[English]Momentan scheint es mit den SSL VPN-Verbindungen zu haken. Ich habe mal einige Themen gesammelt. Vorige Woche wurde auf Telegram ein Datenbank-Dump mit 21 Millionen Nutzerdaten /Login-Daten der VPN-Anbieter SuperVPN, GeckoVPN und ChatVPN gepostet. Für die Cisco RV340 SSL VPN-Router gibt es einen Exploit für eine nicht authentifizierte Remote Code Execution-Schwachstelle. In Indien droht ein Rückzug eines VPN-Anbieters wegen neuer Gesetze. Und Palo Alto befasst sich mit der Frage auf, ob VPN wegen der Sicherheitsrisiken sowie verstärktem hybriden Arbeiten gegen SASE ausgetauscht werden wird.
Anzeige
21 Millionen VPN-Nutzerdaten gepostet
Am 11. Mai 2022 warnte ein Twitter-Account nachfolgenden Tweet vor diesem Datenleck. Die genannten Namen GeckoVPN, SuperVPN und ChatVPN sind alle kostenlose VPN-Dienstanbieter. Der Dump wurde gemäß diesem Artikel am 7. Mai 2022 auf Telegram gepostet. Sicherheitsforscher von VPNMentor haben die Details in diesem Artikel veröffentlicht.
Laut VPNMentor umfassten die veröffentlichten Datensätze 10 GB an Daten und 21 Millionen einzigartige Datensätze. Zu den Informationen gehörten die folgenden persönlichen Daten der Nutzer:
Vollständige Namen
Nutzernamen
Namen der Länder
Details zur Rechnungsstellung
E-Mail-Adressen
Nach dem Zufallsprinzip generierte Kennwortfolgen
Prämienstatus und Gültigkeitsdauer
Anzeige
Es scheint, dass die Passwörter entweder gehasht und salted oder zufällig (ohne Kollision) abgelegt waren. Das bedeutet, dass das Knacken der Passwörter schwieriger ist. 99,5 % der E-Mail-Adressen waren Gmail-Konten (liegt deutlich über dem durchschnittlichen Prozentsatz). Es kann auch bedeuten, dass die Gruppe, die den Speicherauszug weitergegeben hat, nur eine Teilmenge der Daten und nicht den gesamten Auszug weitergegeben hat. So ganz neu ist der Datensatz nicht, sondern dieser war 2021 bereits im Darknet im Handel. Details sind in obigem Artikel nachzulesen.
Bei VPNMentor möchte ich anmerken, dass dieses inzwischen zu Kape Technologies gehört (ein Unternehmen, welches diverse VPN-Vergleichsseiten und VPN-Dienste gekauft hat und auf eine nicht ganz saubere Vergangenheit zurückblicken kann). Siehe auch meinen Artikel Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co.
VPN-Anbieter: Rückzug aus Indien
Indien hat einen Gesetzentwurf aufgelegt, der Internetanbietern auferlegt, bestimmte Informationen über Benutzer zu protokollieren und Datenschutzverstöße binnen kurzer Frist an die Regierung zu melden. Das bringt einige VPN-Anbieter in Schwierigkeiten, die genau diese Nutzerdaten nicht protokollieren möchten.
Der Branchenführer NordVPN, der angibt, keine Serverprotokolle zu speichern, um die Privatsphäre seiner Nutzer zu schützen, könnte sich laut obigem Tweet mit seinen Servern aus Indien abziehen, wenn die Regierung das Unternehmen dazu zwingt, ab Juni die neuen Anforderungen zur Weitergabe von Nutzerdaten zu erfüllen.
Exploit für Cisco RV340 SSL VPN
Vorige Woche hatte im Beitrag SonicWall-Warnung: SSLVPN SMA1000-Bugs sofort patchen über eine riskante Schwachstelle in SonicWall-Produkten berichtet. Aber auch beim Anbieter Cisco gibt es beim Cisco RV340 SSL VPN-Router hat eine Schwachstelle, die eine nicht authentifizierte Remote Code Execution ermöglicht. Ich bin über nachfolgenden Tweet von Nicolas Krassas auf den Sachverhalt gestoßen, der von PacketStorm-Security im Beitrag Cisco RV340 SSL VPN Unauthenticated Remote Code Execution beschrieben wird.
