Nehmen wir an, Sie haben einen VPN-Anbieter gefunden, der alles bietet, was Sie brauchen. Der Anbieter protokolliert keine Benutzerinformationen, die Internetgeschwindigkeit ist fantastisch, der Zahlungsprozess ist mit Bitcoin anonym, es gibt eine große Auswahl an IP-Adressen in vielen Ländern, und der Anbieter verwendet den stärksten Verschlüsselungsalgorithmus, der möglich ist. Was kann man mehr brauchen?
In Wirklichkeit spielt keines der oben aufgeführten Merkmale eine Rolle, wenn der Anbieter nicht auch über eine große physische Sicherheit verfügt. Mit anderen Worten, große Softwaresicherheit ist wertlos ohne ebenso große physische Sicherheit.
Um zu verstehen, warum physikalische Sicherheit so wichtig ist, bedarf es Kenntnisse in der Computerarchitektur, die in Laienbegriffen beschreibt, wie verschiedene Komponenten in einem Computer zusammenarbeiten und zusammenwirken. Die für den Zweck dieses Artikels interessanten Teile sind der Computerspeicher (RAM) und die Festplatte (HDD).
Ein VPN-Anbieter sollte in der Lage sein, eine gute Erklärung dafür abzugeben, wie die Integrität gewährleistet werden kann. Einfach zu sagen, dass keine Protokolle geführt werden, ist eine schwache Aussage, da nicht spezifiziert wird, auf welche Protokolle Bezug genommen wird, und nicht erwähnt wird, auf welche andere Weise Benutzerinformationen offengelegt werden könnten.
Die optimale Lösung besteht darin, die Speicherung von Informationen zu verhindern, die für den Betrieb des Dienstes nicht benötigt werden. Der Dienst muss in der Lage sein, physikalischen Angriffen für den Zugriff auf Benutzerinformationen zu widerstehen, um zu verhindern, dass er gegen Überfälle verwundbar ist.
Wie Sie wahrscheinlich inzwischen wissen, speichert OVPN in keiner Weise Protokolle, aber es gibt zusätzliche Sicherheitsmaßnahmen, die wir für den schlimmsten Fall eingerichtet haben: einen Überfall. Dadurch, dass wir keine Festplatten haben und das Betriebssystem im RAM-Speicher laufen lassen, können wir sicherstellen, dass alle Informationen innerhalb von Minuten nach dem Herunterfahren eines Servers entfernt werden.
Das klingt gut, nicht wahr? Aber es ist nicht alles. Selbst wenn Sie das Betriebssystem durch das RAM laufen lassen, könnten Sie den Speicher immer noch in eine einzelne Datei auslagern und auf die Informationen zugreifen. Der Inhalt der Speicherauszugsdatei würde sensible Informationen wie private Entschlüsselungsschlüssel, alle zu diesem Zeitpunkt mit dem Server verbundenen Benutzer sowie Puffer- und Routing-Caches enthalten. Da der private Schlüssel in dieser Datei angegeben ist, ist es möglich, den Netzwerkverkehr für die Benutzer zu entschlüsseln.
Glücklicherweise gibt es Lösungen, um dies zu verhindern. Hier kommt die physische Sicherheit ins Spiel. In diesem Fall gibt es drei Dinge zu beachten:
- Sicherstellen, dass nur eine autorisierte Partei auf die Server zugreifen kann
- Entfernen von DMA-Ports (wie Firewire, eSATA), um DMA-Angriffe zu verhindern
- Verschlüsselung des Speichers mit TRESOR
Wenn man darauf achtet, dass die Punkte 1 bis 3 beachtet werden, ist es fast unmöglich, auf die temporären RAM-Informationen zuzugreifen. Wir verwenden unsere eigenen Serverschränke, die verschlossen sind, und nur unsere autorisierten Mitarbeiter haben den Schlüssel. Falls jemand plant, in den Serverschrank einzubrechen, haben wir Einbruchsalarme in den Rechenzentren sowie Überwachungskameras in alle Richtungen.
Da sich in den Servern keine Festplatten befinden, gibt es keine Informationen, um dorthin zu gelangen.
Selbst wenn die Server angegriffen werden und alle Sicherheitsmaßnahmen versagen, gibt es keine DMA-Ports, aus denen die Informationen extrahiert werden könnten. Auch ein ColdBoot-Angriff wäre nicht erfolgreich, da die im RAM gespeicherten Informationen verschlüsselt werden, da das CPU-Register die Verschlüsselungsschlüssel speichert.
Alle diese physischen Sicherheitsmaßnahmen wurden im Oktober 2014 installiert und sind seitdem in Kraft.