Mullvad

A Mullvad (svéd: vakond) előfizetés-alapú virtuális magánhálózat-szolgáltató (VPN), melyet a göteborgi székhelyű Amagicom AB Mullvad VPN AB nevű leányvállalata üzemeltet.^[1][2] A vállalatnak Android, iOS, Linux, macOS és Windows platformokra van nyílt forráskódú natív alkalmazása, de több OpenVPN és WireGuard protokollt támogató eszközhöz nyújt automatizált konfigurációs fájlokat.

Mullvad
Fejlesztő	Mullvad VPN AB
Programozási nyelv	Rust
Operációs rendszer	Android, iOS, Linux, macOS, Windows
Állapot	Aktív
Kategória	Virtuális magánhálózat
Licenc	GNU General Public License
A Mullvad weboldala

Ugyan a Mullvadot üzemeltető Amagicom AB székhelye a Fourteen Eyes-tag Svédországban található, azonban ennek ellenére az az egyik legadatvédelemtudatos virtuális magánhálózat-szolgáltató.

Története

A Mullvadot üzemeltető Amagicom AB-ot Fredrik Strömberg és Daniel Berntsson alapította 2008-ban, Göteborgban. A szolgáltatás 2009. március 22-én indult,^[3] és kezdetben OpenVPN protokollt, illetve a szerverhitelesítéshez 2048 bites RSA tanúsítványokat, az aktuális munkamenet-kulcscseréhez SHA-1 hash függvényt és az adateredet-hitelesítéshez 128 bites Blowfish-CBC kulcsokat alkalmazott, valamint 50 gigabyte adatforgalmat biztosított.^[4] Az adatkorlátot 2010 februárjában megduplázták,^[5] majd májusban teljesen eltörölték.^[6] A Mullvad 2011 októberétől az elavult PPTP protokollt is támogatta az Android és az iOS mobil operációs rendszerek támogatása érdekében.^[7] A szolgáltatás 2014 szeptemberétől kezdve az IPv6-forgalmat is átirányítja a VPN-szervereken.^[8] 2015 februárjában az alapértelmezett adatfolyamtitkosítási módszer az AES-256-GCM lett, de az AES-256-CBC és az AES-256-BF-CBC is beállítható volt, míg a 128 bites Blowfish-CBC megmaradt failbacknek.^[9] 2016 novemberére a szolgáltatás összes szerverére SOCKS5 proxy lett telepítve.^[10] 2017 februárjában megszüntették az elavult PPTP protokoll támogatását.^[11] A Mullvad 2017 márciusában az egyik első virtuális magánhálózat-szolgáltató lett, amely támogatta a WireGuard protokollt.^[12][13] Azóta a szolgáltatás a WireGuard protokoll esetében az adatfolyam titkosításához ChaCha20-at, az adateredet-hitelesítéshez Poly1305-öt, a munkamenet-kulcscseréhez Curve25519-et, míg az OpenVPN protokoll esetében a szerverhitelesítéshez 4096 bites RSA tanúsítványokat (SHA-512-vel), a munkamenet-kulcscseréhez 4096 bites Diffie–Hellman algoritmust, valamint a perfect forward secrecy biztosításához DHE-t használ.

A Mullvad szerverei szolgálják ki a Mozilla VPN ^[14] és a Malwarebytes Privacy fizetős ügyfeleit.^[15]

Szerverek

A Mullvad 342 OpenVPN- (35 országban), 382 WireGuard- (32 országban), illetve 39 bridge-szervert üzemeltet.^[16] A cég egyetlen „virtuális“ szervert sem bérel, illetve a finn, a holland, a norvég és a svéd, valamint a frankfurti, a londoni, a párizsi és a zürichi szerverei a saját tulajdonában állnak.^[17][18][19] A vállalat Supermicro-szerverein nyílt forráskódú coreboot firmware fut.^[20]

Adatvédelemtudatosság

Ugyan a Mullvadot üzemeltető Amagicom AB székhelye a Fourteen Eyes-tag Svédországban található, azonban ennek ellenére az az egyik legadatvédelemtudatos virtuális magánhálózat-szolgáltató.^[21] A Mullvad nem loggol olyan adatot, amit a felhasználói beazonosításához lehetne használni. A felhasználóinak semmilyen személyes adatot nem kell megadniuk a szolgáltatás használatához. Regisztráláskor egy tizenhét számjegyű számlaszámot osztanak ki a felhasználókra, és az előfizetési díj az anonimitást nem biztosító banki átutalás, online átutalás (a PayPal, a Stripe vagy a Swish rendszerén keresztül) mellett, teljes anonimitást biztosító bitcoin és bitcoin cash kriptovalutákkal vagy akár az Amagicom AB székhelyére eljuttatott névtelen levélben is kiegyenlíthető.^[22] Mindezek mellett a Mullvad weboldala .onion-címen is elérhető,^[23] és mindössze öt HTTP-sütit alkalmaz: egyet a felhasználók automatikus kiléptetésére, egyet a weboldal beállított nyelvének megjegyzésére, egyet az oldalon-keresztüli kéréshamisítás megelőzésére, illetve kettőt a Stripe-on keresztüli fizetéshez.^[24]

Nyílt forráskódú szoftverek támogatása

A Mullvadot üzemeltető Amagicom AB anyagilag támogatta az OpenVPN protokoll biztonsági ellenőrzését,^[25] a WireGuard protokollt,^[26][27][28] a Qubes OS operációs rendszert,^[29][30] illetve a The Tor Project nonprofit szervezetet.^[31] A vállalat ezek mellett az OWASP^[32][33] és a Security Fest^[34] biztonsági konferenciák lebonyolítását is anyagilag támogatta.

