Kiddo.lt

All people should be treated equally, regardless of who they are or who they love.

Valdžios institucijų konfiskuoti “Windscribe VPN” serveriai nebuvo užšifruoti

Praėjusį mėnesį areštavus kelis jos VPN serverius Ukrainoje, saugumo įrankių teikėja “WindScribe” šokiruojančiai atskleidė, kad areštuoti serveriai nebuvo užšifruoti.

Nors “WindScribe” tvirtina, kad naudotojų duomenims pavojus negresia, nes ji neregistruoja jokios veiklos, nešifruotame serveryje buvo “OpenVPN” serverio sertifikatas ir jo privatus raktas.

Tinklaraščio įraše “Windscribe” įkūrėjas Jegoras Sakas pripažįsta, kad bet kas, turintis privačius raktus, galėjo apsimesti “Windscribe” serveriais, kad galėtų fiksuoti ir iššifruoti per juos perduodamą srautą.

“Nors itin jautriuose regionuose turime šifruotus serverius, šiuose serveriuose buvo naudojamas senesnis stekas ir jie nebuvo užšifruoti. Šiuo metu įgyvendiname planą, kaip tai išspręsti”, – rašė Sak.

Netinkamai sukonfigūruoti serveriai

Pasak Sak, konfiskuoti serveriai buvo dalis seno tyrimo dėl daugiau nei prieš metus vykdytos veiklos.

Dalydamasis planais, kaip spręsti incidentą ir tobulinti “Windscribe” OpenVPN infrastruktūrą, Sakas atskleidė, kad jų OpenVPN serverio ir kliento konfigūracijoje buvo naudojamas parametras compress.

Kaip pripažįsta pats Sak, parametras compress buvo panaikintas 2018 m. po to, kai saugumo tyrėjai atskleidė, kad juo galima pasinaudoti ir leisti priešininkams iššifruoti duomenis.

Tačiau “Windscribe” savo ruožtu patikino, kad “neturi pagrindo manyti”, jog serveriai buvo kompromituoti arba kad prieš konfiskavimą įvyko kokia nors neteisėta prieiga.

Be to, Sak pažadėjo, kad trečioji šalis atliks jų pakaitinių serverių steko auditą ir užtikrins, kad jis būtų visiškai patikimas.