A seguito di importanti rivelazioni su Twitter nell'ottobre 2019, NordVPN ha confermato la violazione della sicurezza subita a marzo 2018. La storia è complicata, ma vi racconteremo prima la versione dei fatti di NordVPN che ha spiegato in un post sul proprio blog intitolato "Perché la rete NordVPN è al sicuro dopo una violazione del fornitore di terze parti".
L'hacking ha interessato un singolo server VPN in Finlandia, ha spiegato NordVPN. I suoi server non sono stati compromessi. NordVPN ha affermato che la violazione "è stata resa possibile dalla scarsa sicurezza di un datacenter di terze parti di cui non siamo mai stati informati".
L'hacker non sarebbe stato in grado di ottenere le credenziali utente, ci ha detto la società. L'accesso al server avrebbe potuto consentire all'hacker di monitorare il traffico di chiunque utilizzasse quel server, in quel momento, ma NordVPN afferma che non ci sono prove che sia successo. Anche se fosse accaduto, il traffico crittografato HTTPS, le e-mail sicure e così via... sarebbe tutto protetto.
Le prove indicano che l'attacco è molto probabilmente avvenuto tra il 31 gennaio 2018, quando il server è stato online, e il 5 marzo 2018. L'attacco è stato effettuato tramite un account del data center compromesso, non un account gestito da NordVPN.
Il data center ha eliminato questo account il 20 marzo 2018, bloccando qualsiasi ulteriore accesso al server. NordVPN afferma di non essere stata informata della violazione fino al 13 aprile 2019. Ha rimosso il server lo stesso giorno e ha avviato un controllo immediato dei suoi 5.000 server.
La notizia non è stata resa pubblica subito, per cercare prove, fino circa sei mesi dopo. Perché? Il post sul blog afferma: 'rivedere a fondo i provider e le configurazioni per oltre 5.000 server in tutto il mondo richiede tempo. Di conseguenza, abbiamo deciso di non informare il pubblico finché non avessimo la certezza che un simile attacco non potesse essere replicato in nessun altro luogo della nostra infrastruttura".
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys... pic.twitter.com/TOap6NyvNyOctober 20, 2019
Qual è il contesto?
Il 3 maggio 2018 un utente sulla bacheca di 8chan ha iniziato una discussione chiedendo consigli sulla VPN e altri utenti hanno iniziato ad aggiungere i loro preferiti: NordVPN, Mullvad, TorGuard, VikingVPN, cryptostorm e altro.
Alle 20:46, un altro utente ha pubblicato un post commentando questi suggerimenti. Mullvad e cryptostorm hanno ottenuto una "buona scelta!", Ma NordVPN, TorGuard e VikingVPN hanno ottenuto un "lol, no", con collegamenti a prove che mostrano i dettagli del server compromesso da ciascun provider: file di configurazione, chiavi private, dettagli della sessione di base e altro ancora.
Analizzando il testo, abbiamo notato che i collegamenti a VikingVPN e TorGuard sembravano mostrare i tempi di connessione della sessione e alcune informazioni sui file di giovedì 3 maggio, giorno in cui è iniziata la discussione su 8chan.
Ciò suggerisce che l'utente non li avesse appena trovati o ricevuti da qualcun altro; vide il thread e afferrò quasi immediatamente le informazioni sul server live. O si trattò di un attacco informatico molto rapido o l'utente conosceva già la vulnerabilità di ciascun provider.
I dettagli di NordVPN non includevano alcuna informazione sulle tempistiche. Quando si è verificato l'hack, quindi? Ecco dove la vicenda diventa oscura.
Confusione con le date
Inizialmente NordVPN ci ha detto: "Riteniamo che la discussione su 8chan sia stata la causa per cui qualcuno ha iniziato a cercare le vulnerabilità di diversi fornitori di servizi VPN e che la discussione sia iniziata il 5 marzo".
Il file di configurazione esposto indicava che l'attacco è avvenuto lo stesso giorno, la società continuava: ”Il 5 marzo è stato l'ultimo giorno in cui esisteva tale file di configurazione. Successivamente la nostra configurazione è stata modificata, quindi il file di configurazione avrebbe avuto un aspetto diverso".
