News NordVPN: Angreifer erbeuten Schlüssel zu Webseitenzertifikat

[RalphS]

@fdsonne Alles richtig, aber warum soviele Umstände? Es gibt genug CAs, sogar eigene, die man für die Signatur von neuen Requests (CSR) mißbrauchen kann.

Hab ich den Schlüssel, hab ich auch das Zertifikat. Adobe hat damals auch ordentlich in die Suppe getappt, als es seinen PK frei rumgeschickt hat und ich erinnere an das Symantec-Problem mit den "Testzertifikaten"--- davon haben die sich nie wieder erholt.

Klar kann man es auch "richtig" machen, sodaß bei einem Verlust des PK sich der Schaden in Grenzen hält. Vielleicht hat man das bei NordVPN ja auch. Keine Ahnung. Die Erfahrung zeigt aber, daß Kompetenzen zu oft bei "ja wir haben ein Zertifikat drangehängt" aufhören, und das gilt nicht nur für die Anbieter, sondern auch für uns Endanwender, die wir immer noch nicht kapiert haben, daß Zertifikate geprüft werden MÜSSEN bevor man sie annimmt.

Denn wenn wir das täten, wäre --ebenfalls exakt wie Du sagst -- das Problem praktisch keins. Man würde sofort sehen, hey da stimmt etwas nicht. Aber dazu muß man gucken und darf nicht dem Browser alles überlassen.

 

[THE_P4IN]

Wie gutgläubig muss man denn sein um das wirklich ernsthaft zu glauben???

Kläre mich gerne auf, was daran naiv oder gutgläubig ist? Es mag aufwendig sein, so etwas auf einer Ram-Disk laufen zu lassen aber doch nicht unmöglich oder?

 

[luckysh0t]

Kläre mich gerne auf, was daran naiv oder gutgläubig ist? Es mag aufwendig sein, so etwas auf einer Ram-Disk laufen zu lassen aber doch nicht unmöglich oder?

Er meint eher, dass diese Ausage vom Anbieter selbst kommt - dieser kann ja alles sagen.Auch dass seine Server Pink sind.Stimmen muss es dadurch aber nicht.

Frei nach dem Motto "Steht im Internet, muss stimmen". ^^

 

[THE_P4IN]

Frei nach dem Motto "Steht im Internet, muss stimmen". ^^

Ich bin da vollkommen bei dir, aber dann sollte auch jeder skeptisch sein, wenn die Anzahl der Geräte beschränkt ist, aber dann als Verkaufsargument NO LOGS angepriesen wird 🙂

Irgendwo muss ich immer einen Kompromiss eingehen, bei PP mache ich das in meinem Fall eben, weil ich die Sache mit den RAM-Disks glaube. Wie gesagt, Mullvad benutze ich parallel dazu auch, bloß ist deren Nachteil halt die deutlich geringere Geschwindigkeit.

 

[luckysh0t]

Sie schreiben ja auch "no censoring" und gleichzeitig geben sie an "no malware, adware and tracking"..xD Ist zwar gewünschte "Zensur" aber schon paradox ^^

 

[fdsonne]

Es gibt genug CAs, sogar eigene, die man für die Signatur von neuen Requests (CSR) mißbrauchen kann.

Hab ich den Schlüssel, hab ich auch das Zertifikat.

Du kannst signieren wie du lustig bist - das bringt dir nix, wenn der CA nicht vertraut wird. Nach so einer Aktion ist davon auszugehen, dass die Betreiber der CA die CA schlicht widerrufen. Damit ist Ende mit Signieren, weil alles, was mit der CA zu tun hat (und jemals zu tun hatte) mit einem Schlag ungültig wird, sofern der Client Revocation Checks durchführt.

Und wie ich schon anmerkte, der private Schlüssel einer CA ist dafür da um Zertifikate zu signieren - mehr aber auch nicht. Wenn man es richtig macht, dann lassen sich mit so einem Schlüssel auch nicht alle typen von Zertifikaten signieren. Die CA für ein Webseiten Zertifikat wird wahrscheinlich eine andere sein als die für Codesigning Zertifikate.

Adobe hat damals auch ordentlich in die Suppe getappt, als es seinen PK frei rumgeschickt hat und ich erinnere an das Symantec-Problem mit den "Testzertifikaten"--- davon haben die sich nie wieder erholt.

Das ist ne völlig andere Nummer. Da ging es darum, dass du mit diesem private Key im Namen der CA Zertifikate ausstellen kannst, die gültig sind im public Umfeld. Es gibt daraus zwei Problemstellungen. Eine im globalen großen Umfeld. Und einem im kleinen lokalen (meist im Firmennetz des Domain Inhabers)

In Verbindung mit einer phishing Kampagne wäre es möglich, einen Server mit einem validen Zertifikat von "irgenwas.nordvpn.sonstwas" bereit zustellen. Das Ding ist, dir bringt das solange nix, wie du den zugehörigen DNS Eintrag nicht auch da hin gebogen bekommst.
Das klappt hingegen bspw. lokal (hin und wieder), wenn du in der Lage bist, MitM zu spielen. Dann wäre der Reverse Proxy in der Lage den (validen) Traffic aufzubrechen, ohne das das wer merkt.

