Domain registry update protection not enabled

E mails kunnen frauduleus worden verzonden
SPF not enabled
DMARC not enabled

DOM-XSS zwakte: Resultaten van het scannen van URL: https://mullvad.net/static/js/app.1207585c15e6.js
Aantal sources gevonden: 31
Aantal sinks gevonden: 10

Zie ook: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fmullvad.net%2F

Detecties: https://www.virustotal.com/gui/ip-address/46.166.138.241/relations
Drie kwaadaardige files gevonden door Quttera's: https://quttera.com/detailed_report/mullvad.net (SPAM/SEO content)

Vanwege full WireGuard support (recentelijk even verwijderd geweest uit de Google Webshop wegens overtreding van de Google betalingenbeleid regels). Er is niet een koe zo bont of er is wel een vlekje aan.

J.O.
22-10-2019, 19:37 door Anoniem
VPN's zijn in de meeste gevallen totaal onnodig/overbodig.

https://schub.io/blog/2019/04/08/very-precarious-narrative.html
23-10-2019, 08:12 door [Account Verwijderd]
Door Anoniem: VPN's zijn in de meeste gevallen totaal onnodig/overbodig.

https://schub.io/blog/2019/04/08/very-precarious-narrative.html

Gebruik een VPN als je met potentieel onbetrouwbare openbare WiFi-netwerken verbindt.

https://schub.io/blog/2019/04/08/very-precarious-narrative.html

Public networks

If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.
23-10-2019, 09:31 door SPer
Door Daemon:
Door Anoniem: VPN's zijn in de meeste gevallen totaal onnodig/overbodig.

https://schub.io/blog/2019/04/08/very-precarious-narrative.html

Gebruik een VPN als je met potentieel onbetrouwbare openbare WiFi-netwerken verbindt.

hxxps://schub.io/blog/2019/04/08/very-precarious-narrative.html

Public networks

If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.


Ik ben hogelijk verrast door het feit dat men hier en daar clickable links op dit forum plaatst.
Ik benieuwd of mensen vertrouwen op security.nl en doodleuk op een link klikken ......


Verbeter de wereld , begin bij jezelf .
23-10-2019, 21:11 door [Account Verwijderd] - Bijgewerkt: 23-10-2019, 22:03
Door SPer: Ik ben hogelijk verrast door het feit dat men hier en daar clickable links op dit forum plaatst.
Ik benieuwd of mensen vertrouwen op security.nl en doodleuk op een link klikken ......

Verbeter de wereld , begin bij jezelf .

Doe niet zo raar! Als je systeem er niet tegen kan dat je op een link klinkt dan kan je beter helemaal niet op internet gaan. Als het een shortened link zou zijn dan kan ik me nog voorstellen dat je bedenkingen hebt maar bij een volledige link is het nogal overdreven, zelfs paranoïde te noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.