Von Kevin Bocek, VP Threat Intelligence und Security Strategy bei Venafi
NordVPN, ein Anbieter von Virtual Private Network aus Panama, hat zugegeben, Opfer eines Hackerangriffs geworden zu sein. Das Unternehmen verfolgt nach eigener Aussage eine „Zero-Logs“-Richtlinie. Hacker haben aber möglicherweise doch auf einige Benutzerdaten zugegriffen. Laut TechCrunch wurde im März 2018 illegal auf eines seiner Rechenzentren in Finnland zugegriffen. Der Angreifer erhielt Zugriff auf den Server – der etwa einen Monat lang aktiv war – durch die Ausnutzung eines unsicheren Remote Control-Systems, dass der Rechenzentrumsprovider zugelassen hatte, NordVPN gab jedoch an, es sei ihm nicht bekannt, dass ein solches System existierte.
Der Server selbst enthielt angeblich keine Benutzeraktivitätsprotokolle; keine der Anwendungen sendete benutzerdefinierte Anmeldeinformationen zur Authentifizierung, so dass Benutzernamen und Passwörter auch nicht abgefangen werden konnten. Dies scheint aber der einzig mögliche Weg, den Website-Verkehr zu missbrauchen gewesen zu sein: Ein personalisierter und komplizierter Man-in-the-Middle-Angriff. Mit dieser Technik kann eine einzelne Verbindung, die versuchte, Zugriff zu erhalten, abgefangen werden. Nach Angaben eines Unternehmenssprechers konnte der abgelaufene private Schlüssel nicht zur Entschlüsselung des VPN-Verkehrs auf einem anderen Server verwendet werden.
VPN-Provider sind aufgrund des wachsenden Bedarfs an Privatsphäre rasant gewachsen. VPN-Cloud-Anbieter benötigen TLS-Zertifikate, die als Maschinenidentitäten fungieren, um die Verbindung, Verschlüsselung und das Vertrauen zwischen den Maschinen zu autorisieren.
Maschinenidentitäten sind äußerst wertvolle Ziele für Cyberkriminelle, und große Unternehmen haben oft Zehntausende von Maschinenidentitäten, die sie schützen müssen.
Diese Verstöße werden in Zukunft immer häufiger auftreten. Es ist unerlässlich, dass Unternehmen die Flexibilität haben, automatisch alle Schlüssel und Zertifikate zu ersetzen, die bei Verstößen aufgedeckt wurden. Der schnelle Austausch von Maschinenidentitäten ist der zuverlässige Weg, um Privatsphäre und Sicherheit in einer Welt zu gewährleisten, in der Unternehmen ihre Geschäfte führen und auf die Cloud angewiesen sind.
Diese Fähigkeit ist besonders kritisch in großen Unternehmen, die über Zehntausende von Rechneridentitäten verfügen, die vor Angreifern geschützt werden müssen.