- Mullvad ने अपने VPN इंफ्रास्ट्रक्चर से डिस्क उपयोग के सभी निशान हटा दिए हैं, जिससे सर्वर अब केवल RAM-only डिप्लॉयमेंट तरीके से चलते हैं
- यह काम 2022 की शुरुआत में
stbootbootloader-आधारित डिस्कलेस इंफ्रास्ट्रक्चर माइग्रेशन की घोषणा के बाद आगे बढ़ा और अब पूरा हुआ है - इस कॉन्फ़िगरेशन का 2022 और 2023 में दो बार ऑडिट किया गया था, और आगे होने वाले VPN सर्वर ऑडिट भी केवल RAM-only डिप्लॉयमेंट पर ही केंद्रित होंगे
- सर्वर mainline kernel development के साथ चलने वाले कस्टम हल्के Linux kernel का उपयोग करते हैं, ताकि नए फीचर्स और performance improvements शामिल किए जा सकें और अनावश्यक हिस्से हटाए जा सकें
- इस ऑपरेटिंग मॉडल का मुख्य बिंदु यह है कि reboot या पहली provisioning के समय नया kernel, log files के बिना स्थिति, और पूरी तरह patched OS सुनिश्चित किया जाए
डिस्कलेस VPN इंफ्रास्ट्रक्चर में बदलाव
- Mullvad ने घोषणा की कि उसने अपने VPN इंफ्रास्ट्रक्चर से डिस्क उपयोग के सभी निशान हटा दिए हैं
- 2022 की शुरुआत में
stbootbootloader का उपयोग करने वाले डिस्कलेस इंफ्रास्ट्रक्चर में माइग्रेशन शुरू होने की जानकारी देने के बाद से यह बदलाव जारी था - इस कॉन्फ़िगरेशन वाले VPN इंफ्रास्ट्रक्चर का दो बार ऑडिट किया गया
- आगे होने वाले VPN सर्वर ऑडिट केवल RAM-only डिप्लॉयमेंट को ही कवर करेंगे
kernel और boot OS कॉन्फ़िगरेशन
- सभी VPN सर्वर लगातार कस्टम रूप से काफी छोटे किए गए Linux kernel का उपयोग करते हैं
- kernel development mainline branch को follow करता है, ताकि नवीनतम versions लेकर नए features और performance improvements शामिल किए जा सकें
- अनावश्यक kernel components हटाकर हल्का कॉन्फ़िगरेशन बनाए रखा जाता है
- डिप्लॉयमेंट से पहले boot operating system का आकार 200MB से थोड़ा अधिक होता है
- जब सर्वर reboot होता है या पहली बार provision किया जाता है, तब निम्न स्थिति सुनिश्चित की जाती है
- नया build किया गया kernel
- log files का कोई निशान नहीं
- पूरी तरह patched OS
1 टिप्पणियां
Hacker News टिप्पणियाँ
सच में शानदार। सुरक्षा और पारदर्शिता की परवाह करने वाले VPN providers से उम्मीद होने लगती है कि वे Mullvad जैसा व्यवहार करें
कुछ providers influencers पर पैसा बहाते हैं ताकि वे कहें कि “हम सुरक्षा को गंभीरता से लेते हैं”, और कुछ असल में सुरक्षा सुधारने पर ध्यान देते हैं
संदर्भ के लिए, यह सब open source है: https://github.com/system-transparency/stboot
HTTPS सर्वशक्तिमान नहीं है, लेकिन YouTube ads चलाने वाली बड़ी VPN companies की fear marketing ऐसा दिखाती है मानो coffee shop से Amazon खोलने भर से कोई आपका credit card चुरा लेगा
मैंने Tom Scott को ही इस विषय पर ठीक-ठाक वीडियो बनाते देखा है [0]
[0] https://www.youtube.com/watch?v=WVDQEoe6ZWY
कोई predictable reaction उकसाने की कोशिश नहीं है, लेकिन यह दिलचस्प है कि तकनीकी रूप से सक्षम VPN providers diskless operation, kernel customization और stronger security जैसी जरूरतों के बावजूद BSD के बजाय Linux इस्तेमाल करते हैं
diskless के मामले में, मैंने diskless blade servers पर बेहद customized Ubuntu के साथ 25,000 से अधिक iPXE deployments operate किए हैं, और यह बहुत शानदार रहा
OS choice से अलग, diskless काफी अच्छा है। security issue हो या upgrade चाहिए, तो बस reboot कर दें। हालांकि 25,000 servers reboot करने में gigE पर भी काफी समय लगता है
