PC & Internet NordVPN wurde gehackt

Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.

Aufgetaucht ist der Leak in einer Onlinediskussion. In einem inzwischen gelöschten Tweet schrieb NordVPN: "Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)." Als Antwort darauf schickte jemand einen Link auf eine Textdatei, die Belege für einen Hack des VPN-Anbieters enthält.

RSA-Schlüssel zu Webseitenzertifikat geleakt
Es handelt sich offenbar um eine Logdatei der Konsole. Ein Angreifer hatte demnach Zugriff auf einen Server von NordVPN. Gezeigt werden diverse Konfigurationsdateien der Software OpenVPN sowie Zertifikate und drei private RSA-Schlüssel. Zwei der Schlüssel gehören zur OpenVPN-Konfiguration, einer gehört zu einem Webseitenzertifikat.

Dass der Schlüssel tatsächlich zu dem Zertifikat gehört, konnte Golem.de prüfen und bestätigen. Es handelt sich also zumindest bei diesem Teil um keine Fälschung. Das Zertifikat ist ein Wildcard-Zertifikat für die NordVPN-Domain, das allerdings nicht mehr aktuell ist. Es ist im Oktober 2018 abgelaufen. Das könnte darauf hindeuten, dass der Hack bereits vor längerer Zeit passiert ist, aber natürlich wäre es auch denkbar, dass der Angreifer den Schlüssel eines veralteten Zertifikats gestohlen hat.

Gespeicherten VPN-Datenverkehr direkt entschlüsseln kann man mit den geleakten Schlüsseln vermutlich nicht. Aus den ebenfalls gezeigten Konfigurationsdateien geht hervor, dass die OpenVPN-Konfiguration einen Schlüsselaustausch mit Diffie-Hellman nutzt, damit haben die Verbindungen die sogenannte Forward-Secrecy-Eigenschaft, die ein nachträgliches Entschlüsseln verhindert. Die Schlüssel könnten aber für einen Man-in-the-Middle-Angriff verwendet werden. Außerdem ist natürlich davon auszugehen, dass der Angreifer während des Hacks in der Lage war, auf Datenverkehr zuzugreifen.

NordVPN hat sich bisher nur kurz zu dem Vorfall geäußert. Auf dem Twitter-Account von NordVPN heißt es, dass man darauf warte, dass die Techniker der Firma die Details prüfen. Auf der Webseite fanden wir bisher keinen Hinweis und eine Anfrage von Golem.de blieb bislang unbeantwortet.



Quelle; golem

 

[prisrak]

wo ist man schon sicher?

 

[elogugu]

Stellungnahme !


Warum das NordVPN-Netzwerk nach einem Drittanbieter-Verstoß sicher ist

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Wir verstehen die Sicherheitsbedenken, die sich aus den Online-Informationen von Sicherheitsforschern ergaben, und werden sie hier ausführlich ansprechen.
Vor einigen Monatenwurde uns bewusst, dass im März 2018eines der Rechenzentren in Finnland, von dem aus wir unsere Server gemietet hatten, ohne Autorisierung zugegriffen wurde. Der Angreifer verschaffte sich Zugriff auf den Server, indem er ein unsicheres Remoteverwaltungssystem ausnutzte, das vom Rechenzentrumsanbieter hinterlassen wurde.Uns war nicht bewusst, dass es ein solches System gab. Der Server selbst enthielt keine Benutzeraktivitätsprotokolle. Keine unserer Anwendungen sendet vom Benutzer erstellte Anmeldeinformationen für die Authentifizierung, sodass Benutzernamen und Kennwörter auch nicht abgefangen werden konnten. Die genaue Konfigurationsdatei, die von Sicherheitsforschern im Internet gefunden wurde, existierte am 5. März 2018 nicht mehr. Dies war ein Einzelfall, und keine anderen Datencenteranbieter, die wir verwenden, wurden betroffen.
Nachdem wir von dem Vorfall erfahren hatten, leiteten wir sofort eine gründliche interne Prüfung ein, um unsere gesamte Infrastruktur zu überprüfen. Wir überprüften, ob kein anderer Server auf diese Weise ausgenutzt werden konnte und begannen, einen Prozess zu erstellen, um alle unsere Server in den RAM zu verschieben, der nächstes Jahr abgeschlossen werden soll. Wir haben auch die Messlatte für alle Rechenzentren, mit denen wir zusammenarbeiten, erhöht. Bevor wir uns jetzt bei ihnen anmelden, stellen wir sicher, dass sie noch höhere Standards erfüllen.
Als wir vor einigen Monaten von der Sicherheitsanfälligkeit des Rechenzentrums erfuhren, haben wir sofort den Vertrag mit dem Serveranbieter gekündigt und alle Server, die wir von ihnen gemietet hatten, geschreddert. Wir haben den Exploit nicht sofort offengelegt, weil wir sicherstellen mussten, dass keine unserer Infrastrukturen anfällig für ähnliche Probleme sein konnte. Dies konnte aufgrund der großen Anzahl von Servern und der Komplexität unserer Infrastruktur nicht schnell durchgeführt werden.
Die Zeitleiste ist wie folgt: Der betroffene Server wurde am 31. Januar 2018 erstellt und unserer Serverliste hinzugefügt. Das Rechenzentrum bemerkte die Sicherheitsanfälligkeit, die sie verlassen hatten, und löschte das Remote-Management-Konto, ohne uns am 20. März 2018 darüber zu informiert. Unsere Techniker stellten fest, dass der Serveranbieter vor einigen Monaten das nicht genannte Konto hatte. Wir haben dann sofort Maßnahmen ergriffen, um unser gesamtes Servernetzwerk zu überwachen und die Verschlüsselung aller unserer Server zu beschleunigen.
Der abgelaufene TLS-Schlüssel wurde gleichzeitig zum Zeitpunkt der Ausnutzendes des Datencenters übernommen. Der Schlüssel hätte jedoch möglicherweise nicht verwendet werden können, um den VPN-Datenverkehr eines anderen Servers zu entschlüsseln. In der gleichen Hinsicht war der einzige Weg, den Website-Verkehr zu missbrauchen, durch die Durchführung eines personalisierten und komplizierten MiTM-Angriffs, um eine einzelne Verbindung abzufangen, die versuchte, auf nordvpn.com zuzugreifen.
Um noch einmal zu rückblicken, wurde Anfang 2018 ein isoliertes Rechenzentrum in Finnland ohne Genehmigung abgerufen. Dies geschah durch Ausnutzung einer Sicherheitsanfälligkeit eines unserer Serveranbieter, die uns nicht offengelegt wurde. Es wurden keine Benutzeranmeldeinformationen abgefangen. Kein anderer Server in unserem Netzwerk ist betroffen. Der betroffene Server existiert nicht mehr und der Vertrag mit dem Serveranbieter wurde gekündigt.
Obwohl nur einer von mehr als 3000 Servern, die wir zu diesem Zeitpunkt hatten, betroffen war, versuchen wir nicht, die Schwere des Problems zu untergraben. Wir haben es versäumt, einen unzuverlässigen Serveranbieter zu beaufstehen und hätten die Sicherheit unserer Kunden besser gewährleisten müssen. Wir setzen alle notwendigen Mittel ein, um unsere Sicherheit zu erhöhen. Wir haben ein Audit zur Anwendungssicherheit durchlaufen, arbeiten gerade an einem zweiten No-Logs-Audit und bereiten ein Bug-Bounty-Programm vor. Wir werden alles geben, um die Sicherheit aller Aspekte unseres Dienstes zu maximieren, und nächstes Jahr werden wir ein unabhängiges externes Audit in unserer gesamten Infrastruktur starten, um sicherzustellen, dass wir nichts anderes verpasst haben.
Mit diesem Vorfall haben wir wichtige Lektionen zu Sicherheit, Kommunikation und Marketing gelernt.