Fogadtatás

2018 szeptemberében az Assured AB és a Cure53 kiberbiztonsági cégek felülvizsgálták a Mullvad alkalmazásait. A „rendkívülien kevésnek“ tekinthető hét biztonsági sebezhetőségből a kritikusnak ítélt hibát még a tesztek alatt, illetve egy másik sebezhető kódrészletet még ugyanebben a hónapban kijavították.^[35][36] A Cure53 2020 májusában–júniusában ismét felülvizsgálta a vállalat alkalmazásait és ez alkalommal is hét biztonsági sebezhetőséget találtak, melyekből ötöt még a végleges elemzés összeállítása előtt kijavítottak.^[37]

Források

1. Mullvad. Amagicom AB. [2017. december 22-i dátummal az eredetiből archiválva].
2. Paul, Ian: Mullvad review: The VPN that doesn't want to get to know you. PC World , 2017. június 19. [2017. december 22-i dátummal az eredetiből archiválva]. „"As for the company itself, the CEO is Jan Jonsson, and the co-founders are Fredrik Strömberg and Daniel Berntsson. [...] Mullvad is owned by Amagicom AB."”
3. https://mullvad.net/en/blog/2018/11/19/all-users-must-update-just-time-celebrate/
4. https://web.archive.org/web/20100221023326/http://www.mullvad.net:80/en/services.php
5. https://www.mullvad.net/en/blog/2010/2/6/50-gb-becomes-100-gb/
6. https://www.mullvad.net/en/blog/2010/5/26/unlimited-traffic-volume/
7. https://www.mullvad.net/en/blog/2011/10/12/pptp-support/
8. https://www.mullvad.net/en/blog/2014/9/15/ipv6-support/
9. https://www.mullvad.net/en/blog/2015/2/20/aes-256-encryption/
10. https://www.mullvad.net/en/blog/2016/11/29/increased-security-socks5-proxy/
11. https://www.mullvad.net/en/blog/2017/1/31/discontinuing-support-pptp/
12. https://www.mullvad.net/en/blog/2017/3/10/test-wireguard-mullvad/
13. https://www.mullvad.net/en/blog/2017/9/27/wireguard-future/
14. Firefox Private Network. Mozilla Foundation. [2019. december 4-i dátummal az eredetiből archiválva].
15. https://mullvad.net/en/help/partnerships-and-resellers/
16. https://mullvad.net/en/servers/
17. https://mullvad.net/en/blog/2018/5/25/gothenburg-goes-live/
18. https://mullvad.net/en/blog/2018/5/28/level-helsinki/
19. https://mullvad.net/en/blog/2020/6/23/once-paris-and-zurich/
20. https://mullvad.net/en/blog/2019/8/7/open-source-firmware-future/
21. https://www.pcworld.com/article/3313320/software/mullvad-2018-vpn-review.html
22. https://mullvad.net/en/guides/no-logging-data-policy/
23. https://mullvad.net/en/blog/2018/11/29/mullvad-onions-served-best-anonymity/
24. https://mullvad.net/en/guides/cookie-policy/
25. https://mullvad.net/en/blog/2017/5/16/audits-openvpn-24-have-been-completed/
26. https://www.mullvad.net/en/blog/2017/7/13/mullvad-donates-wireguard/
27. https://www.wireguard.com/donations/
28. https://mullvad.net/en/blog/2019/10/25/mullvad-donates-wireguard-oct2019/
29. https://www.mullvad.net/en/blog/2017/9/17/mullvad-donates-qubes-os/
30. https://mullvad.net/en/blog/2020/4/22/mullvad-makes-another-donation-qubes/
31. https://mullvad.net/en/blog/2020/5/27/mullvad-vpn-sponsors-tor-project/
32. https://www.mullvad.net/en/blog/2016/10/24/mullvad-sponsors-owasp-security-conference/
33. https://mullvad.net/en/blog/2019/8/29/mullvad-sponsors-owasp-security-meetup/
34. https://www.mullvad.net/en/blog/2018/4/6/mullvad-sponsors-security-fest/
35. Archivált másolat. [2018. szeptember 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. január 19.)
36. https://mullvad.net/en/blog/2018/9/24/read-results-security-audit-mullvad-app/
37. https://mullvad.net/en/blog/2020/6/25/results-available-audit-mullvad-app/

További információk

• A Mullvad weboldala
• A Mullvad .onion weboldala^{[halott link]}