È interessante, ma c'è un po' di confusione nei tempi. La discussione su 8chan è iniziata il 5-3-2018, sì, ma questo è il formato degli Stati Uniti del mese-giorno (3 maggio), non del giorno-mese-anno europeo (5 marzo), come inizialmente credeva NordVPN. (Lo sappiamo con certezza perché il sito 8chan indicava che il 5-3 era un giovedì; il 3 maggio 2018 era un giovedì, mentre il 5 marzo era un lunedì).
Quando l'abbiamo fatto notare, NordVPN ha ammesso l'errore, ma ha affermato che ciò non ha fatto alcuna differenza significativa nel suo resoconto dell'attacco: "Sembra che abbiamo davvero fatto un errore nell'interpretazione della data di inizio della discussione su 8chan. Tuttavia, la sequenza temporale effettiva, ad eccezione di questa data, rimane la stessa".
NordVPN aveva suggerito che tutto ciò fosse accaduto in un solo giorno, in risposta a un thread su 8chan. L'hacker ha letto i messaggi, è andato alla ricerca di alcune vulnerabilità, ha riferito i risultati ed è andato avanti, più o meno in un giorno. Niente di cui preoccuparsi.
Questo porta alla conclusione che l'hacker ha compromesso NordVPN tra il 31 gennaio (quando il server è stato online) e il 5 marzo 2018 e ha attaccato separatamente TorGuard e VikingVPN, forse mesi dopo. L'intruso potrebbe non aver fatto altro se non passare un paio di minuti a navigare nel server, ma aveva un chiaro obiettivo in mente. Sapeva cosa stava facendo e lo faceva da mesi, se non di più.
È interessante, ma non è la fine delle nostre preoccupazioni per la data. Si scopre che NordVPN non è l'unica società a cui sono state poste domande sulla natura e sui tempi dell'attacco.
Risposta di TorGuard
TorGuard ha affermato che l’attacco informatico sia avvenuto nel settembre 2017, che non è stato compromesso esternamente, che gli utenti non sono mai stati a rischio e che ha comunque segnalato la violazione in precedenza.
Ma le informazioni trapelate da TorGuard sembrano includere sessioni datate giovedì 3 maggio, il giorno del thread di 8chan, risalenti all'attacco al 2018, non al 2017. Indica che l'hacker aveva accesso root al server, rendendolo potenzialmente grave quanto la violazione di NordVPN. Il rapporto di TorGuard, però, si riferisce ad un altro evento.
Il post parla di "script di installazione del server di streaming IPsec [che] si erano aperti per errore, nel 2017", ad esempio, che non sembra correlarsi a ciò che vediamo nella violazione.
Quando abbiamo fatto presente queste contraddizioni a TorGuard un portavoce dell'azienda ci ha risposto che "Per via di una causa in corso non posso fornire risposte dirette alle vostre domande". In futuro verranno pubblicate ulteriori informazioni, ha affermato, dicendo "Le cose avranno molto più senso dopo che le prove saranno mostrate in tribunale".
Nel frattempo, TorGuard ribadisce le sue principali affermazioni in merito alla violazione: "i nostri server non sono stati compromessi esternamente e non vi è mai stata una minaccia per altri server o utenti TorGuard" e "il traffico proxy non è stato compromesso durante questa violazione isolata di un singolo server VPN e nessuna informazione sensibile è stata rubata durante questo incidente".
Non abbiamo abbastanza informazioni per giungere a conclusione qui, quindi escluderemo TorGuard dal resto dell’articolo. Il succo del discorso è che ci sono alcune aree oscure in questo attacco che si estendono oltre NordVPN, e potrebbe passare del tempo prima di scoprire la verità.
Quanto è stata grave la violazione?
L'attacco è stato contro uno dei 5.000 server VPN di NordVPN, non la sua infrastruttura centrale. Di conseguenza, l'intruso non ha avuto accesso alle credenziali utente, ai dettagli di fatturazione o ad altre informazioni relative al profilo.