Deren Sicherheitsforscher haben ein Metasploit-Modul veröffentlicht, das einen Stapelpufferüberlauf in der SSL-VPN-Funktionalität der Cisco RV-Router-Serie ausnutzt. Die Standard-SSL-VPN-Konfiguration ist ausnutzbar, da keine Authentifizierung erforderlich ist und sie über das Internet funktioniert! Die erfolgreiche Ausführung dieses Moduls führt zu einer Reverse-Root-Shell.
Dieses Modul wurde in den Firmware-Versionen 1.0.03.15 und höher getestet und funktioniert mit etwa 65 % Zuverlässigkeit. Der Dienst wird automatisch neu gestartet, so dass Tester es so lange versuchen können, bis Sie ihn überwunden haben. Es wurde nur der RV340-Router getestet, aber andere Router der RV-Serie sollten ohne Probleme funktionieren. Cisco hat am 4. Mai 2022 diesen Sicherheitshinweis mit Details zu betroffenen Modellen und ein Firmware-Update 1.0.03.27 zum Schließen der Schwachstelle veröffentlicht.
Prognose: VPN am Ende, Etablierung von SASE
Die Information liegt mir bereits seit einiger Zeit vor. Sicherheitsanbieter Palo Alto Networks hat sich einige Gedanken um VPN gemacht und prognostiziert, dass diese Technologie künftig durch SASE ersetzt werden wird. SASE ist ein von Gartner eingeführter Begriff, der für Secure Access Service Edge steht. Das ist eine Technologie, die softwaredefinierte Netzwerkfunktionen mit Netzwerksicherheit zusammenführt. Das cloudbasierte Architekturkonzept ist eine Kombination aus einem erweiterten und aus einer Zweigstelle bereitgestellten SD-WAN-Edge und umfassenden Sicherheitsdiensten, die über die Cloud laufen.
Hintergrund ist, dass Millionen von Beschäftigten nach fast zwei Jahren der Fernarbeit in 2022 routinemäßig sowohl von zu Hause aus als auch im Büro tätig sein. Dieser Übergang von der reinen Telearbeit zur Hybridarbeit bietet Unternehmen die Möglichkeit, eine stabile Grundlage für ihre Mitarbeiter zu schaffen. Indem sie ihnen die Richtlinien, Tools und die Führung an die Hand geben, die sie benötigen, um Unterbrechungen zu minimieren, können die Mitarbeiter die Vorteile ihrer neuen hybriden Arbeitsumgebung sicher und produktiv nutzen.
Palo Alto Networks sieht diese hybriden Arbeitsmodelle als Dauerzustand. Immer mehr Unternehmen wollen die Einführung der hybriden Arbeitsweise auf permanenter Basis formalisieren. Dies wird zusätzlichen Druck auf die Initiativen zur Sicherheitsmodernisierung ausüben, die bei den meisten Unternehmen während der Pandemie hinter der Netzwerkerweiterung zurückstehen mussten. Laut der Studie State of Hybrid Workforce Security 2021 haben 61 Prozent der Unternehmen Schwierigkeiten, die erforderliche Remote-Sicherheit zur Unterstützung von Heimarbeitsplätzen zu gewährleisten. Wenn die Mitarbeiter wieder vermehrt im Büro sind, wird der Druck auf das WAN aufgrund der verstärkten Nutzung von Collaboration-Tools und Video noch größer werden, was den Bedarf an SD-WAN weiter erhöht. Hier einige Einschätzungen von Palo Alto zu diesem Thema.
Das Ende des Notnagels "Remote Access VPN"
Aus der Not heraus reagierten viele Unternehmen auf die Pandemie, indem sie ihre bestehenden VPN-Funktionen schnell ausbauten. VPN war jedoch nie für den Einsatz in einem solchen Umfang gedacht, und die Unternehmen gehen nun zu SASE (Secure Access Service Edge) über, um einen skalierbaren, sicheren Zugang am Netzwerkrand zu ermöglichen.
