Violazioni VPN
NordVPN, TorGuard VPN e VikingVPN hanno subito violazioni della sicurezza. Ecco cosa è successo e cosa significa per i tuoi dati.
Se non sai cosa sia una VPN ti consiglio di leggere questo articolo in cui spiego di che si tratta.
La storia inizia mesi fa sulla bacheca anonima 8chan, dove un utente si vantava di aver compromesso NordVPN, TorGuard VPN e VikingVPN. I marchi si sono ben guardati dal divulgare la notizia per mesi fino pochi giorni fa, quando una tempesta di Twitter ha portato alla luce le accuse contro le compagnie.
Nel caso di NordVPN e TorGuard VPN, qualcuno è riuscito ad accedere ai server VPN noleggiati dalle società. Sia NordVPN che TorGuard hanno rilasciato dichiarazioni che delineano l’attacco. VikingVPN invece non aggiorna il suo blog da un po’ di tempo.
Quanto erano gravi queste violazioni VPN ?
Secondo la dichiarazione di NordVPN, un aggressore ha ottenuto l’accesso al suo server in Finlandia a marzo 2018 utilizzando una funzione di accesso remoto che è stata lasciata sul server. Il server è stato noleggiato da NordVPN, ma gestito da una società di terze parti. NordVPN afferma che la società server è stata negligente nel modo in cui ha gestito i suoi strumenti di accesso remoto. TorGuard non ha rivelato il metodo esatto utilizzato per accedere al proprio server, ma gli eventi sembrano essere collegati.
NordVPN afferma che l’hacker è stato in grado di ottenere la chiave di sicurezza utilizzata per verificare che un sito sia effettivamente gestito da NordVPN. TorGuard ha dichiarato di gestire le chiavi di certificazione in modo tale che non vengano archiviate direttamente sul server. Entrambe le società affermano di essere state in precedenza consapevoli dell’intrusione nei loro server e che avevano già preso provvedimenti per mitigare gli attacchi futuri. TorGuard VPN ha rivelato l’attacco poco dopo che ne è stato informato. NordVPN non ha rivelato pubblicamente il problema fino a pochi giorni fa.
È chiaro che l’hacker aveva un accesso privilegiato che non avrebbe dovuto essere disponibile per nessuno.
Le informazioni che sono state ottenute durante le violazioni VPN sono molto preziose, ma sia NordVPN che TorGuard hanno affermato che le informazioni sarebbero state difficili da usare in pratica.
Mentre sembra che l’uso delle informazioni rubate sarebbe stato difficile (è molto interessante il fatto che NordVPN e il suo concorrente TorGuard VPN siano d’accordo su questo punto), sono turbato dalla possibilità che l’hacker possa osservare il traffico. La buona notizia è che l’HTTPS è oggi più comune che mai, il che limiterebbe notevolmente ciò che l’hacker avrebbe potuto osservare, se avesse osservato qualcosa.
È anche un sollievo il fatto che l’hacker non sarebbe stato in grado di attribuire il traffico osservato ad utenti specifici collegati al server. Ma questo è solo un palliativo, in quanto rappresenta il completo fallimento di ciò che una società VPN dovrebbe fare.
Come pensare alle violazioni della sicurezza
NordVPN e TorGuard non sono certamente le prime aziende, o anche le prime società di sicurezza, a subire gravi violazioni o attacchi. In generale, il mio approccio alla valutazione dei prodotti che subiscono violazioni della sicurezza è giudicarli tanto dal modo in cui gestiscono la violazione quanto dalla gravità della violazione stessa.
Dopotutto, sono attesi attacchi contro qualsiasi organizzazione che memorizzi le informazioni dell’utente, che è ogni organizzazione. Potrebbero essere piccole, potrebbero essere enormi, ma alla fine qualcuno troverà un modo per entrare. Ciò che è più importante della prevenzione di una violazione è far fronte alle conseguenze.
In generale, NordVPN e TorGuard hanno entrambe buoni propositi, ma lasciano a desiderare per alcune cose. TorGuard ha rivelato la violazione a maggio , NordVPN non ha rivelato la violazione fino a quando non è esplosa su Twitter, apparentemente per garantire che l’attacco non potesse essere replicato su altri server. Una risposta tempestiva, trasparente, crea fiducia nei consumatori.
È facile giudicare severamente con il senno di poi.
Ma è chiaro che c’erano ulteriori misure di sicurezza che NordVPN avrebbe potuto utilizzare sui suoi server.
Le violazioni VPN e la loro divulgazione mostra un altro problema critico : la dipendenza da appaltatori di terze parti per fornire i server necessari per gestire l’azienda. NordVPN afferma che le pratiche lassiste della società che gestisce il datacenter da cui ha preso in affitto i suoi server sono state la fonte dell’intrusione. Non c’è nulla di apparentemente sbagliato nei server di leasing, ma ciò significa che anche una società VPN perfetta immaginaria potrebbe essere ostacolata da comportamenti negligenti da parte dell’operatore del server.
Entrambe le società hanno affermato di aver stretto legami con i rispettivi datacenter, anche se non è chiaro se entrambe le società abbiano utilizzato lo stesso fornitore. Alcune società VPN affermano di possedere i propri server, che potrebbe essere un’opzione più interessante in futuro.
NordVPN, da parte sua, afferma che sarà più esigente su chi fornirà la propria infrastruttura server. La società afferma inoltre che sarà sottoposta a un audit pubblico di terzi per convalidare la sicurezza dell’infrastruttura.
Cosa si può imparare da queste violazioni VPN?
Speriamo che altre società VPN facciano una verifica sulle loro pratiche e sui provider di server che usano. Questa esperienza è stata illuminante anche per me. Ho sempre cercato di imparare dagli sforzi fatti delle aziende VPN per proteggere i propri clienti. In futuro, è bene chiedere informazioni sulle politiche di gestione dei server, su come vengono archiviati i dati e su come le aziende si preparano per situazioni come questa.
Un osservatore esterno avrebbe difficoltà a verificare che una VPN stia effettivamente crittografando il traffico degli utenti per tutto il tempo ed è impossibile verificare che ogni singolo server sia configurato correttamente e in modo sicuro.
Ciò è notevolmente diverso rispetto ad altre parti del settore della sicurezza. Le società antivirus, ad esempio, hanno costituito l’AMTSO che consente alle persone di verificare il funzionamento delle loro applicazioni antivirus e hanno stabilito linee guida per le valutazioni di terze parti di tali prodotti.