1 पॉइंट द्वारा GN⁺ 2023-09-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Mullvad ने अपने VPN इंफ्रास्ट्रक्चर से डिस्क उपयोग के सभी निशान हटा दिए हैं, जिससे सर्वर अब केवल RAM-only डिप्लॉयमेंट तरीके से चलते हैं
  • यह काम 2022 की शुरुआत में stboot bootloader-आधारित डिस्कलेस इंफ्रास्ट्रक्चर माइग्रेशन की घोषणा के बाद आगे बढ़ा और अब पूरा हुआ है
  • इस कॉन्फ़िगरेशन का 2022 और 2023 में दो बार ऑडिट किया गया था, और आगे होने वाले VPN सर्वर ऑडिट भी केवल RAM-only डिप्लॉयमेंट पर ही केंद्रित होंगे
  • सर्वर mainline kernel development के साथ चलने वाले कस्टम हल्के Linux kernel का उपयोग करते हैं, ताकि नए फीचर्स और performance improvements शामिल किए जा सकें और अनावश्यक हिस्से हटाए जा सकें
  • इस ऑपरेटिंग मॉडल का मुख्य बिंदु यह है कि reboot या पहली provisioning के समय नया kernel, log files के बिना स्थिति, और पूरी तरह patched OS सुनिश्चित किया जाए

डिस्कलेस VPN इंफ्रास्ट्रक्चर में बदलाव

  • Mullvad ने घोषणा की कि उसने अपने VPN इंफ्रास्ट्रक्चर से डिस्क उपयोग के सभी निशान हटा दिए हैं
  • 2022 की शुरुआत में stboot bootloader का उपयोग करने वाले डिस्कलेस इंफ्रास्ट्रक्चर में माइग्रेशन शुरू होने की जानकारी देने के बाद से यह बदलाव जारी था
  • इस कॉन्फ़िगरेशन वाले VPN इंफ्रास्ट्रक्चर का दो बार ऑडिट किया गया
  • आगे होने वाले VPN सर्वर ऑडिट केवल RAM-only डिप्लॉयमेंट को ही कवर करेंगे

kernel और boot OS कॉन्फ़िगरेशन

  • सभी VPN सर्वर लगातार कस्टम रूप से काफी छोटे किए गए Linux kernel का उपयोग करते हैं
  • kernel development mainline branch को follow करता है, ताकि नवीनतम versions लेकर नए features और performance improvements शामिल किए जा सकें
  • अनावश्यक kernel components हटाकर हल्का कॉन्फ़िगरेशन बनाए रखा जाता है
  • डिप्लॉयमेंट से पहले boot operating system का आकार 200MB से थोड़ा अधिक होता है
  • जब सर्वर reboot होता है या पहली बार provision किया जाता है, तब निम्न स्थिति सुनिश्चित की जाती है
    • नया build किया गया kernel
    • log files का कोई निशान नहीं
    • पूरी तरह patched OS

1 टिप्पणियां

 
GN⁺ 2023-09-21
Hacker News टिप्पणियाँ
  • सच में शानदार। सुरक्षा और पारदर्शिता की परवाह करने वाले VPN providers से उम्मीद होने लगती है कि वे Mullvad जैसा व्यवहार करें
    कुछ providers influencers पर पैसा बहाते हैं ताकि वे कहें कि “हम सुरक्षा को गंभीरता से लेते हैं”, और कुछ असल में सुरक्षा सुधारने पर ध्यान देते हैं
    संदर्भ के लिए, यह सब open source है: https://github.com/system-transparency/stboot

