Voor wie op zijn hoede is VPN klant van vandaag hangt zoveel af van een privacybelofte, die maar al te vaak door een bedrijf wordt gedaan zonder bewijs.
Een beleid waarbij geen logbestanden worden bijgehouden, moderne versleutelingsalgoritmen, het niet opslaan van gevoelige klantgegevens en volledig eigendom van de servers zijn slechts enkele van de kenmerken die bijdragen aan een sterke VPN. Toch zijn dit precies de kenmerken die eenindividuele klant vaak onmogelijkkan verifiëren.
Daarom is het zo belangrijk dat VPN meewerken aan een onafhankelijke audit, waarbij externe beveiligingsexperts de software en hardware kunnen beoordelen die een bedrijf heeft ontwikkeld en geïmplementeerd voor de werking VPN zijn VPN . Net zoals een woninginspectie tekenen van schade aan het licht brengt, legt eenVPN de beveiligingskwetsbaarheden bloot die schuilgaan in een van de belangrijkste privacytechnologieën van dit moment.
We zijn dan ook trots dat we hebben deelgenomen aan onze allereerste externe audit vande infrastructuur waarop zowelMalwarebytes Privacy VPN AzireVPN draaien– de twee VPN die wij beheren en onderhouden. Deze dubbele structuur is het resultaat van onzeovername van AzireVPN eind 2024. Beide producten maken gebruik van dezelfde serversoftware en -hardware om klanten VPN en versleutelingsdiensten te bieden.
Uit de controle van de softwareVPN Malwarebytes Privacy VPNis het volgende gebleken:
- 2 problemen met de status „Kritiek“
- 0 problemen met de status „Hoog“
- 2 problemen met de status „Gemiddeld“
- 2 problemen met de status „Laag“
Tijdens de audit werd de ernst van de problemen vastgesteld – variërend van ‘Kritiek’ tot ‘Laag’ – door technische scores toe te kennen die aansluiten bij Standard Common Vulnerability Scoring Standard CVSS). Dit branchebrede systeem wordt door beveiligingsonderzoekers over de hele wereld gebruikt om de ernst te meten van kwetsbaarheden die worden ontdekt in software, hardware en firmware. Hoe hoger het cijfer, hoe ernstiger de kwetsbaarheid.
Volgens het eindrapport:
“Over het algemeen bieden de systemen een hoog beveiligingsniveau en zijn ze goed toegerust om de privacy van gebruikers te waarborgen; in vergelijking met systemen van vergelijkbare omvang en complexiteit lijken ze een goed beveiligingsniveau te hebben. Tijdens onze beoordeling hebben we geen aanwijzingen gevonden dat gebruikersactiviteiten worden geregistreerd, en de toegang tot de systemen wordt streng gecontroleerd, waarbij geen onnodige toegang op afstand, lokaal of via SSH wordt geboden. Hoewel er kwetsbaarheden zijn vastgesteld, zijn de meeste daarvan al verholpen, waaronder één kritiek probleem, en worden de resterende punten momenteel opgelost.”
Zoals door de auditors is vastgesteld, hebben onze technici al één „kritieke“ kwetsbaarheid, twee „gemiddelde“ kwetsbaarheden en één „lage“ kwetsbaarheid verholpen. Ons team werkt ook actief aan het verhelpen van één resterende kritieke kwetsbaarheid en één resterende lage kwetsbaarheid in de softwarestack.
De kwesties
X41 D-Sec heeft twee kritieke problemen ontdekt.
Het eerste kritieke probleem, dat een CVSS-score van 9,4 kreeg, betreft de initiële configuratie en het gebruik van de servers die Malwarebytes voor zijn VPN Malwarebytes .
Wanneer een nieuwe server op het netwerk wordt aangesloten, Malwarebytes die server Malwarebytes om een zogenaamde „Debian-image“ te downloaden en te installeren. Dit is simpelweg een downloadbaar bestand waarmee het Debian-besturingssysteem op fysieke computerhardware wordt geïnstalleerd. Dit proces wordt dagelijks talloze keren herhaald in de IT-wereld om machines snel, betrouwbaar en verspreid over een netwerk in gebruik te kunnen nemen.
De onderzoekers ontdekten dat, hoewel de Debian-image via een beveiligde URL was gedownload, de handtekening van een klein stukje geverifieerde data – de zogenaamde checksum – niet was gevalideerd met behulp van de Debian-cd-ondertekeningssleutel.
Handtekeningen zijn van cruciaal belang in de softwarewereld, omdat ze aantonen dat een programma dat op een apparaat is gedownload, daadwerkelijk het programma is dat door de ontwikkelaar is uitgebracht. Zonder een degelijke handtekeningcontrole zou een aanvaller een gewijzigde versie van een programma kunnen verspreiden en de computer toch laten geloven dat het om een legitiem programma gaat.
We zijn ons bewust van de ernst van dit beveiligingslek en hebben al een oplossing geïmplementeerd.
Het tweede kritieke probleem, dat een CVSS-score van 9,3 kreeg, heeft eveneens betrekking op het gedrag van VPN Malwarebytesbij het opstarten.
Om verbinding te maken, maken VPN Malwarebytesgebruik van de Preboot Execution Environment (PXE) voor Linux, waarmee opstartbestanden via een netwerk kunnen worden geleverd en geïnstalleerd – in plaats van op te starten vanaf lokale bestanden. De beveiligingsonderzoekers waarschuwden dat dit proces “geen enkele vorm van cryptografische handtekening bevat, waardoor een ‘Man-in-the-Middle’-aanval ertoe kan leiden dat de code van een aanvaller op het clientsysteem wordt uitgevoerd.”
Voor een dergelijke aanval zou fysieke toegang tot de servers in onze datacenters nodig zijn. Toch beseffen we het belang van deze kwetsbaarheid en werken we eraan om deze te verhelpen.
De overige vier kwetsbaarheden brachten het risico op replay-aanvallen, misbruik van poortrelays, waarneembaar verkeer en een padding-orakel aan het licht, dat bij voldoende volharding kan worden misbruikt. Drie van deze kwetsbaarheden – met betrekking tot replay-aanvallen, waarneembaar verkeer en het padding-orakel – zijn al verholpen, en ons team werkt momenteel ook aan een oplossing voor de laatste kwetsbaarheid.
Transparant en toch privé
Er bestaat een misvatting dat online privacy alleen maar betekent dat je iets te verbergen hebt. Voor een VPN als Malwarebytes is de werkelijkheid juist het tegenovergestelde: wij helpen mensen hun online privacy te waarborgen door hen te laten zien waar we ons kunnen verbeteren.
Niet elk bedrijf laat een externe audit uitvoeren, en niet elk bedrijf is bereid de resultaten daarvan openbaar te maken. Naar verluidt vertoondemaar liefst 77% van Android ernstige tekortkomingen op het gebied van transparantie en verantwoording– een feit dat door de VPN-aanbieders zelf zelden wordt vermeld.
Maar wat bij dit streven – en voor ons – het belangrijkst is, is niet ons eigen ego. Het belangrijkste is uw privacy. We hopen dat u met deze resultaten een betere en beter onderbouwde beslissing kunt nemen over aan wie u uw internetverkeer en -activiteiten kunt toevertrouwen.
Malwarebytes het penetratietestbedrijf X41 D-Sec voor het uitvoeren van de audit, evenals de betrokken beveiligingsonderzoekers: Djamal Touazi, JM, Markus Vervier, Robert Femmer en Eric Sesterhenn.
Hieronder kunt u het volledige auditrapport lezen.
Surf alsof niemand kijkt.
Malwarebytes Privacy VPN je verbinding en houdt nooit bij wat je doet, zodat het volgende artikel dat je leest niet als iets persoonlijks hoeft te voelen.Probeer het gratis →