L'hacker ha ottenuto le Transport Layer Security keys che NordVPN utilizza per verificare il proprio sito Web. In teoria, potrebbe essere utilizzata per creare un sito Web falso che somigli al vero NordVPN.com. La compagnia ha minimizzato il pericolo affermando che "un attacco potrebbe essere eseguito sul Web solo contro un obiettivo specifico e richiederebbe un accesso straordinario al dispositivo o alla rete della vittima (come un dispositivo già compromesso, un amministratore di rete dannoso o un rete compromessa). "Le chiavi sono scadute a ottobre 2018”.
Il vero rischio è che l'aggressore avrebbe potuto, in teoria, monitorare il traffico non crittografato degli utenti connessi a quel server. Non c'è modo di collegare quel traffico a un individuo specifico, ma avrebbe potuto registrare le informazioni personali condivise in testo normale (ad esempio, accedere a un sito Web tramite una pagina HTTP non sicura).
NordVPN in merito ha dichiarato: "Non ci sono segni che l'intruso abbia tentato di monitorare il traffico degli utenti in alcun modo". Abbiamo chiesto prove alla società che ci ha risposto: “Non sono state apportate modifiche alla nostra configurazione, nessun processo aggiuntivo in esecuzione, nessun file aggiuntivo lasciato sul server. Tali modifiche alla configurazione erano necessarie per ispezionare il traffico".
Questa è un'interpretazione ragionevole. Certo, l’intruso avrebbe potuto impostare uno schema di monitoraggio in un primo momento, per poi rimuoverlo, prima che il suo accesso fosse bloccato, ma non avrebbe molto senso. Dopotutto, non sembra essere molto interessato alla furtività; ha ammesso l'hack su 8chan (o almeno, ha condiviso i dettagli con qualcuno che l'ha fatto).
Quanti utenti sono stati colpiti?
NordVPN ha confermato che il server interessato fosse online dal 31 gennaio 2018.
La società suggerisce che l'attacco sia avvenuto intorno al 5 marzo 2018. Come abbiamo detto, tuttavia, sappiamo che questo si basa su un fraintendimento della data della discussione su 8chan. L’attacco potrebbe esser avvenuto non appena il server è andato online.
Qualunque sia la verità, NordVPN riferisce che il "l’account amministrativo non protetto" utilizzato per eseguire l'hacking è stato eliminato dal data center il 20 marzo 2018, bloccando ulteriori accessi.
Queste date suggeriscono una finestra di due settimane dalla “compromissione” del server. NordVPN ritiene che 50-200 utenti potrebbero essere stati colpiti, tuttavia ha rilasciato la seguente dichiarazione: ”Non conosciamo l'ora esatta dell'evento e non possiamo dire quante persone erano collegate a questo server poiché non conserviamo alcun registro. Possiamo solo indovinare: la nostra stima grezza è tra le 20 e le 70 sessioni attive".
Poiché le date originali di NordVPN erano errate, sceglieremmo la stima più alta. Cioè, fino a 200 utenti che hanno effettuato connessioni a quel server finlandese, tra il 5 marzo e il 20 marzo 2018, erano a rischio teorico di monitoraggio del loro traffico non crittografato. Non ci sono prove che ciò sia accaduto, ma non può essere escluso.
L'impatto immediato di questo attacco sembra essere limitato, quindi. Ma questa non è una scusa: il post sul blog di NordVPN lo ha descritto come "errore grave che non sarebbe mai dovuto accadere" e l'hacking è solo una parte di questa storia.
Problemi e preoccupazioni di NordVPN
Oltre al problema del traffico del server, NordVPN ha ammesso che l'intruso ha acquisito le chiavi TLS che avrebbero potuto consentire un ulteriore attacco. La società ha suggerito che le possibilità che ciò accadesse fossero scarse (richiederebbe "circostanze straordinarie") ma perché queste chiavi sono state compromesse?
Per fare un confronto, anche TorGuard è stata compromessa dallo stesso hacker, ma un post sul blog di ottobre 2019 afferma che, poiché utilizzava una gestione PKI sicura, la sua chiave principale non era sul server VPN interessato.