    • इससे थोड़ा अलग बात, लेकिन मुझे हमेशा खटकता है कि बड़े VPN providers ऐसे बात करते हैं मानो users जिन sites पर जाते हैं उनमें से ज़्यादातर HTTPS नहीं हैं, और वे ऐसे advertise करते हैं जैसे HTTPS जिन gaps को पहले ही भरता है उन्हें भरना ही उनका मुख्य फायदा हो
      HTTPS सर्वशक्तिमान नहीं है, लेकिन YouTube ads चलाने वाली बड़ी VPN companies की fear marketing ऐसा दिखाती है मानो coffee shop से Amazon खोलने भर से कोई आपका credit card चुरा लेगा
      मैंने Tom Scott को ही इस विषय पर ठीक-ठाक वीडियो बनाते देखा है [0]
      [0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
    • stboot और supporting components, documentation का काम अलग GitLab पर move हो गया है: https://git.glasklar.is/system-transparency/core/stboot
  • कोई predictable reaction उकसाने की कोशिश नहीं है, लेकिन यह दिलचस्प है कि तकनीकी रूप से सक्षम VPN providers diskless operation, kernel customization और stronger security जैसी जरूरतों के बावजूद BSD के बजाय Linux इस्तेमाल करते हैं

    • मेरे हिसाब से Linux को अंदर-बाहर जानने वाले लोगों को hire करने का pool कहीं बड़ा है। यह फायदा perceived security issues का risk लेने लायक है
      diskless के मामले में, मैंने diskless blade servers पर बेहद customized Ubuntu के साथ 25,000 से अधिक iPXE deployments operate किए हैं, और यह बहुत शानदार रहा
      OS choice से अलग, diskless काफी अच्छा है। security issue हो या upgrade चाहिए, तो बस reboot कर दें। हालांकि 25,000 servers reboot करने में gigE पर भी काफी समय लगता है
      इसे भरोसेमंद ढंग से संभालने वाला scheduling system बनाना काफी मेहनत का काम था, लेकिन नतीजा काफी अच्छा रहा
    • ऐसे use case के लिए कोई बेहतर BSD है?
  • उन VPNs को लेकर जिज्ञासा होती है जो कहते हैं कि वे “logs नहीं रखते या store नहीं करते”। हो सकता है यह सच हो, लेकिन वे खुद store करने के बजाय law enforcement agencies या intelligence agencies वगैरह को real-time data stream भेज रहे हो सकते हैं
    तब “हम logs नहीं रखते” कहना technically सही हो जाएगा

