zonediver schrieb:
Tjo... darum hab ich meinen "eigenen" VPN-Server - diese Dienste sind alle unzuverlässig...
Sofern du nicht das Ding Zuhause am heimischen Anschluss stehen hast (was ja nicht der Sinn dieser Art von VPN Dienste ist, die man da bucht bei einer NordVPN -> du willst ja deine IP verschleiern) musst du schon am Besten irgendwie in einem RZ ein gemietet sein, wo du deine eigene Hardware mit einer Art Housing aufstellst.
Denn, was leider aus dem Artikel nicht hervorgeht, weil es einfach nicht erwähnt wird ist die Aussage, wie der Spaß (angeblich) abhanden gekommen sein soll.
EDIT: wurde jetzt Angefügt im Artikel
Laut der verlinkten Quelle kam es zu dem Zugriff, weil ein unsicheres Remote Management System. Laut dem Textfile mit dem Output bzw. dem Namen, wie die Kiste dort hieß, lässt das einfach darauf schließen, dass eine NordVPN bei einem Anbieter eine VM gebucht hat und über ein externes Interface Dritte IN die VM einsteigen konnten. Eine NordVPN beteuert anscheinen, nicht gewusst zu haben, dass dieses Interface existierte.
Unterm Strich, bei JEDEM VM Hosting Anbieter kann es dir passieren, dass da wer an deine Daten ran kommt. Selbst Verschlüsslung nutzt dir nur bedingt -> wer den Host administriert ist technisch auch in der Lage den RAM Inhalt auszulesen und damit an die Cryptokeys zu kommen.
Ob das jetzt sinnvoll ist, sowas in einer VM bei Dritten zu betreiben, wo nicht 100% klar ist, ob es da Management Zugriffe von Dritten gibt oder nicht, lass ich mal offen
lynx007 schrieb:
Aber was kann man jetzt mit diesen Zertifikaten jetzt für böse Dinge machen? Bzw für was sind sie gut wen man, damit trotzdem nicht auf die Datenströme kommt?
So es ausschaut wurden dort zwei private Keys für Website Zertifikate entwendet sowie nach dem Output des Logs zur Folge ein Key mit dem Namen ca.key -> was darauf schließen lässt, dass es sich dabei um eine Certificate Authority handelt, die für was auch immer genutzt wurde.
Mit den private Keys der Website Zertifikaten kann man prinzipiell (auch im Nachgang bei lange genug mitgesnifferten Traffic) den Datenverkehr zu/von diesem System entschlüsseln, wo der Key halt genutzt wird/wurde. Da es sich offenbar um die Wildcard *.nordvpn.com handelt, liegt es nahe, dass nicht nur ein Server damit betankt wurde.
Aktuell ist aber unklar, wo das Zertifikat überall verwendet wird und vor allem, für was. Die stumpfe Existenz solch eines Keys bzw. Key Pairs heist nicht, dass es auch irgendwo brisante Daten absichert.
Interessanter finde ich da noch die CA. Aber selbst da ist es nicht klar, was damit anzustellen geht. Denn die werden zu 100% die Schlüssel revoked haben. Das heist, mit dem CA private Key kannst du nix schädliches anstellen, wenn dieser nicht mehr verwendet werden. Auch Rückwirkend nicht. Das einzige was damit möglich wäre, während der Spaß noch gültig war, konnten eigene Zertifikate mit so einem Key signiert werden.
Man kann sich dort potentiell als etwas ausgeben, was man nicht ist. -> die Frage wäre ob das eine public CA war oder rein intern selfsigned? Wenn intern -> halb so wild. Wenn public müsste es eigentlich nen riesen Aufschrei geben...
RalphS schrieb:
Private key weg ist worst case. Mit dem PK lassen sich neue Zertifikate erstellen, die sich ebenso wie die alten verhalten. Abgelaufen zählt nicht -- Privatekeys laufen nicht ab.
Da gibts nur eins, Revoke revoke und nochmal revoke und dann alles neu aufsetzen. Blöd, aber PK weg, kann man nichts machen.
Das ist natürlich so nicht richtig. Mit einem privaten Schlüssel einer CA (das ist einer der drei um die es ging) lassen sich eigene/andere Zertifikate prinzipiell signieren, mehr aber auch nicht. Zumindest müssten die schon reichlich dämlich sein, den selben Key für verschiedene Sachen zu nutzen. Du kommst mit dem privaten Schlüssel einer CA nicht an den privaten Schlüssel eines schon signierten Zertifikats. Du kannst da auch nichts "nachahmen" oder neu austellen. Vor allem nicht, wenn der Verlust bemerkt wird und das Schlüsselpaar als ungültig markiert wird, denn dann ist das nur noch Datenwust, der Niemanden mehr wirklich was nutzt.
Ganz sicher haben die Jungs dort das CA Zertifikat revoked. Damit werden mit einem Schlag alle von dieser CA signierten Zertifikate ungültig (sofern der Client einen Revocation Check durchführt).
Da der Server selbst befallen war sollte man diesen noch komplett plätten. Fertig...
Leider wird bei solchen Themen viel Mist verzapft und vor allem wissen die meisten auch um die Unterschiede der verschiedenen Möglichkeiten wo Keys genutzt werden, nicht bescheid, sodass da viel Halbwissen und Panikmache betrieben wird.
Sollte da irgendwo nur im Ansatz was dran sein, dass der Zugriff über ein nicht ausreichend gesichertes Management System erfolgte, dann kann da eine NordVPN schlicht nichts für außer sich für den Anbieter entschieden zu haben, wo der Server stand. Technisch kann einem das in JEDEM VM Hosting passieren, wo man nicht selbst Eigentümer der Hardware ist und Dritte potentiell Hoheit über das System bekommen könnten. Das inkludiert die kompette Azure Cloud, AWS Cloud, Google Dienste usw. usf.
aber, mit vernünftiger Validierung nicht unter EV wäre das vielleicht nicht passiert. 