Quelle:
nordvpn.com
translate

 

[un4given]

tja nicht ist sicher im www ....

 

[josef.13]

Hack: Neben NordVPN auch VikingVPN und Torguard betroffen

Im ersten Quartal des Vorjahres gingen die privaten Schlüssel von NordVPN, VikingVPN und Torguard durchs Netz. Ein Nutzer des Forums 8Chan hatte die Keys bei Ghostbin eingestellt, um deren mangelnde Sicherheit unter Beweis zu stellen. Den Thread kann man beispielsweise in der Wayback Machine des Internet Archivs nachlesen. Auch die Keys sind öffentlich einsehbar.

VikingVPN, NordVPN und Torguard betroffen

Die privaten Schlüssel mehrerer VPN-Anbieter wurden schon Anfang 2018 bei 8Chan verbreitet. Mitbekommen hat dies aber kaum jemand. NordVPN gibt die Schuld am Vorfall dem Webhoster Creanova. Das finnische Unternehmen habe Administrationsschnittstellen für ihre Server eingesetzt, die man von außen ansteuern konnte. NordVPN schreibt, man habe davon nichts gewusst. Creanova gibt die Schuld gegenüber der Presse an NordVPN zurück. Das mit den Schnittstellen hätte man auch anders lösen können, wenn man es nur gewollt hätte.

Vorfall verheimlicht

Brisant ist, dass NordVPN schon längerfristig Bescheid wusste. Man wollte diesen Exploit aber nicht veröffentlichen. Im Statement mit dem Titel „Why the NordVPN network is safe after a third-party provider breach“ heißt es, für die Kunden sei angeblich aktuell alles sicher. Die Log-Dateien der Nutzer hätten die Hacker nicht damit erbeuten können, versucht man zu beschwichtigen. Da auch andere Firmen betroffen waren, sei dies wohl kein gezielter Angriff auf NordVPN gewesen. Wie dem auch sei. Die Glaubwürdigkeit des Anbieters, für den wir auch geworben haben (siehe Grafik unten), wird unter diesem Vorfall zwischenzeitlich stark gelitten haben. NordVPN ist beispielsweise bei Filesharern aufgrund seiner Preisgestaltung recht beliebt.

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Schuld sind immer nur die anderen

Torguard schreibt, dass der aufgetauchte private Schlüssel seit 2017 nicht mehr verwendet werden kann. Der Anbieter behauptet, mit dem Verschlüsselungs-Key hätte seitdem niemand mehr etwas anfangen können. VikingVPN hingegen schweigt sich auf der eigenen Webseite aus. Auch in deren Security Blog findet sich dazu bisher kein Eintrag. VikingVPN hat das sichere PKI Management nicht verwendet, TorGuard hingegen schon.

Auf Twitter heißt es, mit dem Key hätte man früher einen eigenen VPN-Server betreiben können, der wie ein offizieller NordVPN-Server ausgesehen hätte. Der Twitter-Nutzer und Hacker namens undefined hinterfragt, warum es nie jemandem aufgefallen wäre, dass es möglich war, mit Key vollen Zugriff auf die Server von NordVPN zu erhalten. Den Root Access auf die Server von NordVPN könne man ja wohl beim besten Willen nicht einfach so wegdiskutieren. Die aufgrund des Keys möglichen Man-in-the-middle-Angriffe auch nicht, argumentiert der Webentwickler auf Twitter.

Quelle; tarnkappe