image

Server vpn-provider TorGuard in 2017 gecompromitteerd

dinsdag 22 oktober 2019, 11:24 door Redactie, 14 reacties

In 2017 is een aanvaller erin geslaagd om een server van proxy- en vpn-provider TorGuard te compromitteren, zo heeft het bedrijf bevestigd. De bekendmaking volgt na een bericht van vpn-provider NordVPN dat ook met een gecompromitteerde server te maken kreeg.

Volgens TorGuard werd de server in september 2017 gecompromitteerd. Een gebruiker op het 8chan-forum claimde toen toegang te hebben tot servers van TorGuard, NordVPN en VikingVPN. "TorGuard was de enige die PKI-management toepaste, wat inhoudt dat onze primaire certificaatautoriteitsleutel niet op de getroffen vpn-server aanwezig was", aldus de vpn-provider.

TorGuard stelt dat het pas in mei 2019 achter de aanval kwam. De gecompromitteerde server was echter al begin 2018 uit het eigen netwerk verwijderd. Het contract met de betreffende hosting reseller is sindsdien vanwege "herhaaldelijke verdachte activiteiten" opgezegd. Wie deze partij is wil TorGuard niet zeggen. Vanwege een lopende rechtszaak kan de vpn-provider geen verdere details over de specifieke reseller geven of hoe de aanvaller ongeautoriseerde toegang verkreeg.

Wel stelt TorGuard dat de server niet op externe wijze is gecompromitteerd en er geen risico was voor andere TorGuard-servers en -gebruikers. Op de gecompromitteerde server bevond zich een tls-certificaat voor *.torguardvpnaccess.com. Dit certificaat was sinds 2017 niet meer in gebruik en ook niet geldig op het TorGuard-proxynetwerk. Na de ontdekking in mei had TorGuard al besloten om alle certificaten opnieuw uit te geven.

Image

Reacties (14)
22-10-2019, 12:33 door Anoniem
Vandaag 2 VPN providers in het nieuws en ook TorGuard... de aanval op VPN providers is begonnen?
22-10-2019, 12:37 door Anoniem
Ga er maar vanuit dat al die sites die zo'n gratis SSL certificaatje hebben opgehaald van de letsencrypt en sslforfree ook lek zijn. Niets is gratis op internet, die ssl certificaten kunnen altijd worden verkocht via de achterdeur of zijn gehacked... en er is altijd iemand die zoiets beheert... Het gaat om miljoeenen websites.

Wie zegt dat de certificaten van Godaddy enzo niet ook ergens gekopieerd liggen? Dan kunnen bepaalde diensten gewoon alle TLS traffic live strippen...De enige bescherming is als je je eigen certificaten aanmaakt maar dan krijgt de gebruiker een error in de browser en dient deze de self-signed cert zelf toe te voegen...

Dan ben je wel zeker van je zaak en het kost niks.
22-10-2019, 13:26 door Anoniem
Door Anoniem: Vandaag 2 VPN providers in het nieuws en ook TorGuard... de aanval op VPN providers is begonnen?
Lijkt allemaal gerelateerd te zijn, beschamende praktijken.
https://www.tomsguide.com/news/nordvpn-torguard-admit-being-hacked-but-thats-just-the-beginning
22-10-2019, 14:00 door pe0mot - Bijgewerkt: 22-10-2019, 14:01
Omdat de meeste ISP's onveilige netwerken en DNS servers hadden (en vaak nog hebben) hebben experts destijds de VPN toegang tot Internet opgezet vanuit zwaar beveiligde bunkers.
Toen dit model commercieel succesvol bleek, hebben de commercianten het overgenomen en zijn er VPN providers ontstaan die alleen maar naar marketing en groei kijken.
Dit resulteerde in de race naar de bodem met lage prijzen voor verkoop en inkoop.
Oftewel, if you pay peanuts you get monkeys.
Onafhankelijke audits op veiligheid en privancy worden niet vaak toegestaan.
Nu zijn veel helaas de VPN providers even onveilig als de ISP's en is de toegevoegde waarde vaak laag (in elk geval niet bewijsbaar).
Ok, laat de reacties maar komen met stellingen (graag met bewijzen)...................
22-10-2019, 14:31 door Anoniem
Door pe0mot: Omdat de meeste ISP's onveilige netwerken en DNS servers hadden (en vaak nog hebben) hebben experts destijds de VPN toegang tot Internet opgezet vanuit zwaar beveiligde bunkers.
Toen dit model commercieel succesvol bleek, hebben de commercianten het overgenomen en zijn er VPN providers ontstaan die alleen maar naar marketing en groei kijken.
Dit resulteerde in de race naar de bodem met lage prijzen voor verkoop en inkoop.
Oftewel, if you pay peanuts you get monkeys.
Onafhankelijke audits op veiligheid en privancy worden niet vaak toegestaan.
Nu zijn veel helaas de VPN providers even onveilig als de ISP's en is de toegevoegde waarde vaak laag (in elk geval niet bewijsbaar).
Ok, laat de reacties maar komen met stellingen (graag met bewijzen)...................
Ok, bewijzen, maar welke bewijzen lever jij zelf dan aan voor je stellingen?
22-10-2019, 15:02 door Anoniem
@ pe0mot,

Niet te bewijzen omdat geen van de betrokken partijen zulks in het openbaar zal willen toegeven,
want dat zou het eind betekenen van hun commercieel overleven.

