Mullvad

Mullvad
FejlesztőMullvad VPN AB
Programozási nyelvRust
Operációs rendszerAndroid, iOS, Linux, macOS, Windows
ÁllapotAktív
KategóriaVirtuális magánhálózat
LicencGNU General Public License
A Mullvad weboldala

A Mullvad (svéd: vakond) előfizetés-alapú virtuális magánhálózat-szolgáltató (VPN), melyet a göteborgi székhelyű Amagicom AB Mullvad VPN AB nevű leányvállalata üzemeltet.[1][2] A vállalatnak Android, iOS, Linux, macOS és Windows platformokra van nyílt forráskódú natív alkalmazása, de több OpenVPN és WireGuard protokollt támogató eszközhöz nyújt automatizált konfigurációs fájlokat.

Ugyan a Mullvadot üzemeltető Amagicom AB székhelye a Fourteen Eyes-tag Svédországban található, azonban ennek ellenére az az egyik legadatvédelemtudatos virtuális magánhálózat-szolgáltató.

Története

A Mullvadot üzemeltető Amagicom AB-ot Fredrik Strömberg és Daniel Berntsson alapította 2008-ban, Göteborgban. A szolgáltatás 2009. március 22-én indult,[3] és kezdetben OpenVPN protokollt, illetve a szerverhitelesítéshez 2048 bites RSA tanúsítványokat, az aktuális munkamenet-kulcscseréhez SHA-1 hash függvényt és az adateredet-hitelesítéshez 128 bites Blowfish-CBC kulcsokat alkalmazott, valamint 50 gigabyte adatforgalmat biztosított.[4] Az adatkorlátot 2010 februárjában megduplázták,[5] majd májusban teljesen eltörölték.[6] A Mullvad 2011 októberétől az elavult PPTP protokollt is támogatta az Android és az iOS mobil operációs rendszerek támogatása érdekében.[7] A szolgáltatás 2014 szeptemberétől kezdve az IPv6-forgalmat is átirányítja a VPN-szervereken.[8] 2015 februárjában az alapértelmezett adatfolyamtitkosítási módszer az AES-256-GCM lett, de az AES-256-CBC és az AES-256-BF-CBC is beállítható volt, míg a 128 bites Blowfish-CBC megmaradt failbacknek.[9] 2016 novemberére a szolgáltatás összes szerverére SOCKS5 proxy lett telepítve.[10] 2017 februárjában megszüntették az elavult PPTP protokoll támogatását.[11] A Mullvad 2017 márciusában az egyik első virtuális magánhálózat-szolgáltató lett, amely támogatta a WireGuard protokollt.[12][13] Azóta a szolgáltatás a WireGuard protokoll esetében az adatfolyam titkosításához ChaCha20-at, az adateredet-hitelesítéshez Poly1305-öt, a munkamenet-kulcscseréhez Curve25519-et, míg az OpenVPN protokoll esetében a szerverhitelesítéshez 4096 bites RSA tanúsítványokat (SHA-512-vel), a munkamenet-kulcscseréhez 4096 bites Diffie–Hellman algoritmust, valamint a perfect forward secrecy biztosításához DHE-t használ.

A Mullvad szerverei szolgálják ki a Mozilla VPN [14] és a Malwarebytes Privacy fizetős ügyfeleit.[15]

Szerverek

A Mullvad 342 OpenVPN- (35 országban), 382 WireGuard- (32 országban), illetve 39 bridge-szervert üzemeltet.[16] A cég egyetlen „virtuális“ szervert sem bérel, illetve a finn, a holland, a norvég és a svéd, valamint a frankfurti, a londoni, a párizsi és a zürichi szerverei a saját tulajdonában állnak.[17][18][19] A vállalat Supermicro-szerverein nyílt forráskódú coreboot firmware fut.[20]

Adatvédelemtudatosság

Ugyan a Mullvadot üzemeltető Amagicom AB székhelye a Fourteen Eyes-tag Svédországban található, azonban ennek ellenére az az egyik legadatvédelemtudatos virtuális magánhálózat-szolgáltató.[21] A Mullvad nem loggol olyan adatot, amit a felhasználói beazonosításához lehetne használni. A felhasználóinak semmilyen személyes adatot nem kell megadniuk a szolgáltatás használatához. Regisztráláskor egy tizenhét számjegyű számlaszámot osztanak ki a felhasználókra, és az előfizetési díj az anonimitást nem biztosító banki átutalás, online átutalás (a PayPal, a Stripe vagy a Swish rendszerén keresztül) mellett, teljes anonimitást biztosító bitcoin és bitcoin cash kriptovalutákkal vagy akár az Amagicom AB székhelyére eljuttatott névtelen levélben is kiegyenlíthető.[22] Mindezek mellett a Mullvad weboldala .onion-címen is elérhető,[23] és mindössze öt HTTP-sütit alkalmaz: egyet a felhasználók automatikus kiléptetésére, egyet a weboldal beállított nyelvének megjegyzésére, egyet az oldalon-keresztüli kéréshamisítás megelőzésére, illetve kettőt a Stripe-on keresztüli fizetéshez.[24]

Nyílt forráskódú szoftverek támogatása

A Mullvadot üzemeltető Amagicom AB anyagilag támogatta az OpenVPN protokoll biztonsági ellenőrzését,[25] a WireGuard protokollt,[26][27][28] a Qubes OS operációs rendszert,[29][30] illetve a The Tor Project nonprofit szervezetet.[31] A vállalat ezek mellett az OWASP[32][33] és a Security Fest[34] biztonsági konferenciák lebonyolítását is anyagilag támogatta.

