Украинские власти конфисковали VPN-сервера Windscribe. Они оказались незашифрованны

1922

Компания Windscribe сообщила, что 24 июня 2021 года два ее VPN-сервера, находящиеся в Украине, на которых был запущен OpenVPN, были конфискованы украинскими органами власти. По каким причинам сервера были конфискованы, пока неизвестно.

Главная проблема в том, что находящиеся в Украине серверы на самом деле использовали устаревший стек вместо полноценного шифрования. Как отмечает ArsTechnica, из-за этого украинские спецслужбы гипотетически (доказательств этому пока нет) могли получить доступ к информации с серверов или даже перехватывать и расшифровывать трафик, использующийся системой.


Конфискация серверов

Windscribe сообщила, что 24 июня два украинских сервера исчезли из сети. Компания связалась с провайдером и выяснила, что серверы были конфискованы украинскими органами власти, расследующими «деятельность годичной давности».

«Хостинг-провайдер знал, но не сообщил нам о предварительном слушании, которое состоялось в начале этого (2021 — ред.) года, в ходе которого и было вынесено решение об аресте двух рассматриваемых серверов», — отмечают Windscribe.

В компании также отметили, что нет оснований полагать, что серверы были взломаны или что кто-то смог получить несанкционированный доступ к ним до конфискации. Кроме того, в первом релизе Windscribe подчеркнула, что не регистрирует трафик VPN и что никакие данные клиентов с этих серверов во время работы не подвергаются риску.

Редакция AIN.UA уже направила запрос в Киберполицию касательно этой конфискации и дальнейшей судьбы серверов, но на момент написания материала ответа не получила.

Незашифрованный VPN

Но после конфискации компании пришлось признаться, что на диске этих двух серверов был сертификат сервера OpenVPN и его закрытый ключ, а сами сервера не были зашифрованы должным образом.

«Хотя у нас есть зашифрованные серверы в регионах с высокой степенью защиты, на этих серверах был установлен устаревший стек и они не были зашифрованы», — признала Windscribe.

И хотя компания также заявила, что шанс попадания пользовательской информации в руки злоумышленников практически исключен, несмотря на отсутствие шифрование, издание ArsTechnica подчеркивает, что отказ от шифрования серверов идет вразрез со стандартной отраслевой практикой и это практически приравнивается к отказу от каких-либо гарантий безопасности для пользователей.

Как могли использоваться сервера после конфискации

Хотя компания попыталась преуменьшить влияние, изложив требования, которые злоумышленник должен будет удовлетворить, чтобы перехватить данные пользователя, именно для защиты от этих условий и предназначены VPN. В частности, как сообщили в Windscribe, условия для перехвата трафика следующие:

  • Злоумышленник контролирует вашу сеть и может перехватывать все коммуникации (привилегированное положение для атаки MITM);
  • Вы используете устаревший DNS-преобразователь (устаревший DNS-трафик не зашифрован и уязвим для MITM атак);
  • Злоумышленник имеет возможность манипулировать вашими незашифрованными DNS-запросами (DNS-записи, используемые для выбора IP-адреса одного из наших серверов) и сможет перенаправить его на конфискованный ранее сервер;
  • Вы НЕ используете приложения Windscribe (приложения подключаются через IP, а не через записи DNS).

Потенциальные риски для пользователя, если все вышеперечисленные условия выполняются следующие:

  • Злоумышленник сможет увидеть незашифрованный трафик внутри вашего VPN-туннеля;
  • Зашифрованные разговоры, такие как веб-трафик HTTPS или службы зашифрованных сообщений, не будут затронуты;
  • Злоумышленник сможет увидеть источник и назначения трафика.

Действия и последствия

Один из предпринятых шагов заключался в замене OpenVPN на аналог, который, по словам Windscribe, «следует лучшим отраслевым практикам» и включает использование промежуточного центра сертификации, а не только сертификацию сервера.

Кроме того, компания заявила, что также решила полностью перевести свои серверы в оперативную память, что означает, что у нее больше не будет резервной копии жесткого диска, а все данные будут стерты при перезагрузке или отключении сервера.

Однако компания так и не смогла зашифровать конфискованные в Украине VPN-серверы, а изменения в сертификацию, которые должны закрыть уязвимость, появившуюся после потери серверов, были закончены только 20 июля 2021 (сервера конфисковали почти месяцем ранее — 24 июня).

Как отмечает ArsTechnica, из-за этого нынешние «держатели» серверов могли легко выдавать себя за серверы Windscribe, а также захватывать и расшифровывать проходящий через них трафик.

Оставить комментарий

Комментарии | 0

Поиск