La dichiarazione originale di NordVPN incolpava la società che gestiva il server, dicendo: "la violazione è stata resa possibile dalla scarsa configurazione da parte di un datacenter di terze parti di cui non siamo mai stati informati. C'era un account IPMI (Intelligent Platform Management Interface) non divulgato [un potente sistema di accesso remoto] per accedere al server. Tale account è stato violato e pertanto è stato effettuato l'accesso al server".
La società finlandese coinvolta ha suggerito che NordVPN abbia qualche responsabilità in merito. Afferma di avere altri provider VPN come clienti, e che hanno fatto più sforzi di NordVPN per limitare l'accesso a queste funzionalità di accesso remoto, ad esempio mantenendo le porte chiuse per la maggior parte del tempo, e aprendole solo quando è necessario.
Qualunque sia la verità, la linea "è colpa loro" di NordVPN non coincide con l'affermazione sul loro sito Web secondo cui "Noi, NordVPN, confermiamo di assumere il pieno controllo della nostra infrastruttura".
Il vero problema qui è probabilmente la trasparenza. NordVPN ammette di aver appreso dell'attacco nell'aprile 2019, ma la notizia è diventata pubblica solo sei mesi dopo, dopo che i dettagli sono stati pubblicati su Twitter.
NordVPN afferma che il ritardo era necessario per avviare “un’indagine interna approfondita" dei fornitori e delle configurazioni per oltre 5.000 server e ha deciso di "non informare il pubblico fino a quando non avessimo la certezza che un simile attacco non potesse essere replicato altrove nella nostra infrastruttura”.
Allora ok. Sarebbe stato sicuramente possibile fare una dichiarazione generale sull'attacco senza discutere i dettagli tecnici di basso livello, ad esempio: un singolo server VPN è stato compromesso, non sono state esposte credenziali o dettagli dell'utente, comprendiamo il valore di attacco, stiamo controllando i nostri sistemi per confermare che siano sicuri e rilasceremo presto un'altra dichiarazione.
Non eccezionale per NordVPN, ma una risposta aperta e tempestiva avrebbe potuto ispirare fiducia; sicuramente meglio che scoprirlo tramite un indiscrezione pubblicata su Twitter.
La reazione di NordVPN
NordVPN merita molte critiche per la violazione e per come sia stata rivelata, ma vale anche la pena guardare a ciò che l'azienda ha imparato dall'hacking e a cosa prevede di fare d’ora in poi.
Dopo aver appreso dell'attacco, NordVPN afferma di aver avviato immediatamente una "indagine interna approfondita" dell'intera infrastruttura. La società ci ha detto che questo ha rivelato "alcuni server che potrebbero essere potenzialmente a rischio" tramite un sistema di accesso remoto simile, ma questi sono stati riparati o rimossi.
La sicurezza del server è stata rafforzata con l'archiviazione crittografata, rendendo molto più difficile l'accesso ai dati tramite un sistema di gestione remota. Inoltre NordVPN ha collaborato con la società di consulenza sulla sicurezza VerSprite per lavorare su test di penetrazione, gestione delle intrusioni e analisi del codice sorgente.
Un programma di bug bounty, che sarà rilasciato appena possibile, dovrebbe incoraggiare altri a scovare i bug in anticipo e risolverli prima che possano fare del male.
La società promette un "audit di sicurezza indipendente su larga scala" dell'intera infrastruttura nel 2020: hardware, software, architettura back-end, codice sorgente e procedure interne. Sembra che sarà un controllo sulla sicurezza delle VPN più completo e rigoroso di tutti quelli che abbiamo visto finora, anche se dovremo vedere i dettagli per essere sicuri.
I piani a lungo termine includono la costruzione di una rete di server associati (di proprietà esclusiva di NordVPN) che funzionano interamente nella RAM. Non avranno dati memorizzati localmente o file di configurazione, niente che possa essere esposto in un hack. Anche questa è una buona notizia, anche se non così all'avanguardia, poiché ExpressVPN ha introdotto la sua tecnologia TrustedServer basata su RAM già sei mesi fa.