इसे भरोसेमंद ढंग से संभालने वाला scheduling system बनाना काफी मेहनत का काम था, लेकिन नतीजा काफी अच्छा रहा
उन VPNs को लेकर जिज्ञासा होती है जो कहते हैं कि वे “logs नहीं रखते या store नहीं करते”। हो सकता है यह सच हो, लेकिन वे खुद store करने के बजाय law enforcement agencies या intelligence agencies वगैरह को real-time data stream भेज रहे हो सकते हैं
तब “हम logs नहीं रखते” कहना technically सही हो जाएगा
लेकिन OVPN जैसी companies भी हैं जिन्होंने अदालत में साबित किया है कि “no logs” सच है[1]
[1] https://www.ovpn.com/en/blog/ovpn-wins-court-order
system को security vulnerabilities और social engineering से, और पैसा·ideology·कमज़ोरी·अहंकार जैसे सामान्य psychological warfare tools समेत coercion से breach किया जा सकता है
या सरकार का legal order मिल सकता है। दुनिया की लगभग हर सरकार के पास money laundering और terrorism रोकने, यानी AML/CFT, के नाम पर किसी भी entity से data दिलवाने वाले कानून और operational practices हैं
ऐसे attacks के खिलाफ मजबूत defence बहुत महंगा होता है। $5/month fee में सामान्य operating costs और ऐसे incidents की response cost दोनों उठाने वाला viable business model मुझे नहीं दिखता
साथ ही, जो basic technology वे पहले से इस्तेमाल कर रहे होंगे उसमें built-in backdoors भी हैं। इस हफ्ते सामने आया Cavium HSM ऐसा ही एक example है
NYPD के बारे में बताया गया है कि उसने illegal million-dollar cellphone interception equipment खरीदा था, लेकिन अमेरिका की सबसे बड़ी municipal law enforcement agencies जिस स्तर तक पहुँचती हैं, वह भी आम तौर पर लगभग वहीं तक सीमित है
वैसे यह काम करेगा कैसे? अगर court का gag order न हो, तो कुछ ही हफ्तों में अंदर की अफवाह बाहर निकल जाएगी
cellphone-related equipment गुप्त रह पाया क्योंकि केवल police department employees शामिल थे, लेकिन VPN provider के साथ ऐसा तरीका संभव नहीं है। उनके पास CIA या NSA, और कभी-कभी FBI को मिलने वाले अनुचित privileges भी नहीं होते
मैं जो कर सकता हूँ उनमें से law enforcement की curiosity जगाने वाली चीजें federal intelligence agencies की interests से काफी नीचे हैं। बेशक आपकी ज़िंदगी ज्यादा दिलचस्प हो सकती है
VPN providers पर असर डालने वाली lawful interception obligations हैं या नहीं, यह संबंधित jurisdiction के laws देखकर समझना होगा। या शायद Mullvad इसे स्पष्ट कर सकता है
Sweden में सभी communication equipment पर lawful interception requirements निश्चित रूप से हैं, लेकिन VPN के बारे में मुझे ठीक से नहीं पता
मेरे हिसाब से यह ग्राहक की activity को VPN द्वारा record कर, फिर कहीं और भेजकर store करवाने जैसा है
VPN के बारे में मुझे हमेशा एक बात की जिज्ञासा रही है
मसलन, अगर कोई पीडोफाइल Mullvad इस्तेमाल करके प्रतिबंधित इमेज डाउनलोड करे, तो क्या VPN जिम्मेदार माना जाएगा?
कानून लागू कराने वाली एजेंसी तो देखेगी कि IP Mullvad के ऑफिस से आया है, तो क्या वे यह नहीं मानेंगे कि यह काम उन्हीं ने किया? मैं जानना चाहता हूँ कि वे इससे कैसे बचते हैं
सवाल बेवकूफी भरा हो सकता है, लेकिन सच में जानना चाहता हूँ
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-auth...
