VPN-сервери Windscribe конфісковані українською владою: чим це може загрожувати користувачам

сервери, серверна
Фото: business.com

Розробники підозрюють, що українські правоохоронці, теоретично, могли б отримати доступ до даних юзерів через застарілу систему безпеки.

Українські правоохоронці конфіскували два незашифровані VPN-сервери компанії Windscribe, призначені для користувача дані на яких опинилися під загрозою.

Про це заявила пресслужба організації на офіційному сайті.

Чому заарештували VPN-сервери і хто це зробив

24 червня Windscribe помітила, що два сервери, які знаходяться в Україні, на яких працював сервіс OpenVPN, зникли з мережі. Як повідомив український хостинг-провайдер, на початку 2021 року відбулося попереднє судове слухання, в процесі якого вирішили заарештувати сервери в рамках розслідування про "активності 12-місячної давності". Варто зазначити, що Windscribe не попередили про це слухання та про ухвалене рішення.

"На диску цих двох серверів зберігався сертифікат сервера OpenVPN і його закритий ключ. Хоча в нас є зашифровані сервери в регіонах із високим ступенем захисту, на цих серверах був встановлений застарілий стек і вони не були зашифровані", — наголошується в офіційному блозі компанії.

Користувачі використовують VPN для надсилання свого інтернет-трафіку в зашифрований тунель, щоб вмикнути можливість відстеження IP-адрес і збору даних.

"Хтось нібито видав себе за державного службовця і вкрав $10 тис. в українського агентства соціальних послуг (в оригіналі використане словосполучення Ukrainian social services agency, — ред.). Рік потому сервери були конфісковані місцевою владою. Ми ніколи не передавали дані про клієнтів просто тому, що передавати нічого", — додав Єгор Сак із Windscribe у коментарі для сайту Ars Technika.

Поки немає офіційної інформації про те, яке саме відомство конфіскувало обладнання канадської компанії. У Реєстрі судових рішень нам не вдалося знайти інформацію про проведення такого заходу.

Чим загрожує українцям конфіскація серверів Windscribe

Представники компанії стверджують, що поки немає ніяких підстав припускати, чи буде здійснений злом або несанкціонований доступ до серверів. І поки що дані клієнтів — у безпеці, адже сервіс не реєструє трафік VPN під час роботи. У той же час у Windscribe зізналися, що в окремих випадках суб'єкт, який володіє закритим ключем і володіє достатніми ресурсами, може видати себе за VPN-сервер і захоплювати трафік, що проходить по VPN.

"В української влади є гіпотетична можливість видати себе за сервер Windscribe OpenVPN, але тільки зважаючи на дотримання всіх 4 умов", йдеться в блозі компанії:

  • зловмисник контролює вашу мережу і може перехоплювати всі комунікації (привілейована позиція для атаки MITM);
  • ви використовуєте застарілий DNS-перетворювач (застарілий DNS-трафік не зашифрований і підлягає MITM);
  • зловмисник має можливість маніпулювати вашими незашифрованими DNS-запитами (DNS-записи, які використовуються для вибору IP-адреси одного з наших серверів);
  • ви не використовуєте програми Windscribe (додатки Windscribe підключаються через IP, а не через записи DNS).

Також у компанії розповіли, яким може бути "потенційний вплив на користувача, якщо всі перераховані вище умови виконуються":

  • зловмисник зможе побачити незашифрований трафік усередині вашого VPN-тунелю;
  • зашифровані розмови, такі як веб-трафік HTTPS або служби зашифрованих повідомлень, не постраждають;
  • зловмисник зможе побачити джерело і призначення трафіку.

Важливо пам'ятати:

  • велика частина інтернет-трафіку зашифрована (HTTPS) всередині вашого VPN-тунелю;
  • історичний трафік не наражається на ризик завдяки PFS, яка запобігає дешифруванню історичного трафіку, навіть якщо у когось є закритий ключ для сервера;
  • ніякі інші протоколи, які підтримуються серверами Windscribe, не торкнулися, тільки OpenVPN.

Зараз Windscribe працює над вирішенням проблем, зокрема перезапускає всі сервери OpenVPN.

"Ми переведемо всі сервери Windscribe на роботу в режимі оперативної пам'яті без підтримки жорсткого диска. Це означає, що наші сервери і будь-які дані, які вони містять або генерують, живуть і вмирають в ОЗП і не можуть бути доступні після вимкнення або перезавантаження машини", — пообіцяли розробники.

Які будуть наслідки для всієї України

Експерт із кібербезпеки Андрій Баранович, вважає, що за всім цим стоїть кіберполіція, яка веде розслідування через крадіжку державних грошей (тих самих $10 тис., про які згадував Єгор Сак). За словами Андрія, через рік після скоєння злочину, правоохоронці звернулися до хостера і вилучили два сервери канадської компанії Windscribe, один з яких "засвітився" в крадіжці.

"Звичайно, компанію ніхто ні про що не просив і ні про що не попереджав. Due diligence по-українськи", — прокоментував Баранович. — "Такий спосіб дій дуже "позитивно" впливає на образ та інвестиційну привабливість нашої країни, не кажучи вже про міжнародне співробітництво у правоохоронній діяльності. Замість того, щоб звернутися власне до компанії або написати один запит хостера і підняти дані netflow — грабуй, ламай, руйнуй. Не здивуюся, якщо злодія теж не спіймали".

На момент публікації Фокусу не вдалося отримати коментар від кіберполіції.

Раніше кіберполіція викрила фінансову піраміду з продажу криптовалют. За даними слідства, зловмисники обманом виманили у громадян України 250 мільйонів гривень через додаток біржі.