Warum das NordVPN Netzwerk nach einer Datenpanne eines externen Serviceproviders sicher ist
Vor kurzem sind Informationen aufgetaucht bezüglich einer Sicherheitslücke von NordVPN welche durch Schwachstellen in einem externen Rechenzentrum ausgelöst worden. Hier sind die wichtigsten Fakten zur NordVPN Situation:
- Ein Server war im März 2018 in Finnland betroffen. Der Rest unseres Dienstes war nicht betroffen. Keine anderen Server jeglichen Art waren einem Risiko ausgesetzt. Es handelte sich um einen Angriff auf unseren Server, nicht unseren gesamten Dienst.
- Die Sicherheitslücke entstand durch schlechte Konfiguration in einem externen Rechenzentrum durch den Betreiber, von welcher wir nie in Kenntnis gesetzt worden. Beweise deuten darauf hin, dass als das Rechenzentrum von dem Eindringen erfuhr, sie die Accounts löschten, die die Schwachstellen auslösten, anstelle uns zu informieren. Sowie wir von der Sicherheitslücke erfuhren, wurden die Server und der Vertrag mit dem Anbieter beendet und wir begannen mit einer umfassenden Prüfung unseres Service.
- Keine Anmeldedaten von Nutzern waren betroffen.
- Es gibt keine Anzeichen dafür, dass der Eindringling versucht hat, den Datenverkehr der Nutzer zu überwachen. Selbst wenn er dies hätte, hätte er keinen Zugriff auf die Anmeldedaten dieses Nutzers gehabt.
- Der Angreifer kam in den Besitz von TLS-Schlüsseln welche, unter besonderen Umständen, dafür genutzt werden könnten, um einen einzelnen Nutzer im Internet anzugreifen. Dafür bedarf es einem speziell ausgerichteten und sehr ausgeklügelten Men-in-the-Middle-Angriff welchen wir weiter unten erklären. Diese Schlüssel konnten nicht und können nicht dafür benutzt werden irgendeinen verschlüsselten Datenverkehr von NordVPN zu entschlüsseln.
- Zwei andere VPN-Anbieter waren betroffen durch Attacken desselben Eindringlings. Wir gehen nicht davon aus, dass dies ein gezielter Angriff auf NordVPN war.
- Der Vorfall hat im Grunde genommen gezeigt, dass auf den betroffenen Servern keine Aktivitätsprotokolle von Nutzern vorhanden waren. Um ähnliche Vorfälle zu verhindern, verschlüsseln wir, unter anderem, die Festplatte von jedem neuen Server den wir bauen. Die Sicherheit unserer Kunden ist unsere höchste Priorität und wir werden weiterhin unsere Maßstäbe höher und höher setzen.
Hier ist der gesamte Bericht zusammen mit etwas mehr technischen Informationen:
Vor ein paar Monaten wurden wir darauf aufmerksam, dass im März 2018 auf eines der Rechenzentren in Finnland, bei denen wir unsere Server mieten, auf unautorisierte Weise zugegriffen worden ist. Dies geschah durch ein unsicheres System zur Fernadministration welches der Betreiber des Rechenzentrums hinzugefügt hatte, ohne uns zu informieren. Das Rechenzentrum löschte die Nutzeraccounts welche der Eindringling genutzt hatte, anstelle uns zu informieren.
Der Eindringling fand keine Aktivitätsprotokolle von Nutzern, weil sie nicht existieren. Sie haben keine Identitäten von Nutzern, Benutzernamen oder Passwörter herausgefunden, weil keine unserer Anwendungen vom Nutzer erstellte Anmeldeinformationen zur Authentifizierung austauscht.
Der Eindringling fand und kam in den Besitz eines TLS-Schlüssels, welcher bereits abgelaufen war. Mit diesem Schlüssel könnte eine Attacke nur gegen ein spezifisches Ziel im Internet ausgeführt werden und nur dann, wenn außergewöhnlicher Zugriff auf das Gerät oder Netzwerk des Opfers besteht (wie ein gefährdetes Gerät, ein bösartiger Netzwerkadministrator oder ein gefährdetes Netzwerk). Solch eine Attacke wäre sehr schwierig durchzuführen. Abgelaufen oder nicht, der TLS-Schlüssel hätte nicht dafür verwendet werden können, um den Datenverkehr von NordVPN zu entschlüsseln. Das ist nicht das, was ein TLS-Schlüssel macht.
Es handelte sich um einen Einzelfall und keine anderen Server oder von uns genutzten Anbieter für Rechenzentren sind betroffen.
Sowie wir von dem Vorfall erfahren haben, haben wir zuerst den Vertrag mit dem Anbieter beendet und den Server beseitigt, welchen wir seit dem 31. Januar 2018 betrieben haben. Anschließend haben wir umgehend eine gründliche interne Prüfung unserer gesamten Infrastruktur veranlasst. Wir mussten sichergehen, dass keine anderen Server auf diese Art und Weise ausgenutzt werden konnten. Bedauerlicherweise dauert die gründliche Prüfung der Anbieter und Konfigurationen von über 5000 Servern auf der ganzen Welt Zeit. Ausgehend davon haben wir uns entschieden nicht die Öffentlichkeit zu informieren, solange wir nicht sicher sein konnten, dass ein Angriff nicht woanders in unserer Infrastruktur nachgeahmt werden könnte. Zu guter Letzt haben wir unsere Anforderungen an bestehende und zukünftige Partner für Rechenzentren erhöht um sicherzugehen, dass keine ähnlichen Sicherheitslücken jemals wieder auftreten können.
Wir wollen, dass unsere Nutzer und die Öffentlichkeit genau das Ausmaß des Angriffs verstehen und was dabei einem Risiko ausgesetzt war und was nicht. Die Sicherheitslücke betraf einen von über 3000 Servern, welche wir zu der Zeit hatten, für einen begrenzten Zeitraum, aber das ist keine Entschuldigung für einen ungeheuerlichen Fehler der niemals hätte begangen werden sollen. Unser Ziel ist es, nicht das Ausmaß und die Bedeutung dieser Sicherheitslücke zu untergraben. Wir hätten mehr dafür unternehmen sollen, unzuverlässige Anbieter für Server auszufiltern und die Sicherheit unserer Kunden zu gewährleisten.
Seit der Entdeckung der Sicherheitslücke haben wir alle notwendigen Maßnahmen getroffen, um unsere Sicherheit zu verbessern. Wir haben uns einem Audit zur Anwendungssicherheit unterzogen, arbeiten an einem zweiten “No-Logs” Audit und bereiten ein Bug-Bounty-Programm vor. Wir werden unser Bestes geben, um die Sicherheit von jedem Aspekt unseres Service zu maximieren. Zudem werden wir uns nächstes Jahr einer unabhängigen externen Prüfung unserer gesamten Infrastruktur unterziehen.
Unser Ziel ist es, die Öffentlichkeit über die Sicherheitslücke zu informieren. Das ist die einzige Möglichkeit wie wir uns von diesem maßgeblichen Rückschlag erholen und unsere Sicherheitsmaßnahmen weiter verschärfen können.
Bemerkung: Beitrag aktualisiert am 23.10.