Radically Open Security द्वारा पूरा किया गया इंफ्रास्ट्रक्चर ऑडिट

 (mullvad.net)
2 पॉइंट द्वारा GN⁺ 2023-08-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • नीदरलैंड्स स्थित सुरक्षा कंपनी Radically Open Security(RoS) ने Mullvad VPN का इंफ्रास्ट्रक्चर ऑडिट पूरा किया है.
  • यह ऑडिट RAM में चलने वाले VPN सर्वरों पर केंद्रित था, खास तौर पर एक OpenVPN सर्वर और एक WireGuard सर्वर पर.
  • यह तीसरे सुरक्षा ऑडिट की अंतिम रिपोर्ट थी, जो जून 2023 के मध्य में निष्कर्षित हुई, और सुधार जून 2023 के अंत में डिप्लॉय किए गए.
  • RoS ने कुछ नए निष्कर्षों सहित कुछ समस्याएँ पाईं, लेकिन Mullvad VPN रिले ने एक परिपक्व आर्किटेक्चर दिखाया और उपयोगकर्ता गतिविधि डेटा की कोई लॉगिंग नहीं पाई गई.
  • RoS को RAM में चल रहे दोनों VPN सर्वरों के लिए पूर्ण SSH access दिया गया था, जो एक संकुचित Linux kernel(6.3.2) और कस्टम Ubuntu 22.04 LTS-आधारित OS का उपयोग कर रहे थे.
  • इस ऑडिट का उद्देश्य सर्वरों की आंतरिक और बाहरी सुरक्षा तथा कॉन्फ़िगरेशन की पुष्टि करना, और यह जांचना था कि क्या ग्राहक गतिविधि लॉग की जा रही है.
  • RoS को ग्राहक डेटा के सूचना-लीक या लॉगिंग का कोई प्रमाण नहीं मिला, और penetration test के दौरान 1 high-risk, 6 upper-risk, 4 medium-risk, 10 low-risk, और 4 informational-severity समस्याएँ मिलीं.
  • high-risk समस्याओं में से एक यह थी कि टेस्ट सिस्टम पर pentest user को वास्तविक उपयोगकर्ता ट्रैफ़िक दिखाई दे रहा था.
  • upper-risk समस्या यह थी कि कम-विशेषाधिकार वाला system account systemd timer script की सामग्री में हेरफेर करके root privileges तक पहुँच सकता था.
  • medium-risk समस्या यह थी कि एडमिन वास्तविक उपयोगकर्ताओं के VPN ट्रैफ़िक तक पहुँच सकते थे.
  • low-risk समस्या Telegraf द्वारा VPN सर्वरों के बीच उपयोग किए जाने वाले साझा Influx database credentials से संबंधित थी, जिनसे वैश्विक सर्वर metrics में हेरफेर किया जा सकता था.
  • Mullvad VPN ने इन समस्याओं के लिए सुधार लागू कर दिए हैं और निकट भविष्य में और बदलाव डिप्लॉय करने की योजना बना रहा है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-08-10
Hacker News टिप्पणियाँ
  • VPN सेवा प्रदाता Mullvad को, व्यावसायिक सुविधा की कीमत पर भी, उपयोगकर्ताओं की गोपनीयता और सुरक्षा के प्रति उसकी प्रतिबद्धता के लिए सराहा गया।
  • कंपनी ने व्यक्तिगत पहचान योग्य जानकारी स्टोर न करने के लिए PayPal के साथ auto-renewal को disable करने जैसे फैसले लिए।
  • Mullvad का तकनीकी documentation और security decisions, port forwarding disable करने जैसे विवादास्पद फैसलों के बावजूद, उपयोगकर्ताओं के बीच पसंद किए जाते हैं।
  • Mullvad को सुविधा से अधिक आज़ादी को महत्व देने वाली कंपनी माना जाता है, जो tech enthusiasts के बीच एक दुर्लभ गुण है।
  • कुछ उपयोगकर्ता Mullvad को सबसे अच्छा commercial VPN solution मानते हैं, जो privacy को अधिक सुलभ बनाता है।
  • हालांकि यह भी बताया गया कि VPN, internet privacy का पूर्ण समाधान नहीं है, लेकिन यह ISP और endpoint के खिलाफ सुरक्षा देता है।
  • Mullvad को Proton VPN जैसे अन्य providers की तुलना में संदिग्ध विश्वसनीयता से मुक्त एकमात्र mainstream VPN के रूप में मान्यता दी गई।
  • audit process को लेकर चिंताएँ हैं; कुछ उपयोगकर्ताओं ने सवाल उठाया कि क्या audit में customer-facing servers की समीक्षा की गई थी, या केवल test production servers की।
  • Tor और अन्य overlay networks के विपरीत, Mullvad स्पष्ट रूप से संचालित होता रहा है और वह smear campaigns या पक्षपाती news articles का निशाना नहीं बना।
  • कुछ उपयोगकर्ताओं ने चिंता जताई कि यदि बड़ी tech companies अपने data centers को दायरे तक सीमित करने का फैसला करती हैं, तो Mullvad को आगे चुनौतियों का सामना करना पड़ सकता है।
  • उपयोग किए गए समय के हिसाब से भुगतान करने की Mullvad की अवधारणा को भी उपयोगकर्ताओं ने पसंद किया।