    • bad actors तो अनिवार्य रूप से हो सकते हैं
      लेकिन OVPN जैसी companies भी हैं जिन्होंने अदालत में साबित किया है कि “no logs” सच है[1]
      [1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
    • ईमानदार company पर भी दबाव दो तरफ से होता है। एक security और दूसरा legal pressure
      system को security vulnerabilities और social engineering से, और पैसा·ideology·कमज़ोरी·अहंकार जैसे सामान्य psychological warfare tools समेत coercion से breach किया जा सकता है
      या सरकार का legal order मिल सकता है। दुनिया की लगभग हर सरकार के पास money laundering और terrorism रोकने, यानी AML/CFT, के नाम पर किसी भी entity से data दिलवाने वाले कानून और operational practices हैं
      ऐसे attacks के खिलाफ मजबूत defence बहुत महंगा होता है। $5/month fee में सामान्य operating costs और ऐसे incidents की response cost दोनों उठाने वाला viable business model मुझे नहीं दिखता
      साथ ही, जो basic technology वे पहले से इस्तेमाल कर रहे होंगे उसमें built-in backdoors भी हैं। इस हफ्ते सामने आया Cavium HSM ऐसा ही एक example है
    • मुझे नहीं लगता कि Houston Police Department हो या किसी भी शहर की police, वे NSA-style fiber backbone data vacuuming operation चलाने जितनी sophisticated होंगी
      NYPD के बारे में बताया गया है कि उसने illegal million-dollar cellphone interception equipment खरीदा था, लेकिन अमेरिका की सबसे बड़ी municipal law enforcement agencies जिस स्तर तक पहुँचती हैं, वह भी आम तौर पर लगभग वहीं तक सीमित है
      वैसे यह काम करेगा कैसे? अगर court का gag order न हो, तो कुछ ही हफ्तों में अंदर की अफवाह बाहर निकल जाएगी
      cellphone-related equipment गुप्त रह पाया क्योंकि केवल police department employees शामिल थे, लेकिन VPN provider के साथ ऐसा तरीका संभव नहीं है। उनके पास CIA या NSA, और कभी-कभी FBI को मिलने वाले अनुचित privileges भी नहीं होते
      मैं जो कर सकता हूँ उनमें से law enforcement की curiosity जगाने वाली चीजें federal intelligence agencies की interests से काफी नीचे हैं। बेशक आपकी ज़िंदगी ज्यादा दिलचस्प हो सकती है
    • lawful interception systems 1990s से इसी तरह काम करते आए हैं
      VPN providers पर असर डालने वाली lawful interception obligations हैं या नहीं, यह संबंधित jurisdiction के laws देखकर समझना होगा। या शायद Mullvad इसे स्पष्ट कर सकता है
      Sweden में सभी communication equipment पर lawful interception requirements निश्चित रूप से हैं, लेकिन VPN के बारे में मुझे ठीक से नहीं पता
    • यह logs रखने की काफी अनोखी व्याख्या लगती है
      मेरे हिसाब से यह ग्राहक की activity को VPN द्वारा record कर, फिर कहीं और भेजकर store करवाने जैसा है
  • VPN के बारे में मुझे हमेशा एक बात की जिज्ञासा रही है
    मसलन, अगर कोई पीडोफाइल Mullvad इस्तेमाल करके प्रतिबंधित इमेज डाउनलोड करे, तो क्या VPN जिम्मेदार माना जाएगा?
    कानून लागू कराने वाली एजेंसी तो देखेगी कि IP Mullvad के ऑफिस से आया है, तो क्या वे यह नहीं मानेंगे कि यह काम उन्हीं ने किया? मैं जानना चाहता हूँ कि वे इससे कैसे बचते हैं
    सवाल बेवकूफी भरा हो सकता है, लेकिन सच में जानना चाहता हूँ

    • Mullvad पर असल में एक मिलते-जुलते मामले में पुलिस ने छापा मारा था, और इसका विवरण यहाँ है:
      https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
      “लेकिन अगर वे कुछ ले भी गए होते, तो भी वे किसी ग्राहक की जानकारी तक पहुँच नहीं पाते।”
      “स्वीडन में privacy-focused VPN service चलाने की अनुमति देने वाले घरेलू कानून ये हैं।”
    • मैं वकील नहीं हूँ, लेकिन मेरी समझ में यह आम तौर पर Section 230 के दायरे में आता है। क्योंकि वही तर्क Comcast, AT&T आदि जैसे उन providers पर भी लागू हो सकता है जिनके infrastructure से bytes गुजरते हैं
    • तब जांच बस VPN service को warrant या subpoena भेजकर उस account के user details और logs जैसे relevant material मांगने की दिशा में आगे बढ़ेगी
      यहीं “हम कोई logs नहीं रखते” वाला वाक्य और सिर्फ RAM में चलने वाला architecture अहम हो जाता है
      warrant hardware ले जाने की अनुमति दे भी दे, तो power off होते ही सारा data गायब हो जाता है। कानून प्रवर्तन एजेंसियों को ढेर सारी batteries लानी पड़ेंगी
    • बच नहीं पाते। इसलिए एक समय उन पर पुलिस raid हुई थी, और इसी वजह से उन्होंने अब port forwarding देना बंद कर दिया है
    • लेकिन मान लीजिए आपने उस VPN में login करके बच्चों के लिए sweater खोजा और session चालू ही छोड़ दिया। इसी बीच कानून प्रवर्तन एजेंसी पिछली activity से जुड़े IP को lookup करती है, और वह IP अब आपको assign हो चुका है
      अगर आपको पुलिस को VPN और IP address समझाना पड़े, तो शुभकामनाएँ। मेरा डर यही है
  • “वे” बस equipment पर liquid nitrogen छिड़क सकते हैं, rack से निकाल सकते हैं, फिर DRAM को liquid nitrogen से भरे thermos में डालकर ले जा सकते हैं और data को धीरे-धीरे पढ़ सकते हैं
    https://ieeexplore.ieee.org/document/8388826

