- Mullvad ने नीदरलैंड की सुरक्षा कंपनी Radically Open Security(RoS) को VPN इन्फ्रास्ट्रक्चर का तीसरा ऑडिट सौंपा, जिसमें RAM पर चलने वाले 1 OpenVPN सर्वर और 1 WireGuard सर्वर की जांच की गई
- ऑडिट के दायरे में वे सर्वर थे जो Linux kernel 6.3.2 और Ubuntu 22.04 LTS आधारित कस्टम OS का इस्तेमाल करते थे; उन्हें production सर्वर की तरह deploy किया गया था, लेकिन वास्तविक customer access के लिए कभी इस्तेमाल नहीं किया गया
- RoS ने आंतरिक और बाहरी सर्वर सेटिंग्स तथा customer activity logging की मौजूदगी को verify किया, और customer data logging या information leak नहीं पाया
- penetration test में High 1, Elevated 6, Moderate 4, Low 10, info 4 findings आईं; मुख्य fixes जून 2023 के अंत में deploy की गईं और जुलाई में retest व verification हुआ
- Mullvad ने SSH admin access auditing को मजबूत करना, SSH हटाने की समीक्षा, और Telegraf authentication में सुधार किया; कुछ अतिरिक्त बदलाव बाद में deploy किए जाने हैं
ऑडिट का दायरा और सार्वजनिक रिपोर्ट
- Mullvad ने VPN इन्फ्रास्ट्रक्चर के लिए तीसरा security audit Radically Open Security को सौंपा
- यह ऑडिट RAM पर चलने वाले 2 VPN servers पर केंद्रित था
- 1 OpenVPN सर्वर
- 1 WireGuard सर्वर
- RoS ने जून 2023 के मध्य में ऑडिट पूरा किया, और कई fixes जून 2023 के अंत में deploy की गईं
- जुलाई 2023 में अतिरिक्त retesting और verification किया गया
- अंतिम रिपोर्ट ROS - Mullvad VPN 2023.pdf के रूप में सार्वजनिक की गई
टेस्ट सर्वर configuration और verification items
- RoS को RAM पर चलने वाले 2 VPN servers के लिए पूर्ण SSH access दिया गया
- ऑडिट के दायरे वाले servers ने हल्के किए गए नवीनतम Linux kernel 6.3.2 और Ubuntu 22.04 LTS आधारित कस्टम OS का इस्तेमाल किया
- ये servers customer-facing production servers की तरह provision और deploy किए गए थे, लेकिन वास्तविक customer access के लिए कभी इस्तेमाल नहीं हुए
- verification scope को तीन हिस्सों में बांटा गया
- सर्वर की internal security और configuration
- सर्वर की external security और configuration
- customer activity logging की मौजूदगी
- RoS ने system पर चलने वाले कई binaries के source code की जांच और hardware-level security review का भी सुझाव दिया, लेकिन Mullvad ने इन्हें बाहर रखा
- यह ऑडिट “system चलने और customers द्वारा इस्तेमाल किए जाने के बाद” की स्थिति तक सीमित था
कुल नतीजे
- RoS को customer data logging या information leak नहीं मिला
- टेस्ट के दायरे वाले Mullvad VPN relay को “mature architecture” दिखाने वाला माना गया
- इस penetration test में कुल 25 issues मिले
- High 1
- Elevated 6
- Moderate 4
- Low 10
- info 4
MLL-024: टेस्ट system पर exposed production multihop traffic
- MLL-024 को High severity issue के रूप में classify किया गया
- RoS ने माना कि production user traffic penetration test user को दिखाई दे सकता था
- ऑडिट के दायरे वाला सर्वर customer access के लिए public नहीं था, server list में advertise नहीं किया गया था, और users को उपलब्ध नहीं कराया गया था
- हालांकि ये servers WireGuard multihop feature से जुड़े हुए थे
- अगर customers IP scan करते, तो वे किसी दूसरे VPN server से जुड़े रहते हुए SOCKS5 proxy का इस्तेमाल करके उस server तक traffic भेज सकते थे
- इसे रोकने की कोई व्यवस्था नहीं थी
- RoS ने केवल WireGuard internal interface का IP verify किया
- यह interface केवल SOCKS5 multihop traffic के लिए इस्तेमाल होता है
- इसलिए यह entry-point WireGuard server से संबंधित है