Diese Umstellung erfolgt zwar nicht über Nacht, so Palo Alto Networks in seiner Einschätzung. Aber im Jahr 2022 werde SASE, das einen sicheren Fernzugriff auf Anwendungen und Dienste auf der Grundlage definierter Zugriffskontrollrichtlinien ermöglicht, in großem Umfang eingesetzt werden, schreiben deren Analysten. Unternehmen, die diesen Ansatz verfolgen, verbessern nicht nur ihre Skalierbarkeit und Benutzerfreundlichkeit, sondern auch ihre Sicherheitslage und richten sich besser auf die Prinzipien von Zero Trust aus.
Büroanwesenheit im Zeitalter der hybriden Arbeit
Während Unternehmen und Mitarbeiter festlegen, wie die neue Normalität des hybriden Arbeitens aussehen wird, ist zu erwarten, dass die Anwesenheit im Büro in Wellen erfolgt, die je nach lokalen und nationalen Vorschriften, Geschäftsanforderungen und Mitarbeiterpräferenzen abebben. Diese Dynamik wird nach Meinung von Palo Alto Networks IT-Teams vor die Herausforderung stellen, konsistente Erfahrungen zu bieten und das Interesse an neuen Technologien wie Digital Experience Monitoring fördern. Die Konsistenz bezieht sich auf die Art und Weise, wie Benutzer mit verschiedenen Unternehmensanwendungen interagieren und auf Daten und andere Dienste über alle Standorte hinweg zugreifen, also Home-Office, Zweigstellen und Unternehmensgelände.
Wiedererstarkte Verbraucher mit hohen Erwartungen
Trotz der aktuellen Infektionswelle durch die Omikron-Variante wird die Kombination aus Pandemiemüdigkeit und wirksamen medizinischen Behandlungen dazu führen, dass die Verbraucher im Jahr 2022 mehr einkaufen, essen gehen, reisen und erleben werden als in den letzten zwei Jahren. Unternehmen sollten darauf vorbereitet sein, diese Kunden zu bedienen und mit ihnen durch digitale und persönliche Erlebnisse in Kontakt zu treten. Die Betonung liegt dabei auf Erlebnissen, denn die Erwartungen werden auf verbesserte, personalisierte und leistungsstarke Erlebnisse gerichtet sein.
Für IT-Verantwortliche wird es nach Einschätzung von Palo Alto Networks immer wichtiger, einen vollständigen Überblick über die User Experience Journey in der gesamten Netzwerkinfrastruktur – und an allen Punkten innerhalb einer Service-Delivery-Chain – zu erhalten. Ebenso gilt es Konnektivitätsprobleme der Benutzer eigenständig zu beheben. Autonomous Digital Experience Management (ADEM) ist eine aufkommende Technologie, die Unternehmen dabei helfen kann, die gestiegenen Kundenerwartungen zu erfüllen.
Sicherung von Heimumgebungen entscheidend für die Netzwerksicherheit
Jetzt, da hybrides Arbeiten normal geworden ist, ist das Heimnetzwerk in vielerlei Hinsicht das schwächste Glied für Angreifer in einem Unternehmen. Zu Hause wird die Arbeit eher von persönlichen Geräten und Konten aus erledigt, was weiche Ziele bietet, die außerhalb der Sichtweite des Sicherheitsteams operieren. Im Jahr 2022 wird das Home-Office zu einem Ort, an dem das Unternehmen und seine Mitarbeiter gemeinsam für die Cybersicherheit verantwortlich sind.
SASE ist die Architektur für die hybride Arbeitswelt
Derzeit bietet sich nach Meinung von Palo Alto Networks die einmalige Gelegenheit, die Netzwerke gezielt zu gestalten, dass sie so flexibel und skalierbar sind, wie es die Unternehmen brauchen. Sicherheit ist mittlerweile als etwas Integriertes und nicht als etwas Aufgeschraubtes zu begreifen. So lässt sich der Benutzer in den Mittelpunkt stellen, was unzählige Möglichkeiten schafft und die Zukunft der Arbeit ermöglicht. SASE kann Unternehmen helfen, den Übergang zum hybriden Arbeiten im Jahr 2022 und darüber hinaus erfolgreich zu meistern.