“लेकिन अगर वे कुछ ले भी गए होते, तो भी वे किसी ग्राहक की जानकारी तक पहुँच नहीं पाते।”
“स्वीडन में privacy-focused VPN service चलाने की अनुमति देने वाले घरेलू कानून ये हैं।”
यहीं “हम कोई logs नहीं रखते” वाला वाक्य और सिर्फ RAM में चलने वाला architecture अहम हो जाता है
warrant hardware ले जाने की अनुमति दे भी दे, तो power off होते ही सारा data गायब हो जाता है। कानून प्रवर्तन एजेंसियों को ढेर सारी batteries लानी पड़ेंगी
अगर आपको पुलिस को VPN और IP address समझाना पड़े, तो शुभकामनाएँ। मेरा डर यही है
“वे” बस equipment पर liquid nitrogen छिड़क सकते हैं, rack से निकाल सकते हैं, फिर DRAM को liquid nitrogen से भरे thermos में डालकर ले जा सकते हैं और data को धीरे-धीरे पढ़ सकते हैं
https://ieeexplore.ieee.org/document/8388826
इस feature को forward secrecy कहते हैं, और यह बाद में keys leak हो जाने पर भी पुराने traffic की रक्षा करता है
Mullvad द्वारा इस्तेमाल किया जाने वाला WireGuard इसे support करता है। किसी कारण से—यह अनुमान पाठक पर छोड़ता हूँ—Wi-Fi का WPA अब भी ऐसा नहीं करता
key CPU के अंदर होती है और हर boot पर randomize होती है। running RAM chips को sniff करने या पूरी तरह सुरक्षित रखी गई ठंडी RAM पढ़ने पर भी कुछ हासिल नहीं होगा
Xbox One के hack न हो पाने की एक बड़ी वजह भी यही थी
AMD-based business notebooks और AMD EPYC servers में BIOS से SME चालू किया जा सकता है
इसे “बस” करने के लिए agents को Mullvad के react करने से पहले building infrastructure पर लगभग पूरी तरह कब्जा करना होगा, जो कहने जितना आसान नहीं है
भले ही यह मामूली काम हो, competing VPN services की तुलना में यह फिर भी कई steps ऊपर का स्तर है
फिर भी यह hardware-based backdoors, या memory injection, supply chain जैसे दूसरे प्रकार के backdoors से real-time data निकालने वाले attacks को नहीं रोकता
उन्होंने कहा, “server reboot होने या पहली बार provision होने पर हमें भरोसा हो सकता है कि उसे नया build किया गया kernel मिलता है,” लेकिन मैं जानना चाहता हूँ कि यह cycle कितनी है
रोज, हर हफ्ते, या हर घंटे? cycle जितनी लंबी होगी, कुछ attack vectors की संभावना उतनी कम होगी
North America और Europe में VPN को कानूनी तौर पर VPN usage records, यानी visited sites या signup email आदि, 1–2 साल तक रखना पड़ता है
ज्यादातर VPN companies advertise करती हैं कि वे browsing logs नहीं रखतीं
तो वे European और US laws का उल्लंघन कर रही होंगी
इसलिए समझ नहीं आता कि diskless VPN को कैसे देखा जाए
comments में आया एक अच्छा point है कि virtual machines पूरी memory state का snapshot रख सकती हैं। इस बात का भी ध्यान रखना चाहिए
“नया build किया गया kernel, log file traces नहीं, पूरी तरह patched OS” हो, तो क्या disk को read-only mode में इस्तेमाल करने से भी वही effect नहीं मिल जाएगा?
और किसी third party के लिए audit करके यह साबित करना भी मुश्किल है कि वह switch सही तरह set था
उन्होंने कहा, “हमारे सभी VPN servers लगातार custom और बहुत कम किए गए Linux kernel का इस्तेमाल करते हैं, और kernel development की mainline branch को follow करते हैं,” लेकिन custom servers security के लिहाज से niche point हैं
सामान्य servers पर लगातार research और patches होते रहते हैं, लेकिन ऐसे servers से भी वही उम्मीद नहीं की जा सकती
अगर कोई security hole खोज ले, तो attacker उसे खरीद सकता है, और किसी को पता भी नहीं चलेगा कि system compromise हो चुका है