การตรวจสอบโครงสร้างพื้นฐานที่เสร็จสิ้นโดย Radically Open Security

 (mullvad.net)
2 คะแนน โดย GN⁺ 2023-08-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Radically Open Security (RoS) บริษัทด้านความปลอดภัยที่ตั้งอยู่ในเนเธอร์แลนด์ ได้เสร็จสิ้นการตรวจสอบโครงสร้างพื้นฐานของ Mullvad VPN
  • การตรวจสอบนี้มุ่งเน้นไปที่เซิร์ฟเวอร์ VPN ที่รันอยู่ใน RAM โดยเฉพาะ OpenVPN server หนึ่งเครื่องและ WireGuard server หนึ่งเครื่อง
  • นี่คือรายงานฉบับสุดท้ายของการตรวจสอบความปลอดภัยครั้งที่สาม ซึ่งสรุปผลในช่วงกลางเดือนมิถุนายน 2023 และมีการเผยแพร่การแก้ไขในช่วงปลายเดือนมิถุนายน 2023
  • RoS พบปัญหาบางส่วนรวมถึงข้อค้นพบใหม่หลายรายการ แต่รีเลย์ของ Mullvad VPN แสดงให้เห็นถึงสถาปัตยกรรมที่มีความสมบูรณ์สูง และไม่พบการบันทึกข้อมูลกิจกรรมของผู้ใช้
  • RoS ได้รับสิทธิ์ SSH แบบเต็มสำหรับเซิร์ฟเวอร์ VPN ทั้งสองเครื่องที่รันใน RAM ซึ่งใช้ Linux kernel แบบลดขนาด (6.3.2) และระบบปฏิบัติการแบบกำหนดเองที่อิง Ubuntu 22.04 LTS
  • การตรวจสอบนี้มีเป้าหมายเพื่อตรวจสอบความปลอดภัยและการตั้งค่าทั้งภายในและภายนอกของเซิร์ฟเวอร์ รวมถึงยืนยันว่ามีการบันทึกกิจกรรมของลูกค้าหรือไม่
  • RoS ไม่พบการรั่วไหลของข้อมูลหรือการบันทึกข้อมูลลูกค้า และระหว่างการทดสอบเจาะระบบพบปัญหา 1 รายการระดับวิกฤต, 6 รายการระดับสูง, 4 รายการระดับกลาง, 10 รายการระดับต่ำ และ 4 รายการระดับข้อมูลประกอบ
  • หนึ่งในปัญหาระดับวิกฤตคือ ผู้ใช้สำหรับการทดสอบเจาะระบบบนระบบทดสอบสามารถมองเห็นทราฟฟิกของผู้ใช้จริงที่ถูกสร้างขึ้นได้
  • ปัญหาระดับสูงคือความเป็นไปได้ที่บัญชีระบบสิทธิ์ต่ำจะสามารถแก้ไขเนื้อหาของสคริปต์ systemd timer เพื่อยกระดับสิทธิ์เป็น root ได้
  • ปัญหาระดับกลางคือผู้ดูแลระบบสามารถเข้าถึงทราฟฟิก VPN ของผู้ใช้จริงได้
  • ปัญหาระดับต่ำคือข้อมูลรับรอง Influx database ที่ใช้ร่วมกันซึ่ง Telegraf ใช้ระหว่างเซิร์ฟเวอร์ VPN ทำให้สามารถแก้ไขเมตริกของเซิร์ฟเวอร์ทั่วทั้งระบบได้
  • Mullvad VPN ได้ดำเนินการแก้ไขปัญหาเหล่านี้แล้ว และมีแผนจะเผยแพร่การเปลี่ยนแปลงเพิ่มเติมในอนาคตอันใกล้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-08-10
ความคิดเห็นจาก Hacker News
  • Mullvad ผู้ให้บริการ VPN ได้รับคำชื่นชมจากความมุ่งมั่นด้านความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ แม้ต้องแลกกับความสะดวกทางธุรกิจ
  • บริษัทตัดสินใจอย่างเช่นปิดการต่ออายุอัตโนมัติกับ PayPal เพื่อหลีกเลี่ยงการจัดเก็บข้อมูลที่สามารถระบุตัวบุคคลได้
  • เอกสารทางเทคนิคและการตัดสินใจด้านความปลอดภัยของ Mullvad ได้รับความชื่นชอบจากผู้ใช้ แม้จะมีการตัดสินใจที่เป็นข้อถกเถียง เช่น การปิดใช้งาน port forwarding
  • Mullvad เป็นบริษัทที่ให้ความสำคัญกับเสรีภาพมากกว่าความสะดวก ซึ่งเป็นคุณลักษณะที่พบได้ยากในหมู่ผู้ชื่นชอบเทคโนโลยี
  • ผู้ใช้บางส่วนมองว่า Mullvad เป็นโซลูชัน VPN เชิงพาณิชย์ที่ดีที่สุด และทำให้การปกป้องความเป็นส่วนตัวเข้าถึงได้ง่ายขึ้น
  • อย่างไรก็ตาม มีการชี้ให้เห็นว่า VPN ไม่ใช่คำตอบทั้งหมดของความเป็นส่วนตัวบนอินเทอร์เน็ต แต่ยังคงช่วยปกป้องจาก ISP และปลายทางได้
  • Mullvad ได้รับการยอมรับว่าเป็น VPN กระแสหลักรายเดียวที่ไม่มีความน่าเชื่อถือที่น่าสงสัย เมื่อเทียบกับผู้ให้บริการรายอื่นอย่าง Proton VPN
  • มีความกังวลเกี่ยวกับกระบวนการตรวจสอบ โดยผู้ใช้บางส่วนตั้งคำถามว่าการตรวจสอบได้พิจารณาเซิร์ฟเวอร์ที่ให้บริการลูกค้าจริงหรือไม่ หรือเพียงตรวจดูเซิร์ฟเวอร์ทดสอบสำหรับโปรดักชันเท่านั้น
  • แตกต่างจาก Tor และเครือข่าย overlay อื่น ๆ ที่ดำเนินงานอย่างชัดเจน Mullvad ไม่ได้ตกเป็นเป้าของแคมเปญใส่ร้ายหรือบทความข่าวที่มีอคติ
  • ผู้ใช้บางส่วนแสดงความกังวลว่า Mullvad อาจเผชิญความท้าทายในอนาคต หากบริษัทเทคโนโลยีขนาดใหญ่ตัดสินใจจำกัดศูนย์ข้อมูลของตนให้อยู่ในขอบเขต
  • แนวคิดการชำระเงินตามระยะเวลาการใช้งานของ Mullvad ได้รับความชื่นชอบจากผู้ใช้