matomo

Forbedring av den fysiske sikkerheten

David Wibergh, om Produkter og funksjoner

Under den planlagte nedetiden27. februar, jobbet vi hardt med å forbedre den fysiske sikkerheten og redusere pakketap. Det er nå på tide å snakke om hvordan den fysiske sikkerheten har blitt oppgradert og hva det betyr når det gjelder forbedring av tjenestene våre.

Som dere alle vet er vårt hovedfokus, foruten vår garanti for oppetid og en rask forbindelse, brukernes sikkerhet. Vi tilstreber det høyeste sikkerhetsnivået, både fysisk og når det gjelder programvare.

Vi skrev om viktigheten av sterk fysisk sikkerhet og hva slags fysisk sikkerhet vi har brukt siden oktober 2014. Vi tar nå den fysiske sikkerheten et skritt videre.

Tidligere hadde hver server i Stockholm en USB-flash-stasjon som lastet operativsystemet i RAM-en. Du kan se dette på et av mange bilder som vi lastet opp i januar.

Siden oppdateringen 27. februar har serverne våre ikke lenger installert noen form for permanent lagring. Med andre ord, det er ingen harddisker, ingen USB-minnepinner og ingen CDer på serverne våre. Det er ingen lagring på serveren, så det er ingen måte å lagre data som kan være igjen etter omstart. Dette gjør serverne våre helt sikre i tilfelle noen prøver å fikle med dem fysisk.


Hvordan fungerer serverne uten lagring?

I hvert datasenter har vi en server som vi kaller 'boot server'. Boot-serveren inneholder alle våre live bilder. Disse inneholder ikke sensitiv informasjon i det hele tatt, men partisjonen der livebildene lagres er fortsatt kryptert med XTS-AES med 512-biters nøkler.

Live-bilder er skreddersydde versjoner av Debian. For å øke hastigheten og sikkerheten til tjenesten vår, har vi fjernet alt unødvendig og skreddersydd kjernen for å minimere antall kjernemoduler. Mange svakheter stammer fra unødvendige moduler som følger med standard versjon av kjerner.

Standardversjonen av Debian er på omtrent 1 GB. Den nedskalerte versjonen er på 188 MB (ca. 210 MB med kjerne og moduler). Med andre ord, vi har fjernet omtrent 80% av alle pakker, noe som minimerer risikoen for sårbarheter betydelig. Dette betyr at alle SATA-kontrollere og USB-porter er inaktive siden vår skreddersydde versjon av Debian ikke inkluderer den funksjonaliteten.

Hver natt kjøres kritiske sikkerhetsoppdateringer automatisk. Disse oppdateringene lagres i RAM siden det ikke er noen harddisk/SSD. For å forbedre vår sikkerhet, effektivitet og ytelse, gjennomgår vi kontinuerlig live-bildene våre.

Serverne startes opp i PXE (Preboot Execution Environment) og laster ned riktig direktebilde gjennom NFS (Network File System) fra oppstartsserveren vår. Siden livebildene startes opp lokalt og bekreftes gjennom en checksum, forlater trafikken aldri rackskapene våre. Ved å gjøre dette forhindrer vi all fikling med operativsystemet, selv om noen prøver å utføre et MITM-angrep.

Når live-bildene er lastet ned og bekreftet, kopieres hele operativsystemet til RAM-minnet. Alt som skjer i operativsystemet forblir i RAM og når aldri noe medium som kan lagre informasjon etter omstart. Siden vi mener at det er bedre å være føre var enn etter snar, bruker vi fortsatt et høyt nivå av programvaresikkerhet, selv om det ikke er noe informasjon kan lagres.

Serverne våre bruker også den nyeste versjonen av Tresor og grsecurity. Tresor lagrer den hemmelige nøkkelen i CPU-registeret, og sørger for at ingen AES-stater noen gang berører RAM-minnet. Dette betyr at det er umulig for noen å få tilgang til sensitive data når det gjelder CBC (Cold Boot Attack).


Bilder av serverne

Som vi nevnte tidligere, lastet vi opp bilder av serverne våre i januar. Som du kan se på bildene, hadde vi ikke fjernet kabinettet fra serverne. Vi hadde ingen harddisker i disse chassisene, men nå har vi fjernet chassiset og knipset et par nye bilder.

Fronten til serverne i Stockholm

The front of the rack cabinet in Stockholm

En nærmere titt på forsiden av serverne

A closer look at the front of the servers

Baksiden av serverne i Stockholm

The back of the servers in Stockholm

Som du ser, er det ingen harddisker eller USB-minnepinner koblet til serverne. Så vidt vi vet, kan ingen andre VPN-leverandører levere denne typen fysisk sikkerhet. Vi har lagt ned mye krefter på å sikre et så høyt sikkerhetsnivå og er ekstremt glade for å vite at vi sannsynligvis har den beste sikkerheten blant alle VPN-tjenester der ute.

Med kombinasjonen av fysisk sikkerhet og programvaresikkerhet og forsikring for juridiske utgifter, er det vår mening om at det ikke er noe annet alternativ enn OVPN når din personlige integritet står på spill.

Sørg for å sjekke ut infrastrukturen også i Frankfurt, Tyskland, der vi har distribuert et bladsystem uten harddisker.

David Wibergh