Pull to refresh

Изъятые украинские серверы канадского провайдера VPN были без шифрования

Reading time 2 min
Views 18K

Канадский VPN-сервис Windscribe рассказал, что конфискованные в июне украинские серверы были без шифрования. Это дало украинским властям гипотетическую возможность использовать эти серверы для захвата и расшифровки проходящего через них трафика. По словам сервиса, хостинг-провайдер не предупредил о начале судебного разбирательства, из-за которого изъяли серверы. 

24 июня мониторинговые системы Windscribe обнаружили отключение двух украинских серверов. В ходе переговоров с хостинговой компанией выяснилось, что они были изъяты в рамках расследования, начавшегося год назад. Компания не уведомила Windscribe ни о начале расследования, ни о предварительном слушании, прошедшем в начале этого года. В ходе слушания и было принято решение об аресте серверов. 

Как объяснил Windscribe, на дисках серверов находился сертификат OpenVPN и его закрытый ключ. Кроме того, серверы работали с устаревшим стеком и не были зашифрованы. Всё это дало возможность украинским властям выдавать свои серверы за серверы Windscribe и перехватывать трафик. 

Windscribe отметил, что перехват трафика возможен только при соблюдении четырёх условий:

  • злоумышленник контролирует атакуемую сеть и способен перехватывать все сообщения (привилегированное положение для атаки MITM);

  • пользователь использует устаревший распознаватель DNS (устаревший DNS-трафик не зашифрован и уязвим перед MITM);

  • злоумышленник способен манипулировать незашифрованными DNS-запросами (записи DNS, используемые для выбора IP-адреса одного из серверов);

  • пользователь не использует приложения Windscribe, подключающееся через IP вместо уязвимых записей DNS.

Если украинские власти использовали данные с серверов, чтобы выдавать свои ресурсы за серверы Windscribe, они могли получить доступ ко всему незашифрованному пользовательскому трафику, передаваемому по VPN, его источнику и пункту назначения. Сервис указал, что веб-трафик HTTPS в любом случае остаётся не скомпрометированным. Никакие другие протоколы, кроме OpenVPN, не подвергаются риску. Также, благодаря PFS, у злоумышленников нет доступа к историческому трафику даже при наличии закрытого ключа для сервера.

На данный момент Windscribe работает над доработкой системы безопасности. Например, сервис откажется от текущего сертификата OpenVPN в пользу нового, с использованием промежуточного центра сертификации. Больше не будет ни одного сервера, на котором будет храниться сразу весь комплект ключей. Все серверы получат уникальные краткосрочные сертификаты и ключи, сгенерированные из нового центра сертификации. Каждый сертификат будет иметь уникальное идентифицирующее Common Name + SANs.

Сайт ArsTechnica направил запрос к директору Windscribe Егору Саку с просьбой прокомментировать ситуацию. Сак указал, что сервис признаёт ошибку и работает над её исправлением. Тем не менее, он называет маловероятным сценарий, в котором украинские власти могли бы получить доступ к зашифрованным данным. По его словам, пользовательским данным ничего не угрожало и не угрожает, поскольку для перехвата трафика злоумышленнику необходимо установить полный контроль над сетью пользователя. Более того, описанные сценарии неактуальны, поскольку к 20 июля Windscribe завершила все необходимые мероприятия по обеспечению безопасности данных. 

Tags:
Hubs:
+16
Comments 13
Comments Comments 13

Other news