- Mullvad का मानना है कि अगर production servers उपलब्ध नहीं कराए गए होते, तो यह production server audit के रूप में valid नहीं होता, और server पर customer traffic दिखने की स्थिति को रोकने का कोई तरीका नहीं था
MLL-019: systemd timer और directory permissions के जरिए root privilege escalation
- MLL-019 को Elevated severity issue के रूप में classify किया गया
- कम privilege वाला system account, systemd timer script की contents में बदलाव करके root privileges तक escalate कर सकता था
- Mullvad ने RoS से चर्चा के बाद मुख्य कारण nested home directories के इस्तेमाल और admin user के
madgroup में शामिल होने को माना - nested
/home/maddirectory structure RAM-based VPN servers से पहले के समय की legacy leftover थी - short-term measure के रूप में सभी admin users को
madgroup से हटा दिया गया - संबंधित scripts को
/opt/local_checksमें move किया गया, और RoS ने माना कि इस measure से समस्या हल हो जाती है
MLL-045: production machines पर admin access
- MLL-045 को Moderate severity issue के रूप में classify किया गया
- VPN server admin remote login की अनुमति देता था, जिससे admin तकनीकी रूप से production users के VPN traffic को tap कर सकता था
- Mullvad को इस issue की पहले से जानकारी थी, और RoS के साथ चर्चा से मौजूदा plan की फिर पुष्टि हुई
- planned measures दो हैं
- unauthorized logins को auditable बनाना और server पर इस्तेमाल किए गए सभी commands को arguments के बिना record करने वाला system implement करना
- SSH support को पूरी तरह हटाने के तरीके की जांच करना
- SSH हटने पर admin भी SSH के जरिए customer traffic logging enable नहीं कर सकेगा
- SSH हटाने का तरीका सही ढंग से करने में अधिक समय लगने की उम्मीद है
MLL-016: servers के बीच shared Telegraf password
- MLL-016 को Low severity issue के रूप में classify किया गया
- सभी VPN servers में shared Telegraf के Influx database credentials के कारण global server metrics में छेड़छाड़ संभव थी
- CPU usage
- disk usage
- network metrics
- Mullvad ने Hashicorp Vault की PKI infrastructure का उपयोग करके authentication के लिए client certificates introduce किए
- यह measure implement हो चुका है
- Mullvad infrastructure के अन्य हिस्सों में भी ऐसे certificates के इस्तेमाल की समीक्षा करेगा
आगे के बदलाव
- ऑडिट में मिले issues में से केवल कुछ interesting cases को summarize किया गया
- निकट भविष्य में और बदलाव deploy किए जाने की योजना है
1 टिप्पणियां
Hacker News की राय
Mullvad का यह रवैया सच में सम्मान के काबिल है कि वह बचे हुए ग्राहकों को अतिरिक्त सुरक्षा और स्थिरता देने के लिए कारोबारी नुकसान सहने को तैयार है
मुझे पहली बार इसका एहसास तब हुआ था जब उन्होंने PayPal auto-renewal बंद किया, क्योंकि auto-renewal बनाए रखने के लिए खाते के साथ निजी जानकारी सेव करनी पड़ती थी
हालांकि मेरे लिए एक बार त्याग कुछ ज़्यादा ही हो गया, और उन्होंने port forwarding disable कर दी। ग्राहकों को चेतावनी देने के लिए वे contact जानकारी सेव नहीं करते, इसलिए एक दिन connection अचानक fail हो गया, और मेरे पास कई महीनों की prepaid service बची रह गई
उस बात को लेकर थोड़ी कड़वाहट है, लेकिन उनकी technical writing और security decisions से जो goodwill बनी है वह काफी है, इसलिए मैं चाहता हूं कि वे पैसे रख लें। यह इकलौता VPN है जो संदिग्ध नहीं लगता, उम्मीद है यह अच्छा करे
https://mullvad.net/en/blog/2023/5/29/removing-the-support-f...
ऐसी किसी सुविधा को हटाने की सूचना सिर्फ़ 30 दिन पहले देना आम तौर पर वह तरीका नहीं है जिससे हम business चलाना चाहते हैं। मुझे लगता है कि जो ग्राहक इस feature पर निर्भर थे, वे feature हटने और जिस तरह इसे संभाला गया, दोनों से निराश हुए होंगे
फिर भी वह सही फैसला था। पिछले कुछ महीनों में इसका जिस तरह और जिस पैमाने पर दुरुपयोग हो रहा था, वह इतना बढ़ गया था कि हम इसे जारी नहीं रख सकते थे। यह feature बहुत पहले, और लंबी grace period के साथ हटाया जाना चाहिए था। ऐसा न कर पाना हमारी गलती थी, और आप सहित कुछ users को नुकसान हुआ
जिस prepaid service का इस्तेमाल अब नहीं किया जा सकता, उसके लिए बेशक आपको refund मिल सकता है
अगर आप port forwarding का उपयोग करके public internet से किसी service को accessible बनाना चाहते थे, तो ऐसे कई अच्छे hosting providers हैं जो खुशी से service देंगे
अगर आपका उद्देश्य service को accessible बनाते हुए anonymity बनाए रखना था, तो मैं Tor के onion service feature की ज़ोरदार सिफारिश करता हूं। इसे इसी use case को ध्यान में रखकर बनाया गया है
अगर उद्देश्य service को public internet से accessible बनाना और साथ ही anonymity बनाए रखना है, तो हमारे पास सुझाने लायक कोई अच्छा विकल्प नहीं है
port forwarding को नैतिक कारणों से हटाना ज़रूरी था। यह बड़े पैमाने की निगरानी और censorship को निष्प्रभावी करने के हमारे core mission में बहुत बड़ी बाधा बन रही थी
उम्मीद है यह स्पष्टीकरण आपकी निराशा पूरी तरह कम न भी करे, तो कम से कम कुछ स्पष्टता तो देगा
Fredrik Stromberg, Mullvad VPN के co-founder
Torrents इस्तेमाल करते समय भी port forwarding set करता था, लेकिन अब पता चला है कि इसके बिना भी Linux ISO डाउनलोड किए जा सकते हैं। Mullvad का काफी इस्तेमाल करता हूं, फिर भी इस पर खास ध्यान नहीं दिया
जानना चाहता हूं कि port forwarding बंद होने पर कब से मुझ पर असर पड़ेगा, यानी कौन से use cases रुक जाएंगे
अगर सच में shift हो गया होता, तो मैं भी उसी स्थिति में होता जहां intended तरीके से इस्तेमाल न हो सकने वाली बहुत सारी prepaid service बची रहती
Mullvad के founder ने email भेजा था तब join न करना मेरे career का सबसे बड़ा regret है
उनके values का बड़ा हिस्सा मेरे values से मेल खाता है, और सुविधा से ज़्यादा freedom को प्राथमिकता देने वाले tech enthusiasts दुर्भाग्य से बहुत दुर्लभ हैं। इसी वजह से हममें से ज़्यादातर लोग अमेरिकी सरकार के jurisdiction के तहत आने वाले बड़े cloud providers का इस्तेमाल करते हैं
पहले ही कह दूं, यह मेरे career में सचमुच समस्या बना है। Cloud providers को अमेरिकी sanctions का पालन करना होता है, इसलिए अगर कोई Cuba, Iran या Crimea से है तो वह मेरे बनाए games नहीं खेल सकता था। Russia और Ukraine में लोग legally हमारे games खरीद सकते हैं, लेकिन अगर वे occupied territory में हों तो play नहीं कर सकते—यह परेशान करने वाला था
बात थोड़ी भटक गई, लेकिन बाहर से देखने पर संदिग्ध न लगने वाली और freedom को महत्व देने वाली company देखना वाकई ताज़गी भरा है
यहां तक कि valid OFAC license होने पर भी कुछ access deny कर देते हैं। शायद access control lists complex होने की वजह से, और कुल मिलाकर सब कुछ बहुत inconsistent है