Ähnliche Artikel:
Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co.
Anzeige
Ja natürlich ist VPN am Ende wenn man doch mit Cloud Diensten noch mehr Geld verdienen kann….
Zu vielen Clouddiensten ist VPN eine Zugangsvoraussetzung, weil man eben z.B. kein SMB oder RDP über das Internet routen will oder der Cloudanbieter in seiner Wolke Adressen nach RFC1918 verwendet, die man eben nicht über das offene Netz routen kann.
VPN ist nicht gleich VPN.
Es ist mir unverständlich, daß Leute glauben, sie könnten der Nachverfolgung entgehen, indem sie eine dritte Partei (VPN-Anbieter) in ihren ganzen Datenverkehr einbeziehen.
Das ist genauso, als würde ich meine ganzen Zugangsdaten in einem Passwort-Manager speichern, von dem auch keiner weiß, was es mit den gesammelten Daten macht.
es geht um Free-VPN, nicht um tatsächliche VPN-Anbieter.
und "was die so machen" kann man im Übrigen auch nachlesen.
Wobei sich natürlich die Frage stellt, warum ein Anbieter eines Free-VPN "Details zur Rechnungsstellung" speichern sollte.
Ansonsten sollte es ja kein Problem sein, anstatt eines gehackten einfach einen neuen freien Account anzulegen.
Simpel:
Selbst im schlimmsten Fall (kooperativer und voll loggender Anbieter) verzögert die Nutzung eines VPN die Ermittlungen, mit Glück so lange, dass die beim eigenen ISP gespeicherten Vorratsdaten schon wieder gelöscht sind.
Wenn der VPN-Anbieter gar im Ausland, im Idealfall in einer unkooperativen Jurisdiktion, seinen Sitz hat sind das Monate (ausser-EU-liche Anfragen laufen mW über die Botschaften).
Wenn man jetzt noch VPNs kaskadiert und/oder als Exit-GW Amateur-VPNs (z.B. vpngate.net) nutzt hat man den hiesigen Ermittlern schon eine mächtige Hürde in den Weg gestellt.
> dass die beim eigenen ISP gespeicherten Vorratsdaten schon wieder gelöscht sind
Wie kommst Du darauf, dass dort jemals wieder etwas gelöscht werden würde oder diese Daten nur dort gespeichert würden? Recherchetipp: bnd de-cix
Naja, wenn erst der BND (mit Sicherheit liegen die gleichen Daten auch NSA & Co vor) involviert ist habe ich bereits eine weit grössere Herausforderung.
Hier geht es doch eher um das Verschleiern einfacher Delikte wie online begangener "Hassverbrechen" oder "Raubmordkopien". Und da ermittelt idR nur der gemeine Polizist, der bei "haben wir schon gelöscht" eben die Ermittlungen einstellen muss.
Selbst bei KiPo habe ich meine Zweifel, dass es den BND interessierte (ausser vielleicht als Druckmittel für die Mitarbeitergewinnung – dazu müssten sie aber wenigstens einen Verdacht bzgl. (m)einer Identität haben).
I.d.R. geht es um noch viel trivialere Dinge, beispielsweise einen Film oder eine Fernsehsendung "von einer amerikanischen IP aus" sehen zu können, wenn die Verbreitung nach Europa noch unterbunden ist.
sehe ich anders, weil man da alle kompromittierenden Verbindungen für eine Endstelle aus einer Hand bekommt, während man sonst alle möglichen Wege überwachen müsste.
Nutze schon seit mehreren Jahren OpenVPN auf IPFire-Hardware-Firewalls. Funktioniert bestens und wird auch regelmäßig aktualisiert. Einziger Haken: IPFire 2 unterstützt leider nur IPv4. Das soll sich erst ab Version 3 ändern, was aber immer noch in Entwicklung ist.
Braucht man was anderes als IPv4?
Ehrlich IPv6 ist eine Totgeburt. Warum setzt es sich so schwer durch? Weil es kein vernünftiger (Admin-)Mensch haben will. Hätten die Jungs und Mädels IPv4 einfach um paar Stellen erweitert und die Logik ansonsten komplett in Ruhe gelassen, wäre alles Schick gewesen – aber so…
Wenn ich mir anschaue, was an den Perimetern (Webserver, Mailserver) so an Anfragen hereinkommt, dann wohl schon. Hausintern eher weniger.
Zumindest das in den Sophos UTM gebundelte OpenVPN hat mit IPv6 keine Probleme, ich kann wahlweise stateless oder stateful (DHCP) Adressen vergeben, die dann auch funktionieren.
Ansonsten ist meine Meinung zu IPv6 daß man es zumindest auf Netzwerk-, Router- und Firewallseite sauber auskonfigurieren sollte um zu verhindern, daß ein Client, der es versehentlich aktiviert (bei Windows Default, der auch von diversen "Reparaturassistenten" wiederhergestellt wird) an allen Sicherheitsmechanismen vorbei "nach draußen" kommt.
Bei 21 Millionen Datensätzen muss man ganz klar sagen VPN ist endgültig am Ende! Wer was anderes behauptet, leidet unter Realitätsverlust.
Ganz im Gegenteil:
Wer wegen des Versagens einiger weniger Firmen nicht nur eine ganze Branche, sondern sogar eine ganze Technologie pauschal disqualifiziert ist entweder ein engstirniger Populist oder ein profitinteressierter Lobbyist/Propagandist.
Wie bereits aus dem Blogbeitrag hervorgeht geht es den Protagonisten darum, ihre Cloud-Dienstleistungen (die übrigens auch nur wie ein VPN funktionieren) zu verkaufen.
Alter Wein in neuen Schläuchen für mehr Geld.
Sorry, aber wer das sagt leidet selbst unter Realitätsverslust.
Ein VPN ist per Definition eine virtuelle Verbindung für private (von außen nicht einsehbare) Daten.
Wir betreiben selbst mehrere VPN-Router in der Firma und die Datensätze die dabei anfallen sagen im Wesentlichen "Mitarbeiter Abc hat sich um x:xx Uhr von seinem Homeoffice (DSL-IP xxx) in das Firmennetz eingewählt und bis xx:xx Uhr dabei xxx GB Daten bewegt.
Das einzige was mich davon abhält diese Daten z veräffentlichen ist der Betriebsrat, der darin schützenswerte Personendaten sieht, aus denen man ein Profil der Arbeitsleistung des Mitarbeiters erstellen konnte. Ansonsten sind diese Daten genauso geheim wie z.B. das Protokoll einer Telefonanlage, aus dem hervorgeht, wer wann mit wem wie lange telefoniert hat.
Wer aufgrund der oben zitierten Nachrichtenmeldung plötzlich laut aufschreit ist der irrigen Annahme, ein VPN sei etwas, hinter dem man seine Identität verstecken könnte. Tatsächlich haben einige VPN-Anbieter diesen Irrglauben befeuert indem sie den Kunden Versprechungen gemacht haben "Wir loggen nicht – keine weiß, wer hinter Deinem Anschluß steht".
Solche Aussagen kann man kann man als junges Startup machen, spätestens nach der ersten richterlichen Verfügung (auf der in einem Nebensatz noch steht, daß man nicht darüber reden darf) sind sie Makulatur.
Tatsächlich war das nie das Designziel von VPNs, auch wenn die Leute, die darüber (mutmaßlich) illegale Dinge tun wollen es gerne anders glauben. Und auch nur diese Leute sind dann "am Ende". Für jeden anderen ist der Vorgang nicht ärgerlicher als wenn jemand in meine Telefonrechnung schaut.
Ui Ui Ui …da werden 2-3 Themen/Bereiche fröhlich durcheinander gewürfelt, die miteinander IMHO wenig zu tun haben.
Dienste wie z.b. NordVPN haben doch einen völlig anderen Zweck als per VPN auf das heimische Netzwerk oder ein kleines Firmen Netzwerk zuzugreifen. Da irgendwelche Kausalitäten herzustellen finde ich seltsam.
Deeper Network ist auch eine gute VPN Lösung