Wel is er een heleboel op veiligheidsgebied niet op orde, niet bij primaire en ook bij secundaire partijen.
Certificaat lekken voor verlaten server-certificaatjes. Een oud kwetsbaar account gevonden tijdens
een heimelijke maandenlange hack-voorbereiding, net als de vil*da-zeem: streep voor streep voor streep.

Piggybacking op een kwetsbaarheid, een te exploiteren server zwakte.
En dan het feit dat security geen first priority is maar een last resort item.
De rekening zit daarna altijd onder in de zak. En die kan wel eens vrij zwaar blijken te zijn.

luntrus
22-10-2019, 15:12 door Anoniem
Aangaande Worm:W32/Agent.BTZ zie ook de info verkregen (quote)
via deze search-query op een verspreidings-uri:
https://intelx.io/?s=worldnews.ath.cx address via F-Secure research info voor deze autorun worm


[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\[RANDOM].dll,InstallM
shell\open\Default=1

Te blokkeren
Andromeda:2.60.13.132-2.60.13.132
I-Deal Direct Interactive, Inc:4.21.117.128-4.21.117.159
I-Deal Direct Interactive, Inc:4.21.149.0-4.21.149.31
MicroStrategy:4.43.44.32-4.43.44.63

Jodocus Oyevaer
22-10-2019, 15:15 door _R0N_
Probleem met dit soort diensten is dat de bedrijven een goed idee hadden en ze sneller groeien dan ze aankunnen waardoor ze ingehaald worden door de werkelijkheid. Met alle goede bedoelingen worden ze gedwongen sneller te ontwikkelen waardoor de security soms vergeten wordt met dit als gevolg.

VPN werd ineens hip waardoor meerdere bedrijven vergelijkbare diensten ontwikkelden en dus ook ongeveer gelijk met dezelfde problemen te maken krijgen.
22-10-2019, 16:04 door Anoniem
Door Anoniem: Vandaag 2 VPN providers in het nieuws en ook TorGuard... de aanval op VPN providers is begonnen?
Gezien de meldingen lijkt het er meer op dat de coming out is begonnen.
Het wachten is op de meldingen dat VPN providers die beloofden niet te loggen, toch logden.
22-10-2019, 18:14 door Anoniem
Door pe0mot: Omdat de meeste ISP's onveilige netwerken en DNS servers hadden (en vaak nog hebben) hebben experts destijds de VPN toegang tot Internet opgezet vanuit zwaar beveiligde bunkers.
Toen dit model commercieel succesvol bleek, hebben de commercianten het overgenomen en zijn er VPN providers ontstaan die alleen maar naar marketing en groei kijken.
Dit resulteerde in de race naar de bodem met lage prijzen voor verkoop en inkoop.
Oftewel, if you pay peanuts you get monkeys.
Onafhankelijke audits op veiligheid en privancy worden niet vaak toegestaan.
Nu zijn veel helaas de VPN providers even onveilig als de ISP's en is de toegevoegde waarde vaak laag (in elk geval niet bewijsbaar).
Ok, laat de reacties maar komen met stellingen (graag met bewijzen)...................

I call your bluff. Ik heb een tijd bij een ISP gewerkt, en geen van je stellingen is ook maar enigszins houdbaar. Patchen gebeurde binnen het uur. We hadden onze eigen, up-to-date repository van Debian. Netwerk was uitermate beveiligd. Het klanten netwerk werd iedere dag gescand op onder andere open (mail) proxies om onze eigen mail servers te beschermen. De DNS omgeving was uitermate goed beschermd.

Ik herhaal: wat voor onderbouwing heb je voor je stelling dat ISP's onveilige DNS servers en netwerken hadden?
22-10-2019, 19:37 door Anoniem
VPN's, content/update providers, cloud diensten etc: allemaal single point of failures.
22-10-2019, 21:58 door Anoniem
anoniem van 19:37

+100 Bingo - precies in de roos met je analyse.

J.O.
23-10-2019, 09:30 door Anoniem
Als er eentje het nieuws raakt komen ze allemaal nar voren. De aanval op VPN providers is al lang begonnen!
23-10-2019, 16:58 door Anoniem
Door Anoniem: Ga er maar vanuit dat al die sites die zo'n gratis SSL certificaatje hebben opgehaald van de letsencrypt en sslforfree ook lek zijn. Niets is gratis op internet, die ssl certificaten kunnen altijd worden verkocht via de achterdeur of zijn gehacked... en er is altijd iemand die zoiets beheert... Het gaat om miljoeenen websites.

Wie zegt dat de certificaten van Godaddy enzo niet ook ergens gekopieerd liggen? Dan kunnen bepaalde diensten gewoon alle TLS traffic live strippen...De enige bescherming is als je je eigen certificaten aanmaakt maar dan krijgt de gebruiker een error in de browser en dient deze de self-signed cert zelf toe te voegen...

Dan ben je wel zeker van je zaak en het kost niks.

Snap jij wel het principe van SSL certificaten, hoe ze werken, hoe je ze uberhaupt aanvraagd en hoe ze gecontroleerd worden ?
Lees je daar eerst over in voor zo'n onzin reactie te plaatsen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.