گزارش ارزیابی حریم خصوصی، سرورها و نرم افزار موبایل آرگو در سال ۲۰۲۳

این نوشتار خلاصه ای از ممیزی امنیتی از نوع جعبه سفید می باشد که بر روی ArgoVPN و توسط تیم 7ASecurity انجام شده است.

ممیزی امنیتی

بررسی امنیتی جعبه سفید ArgoVPN در مارس ۲۰۲۳ به درخواست ArgoVPN توسط 7ASecurity انجام گردید. این بررسی سومین آزمون نفوذ این پروژه است و با توجه به تست و عیب یابی های مداوم قبلی، انتظار می رفت شناسایی ضعف‌های امنیتی جدید طی این فرایند چالش برانگیز باشد.

هدف این تست، بررسی ArgoVPN به طور کامل و در جهت حصول اطمینان دسترسی کاربران ArgoVPN به بهترین امنیت و حریم خصوصی ممکن بود.

هماهنگی های لازم در فوریه ۲۰۲۳ جهت تسهیل شروع تست برای 7ASecurity انجام گردید. به منظور ایجاد تعامل موثر، اطلاعات لازم جهت انجام تست از طریق ایمیل و پیام رسان سیگنال بین 7ASecurity و تیم ArgoVPN تبادل گردید. تیم ArgoVPN طی روند نقد و بررسی، حتی در خارج از ساعات کاری هفته، پاسخگوی 7ASecurity بود تا از فراهم بودن دسترسی‌ها و اطلاعات لازم در هر زمان و جلوگیری از هر گونه تاخیر غیرضروری اطمینان حاصل کند. 7ASecurity به طور مرتب وضعیت بررسی و یافته‌ها را در اختیار ArgoVPN قرار می داد.

در بررسی امنیتی ۲ نفوذپذیری و ۱۱ توصیه امنیتی با امکان نفوذ پایین شناسایی شد.

به طور کلی، ArgoVPN در مقابل طیف وسیعی از حملات مقاومت کرد. طی سومین بررسی و تست نفوذ، نفوذپذیری های نسبتا کمی یافت گردید که بیانگر اهمیت تداوم و تکرار تست نفوذپذیری ست. با توجه به سیکل‌های مداوم تست و اصلاح امنیتی، انجام حمله سایبری به ArgoVPN به طور فزاینده ای سخت و سخت تر میگردد.

از دید امنیتی، ArgoVPN طی فرآیند بررسی، ویژگی‌های مثبتی از خود ارائه کرد که لازم است عنوان گردد:

• در ابتدا لازم به ذکر است که تیم ArgoVPN در طول آزمون بسیار پاسخگو بود و اکثر ضعف های امنیتی و حریم شخصی شناسایی شده را به سرعت رفع کرد. بطوریکه تا زمانی که گزارش نهایی ارسال شد، بیشتر ترمیم ها و بهبودی های حریم شخصی از قبل اجرا شده بودند.
• نرم افزار تلفن همراه و سرورهای backend دارای سطح حمله نسبتا پایینی بودند، این مهم به طور چشمگیری احتمال آسیب پذیری‌های امنیتی را کاهش می دهد. همچنین هیچ مستندی دال بر ذخیره سازی اطلاعات حساس و خصوصی کاربر چه در نرم افزار موبایل و چه در سرورها یافت نگردید. سرورهای ArgoVPN بطوری پیکربندی شده اند تا از آشکارسازی پورت‌ها، حملات دیکشنری و نشت داده از طریق ذخیره‌سازی غیر ضروری لاگ‌ها جلوگیری کنند. نکته چشمگیر دیگر این بود که سکرت‌ها با استفاده از Jasypt در فایل properties جاوا رمزنگاری شده بودند.
• بررسی انجام شده روی تمامی اجزاء کد مثبت بود؛ چرا که کدهای منبع بالغ، از قبل ممیزی شده، نوشته شده بصورت حرفه‌ای و به طور مناسب کامنت گذاری شده بودند، که خود باعث کاهش نگرانی‌های امنیتی و حریم خصوصی می گردد.
• پلتفرم ArgoVPN بر پایه اصول محکمی ساخته شده است، به عنوان مثال، زیرساخت و سرورها به طور مناسب پیکربندی، پچ و تقویت شده اند. همچنین استفاده از ارائه دهندگان معروف ابری برای دور زدن محدودیت های اینترنتی که توسط حاکمیت‌ها اعمال می شود، با موفقیت انجام پذیرفته است.
• نرم افزار موبایل در مقابل حملات DoS، ریدایرکت، دیپ لینک و همچنین نشت اطلاعات از طریق بکاپ‌های اندروید، پیام‌های لاگ یا اسکرین شات‌ها مقاوم است. همچنین، نرم افزار موبایل به طور صحیحی از ترافیک DNS با استفاده از DoH (دی‌ان‌اس بر بستر HTTPS) محافظت می‌کند (به جز برای کاربران ایرانی، چرا که DoH در ایران مسدود می باشد). به طور کلی، ترافیک کاربران ArgoVPN به میزان کافی تحت محافظت قرار دارد که این امر به وسیله دو لایه رمزنگاری مجزا و انتخاب الگوریتم‌های رمزنگاری مناسب میسر گردیده است. علاوه بر این، پس از اتصال به VPN از طریق ArgoVPN، ترافیک تبادل شده از ترافیک HTTPS عادی غیرقابل تشخیص میگردد.
• سرورهای ArgoVPN در مقابل بسیاری از روش‌های نفوذ رایج وب مقاوم هستند. برای مثال، طی بررسی، هیچ نفوذپذیری‌ای از طریق Command Injection, SQLi, XSS, CSRF, SSRF و یا RCE یافت نشد. به علاوه، انکدینگ سختگیرانه‌ای برای هرکدام از پارامترهای ورودی کاربر وجود دارد و سیستم مسدودسازی کاربران به خوبی پیاده‌سازی شده است.
• کنترل دسترسی به طور کلی به خوبی پیاده سازی گردیده است، به نحوی که کاربران بدون مجوز دسترسی، امکان ارسال کوئری به API را ندارند. همچنین، دسترسی به سرورها در هر جایی که ممکن بوده، با استفاده از لیست سفید IP‌ و روش‌های اعتبارسنجی محدود شده است.

گزارش کامل بررسی انجام شده در ذیل قابل مشاهده است:

لینک مستقیم به گزارش

وبلاگ گروه 7ASecurity