Se siete scettici, e in questo settore dovreste esserlo, potreste chiedervi se NordVPN ha appena lanciato alcune promesse ariose sul blog per cercare di riconquistare un po' di fiducia. Beh, ci sono prove in merito. La società ha già fatto progressi in alcune aree e i vantaggi hanno iniziato ad apparire anche prima che l'hack fosse reso pubblico.
Il 9 ottobre, ad esempio, NordVPN ha annunciato i risultati di un audit VerSprite sulle sue app, con 17 bug trovati e corretti. E non è poco. Abbiamo visto abbastanza app VPN da sapere che molti provider probabilmente non si apriranno mai, mai!, a quel livello di controllo.
Il successo di VerSprite non compensa l'hack, ovviamente, né garantisce assolutamente che NordVPN mantenga le sue altre promesse. È comunque un ottimo primo passo. E con il mondo VPN che presta molta attenzione, NordVPN deve sapere che anche il più piccolo errore non è un'opzione.
Punteggio delle recensioni
Decidere in che modo un incidente del genere dovrebbe influire sul punteggio di una recensione è difficile, poiché ci sono diverse questioni importanti da considerare e nessuna regola chiara su quale sia la priorità. Tutto ciò che possiamo fare è spiegare il nostro modo di giudicare.
La nostra principale preoccupazione per la privacy è la possibilità di monitorare il traffico, per quanto piccolo. Questo non dovrebbe accadere con nessuna VPN.
D'altra parte, NordVPN afferma, e tendiamo a concordare, che l'ambito dell'attacco era limitato: solo un server interessato, nessuna esposizione delle credenziali dell'utente, nessun modo per collegare il traffico a un utente specifico, nessun rischio per il traffico già crittografato. Questa non era una vulnerabilità a livello di sistema.
Inoltre, NordVPN afferma che la violazione è stata causata da un errore da parte del data center e, sebbene il data center abbia criticato l'azienda a sua volta, non abbiamo letto di specifiche accuse (un account sconosciuto a NordVPN è stato compromesso, quindi cancellato dal data center).
Tenete presente che questi non sono solo problemi di NordVPN. Ogni VPN si basa in una certa misura sulle capacità di gestione dei propri data center. I provider possono agire per minimizzare questo, come sta facendo NordVPN, ad esempio con la sua crittografia del disco ma c'è ancora una potenziale vulnerabilità.
Possiamo vedere le prove di ciò nella violazione, che includeva informazioni trapelate da altre VPN. L'hacking non rappresenta alcun problema specifico di NordVPN e qualsiasi modifica nel nostro punteggio di recensione ne terrà conto. Detto ciò, non la assolviamo da ogni responsabilità. I data center sono un elemento vitale dell'infrastruttura di NordVPN, che la società afferma con orgoglio di controllare; qualsiasi problema rappresenta anche un errore NordVPN, a un certo livello.
C'è un punto correlato con la perdita delle chiavi TLS di NordVPN. È successo solo a causa di questa specifica vulnerabilità e l'impatto sembra essere limitato, tuttavia è pur sempre un errore di sicurezza.
La riluttante divulgazione degli eventi da parte di NordVPN, invece è da condannare. Le VPN dipendono dalla fiducia e questa non si costruisce dando l'impressione di nascondere problemi.
Ma qualunque cosa pensiamo del suo lungo silenzio, NordVPN ha chiaramente utilizzato questo tempo per affrontare le potenziali vulnerabilità.
Come accennato in precedenza, assumere VerSprite per testare la sicurezza delle proprie infrastrutture è una decisione di grande “umiltà”; l’audit è iniziato qualche tempo fa, e i primi risultati sono apparsi prima dell'esposizione dell'hacking. NordVPN non si è vergognata di migliorare i suoi sistemi; lo stava già facendo.
Sebbene riteniamo che NordVPN sia responsabile in alcune aree, riteniamo che la natura limitata della violazione e le azioni correttive intraprese fino ad oggi giustifichino un calo di punteggio di 0,5 scendendo così a ⅘. Non conosciamo ogni aspetto dell'attacco, ma terremo d'occhio eventuali sviluppi e se NordVPN risultasse essere più colpevole di quanto crediamo in questo momento, adegueremo di conseguenza la nostra valutazione.
