Para quem gosta de ter cuidado VPN de hoje, depende muito de uma promessa de privacidade, feita, com demasiada frequência, por uma empresa sem provas.
Políticas de não registo, algoritmos de encriptação modernos, a recusa em armazenar informações confidenciais dos clientes e a propriedade total dos servidores são apenas algumas das características que contribuem para uma VPN robusta. No entanto, são precisamente essas características que, muitas vezes, são impossíveisde confirmar por parte de qualquercliente individual.
É por isso que é tão importante que VPN participem numa auditoria independente, que permite que especialistas externos em segurança analisem o software e o hardware que uma empresa desenvolveu e implementou para operar VPN seu VPN . Tal como uma inspeção a uma casa que revela sinais de danos, uma auditoriaVPN revela as vulnerabilidades de segurança que podem existir numa das tecnologias de privacidade mais importantes da atualidade.
Por isso, estamos orgulhosos por termos participado na nossa primeira auditoria independente àinfraestrutura que agora suporta tantoMalwarebytes Privacy VPN o AzireVPN— os dois VPN que operamos e mantemos. Esta estrutura dupla é o resultado da nossaaquisição da AzireVPN no final de 2024. Ambos os produtos utilizam o mesmo software e hardware de servidor para fornecer aos clientes VPN e serviços de encriptação.
A auditoria ao softwareVPN Malwarebytes Privacy VPNrevelou que:
- 2 problemas classificados como «Críticos»
- 0 problemas classificados como «Elevado»
- 2 problemas classificados como «Médio»
- 2 problemas classificados como «Baixo»
A auditoria determinou a gravidade das falhas — desde Crítica a Baixa — através da atribuição de pontuações técnicas em conformidade com Standard Common Vulnerability Scoring Standard CVSS). Este sistema, adotado em todo o setor, é utilizado por investigadores de segurança em todo o mundo para avaliar a gravidade das vulnerabilidades detetadas em software, hardware e firmware. Quanto mais elevado for o número, mais grave é a vulnerabilidade.
De acordo com o relatório final:
«De um modo geral, os sistemas apresentam um elevado nível de segurança e estão bem posicionados para garantir a privacidade dos utilizadores, parecendo estar num bom nível de segurança quando comparados com sistemas de dimensão e complexidade semelhantes. Durante a nossa avaliação, não observámos indícios de registo da atividade dos utilizadores, e o acesso aos sistemas é rigorosamente controlado, sem que haja exposições desnecessárias de acesso remoto, local ou via SSH. Embora tenham sido identificadas vulnerabilidades, a maioria já foi corrigida, incluindo uma falha crítica, estando os restantes itens em vias de resolução.»
Conforme constatado pelos auditores, os nossos engenheiros já corrigiram uma vulnerabilidade «crítica», duas vulnerabilidades «médias» e uma vulnerabilidade «baixa». A nossa equipa está também a trabalhar ativamente para corrigir uma vulnerabilidade crítica e uma vulnerabilidade baixa que ainda subsistem na pilha de software.
As questões
O X41 D-Sec detetou dois problemas críticos.
A primeira falha crítica, que recebeu uma pontuação CVSS de 9,4, diz respeito à configuração inicial e ao funcionamento dos servidores que Malwarebytes para a sua VPN.
Ao ligar um novo servidor à rede, Malwarebytes esse servidor a descarregar e instalar o que se denomina uma «imagem Debian». Trata-se simplesmente de um ficheiro para descarregar que instala o sistema operativo Debian num equipamento informático físico. É um processo que se repete inúmeras vezes todos os dias no mundo da informática, permitindo a implementação rápida, fiável e distribuída de máquinas numa rede.
Os investigadores descobriram que, embora a imagem do Debian tivesse sido descarregada a partir de um URL seguro, um pequeno fragmento de dados verificados — denominado «checksum» — não tinha a sua assinatura validada através da chave de assinatura do CD do Debian.
As assinaturas são fundamentais no mundo do software, pois comprovam que um programa que foi descarregado para um dispositivo é, de facto, o programa publicado pelo seu criador. Sem uma verificação adequada da assinatura, um invasor poderia distribuir uma versão modificada de um programa e, mesmo assim, fazer com que um computador acreditasse que se tratava de um programa legítimo.
Reconhecemos a gravidade desta vulnerabilidade e já implementámos uma correção.
A segunda falha crítica, que recebeu uma pontuação CVSS de 9,3, também diz respeito ao comportamento dos VPN Malwarebytesdurante o arranque.
Para se conectarem, VPN Malwarebytesutilizam o Ambiente de Execução Pré-arranque (PXE) para Linux, que permite a entrega e instalação de ficheiros de arranque através de uma rede — em vez de arrancar a partir de ficheiros locais. Os investigadores de segurança alertaram que este processo «carece de qualquer forma de assinatura criptográfica — pelo que um ataque do tipo “Man in the Middle” pode levar à execução do código de um atacante no sistema do cliente».
Um ataque deste tipo exigiria um acesso físico significativo aos servidores nos nossos centros de dados. No entanto, compreendemos a importância desta vulnerabilidade e estamos a trabalhar para a resolver.
As outras quatro vulnerabilidades revelaram a possibilidade de ataques de repetição, uso indevido de retransmissão de portas, tráfego observável e um oráculo de preenchimento que pode ser explorado com persistência suficiente. Três dessas vulnerabilidades — relativas aos ataques de repetição, ao tráfego observável e ao oráculo de preenchimento — já foram corrigidas, e a nossa equipa está também a trabalhar numa correção para a última vulnerabilidade.
Transparente e privado
Existe um mito de que manter a privacidade online significa ter algo a esconder. Para um VPN como Malwarebytes, a realidade é exatamente o oposto: ajudamos as pessoas a manter a privacidade online, mostrando-lhes onde podemos melhorar.
Nem todas as empresas recorrem a auditorias independentes, e nem todas estariam dispostas a partilhar os resultados dessas auditorias. De facto, segundo os dados divulgados, 77% das Android apresentavam falhas significativas em matéria de transparência e responsabilização— um facto raramente comunicado pelas próprias VPNs.
Mas o que mais importa neste esforço, e para nós, não é o ego. O que mais importa é a sua privacidade. Com estes resultados, esperamos que possa tomar uma decisão melhor e mais informada sobre a quem pode confiar o seu tráfego e a sua atividade na Internet.
Malwarebytes à empresa de testes de penetração X41 D-Sec pela realização da auditoria, bem como aos investigadores de segurança envolvidos: Djamal Touazi, JM, Markus Vervier, Robert Femmer e Eric Sesterhenn.
Pode ler a auditoria completa abaixo.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
