VPN-сервера Windscribe конфискованы украинскими властями: чем это может грозить пользователям

Украинские правоохранители конфисковали два незашифрованных VPN-сервера компании Windscribe, пользовательские данные на которых оказались под угрозой.

Об этом заявила пресс-служба организации на официальном сайте.

Почему арестовали VPN-сервера и кто это сделал

24 июня Windscribe заметила, что два сервера, находящихся в Украине, на которых работал сервис OpenVPN, пропали из сети. Как сообщил украинский хостинг-провайдер, в начале 2021 года состоялось предварительное судебное слушание, в ходе которого решили арестовать сервера в рамках расследования об "активности 12-месячной давности". Примечательно, что Windscribe не предупредили об этом слушании и о принятом решении.

"На диске этих двух серверов хранился сертификат сервера OpenVPN и его закрытый ключ. Хотя у нас есть зашифрованные серверы в регионах с высокой степенью защиты, на этих серверах был установлен устаревший стек и они не были зашифрованы", — отмечается в официальном блоге компании.

Пользователи используют VPN для направления своего интернет-трафика в зашифрованный туннель, чтобы исключить возможность отслеживания IP-адресов и сбора данных.

"Кто-то якобы выдал себя за государственного служащего и украл $10 тыс. у украинского агентства социальных услуг (в оригинале использовано словосочетание Ukrainian social services agency, — ред.). Год спустя серверы были конфискованы местными властями. Мы никогда не передавали данные о клиентах просто потому, что передавать нечего", — добавил Егор Сак из Windscribe в комментарии для сайта Ars Technika.

Пока нет официальной информации о том, какое именно ведомство конфисковало оборудование канадской компании. В Реестре судебных решений нам не удалось найти информацию о проведении такого мероприятия.

Чем грозит украинцам конфискация серверов Windscribe

Представители компании утверждают, что пока нет никаких оснований предполагать, будет ли осуществлен взлом или несанкционированный доступ к серверам. И пока что данные клиентов — в безопасности, ведь сервис не регистрирует трафик VPN во время работы. В то же время в Windscribe призналась, что в редких случаях субъект, владеющий закрытым ключом и обладающий достаточными ресурсами, может выдать себя за VPN-сервер и захватывать трафик, проходящий по VPN.

"У украинских властей есть гипотетическая возможность выдать себя за сервер Windscribe OpenVPN, но только при соблюдении всех 4 из следующих условий", говорится в блоге компании:

• злоумышленник контролирует вашу сеть и может перехватывать все коммуникации (привилегированная позиция для атаки MITM),
• вы используете устаревший DNS-преобразователь (устаревший DNS-трафик не зашифрован и подлежит MITM),
• злоумышленник имеет возможность манипулировать вашими незашифрованными DNS-запросами (DNS-записи, используемые для выбора IP-адреса одного из наших серверов),
• вы не используете приложения Windscribe (приложения Windscribe подключаются через IP, а не через записи DNS).

Также в компании рассказали, каким может быть "потенциальное влияние на пользователя, если все вышеперечисленные условия выполняются":

• злоумышленник сможет увидеть незашифрованный трафик внутри вашего VPN-туннеля,
• зашифрованные разговоры, такие как веб-трафик HTTPS или службы зашифрованных сообщений, не пострадают.
• злоумышленник сможет увидеть источник и назначения трафика.

Важно помнить следующее:

• большая часть интернет-трафика зашифрована (HTTPS) внутри вашего VPN-туннеля,
• исторический трафик не подвергается риску благодаря PFS, которая предотвращает дешифрование исторического трафика, даже если у кого-то есть закрытый ключ для сервера
• никакие другие протоколы, поддерживаемые серверами Windscribe, не затронуты, только OpenVPN.

Сейчас Windscribe работает над решением проблем, в частности перезапускает все сервера OpenVPN.

"Мы переведем все серверы Windscribe на работу в режиме оперативной памяти без поддержки жесткого диска. Это означает, что наши серверы и любые данные, которые они содержат или генерируют, живут и умирают в ОЗУ и не могут быть доступны после выключения или перезагрузки машины", — пообещали разработчики.

Каковы будут последствия для всей Украины

Эксперт по кибербезопасности Андрей Баранович, считает, что за всем этим стоит Киберполиция, которая ведет расследование из-за кражи государственных денег (тех самый $10 тыс., о которых упоминал Егор Сак). По словам Андрея, спустя год после совершения преступления, правоохранители обратились к хостеру и изъяли два сервера канадской компании Windscribe, один из которых "засветился" в краже.

"Естественно, компанию никто ни о чем не просил и ни о чем не предупреждал. Due diligence по-украински", — прокомментировал Баранович. — "Такой способ действий очень "положительно" влияет на образ и инвестиционную привлекательность нашей страны, не говоря уже о международном сотрудничестве в правоохранительной деятельности. Вместо того, чтобы обратиться к самой компании или написать один запрос хостеру и поднять данные netflow — грабь, ломай, круши. Не удивлюсь, если вора тоже не поймали".

На момент публикации Фокусу не удалось получить комментарий от Киберполиции.

Ранее киберполиция разоблачила финансовую пирамиду по продаже криптовалют. По данным следствия, злоумышленники обманом выманили у граждан Украины 250 миллионов гривен через приложение биржи.