Mullvad hat sich untersuchen lassen — Close-up Of Businessperson Checking Bills With Magnifying Glass

Mullvad VPN lässt Audit durchführen

9.8.23 15:51 von Moritz Poldrack Lesezeit: 4 Min.

Einer der bekanntesten VPN Dienstleister, Mullvad, hat sich kürzlich einem Audit unterzogen: Wir schauen uns die Ergebnisse genauer an.

Mullvad, für viele die Empfehlung, wenn es um VPN-Anbieter geht, hat heute die Ergebnisse eines externen Audits durch die niederländische Firma Radically Open Security veröffentlicht. Wir schauen uns den Bericht näher an und entlarven fragwürdiges Marketing.

Zwei VPN-Server wurden untersucht

Mullvad hat im Rahmen des Audits Mitte Mai (Bericht und Blog widersprechen sich hier, der Blog spricht von Mitte Juni) zwei ihrer Server – einen mit OpenVPN und einen mit Wireguard – untersuchen lassen und den Abschlussbericht auf seinem Blog veröffentlicht. Eine Verifikation wurde im Juli durchgeführt.

Die Pentester erhielten vollständigen SSH-Zugriff auf die Server, auf denen ein abgespeckter 6.3.2 Linux Kernel in der Geschmacksrichtung Ubuntu läuft. Das Setup war laut Mullvad identisch zu Produktivsystemen, die Server wurden allerdings nie als solche eingesetzt. Aufgabe der Pentester war, die interne und externe Sicherheit der Systeme zu testen und zu prüfen, ob und wie viel Mullvad loggt. Weder der Quellcode der Binaries, noch die Hardware, wurde einem angebotenen Test unterzogen.

Mullvad hatte 25 „Probleme“

Wichtig ist zuerst einmal, dass ein „Issue“ in einem Pentest-Bericht nicht notwendigerweise ein tatsächliches Problem für die Sicherheit darstellen muss. Die Probleme können ggf. durch externe Systeme oder Policies entschärft werden.

Gleich das erste Problem, Dringlichkeit: „Hoch“, straft hier Mullvad Lügen. Die Tester fanden, dass das System Produktivtraffic von Kunden als Hop in einem Multihop-Setup verarbeitete. Dadurch war der Traffic der User für die Pentester sichtbar und wurde – zumindest teilweise – im Rahmen der Beweisaufnahme mitgeschrieben. Dies kam dadurch zustande, dass die Systeme in der API von Mullvad als Hops gelistet waren.

Auch beachtlich ist, dass Nutzer mit Root-Zugriff auf den Servern über Änderungen der IPMI Konfiguration (Remote Management und Monitoring Interface) oder der Firmware persistente Backdoors in die Systeme einbauen könnten, dies wäre über z. B. Secureboot und die Abschaltung von IPMI mitigiert werden. Die Umsetzung dieser Änderungen kann aber länger dauern, da man natürlich keine Downtimes riskieren will.

Fokuspunkt: root werden

Viele der untersuchten Punkte bezogen sich auf Privilege Escalation, da ein Angreifer so möglicherweise persistenten Zugriff auf ein System erhalten konnte. Und hier hat Mullvad wieder ein paar Plus-Punkte sammeln können.

Privilege Escalation war u. a. durch fehlerhafte Berechtigungen auf systemd Timern möglich und die meisten dieser Probleme hat Mullvad bereits gefixt.

Ein bemängelter Punkt war auch, dass ein SSH-Login auf die Systeme überhaupt möglich war, da so z. B. Mitarbeiter Traffic mitschneiden könnten, was natürlich eher weniger im Interesse der Kunden wäre.

Netzwerk-Debug Tools kamen direkt vorinstalliert. Auf den Servern waren tcpdump, nmap, und netcat direkt verfügbar. Was den Testern etwas Arbeit abnahm, aber dennoch nicht sein müsste. Besonders eine Kombination von tcpdump und pastebinit könnte genutzt werden, um bei Systemzugriff Nutzer-Traffic direkt weiterzuschicken.

Mullvad loggt nicht… zumindest keinen DNS und Proxy Traffic

Die Tester untersuchten auch, ob und was auf den Systemen geloggt wird. Das Ergebnis: danted (ein Proxy) und bind (DNS-Server) loggen nicht. Auffällig ist hier die fehlende Erwähnung von OpenDNS und Wireguard.

Ein akuter Fall von Marketing Woo-Woo

Zusammenfassend lässt sich sagen, dass die Liste bei Mullvad noch verhältnismäßig kurz ist und die Verteilung von Problemen sich doch eher in Maßen hält. Listen mit Hunderten von Issues sind gängige Praxis, da Pentester mit Systemzugriff eine Menge Schabernack treiben können. Dennoch ist die Darstellung in Mullvads Blog zumindest von fraglicher Genauigkeit.

Und jetzt für alle Sysadmins die noch keinen Herzinfarkt hatten:

%mad ALL=(ALL:ALL) NOPASSWD: ALL

Das heißt, alle Mitglieder der mad Gruppe können alle Administratorbefehle ohne Passworteingabe ausführen. Da schüttelt’s mich schon etwas. Hoffentlich haben wenigstens die SSH-Keys ein Passwort.

Mullvad im Interview: bitte Fragen einreichen!

Jan, Geschäftsführer bei MullvadVPN, hat uns die Zusage für ein Interview gegeben. Fragen an Mullvad könnt ihr bis zum 29.01. einreichen.

Zum Thema No-Log Zertifizierungen von VPNs

No-Log schreiben sich alle VPNs auf die Fahne, aber was ist diese Behauptung eigentlich wert, wenn sie denn wahr ist?

Temu-App-Symbol auf dem Bildschirm eines Apple MacBook und eines iPhone in einem Einkaufswagen

Die Wahrheit über Temu: Zu billig, um wahr zu sein!

Ist Temu wirklich ein Paradies für Schnäppchenjäger? Erfahrt mehr über die Risiken, die sich hinter den verlockenden Deals verbergen.

MullvadVPN verwendet Gmail: Ist Privatsphäre ein leeres Versprechen?

Warum verwendet MullvadVPN Gmail? Wir besprechen in diesem Blogbeitrag die möglichen Risiken und Auswirkungen auf die Privatsphäre.

Perfect Privacy lehnt Bezahlung mit Bargeld ab

Im Forum von Perfect Privacy wird schon längerfristig nach einer Bargeldbezahlung gefragt. Wir haben beim Betreiber einfach mal nachgehakt.

Edge will von jeder besuchten Website einen Screenshot erstellen

Beim nächsten großen Update vom Browser Edge kann man von jeder besuchten Webseite automatisch einen Screenshot erstellen. Ist das sinnvoll?!?

Hackerangriff auf Handwerkskammern in Deutschland?

Rätselraten um einen möglichen Hackerangriff auf die Handwerkskammern in Deutschland. Zahlreiche Webseiten und Dienste sind nicht erreichbar.

Europa stoppt Facebook: Schluss mit gezielter Werbung!

Auf diese Nachricht haben viele Datenschützer lange gewartet. Europa stoppt Facebook! Endlich ist Schluss mit zielgerichteter Werbung.

Sicheres Smartphone: Wichtige Tipps gegen Angriffe aus dem Netz

Ein sicheres Smartphone ist heute wichtiger denn je. Dein Handy ist ein Schatz persönlicher Daten, den es mit allen Mitteln zu schützen gilt!

Verzerrte Silhouette hinter einem flimmernden Bildschirm

Chat-Kontrolle: Massenüberwachung im Namen des Kinderschutzes

Chat-Kontrolle? Nein, danke! Lasst uns gemeinsam für eine sichere und freie Kommunikation eintreten, ohne unsere Grundrechte zu opfern.

Der umfassende Leitfaden zur Verbesserung des Datenschutzes im digitalen Zeitalter

Die Gewährleistung eines umfassenden Datenschutzes beschränkt sich nicht nur auf den Schutz vor externen Bedrohungen. Doch was ist gemeint?

Mullvad hat sich von Gmail verabschiedet

Good bye Gmail! Der VPN-Provider Mullvad teilte am heutigen Donnerstag auf dem Blog mit, dass die Support-E-Mails nun selbst gehostet werden.

Ein Spion liest auf seinem Apple iPhone deine Benachrichtigungen

Apple: Ja natürlich werden deine Benachrichtigungen mitgelesen

Ein Schreiben eines US-Senators hat heute öffentlich bestätigt, was viele schon vermuteten: Die US-Regierung hat Zugriff auf Push-Nachrichten.

Mullvad VPN – der schwedische Maulwurf im Interview

Mullvad heißt übersetzt Maulwurf. Die Firma gründete man bereits im März 2009. Wir sprachen kürzlich mit dem Geschäftsführer Jan Jonsson.

WordPress und Tumblr verkaufen Nutzerdaten, um KI-Tools zu trainieren

Tumblr und WordPress bereiten sich darauf vor, Nutzerdaten an KI-Unternehmen wie Midjourney und OpenAI zu verkaufen.

Chaos Computer Club: 42 Jahre für IT-Sicherheit und Datenschutz

Alles Gute zum Geburtstag, CCC! Der 42. Jahrestag des Chaos Computer Clubs ist ein Anlass zum Feiern, aber natürlich auch zum Nachdenken.

Pay or Okay ist nicht okay, okay?

Die EU-Datenschützer haben heute eine Stellungnahme zum verbreiteten Pay or Okay Modell veröffentlicht. Das hat massive Folgen für Autoren.

IT-Sicherheit: Sensibilisierung der Mitarbeiter hat oberste Priorität

Beim Thema IT-Sicherheit in Unternehmen denken die meisten wahrscheinlich an Dinge wie Anti-Viren-Software und sichere Passwörter.