Under den planerade driftstörningen som skedde den 27:e februari arbetade vi på att förbättra vår fysiska säkerhet och minska packet loss. Det är nu dags att redovisa exakt hur den fysiska säkerheten har uppdaterats och vad det innebär för förbättringar.
Som ni alla vet så är vårt huvudfokus förutom driftsäkerhet och snabba hastigheter våra användares säkerhet. Vi siktar på att ha en så hög säkerhet som möjligt, både fysiskt- och mjukvarumässigt.
Vi har tidigare skrivit om vikten av att ha en stark fysisk säkerhet samt vilken fysisk säkerhet vi har haft implementerad sedan oktober 2014. Nu har vi däremot tagit den fysiska säkerheten ett steg längre.
Varje server i Stockholm hade tidigare ett USB-minne som laddade in operativsystemet i RAM-minnet. Detta kan man se på en av de många bilder vi laddade upp i januari.
Uppdateringen vi pushade ut den 27:e februari medförde att våra servrar inte har någon typ av permanent media. Det finns alltså ingen hårddisk, inget USB-minne och ingen CD-skiva i våra servrar. Det finns ingen media på servern där något kan sparas och fortsätta finnas kvar vid en omstart vilket medför att våra servrar är helt säkra om någon försöker mixtra med dem fysiskt.
Hur fungerar servrarna om ingen media finns?
I varje datahall har vi en server som vi kallar för 'boot server'. Boot servern har en hårddisk där vi förvarar våra diskbilder (live-images på engelska). Diskbilderna innehåller ingen känslig information överhuvudtaget men partionen där diskbilderna ligger är krypterad genom XTS-AES med 512-bit nycklar.
Diskbilderna är skräddarsydda versioner av Debian. Vi har tagit bort allt onödigt och har skräddarsytt kerneln för att minimera antalet kernelmoduler vilket i sin tur leder till ökad hastighet och säkerhet. Många sårbarheter härstammar från onödiga moduler som ingår i standardversionen av kernels.
Standardversionen av Debian är ungefär 1 GB. Vår avskalade version som servrarna kör är 188 MB (ungefär 210 MB med kernel och moduler). Vi har alltså tagit bort ungefär 80% av alla paket som Debian har vilket minimerar risken markant för sårbarheter. Detta innebär exempelvis att samtliga SATA-controllers och USB-portar är helt inaktiverade eftersom vår skräddarsydda version av Debian inte innehar den funktionaliteten.
Kritiska säkerhetsuppdateringar körs automatiskt varje natt. Dessa uppdateringar sparas alltså i RAM-minnet eftersom ingen HDD/SSD finns. Vi granskar våra diskbilder kontiuerligt för att förbättra säkerheten, effektiviteten och prestandan.
Servrarna startas i PXE (Preboot Execution Environment) och laddar ner den korrekta diskbilden via NFS (Network File System) från vår bootserver. Trafiken lämnar aldrig våra rackskåp eftersom diskbilderna laddas ner lokalt och verifieras sedan via en checksum. Genom att verifiera diskbilden via checksum så motverkas all typ av mixtrande av operativsystemet även om det skulle vara så att någon avlyssnade den trafiken.
När nedladdningen av diskbilden har slutförts och verifierats så kopieras hela operativsystemet in i RAM-minnet på servern. Allting som sker i operativsystemet stannar således i RAM-minnet och nuddar aldrig någon media som kan spara information efter en omstart. Även fast ingen information kan sparas efter en omstart så har vi fortfarande kvar vår höga mjukvarusäkerhet vilket motverkar all form av loggning.
Våra servrar använder även den senaste versionen av Tresor. Tresor säkerställer att alla AES-beräkningar görs i CPU istället för RAM-minnet vilket omöjliggör någon form av framskaffning av känslig data utifall någon begår en CBC (Cold boot attack).
Bilder på servrarna
Som tidigare nämnt laddade vi upp bilder i januari på våra servrar. På dessa bilder hade vi dock inte tagit bort hårddisk chassina från servrarna. Vi hade inga hårddiskar i dessa chassin men nu har vi även tagit bort chassina och tagit några nya bilder.
Framsidan av servrarna i Stockholm
En närmare bild på framsidan av servrarna
Baksidan av servrarna i Stockholm
Som ni ser finns det inga hårddiskar eller USB-minnen som är anslutna till servrarna. Så vitt vi vet är det ingen annan VPN-leverantör som har en sådan här fysisk säkerhet. Vi har lagt ner mycket energi och arbete på att säkerställa en sådan hög säkerhet som möjligt och vi är mycket glada över att vi troligtvis har bäst säkerhet av alla VPN-tjänster som finns.
Vi anser att vår höga fysiska- och mjukvarusäkerhet tillsammans med vår rättsskyddsförsäkring gör OVPN till det självklara valet när integritet är av vikt.