    • आधुनिक encryption protocols में ऐसा करने पर भी कुछ हासिल नहीं होता
      इस feature को forward secrecy कहते हैं, और यह बाद में keys leak हो जाने पर भी पुराने traffic की रक्षा करता है
      Mullvad द्वारा इस्तेमाल किया जाने वाला WireGuard इसे support करता है। किसी कारण से—यह अनुमान पाठक पर छोड़ता हूँ—Wi-Fi का WPA अब भी ऐसा नहीं करता
    • AMD processors SME नाम की encrypted RAM support करते हैं[1]
      key CPU के अंदर होती है और हर boot पर randomize होती है। running RAM chips को sniff करने या पूरी तरह सुरक्षित रखी गई ठंडी RAM पढ़ने पर भी कुछ हासिल नहीं होगा
      Xbox One के hack न हो पाने की एक बड़ी वजह भी यही थी
      AMD-based business notebooks और AMD EPYC servers में BIOS से SME चालू किया जा सकता है
      1. https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
    • यहाँ “बस” शब्द बहुत कुछ अपने ऊपर ले रहा है
      इसे “बस” करने के लिए agents को Mullvad के react करने से पहले building infrastructure पर लगभग पूरी तरह कब्जा करना होगा, जो कहने जितना आसान नहीं है
      भले ही यह मामूली काम हो, competing VPN services की तुलना में यह फिर भी कई steps ऊपर का स्तर है
    • यह SSD निकालकर log files पढ़ने से कहीं ज्यादा काम लगता है, और गलती की संभावना भी बहुत अधिक दिखती है
  • फिर भी यह hardware-based backdoors, या memory injection, supply chain जैसे दूसरे प्रकार के backdoors से real-time data निकालने वाले attacks को नहीं रोकता
    उन्होंने कहा, “server reboot होने या पहली बार provision होने पर हमें भरोसा हो सकता है कि उसे नया build किया गया kernel मिलता है,” लेकिन मैं जानना चाहता हूँ कि यह cycle कितनी है
    रोज, हर हफ्ते, या हर घंटे? cycle जितनी लंबी होगी, कुछ attack vectors की संभावना उतनी कम होगी

  • North America और Europe में VPN को कानूनी तौर पर VPN usage records, यानी visited sites या signup email आदि, 1–2 साल तक रखना पड़ता है
    ज्यादातर VPN companies advertise करती हैं कि वे browsing logs नहीं रखतीं
    तो वे European और US laws का उल्लंघन कर रही होंगी
    इसलिए समझ नहीं आता कि diskless VPN को कैसे देखा जाए

  • comments में आया एक अच्छा point है कि virtual machines पूरी memory state का snapshot रख सकती हैं। इस बात का भी ध्यान रखना चाहिए

  • “नया build किया गया kernel, log file traces नहीं, पूरी तरह patched OS” हो, तो क्या disk को read-only mode में इस्तेमाल करने से भी वही effect नहीं मिल जाएगा?

    • आजकल disks में हमेशा read-only switch नहीं होता। floppy disk की physical notch याद आती है
      और किसी third party के लिए audit करके यह साबित करना भी मुश्किल है कि वह switch सही तरह set था
  • उन्होंने कहा, “हमारे सभी VPN servers लगातार custom और बहुत कम किए गए Linux kernel का इस्तेमाल करते हैं, और kernel development की mainline branch को follow करते हैं,” लेकिन custom servers security के लिहाज से niche point हैं
    सामान्य servers पर लगातार research और patches होते रहते हैं, लेकिन ऐसे servers से भी वही उम्मीद नहीं की जा सकती
    अगर कोई security hole खोज ले, तो attacker उसे खरीद सकता है, और किसी को पता भी नहीं चलेगा कि system compromise हो चुका है