Der Aufschrei, gerade bei Symantec (da gibts noch ne Menge mehr, wo das so gelaufen ist), kam eigentlich eher davon, dass die Vertrauensbasis für den Betrieb einer CA mit dieser (Gültigkeits) Reichweite nicht mehr gegeben ist. Das Konstrukt, so bescheiden wie es ist, basiert auf Vertrauen von wenigen Anbietern, die dir bescheinigen, dass dem Server erstmal vertraut wird. Es fehlt (historisch bedingt) aber an vielen Prüfungen. Einfach nur SSL ist halt nicht (mehr) Zeitgemäß. Denn heute spricht fast jeder SSL/TLS im Netz, das heist aber lange nicht, dass der Server auch vertrauenswürdig ist, wo man seine Daten reinhämmert. -> genau hier ist das Verständnis Problem. Dafür ist die Art der public CA Infrastruktur nicht gemacht um das zu gewährleisten.
Allerdings stehen eben auch JEDEM frei es anders zu handhaben -> schmeiß alle trusted CAs aus deinem Browser/OS und vertraue händisch.

Wie ich aber eingangs schon sagte, es gibt andere (einfachere) Möglichkeiten einen Anwender ganz ohne so ein Zertifikat dazu zu bringen, auf meinen Server zu kommen. Da reicht ne Phishing Mail mit ner täuschend echt aussehenden Unicode URL und am Besten sogar noch ner echten/durchgeschleiften Funktion. Das merkt kein Mensch, der nicht manuel! die Fingerprints der Zertifikate gegen prüft, die da zurück kommen.

Kläre mich gerne auf, was daran naiv oder gutgläubig ist? Es mag aufwendig sein, so etwas auf einer Ram-Disk laufen zu lassen aber doch nicht unmöglich oder?

Ich meine nicht, dass das nicht technisch gehen würde oder Aufwand wäre - sondern dass man nicht glauben sollte, dass da wirklich nix geloggt wird... Dieses RAM Logging ist für mich lediglich ein Buzzwort um den Glauben zu erwecken, dass man da nix holen kann/könnte. Und es kommt bei den Nutzern gut an.

Gerade dieses Beispiel hier zeigt, dass es da ganz andere Probleme gibt. Wer Zugriff auf den Logserver hat (einfach mal angenommen - irgendwer kam auch über nen Weg an die private Keys hier), wäre technisch in der Lage Logs abfließen zu lassen. Das muss man nichtmal mitbekommen als Anbieter.

 

[Biocid]

Ist NordVPN nicht der Anbieter der bei jedem privaten TV Sender und Android free game Unmengen an Werbung schaltet?
Das sollte reichen oder?

 

[dflt]

Ich bin etwas irritiert über die vermeintliche Management-Konsole, über die NordVPN nicht Bescheid gewusst haben soll. Ich kann mir gut vorstellen, dass sie ihre Server als normale RootServer bei RZ-Betreibern wie Hetzner mieten, da es ja vorrangig auf Masse ankommt und ein paar Stunden Ausfall eines Landes im Jahr nicht weiter schlimm sind. Aber wenn man dedizierte (oder eigentlich auch virtuelle) Server mietet, ist es doch häufig so, dass man eine Management-Konsole ("lokal") auf dem Server über die Website des RZ-Betreibers/Server-Vermieters hat. Und wie hat jetzt wer Zugriff auf dieses Management-Tool erlangt und wie kommt es, dass sich diese Person dem Server gegenüber authentifizieren konnte?

 

[MXE]

Niemand mit Ahnung nutzt NordVPN um anonym im Netz unterwegs zu sein. NordVPN verkauft Kundedaten über Tracker u.a. an Google, das ist bekannt und wird auch von NordVPN zugegeben. Kein Mitleid mit den Dachlatten. NordVPN Kunden wollten nicht hören, jetzt habt ihr es bekommen. Amen!

 

[Blutschlumpf]

Weshalb das Unternehmen so lange warten möchte, bleibt indes unklar.

Sie lassen es nächstes Jahr überprüfen ? Dieses Jahr ist das Geld schon komplett mit Werbung verplant?

Wenn die das Thema auch nur halbwegs ernst angehen, dann wäre jegliche Behauptung das noch in diesem Jahr durchzuziehen imho schon ne Lachnummer.
Alleine jemanden zu finden, der das machen kann, macht und dabei nicht zu viel kostet dürfte nen Monat suchen.
Wenn die dann auch noch alle RZ auditieren lassen wollen, dann hätten die bis Ende des Jahres nichtmal die (von jedem Anbieter total schönverdrehten) Fragebögen zurück, geschweige denn auch wirklich überprüft (was vermutlich eh nicht stattfindet weil sich die meisten Anbieter querstellen werden wenn da ein 0815 Kunde den Laden auseinander nehmen will).

