Para quem gosta de ter cuidado VPN de hoje, muito depende de uma promessa de privacidade, feita, com demasiada frequência, por uma empresa sem comprovação.
Políticas de não registro de logs, algoritmos modernos de criptografia, a recusa em armazenar informações confidenciais dos clientes e a propriedade total dos servidores são apenas algumas das características que contribuem para uma VPN robusta. No entanto, são justamente essas características que muitas vezes são impossíveisde serem confirmadas por qualquercliente individual.
É por isso que é tão importante que VPN participem de uma auditoria independente, que permite que especialistas externos em segurança analisem o software e o hardware que uma empresa desenvolveu e implantou para operar seu VPN . Assim como uma inspeção residencial que revela sinais de danos, uma auditoriaVPN expõe as vulnerabilidades de segurança que podem existir em uma das tecnologias de privacidade mais importantes da atualidade.
Portanto, temos orgulho de ter participado da nossa primeira auditoria independente paraa infraestrutura que agora sustenta tantoVPN Malwarebytes Privacy VPN o AzireVPN— os dois VPN que operamos e mantemos. Essa estrutura dupla é resultado daaquisição do AzireVPN no final de 2024. Ambos os produtos utilizam o mesmo software e hardware de servidor para fornecer aos clientes VPN e serviços de criptografia.
A auditoria ao softwareVPN Malwarebytes Privacy VPNrevelou que:
- 2 problemas classificados como “Críticos”
- 0 problemas classificados como “Alto”
- 2 problemas classificados como “Médio”
- 2 problemas classificados como “Baixo”
A auditoria determinou a gravidade das falhas — de Crítica a Baixa — por meio da atribuição de pontuações técnicas alinhadas com Standard Comum de Pontuação de Vulnerabilidades Standard CVSS). Esse sistema, adotado em todo o setor, é utilizado por pesquisadores de segurança em todo o mundo para medir a gravidade das vulnerabilidades descobertas em software, hardware e firmware. Quanto maior o número, mais grave é a vulnerabilidade.
De acordo com o relatório final:
“De modo geral, os sistemas apresentam um alto nível de segurança e estão bem posicionados para proteger a privacidade dos usuários, parecendo estar em um bom nível de segurança quando comparados a sistemas de tamanho e complexidade semelhantes. Durante nossa avaliação, não observamos indícios de registro de atividades dos usuários, e o acesso aos sistemas é rigidamente controlado, sem que haja exposição de acessos remotos, locais ou via SSH desnecessários. Embora tenham sido identificadas vulnerabilidades, a maioria já foi corrigida, incluindo uma falha crítica, e os itens restantes estão em processo de resolução.”
Conforme constatado pelos auditores, nossos engenheiros já corrigiram uma vulnerabilidade “crítica”, duas vulnerabilidades “médias” e uma vulnerabilidade “baixa”. Nossa equipe também está trabalhando ativamente para corrigir uma vulnerabilidade crítica remanescente e uma vulnerabilidade baixa remanescente na pilha de software.
As questões
O X41 D-Sec detectou dois problemas críticos.
A primeira falha crítica, que recebeu uma pontuação CVSS de 9,4, diz respeito à configuração inicial e ao funcionamento dos servidores que Malwarebytes para sua VPN.
Ao conectar um novo servidor à rede, Malwarebytes esse servidor a baixar e instalar o que é chamado de “imagem Debian”. Trata-se simplesmente de um arquivo para download que instala o sistema operacional Debian em um equipamento físico de computação. É um processo que se repete inúmeras vezes no mundo da computação todos os dias para permitir a implantação rápida, confiável e distribuída de máquinas em uma rede.
Os pesquisadores descobriram que, embora a imagem do Debian tenha sido baixada de um URL seguro, um pequeno fragmento de dados verificados — chamado de checksum — não teve sua assinatura validada usando a chave de assinatura do CD do Debian.
As assinaturas são fundamentais no mundo do software, pois comprovam que um programa baixado para um dispositivo é realmente o programa publicado pelo seu desenvolvedor. Sem uma verificação adequada da assinatura, um invasor poderia distribuir uma versão modificada de um programa e ainda assim fazer com que o computador acreditasse que se tratava de uma versão legítima.
Reconhecemos a gravidade dessa vulnerabilidade e já implementamos uma correção.
A segunda vulnerabilidade crítica, que recebeu uma pontuação CVSS de 9,3, também diz respeito ao comportamento dos VPN Malwarebytesdurante a inicialização.
Para se conectar, VPN Malwarebytesutilizam o Preboot Execution Environment (PXE) para Linux, que permite o envio e a instalação de arquivos de inicialização através de uma rede — em vez de inicializar a partir de arquivos locais. Os pesquisadores de segurança alertaram que esse processo “carece de qualquer forma de assinatura criptográfica — portanto, um ataque do tipo ‘Man in the Middle’ pode levar à execução do código de um invasor no sistema do cliente”.
Um ataque desse tipo exigiria acesso físico significativo aos servidores em nossos data centers. No entanto, compreendemos a importância dessa vulnerabilidade e estamos trabalhando para resolvê-la.
As outras quatro vulnerabilidades revelaram a possibilidade de ataques de repetição, uso indevido de retransmissão de porta, tráfego observável e um oráculo de preenchimento que pode ser explorado com persistência suficiente. Três dessas vulnerabilidades — relacionadas a ataques de repetição, tráfego observável e o oráculo de preenchimento — já foram corrigidas, e nossa equipe também está trabalhando na correção da última vulnerabilidade.
Transparente e privado
Existe um mito de que manter a privacidade online significa que se tem algo a esconder. Para um VPN como Malwarebytes, a realidade é exatamente o oposto: ajudamos as pessoas a manter a privacidade online, mostrando-lhes onde podemos melhorar.
Nem todas as empresas realizam auditorias independentes, e nem todas estariam dispostas a divulgar os resultados dessas auditorias. De fato, segundo relatos, 77% das Android apresentavam falhas significativas em termos de transparência e prestação de contas— um fato raramente divulgado pelas próprias VPNs.
Mas o que mais importa nesse esforço, e para nós, não é o ego. O que mais importa é a sua privacidade. Com esses resultados, esperamos que você possa tomar uma decisão melhor e mais informada sobre em quem confiar seu tráfego e suas atividades na internet.
Malwarebytes à empresa de testes de penetração X41 D-Sec por ter realizado a auditoria, bem como aos pesquisadores de segurança envolvidos: Djamal Touazi, JM, Markus Vervier, Robert Femmer e Eric Sesterhenn.
Você pode ler a auditoria completa abaixo.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