इसलिए 95% समय मैं एक खराब VPN चालू रखता हूं। क्योंकि मुझे अमेरिकी sanctions से भी बचना होता है और अपने देश की censorship machine से भी
दशकों पहले sanctions क्यों लगाए गए थे, यह कुछ हद तक समझता हूं, लेकिन नहीं जानता कि वह logic आज भी valid है या नहीं। दुख की बात है कि sanctions का सबसे ज़्यादा असर मेरे जैसे आम लोगों पर पड़ता है, ruling elite पर बिल्कुल नहीं
मुझे लगता था कि वह service छोटा business शुरू करने वाले लोगों की मदद कर सकती है, और शायद उनकी जिंदगी बेहतर कर सकती है
हालांकि कई लोग sanctions को act of war मानते हैं[0]। अगर ऐसा सोचें तो जाहिर है यह भयानक है। यह war है, और war जैसे परिणाम हमेशा ground पर मौजूद लोगों को दर्द देते हैं
अगर boss sanctions की वजह से geo-blocking implement करने को कहे, तो जितना जरूरी हो उतना ही करें, VPN users को भी block करने जैसी अति न करें। मतलब कानून न तोड़ें, लेकिन ground पर मौजूद लोगों के लिए internet access इस्तेमाल करना और मुश्किल भी न बनाएं
https://moderndiplomacy.eu/2022/06/29/economic-sanctions-as-...
पहले कहूँ तो, मेरे हिसाब से Mullvad सबसे अच्छा commercial VPN solution है और अच्छी privacy protection को ज़्यादा accessible बनाने का काम अच्छी तरह कर रहा है
लेकिन यहाँ कई comments VPN को आम तौर पर Internet privacy के जवाब की तरह सिर पर चढ़ाते दिखते हैं
मैं याद दिलाना चाहता हूँ कि VPN असल में मूल रूप से सिर्फ दो चीज़ों से बचाता है: Internet provider और endpoint. वह भी इस शर्त पर कि Internet provider कोई संदिग्ध analysis नहीं कर रहा हो
फिर भी इन दो चीज़ों को हटाना ही privacy protection के लिए बड़ा फायदा है, और यह ज़रूर किया जाना चाहिए
शीर्षक में Radically शब्द छूट गया है। “Open Security” मुझे नहीं पता था, लेकिन “Radically Open Security” वह जगह है जिसके लिए मैंने paper लिखा था
Edit: u/progbits मुझसे 1 मिनट तेज निकला https://news.ycombinator.com/item?id=37060828
बेशक, जिस system की जिम्मेदारी मेरी थी उसमें उन्हें कुछ comments के अलावा कुछ नहीं मिला। वे comments भी शायद उसी स्तर के थे जिसे static analysis tool ने improvement के लिए flag किया था और जिस पर हमने पहले ही explicitly comments डाल रखे थे। जैसे “यहाँ variable name बेहतर हो सकता है”, “guard clause इस्तेमाल करके simplify किया जा सकता है”
extreme हालात और लगभग बिना नींद के बनाया गया था, उस हिसाब से बुरा नहीं था। 6 महीने का baby, COVID, crunch, और दो busy छोटे बच्चे—सब साथ आ जाएँ तो नरक है
Mullvad एकमात्र mainstream VPN है जिसकी reliability को लेकर गंभीर रूप से संदिग्ध issues नहीं हैं
Proton VPN भी ठीक नहीं है। जिन लोगों ने trace किया, उन्होंने पाया कि यह बस NordVPN का white-label version है
कोई alternative नहीं है, इसलिए Mullvad integrity के अपने वादे को और मजबूती से आगे बढ़ा रहा है, इसके लिए आभारी हूँ
Edit: मैंने post history थोड़ी देखी, लगता है कई महीनों से यह दावा कर रहे हो लेकिन कोई सबूत नहीं दिया। suspicious है
“by Radically Open Security” है, HN title auto-removal फिर गड़बड़ा गया। क्या original poster title ठीक कर सकता है ताकि company name सही दिखे?
