Для тех, кто внимателен VPN клиента, сегодня так многое зависит от обещания о конфиденциальности, которое слишком часто дают компании без каких-либо доказательств.
Политика отсутствия логов, современные алгоритмы шифрования, отказ от хранения конфиденциальной информации о клиентах и полное владение серверами — вот лишь некоторые из характеристик, которые делают VPN надежным. Однако именно эти характеристики зачастую невозможнопроверить отдельному пользователю.
Именно поэтому для VPN так важно проходить независимый аудит, в ходе которого внешние эксперты по безопасности проверяют программное и аппаратное обеспечение, разработанное и внедренное компанией для предоставления VPN . Подобно проверке дома, которая выявляет признаки повреждений,VPN аудитVPN выявляет уязвимости в системе безопасности, которые могут присутствовать в одной из важнейших на сегодняшний день технологий обеспечения конфиденциальности.
Итак, мы гордимся тем, что приняли участие в первом в нашей истории независимом аудитеинфраструктуры, на которой в настоящее время работают оба VPN , которые мы эксплуатируем и поддерживаем:Malwarebytes Privacy VPN AzireVPN. Такая двойная структура стала результатомприобретения намиAzireVPN в конце 2024 года. Оба продукта используют одно и то же серверное программное обеспечение и оборудование для предоставления клиентам VPN и услуг шифрования.
В ходе проверки программного обеспечения Malwarebytes Privacy VPNбыло выявлено следующее:
- 2 проблемы с рейтингом «Критическая»
- 0 проблем с уровнем риска «Высокий»
- 2 проблемы, отмеченные как «Средняя»
- 2 проблемы с оценкой «Низкий»
В ходе аудита степень серьезности проблем — от «Критической» до «Низкой» — определялась путем присвоения технических оценок в соответствии со Standard оценки уязвимостей Standard CVSS). Эта общеотраслевая система используется специалистами по безопасности во всем мире для оценки серьезности уязвимостей, обнаруженных в программном обеспечении, аппаратном обеспечении и микропрограммах. Чем выше число, тем серьезнее уязвимость.
Согласно итоговому отчёту:
«В целом системы демонстрируют высокий уровень безопасности и обеспечивают надлежащую защиту конфиденциальности пользователей, при этом их уровень безопасности выглядит достаточно высоким по сравнению с системами аналогичного масштаба и сложности. В ходе нашей оценки мы не обнаружили признаков регистрации действий пользователей, а доступ к системам строго контролируется: не наблюдается никаких ненужных точек доступа — ни удаленных, ни локальных, ни через SSH. Хотя были выявлены уязвимости, большинство из них уже устранено, в том числе одна критическая проблема, а остальные вопросы находятся в процессе решения».
Как отметили аудиторы, наши инженеры уже устранили одну уязвимость «критической» степени, две уязвимости «средней» степени и одну уязвимость «низкой» степени. Наша команда также активно работает над устранением одной оставшейся уязвимости критической степени и одной оставшейся уязвимости низкой степени в программном стеке.
Проблемы
X41 D-Sec обнаружил две критические проблемы.
Первая критическая уязвимость, получившая оценку CVSS 9,4, касается первоначальной настройки и эксплуатации серверов, которые Malwarebytes для своей VPN.
При подключении нового сервера к сети Malwarebytes ему Malwarebytes загрузить и установить так называемый «образ Debian». Это просто файл для загрузки, который устанавливает операционную систему Debian на физическое компьютерное оборудование. Этот процесс ежедневно повторяется миллионы раз во всем компьютерном мире, что позволяет быстро, надежно и распределенно развертывать компьютеры в сети.
Исследователи обнаружили, что, хотя образ Debian был загружен с безопасного URL-адреса, подлинность небольшого фрагмента проверенных данных — так называемой контрольной суммы — не была подтверждена с помощью ключа подписи компакт-дисков Debian.
Подписи играют ключевую роль в мире программного обеспечения, поскольку они подтверждают, что программа, загруженная на устройство, действительно является той самой программой, которая была выпущена её разработчиком. Без надлежащей проверки подписи злоумышленник может распространить модифицированную версию программы и при этом заставить компьютер считать её подлинной.
Мы осознаем серьезность этой уязвимости и уже внедрили исправление.
Вторая критическая уязвимость, получившая оценку CVSS 9,3, также связана с поведением VPN Malwarebytesпри запуске.
Для подключения к сети VPN Malwarebytesиспользуют среду PXE (Preboot Execution Environment) для Linux, которая позволяет передавать и устанавливать загрузочные файлы по сети — в отличие от загрузки из локальных файлов. Исследователи в области безопасности предупредили, что этот процесс «не имеет никакой криптографической подписи, поэтому атака типа «человек посередине» может привести к выполнению кода злоумышленника на клиентской системе».
Для такой атаки потребовался бы непосредственный физический доступ к серверам в наших дата-центрах. Тем не менее, мы осознаем серьезность этой уязвимости и работаем над ее устранением.
Остальные четыре уязвимости свидетельствовали о возможности атак с повторным воспроизведением, злоупотребления ретрансляцией портов, отслеживания трафика, а также наличия «оракула заполнения», который при достаточном настойчивом подходе может быть использован злоумышленниками. Три из этих уязвимостей — касающиеся атак с повторным воспроизведением, отслеживания трафика и «оракула заполнения» — уже устранены, а наша команда также работает над исправлением последней уязвимости.
Прозрачная конфиденциальность
Существует распространенное заблуждение, что забота о конфиденциальности в Интернете означает, что человеку есть что скрывать. Для такого VPN , как Malwarebytes, все обстоит с точностью до наоборот: мы помогаем людям сохранять конфиденциальность в Интернете, указывая им, в чем мы можем стать лучше.
Не каждая компания проводит независимый аудит, и не каждая компания готова обнародовать его результаты. Более того, согласно отчетам , 77 % Android имели серьезные недостатки в плане прозрачности и подотчетности— об этом сами VPN-сервисы сообщают крайне редко.
Но главное в этой работе — и для нас — это не самоутверждение. Главное — это ваша конфиденциальность. Мы надеемся, что эти результаты помогут вам принять более взвешенное и обоснованное решение о том, кому можно доверять свой интернет-трафик и действия в сети.
Malwarebytes фирме X41 D-Sec, специализирующейся на тестировании на проникновение, за проведение аудита, а также участвовавшим в нем исследователям в области безопасности: Джамалу Туази, JM, Маркусу Вервие, Роберту Феммеру и Эрику Сестерхенну.
Ниже вы можете ознакомиться с полным текстом аудиторского заключения.
Просматривайте, как будто никто не смотрит.
Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно →
