2021-12-08

Utvärdering av VPN-tjänster

Den oberoende ideella organisationen Consumer Report har en avdelning vid namn Digital Lab. Digital Lab har genomfört en omfattande granskning av 16 st VPN-tjänster:

Betternet
CyberGhost
ExpressVPN
F-Secure Freedome VPN
Hotspot Shield
IPVanish
IVPN
Kaspersky VPN
Mozilla VPN
Mullvad
NordVPN
Private Internet Access (PIA)
Private Tunnel
ProtonVPN
Surfshark
TunnelBear

Och jag måste säga att resultatet är mycket intressant: Flertalet av dessa företag ägs av bolag med en tvivelaktig moralisk kompass, flertalet tjänster läcker trafik såsom DNS på flertalet sätt. VPN-utvärderingssajter som har samma ägare som VPN-tjänster, kill-switch:ar som inte fungerar osv osv.

Testet fokuserade inte på bandbredd eller prestanda utan på integritet och säkerhet. De verktyg som användes vid granskningen var bl.a. VPNalyzer som utvecklats av University of Michigan. Jag tänker inte gå in på detalj gällande alla tester men rapporten som är på 48 sidor är läsvärd (länkas nedan).

De tre VPN-tjänsterna som fick bäst betyg i testerna var: Mullvad, IVPN och Mozilla VPN. Men även dessa kan förbättra sina tjänster, och det som rapporten framhäver för dessa tre är följande:

Meddela hur de utför interna säkerhetsrevisioner och vilka aspekter av säkerheten är
granskas och publicera sammanfattningar av dessa rapporter
Ge information om hur och när programvaran uppdateras för säkerhetsproblem
Beskriv tekniska åtgärder för att begränsa obehörig åtkomst till data
Meddela deadline för produktsupport/livslängd, med tydlig information om hur länge produkten stödjs
Sätt ett tidsfönster för att granska sårbarhetsavslöjande och felrapporter

Här kan du ladda hem rapporten som PDF i sin helhet:

2019-11-28

Intressant incident

Oskar Sjöberg delade en intressant write-up om en incident i Facebook-gruppen Kodapor. Jag frågade om lov och fick delge den här nedan:

—

En kort liten write-up om en incident i en av våra kunders miljöer som jag hoppas kan vecka diskussion och/eller eftertanke.

Det hela börjar med att en av våra utvecklare reagerar på ett Javaskriptfel i sin utvecklingsmiljö i en äldre webbläsare som vi väldigt sällan testar. Skriptfelet ser ut att ha att göra något med att hämta GPS-positionering att göra. WTF. Vi har väl inte någon sådan funktion i vår kodbas?

Efter lite letande kommer vi fram till att koden dessutom ligger i en <script>-tag, i en SVG fil och är inte i närheten av att likna något av koden vi skriver. Kryptiska identifierare, koden ser ut att försöka injicera sig själv in i andra dokument. Oj. Den koden ligger i produktion också. Gulp. Något är väldigt skumt.

Har vi blivit utsatta för en attack? Snabbt konstaterar vi att SVG filen i fråga har koden i sig incheckad i vårt repo sedan en tid tillbaka. Hur i h…? Någon minut senare kan vi konstatera att en utvecklare har checkat in filen med scriptet i. Snabbt söka igenom alla SVG filer med <script>-taggar. Skönt, det var bara den. Snabbt ut med ny version av systemet med fixad SVG-fil.

Hur fick vi in den koden i en av våra SVG-filer? Jag söker på nätet och hittar en issue på Github som klagar på att verktyget SVGOMG (online verktyg för optimering av SVG filer) smittar ner SVG med liknande kod som den vi har sett. SVGOMG används mycket riktigt av utvecklaren. Issuen är dock stängd med en kommentar om att problemet ligger i ExpressVPN.

Jag frågar utvecklaren om han har ExpressVPN installerat, det har han. Det verkar alltså som att VPN tjänsten ExpressVPNs Chrome-extension patchar DOMen med Javascriptkod som injicerar sig själv. Eftersom SVGOMG jobbar helt i browsern med att optimera SVG så injiceras även koden i det optimerade resultatet.

Jag kan inte enkelt avgöra om ExpressVPNs beteende är ondskefullt eller om det är en defekt i deras mjukvara. För mig är det här verkligen en ögonöppnare över hur relativt lätt det går att smyga in obetrodd kod i någon annans produktionsmiljö via något så oskyldigt som lite grafik.

Jag bifogar länken till koden som i mångt och mycket liknar koden som dök upp i vår produktionsmiljö.