इस audit में लगता है सिर्फ testing के लिए operation servers review किए गए
devil’s advocate बनकर पूछूँ तो, Mullvad को Open Security team को logging functionality हटाया हुआ version देने से रोकता क्या है? मैं इतना skeptical नहीं होना चाहता, लेकिन अगर यह real audit है तो क्या customers द्वारा इस्तेमाल होने वाले servers review नहीं होने चाहिए? बेशक, इस तरह boundaries के साथ कि auditor information record न कर सके
हो सकता है मैं गलत हूँ, तो बता दें। लेकिन इस level की testing Mullvad के no-log claim को साबित करती है, इस पर मुझे भरोसा नहीं है
audit subject actively धोखा नहीं दे रहा या malicious नहीं है, इस पर कुछ हद तक trust चाहिए; वरना audit कभी भी random तरीके से हो सकना चाहिए
जहाँ attacker को production servers पर partial access मिलता है, उस threat model से यह relevant लगता है। उदाहरण के लिए accidental logging न हो, ऐसी चीज़ें। लेकिन Mullvad malicious code deploy करता है, उस threat model पर यह लागू नहीं होता
मुझे यह meaningful audit लगता है, लेकिन काश इस point को और explicitly बताया गया होता
बेशक VPS provider traffic का एक side देख सकता है, इसलिए यह perfect नहीं है, लेकिन mitigate किया जा सकता है
जिन लोगों के पास ऐसा करने का time नहीं है या तरीका नहीं पता, उनके लिए Mullvad अच्छा middle ground है। कम-से-कम façade बनाए रखने की कोशिश करते दिखना अच्छा है
उसके बाद production में इस्तेमाल हो रहे servers के audit तक बात जा सकती थी
active customer-facing server का audit करना हो तो auditor potential customer data record न करे, इसके लिए काफी controls ज़रूरी होंगे
Mullvad के लिए आगे मुश्किल भविष्य की कल्पना करना आसान है। बड़ी tech companies Mullvad के पूरे datacenter ranges block कर सकती हैं
Cloudflare और individual admins के बीच कुछ हद तक ऐसा पहले से हो रहा है, और लगता है Mullvad से connect करने पर ChatGPT use करना भी कभी-कभी block हो जाता है। कम-से-कम यह related तो लगता है
आखिरकार किसी चीज़ तक access करने या scraping करने के लिए संदिग्ध residential proxies की जरूरत पड़ सकती है
self-hosted VPS भी चल सकता है, अगर company इतनी छोटी हो कि आने वाले bulk blocks से बच सके, लेकिन यह तो समय ही बताएगा
पहले HN पर पढ़ा था कि Mullvad logs नहीं रखता था और authorities को देने के लिए उसके पास कोई logs नहीं थे, उसके बाद मैं Mullvad पर shift हो गया
link नहीं है, लेकिन वह impressive था, और ये audits उस फैसले के सही होने का और evidence हैं
details के लिए links देखें, लेकिन quote करूँ तो: “Rights Alliance और उसके security experts यह साबित नहीं कर पाए कि OVPN systems में ऐसी vulnerabilities हैं जिनका मतलब होगा कि logs store किए जा सकते हैं”
https://www.ovpn.com/en
https://www.ovpn.com/en/blog/ovpn-wins-court-order
कुछ समय पहले Mullvad के बारे में पता चला था, लगता है Mozilla के साथ उसका कोई contract था
खैर, service बेहतरीन है, और यह हैरान करने वाली बात है कि बिना तमाम बेकार procedures के सीधे service के लिए पैसे देना आजकल कितना दुर्लभ हो गया है
account बनाने के लिए यहां click करें, फिर ढेर सारे payment methods में से किसी एक से बस payment कर दें। इसमें डाक से cash payment भी शामिल है