 

[fdsonne]

Aber wenn man dedizierte (oder eigentlich auch virtuelle) Server mietet, ist es doch häufig so, dass man eine Management-Konsole ("lokal") auf dem Server über die Website des RZ-Betreibers/Server-Vermieters hat. Und wie hat jetzt wer Zugriff auf dieses Management-Tool erlangt und wie kommt es, dass sich diese Person dem Server gegenüber authentifizieren konnte?

Wer sagt, dass es ein physischer Zugriff via Tastatur/Bildschirm war?
Ungenügend gesichertes Management System kann alles und nix sein. Und sei es, wenn man bei nem klassischen Root-Server Blech bleibt, ein verstecker/nicht bekannter User Account, der auf dem MGMT Interface aktiv ist und den man selbst nicht kannte als Mieter der Hardware.

Man muss hier denke ich halt auch sehen, dass die das nicht selbst betreiben im Sinne von, die stellen da eigene Hardware hin, haben eigene RZs usw. -> die mieten sich wo ein. Bei der Masse an Standorten jetzt auch nicht 100% unverständlich.

Bei der Maschine scheint es sich auch um eine VM gehandelt zu haben. Zumindest ist der Hostname "vm-fi6". Zusätzlich lief auf dem Host nach dem Logoutput noch eine Container Virtualisierungslösung., welche scheinbar vier Instanzen/Container bereit stellte. Ein lxc-ls lieferte zumindest vier Einträge.

 

[dflt]

Bei der Masse an Standorten jetzt auch nicht 100% unverständlich.

Bei der Maschine scheint es sich auch um eine VM gehandelt zu haben.

Das meine ich eben, die meisten Serververmieter bieten einen Terminalzugriff als wäre man direkt an der Management-Konsole des Servers, einfach über den Nutzeraccount auf der Website des Vermieters erreichbar. Meine Frage ist jetzt, ob so ein spezielles System dann das Einfallstor war und wenn ja, wieso war da so ein einfacher Zugriff auf das System möglich?

Dass so ein großes Unternehmen vorrangig auf kontainerisierte Infrastruktur setzt, ist ja selbstverständlich. Trotzdem muss man den Host gescheit einrichten und absichern. Mehr Details wären da halt interessant, auch wenn sie uns wohl verwehrt bleiben.

 

[Rubyurek]

Da zahlt man für die sicherheit von NordVPN und es wird gehackt...

 

[Naff]

Nutze Tunnel Bear
Die haben ein Bären, der ist niedlich und ich überall in Europa die Videos sehen die ich sehen will. Passt

 

[thunderclap]

Das Update / die Stellungnahme klingt irgendwie komisch.
Für sich genommen ist es ja toll wenn man nächstes Jahr die Sicherheit auf den Prüfstand stellen möchte, aber das wirkt echt wie PR und eigentlich müsste doch bereits jetzt alles gegeben sein, wenn man deren Marketing glaubt.
Fakt ist leider, Marketing kann man nicht glauben und sicher ist bei denen wohl gar nichts, wenn sogar easy Zertifikate hops gehen, zumal es für mich wie eine Ausrede und sogar erschreckend klingt wenn man meint da ging es um einen Drittanbieter und man wusste nichts davon.... komisch, die bezahlen die doch dafür.

 

[Ice-Lord]

Wenn man bei einer Firma Kunde ist die auch nur Kunde ist ..?

Jeder will halt Verantwortung abgeben.
Niemand ist selbst für etwas zuständig, gibt ja Experten dafür...
Und das Feld ist langsam wirklich groß.

Die "Sichere Cloud/Netzwerk" ist einfach nur der Computer von jemand anderem.
Oder der vom Anbieter des Anbieters ( Der Teile outgesourced hat, an Subunternehmer ).

 

[luckysh0t]

Wenn man bei einer Firma Kunde ist die auch nur Kunde ist ..?

Wer weiß wie viele der Angebote die wir so alle nutzen, auf den Systemen von Amazon bereitgestellt werden ^^ Netflix z.B

 

[BaserDevil]

Niemand mit Ahnung nutzt NordVPN um anonym im Netz unterwegs zu sein. NordVPN verkauft Kundedaten über Tracker u.a. an Google, das ist bekannt und wird auch von NordVPN zugegeben. Kein Mitleid mit den Dachlatten. NordVPN Kunden wollten nicht hören, jetzt habt ihr es bekommen. Amen!

Welche(n) Anbieter würdest du empfehlen?

 

[Jakxx]

NordVPN ist sowieso absolut Müll wenn man sich so ein bisschen umschaut und nicht nur die gesponserten Artikel liest.

 

[Grennie]

Welchen VPN-Anbieter könnt ihr empfehlen? ich bin aktuell bei hide.me aber hab' keine Ahnung wie der Anbieter im Vergleich zu anderen steht.