Fogadtatás

2018 szeptemberében az Assured AB és a Cure53 kiberbiztonsági cégek felülvizsgálták a Mullvad alkalmazásait. A „rendkívülien kevésnek“ tekinthető hét biztonsági sebezhetőségből a kritikusnak ítélt hibát még a tesztek alatt, illetve egy másik sebezhető kódrészletet még ugyanebben a hónapban kijavították.[35][36] A Cure53 2020 májusában–júniusában ismét felülvizsgálta a vállalat alkalmazásait és ez alkalommal is hét biztonsági sebezhetőséget találtak, melyekből ötöt még a végleges elemzés összeállítása előtt kijavítottak.[37]

Források

  1. Mullvad. Amagicom AB. [2017. december 22-i dátummal az eredetiből archiválva].
  2. Paul, Ian: Mullvad review: The VPN that doesn't want to get to know you. PC World , 2017. június 19. [2017. december 22-i dátummal az eredetiből archiválva]. „"As for the company itself, the CEO is Jan Jonsson, and the co-founders are Fredrik Strömberg and Daniel Berntsson. [...] Mullvad is owned by Amagicom AB."”
  3. https://mullvad.net/en/blog/2018/11/19/all-users-must-update-just-time-celebrate/
  4. https://web.archive.org/web/20100221023326/http://www.mullvad.net:80/en/services.php
  5. https://www.mullvad.net/en/blog/2010/2/6/50-gb-becomes-100-gb/
  6. https://www.mullvad.net/en/blog/2010/5/26/unlimited-traffic-volume/
  7. https://www.mullvad.net/en/blog/2011/10/12/pptp-support/
  8. https://www.mullvad.net/en/blog/2014/9/15/ipv6-support/
  9. https://www.mullvad.net/en/blog/2015/2/20/aes-256-encryption/
  10. https://www.mullvad.net/en/blog/2016/11/29/increased-security-socks5-proxy/
  11. https://www.mullvad.net/en/blog/2017/1/31/discontinuing-support-pptp/
  12. https://www.mullvad.net/en/blog/2017/3/10/test-wireguard-mullvad/
  13. https://www.mullvad.net/en/blog/2017/9/27/wireguard-future/
  14. Firefox Private Network. Mozilla Foundation. [2019. december 4-i dátummal az eredetiből archiválva].
  15. https://mullvad.net/en/help/partnerships-and-resellers/
  16. https://mullvad.net/en/servers/
  17. https://mullvad.net/en/blog/2018/5/25/gothenburg-goes-live/
  18. https://mullvad.net/en/blog/2018/5/28/level-helsinki/
  19. https://mullvad.net/en/blog/2020/6/23/once-paris-and-zurich/
  20. https://mullvad.net/en/blog/2019/8/7/open-source-firmware-future/
  21. https://www.pcworld.com/article/3313320/software/mullvad-2018-vpn-review.html
  22. https://mullvad.net/en/guides/no-logging-data-policy/
  23. https://mullvad.net/en/blog/2018/11/29/mullvad-onions-served-best-anonymity/
  24. https://mullvad.net/en/guides/cookie-policy/
  25. https://mullvad.net/en/blog/2017/5/16/audits-openvpn-24-have-been-completed/
  26. https://www.mullvad.net/en/blog/2017/7/13/mullvad-donates-wireguard/
  27. https://www.wireguard.com/donations/
  28. https://mullvad.net/en/blog/2019/10/25/mullvad-donates-wireguard-oct2019/
  29. https://www.mullvad.net/en/blog/2017/9/17/mullvad-donates-qubes-os/
  30. https://mullvad.net/en/blog/2020/4/22/mullvad-makes-another-donation-qubes/
  31. https://mullvad.net/en/blog/2020/5/27/mullvad-vpn-sponsors-tor-project/
  32. https://www.mullvad.net/en/blog/2016/10/24/mullvad-sponsors-owasp-security-conference/
  33. https://mullvad.net/en/blog/2019/8/29/mullvad-sponsors-owasp-security-meetup/
  34. https://www.mullvad.net/en/blog/2018/4/6/mullvad-sponsors-security-fest/
  35. Archivált másolat. [2018. szeptember 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. január 19.)
  36. https://mullvad.net/en/blog/2018/9/24/read-results-security-audit-mullvad-app/
  37. https://mullvad.net/en/blog/2020/6/25/results-available-audit-mullvad-app/

További információk

  • A Mullvad weboldala
  • A Mullvad .onion weboldala[halott link]