matomo

Frånkopplad
« Bilder på rackskåpet i Stockholm Fyra nya servrar i Malmö »

Säkerhet på OVPNs webbservrar

David Wibergh, om Produkter & infrastruktur

En VPN-leverantör ska erbjuda integritet och säkerhet och det finns många saker man behöver tänka på. Som ni kanske redan vet så har vi lagt mycket tid och omtanke i att säkerhetsställa att inga loggar kan sparas på våra servrar och den fysiska säkerheten.

En VPN-leverantör behöver skydda sina kunduppgifter mer än en vanlig hemsida, detta är för att VPN-leverantören säljer tillit, säkerhet och integritet. OVPN har därför inte bara fokuserat på säkerheten på våra VPN-servrar, utan vi har även spenderat mycket tid på att säkerställa en hög säkerhet på våra webbservrar.

Vi har försökt uppnå ett proaktivt försvar på OVPN. Med detta så menas det att vi vill ha mer säkerhet än vad som behövs och detta är bra eftersom man kan aldrig vara helt säker på om system blir sårbara i framtiden. Så det vi har gjort är bland annat följande:

  • Använda bästa nuvarande ciphersupport i HTTPS (SSL Labs-resultat)
  • Använda HSTS med lång utgångstid
  • Tvinga webbläsare att använda sitt XSS-skydd
  • Att kakor enbart sätts via HTTPS
  • Inte tillåta frames och iframes på OVPN.com
  • Säga åt proxy och webbläsare att inte cache:a innehållet

Sedan har vi dessutom gjort följande:

  • Statisk analyserat källkoden för att hitta potentiella sårbarheter
  • Uppmuntrar ansvarsfullt sårbarhetsrapporterande i form utav belöning
  • Skriver om nyheter som kan försämra en slutanvändares anonymitet eller säkerhet och hur man kan skydda sig själv. (bash-sårbarheten, tunnla Tor, superfish, webrtc, säkrare webbsurf)
  • Är så transparenta som möjligt så inga onödiga oklarheter uppstår
  • Har valt mjukvara med omsorg(Ghost-CMS, OpenVPN, nginx, debian)
  • CSRF-, SQLi- och XSS-skydd
  • Motverkar bruteforce-attacker
  • Jag och David har vidtagit säkerhetsåtgärder för våra egna datorer (bland annat kryptering av hårddiskar)
  • Kommunikation mellan oss i företaget sker i krypterad form
  • Kryptering av alla användares e-postadresser med unika krypteringsnycklar som roteras dagligen

Vi har även en hel del planerade förbättringsområden. Några av dessa är:

  • Förbättra blockering av bruteforce-attacker
  • Förbättra blockering av diverse timing-attacker
  • Uppgradering av vårt SSL certifikat till en starkare algoritm samt organisationsvalidering
  • Tillåta användare att ladda upp sin PGP/GPG-nyckel så att all mailkommunikation från OVPN är krypterad per automatik
  • Vi kommer även sätta upp en sandboxmiljö där vi bjuder in erfarna specialister för att hitta sårbarheter utan att det riskerar någon användardata

Förslag på förbättringsområden?

Har du några idéer på hur vi kan höja säkerheten ytterligare? Då får du väldigt gärna kontakta oss med dina förslag!

David Wibergh