Después de la revelación de violaciones de seguridad significativas en NordVPN y TorGuard VPN, reducimos el puntaje de NordVPN, un antiguo servicio VPN Editors 'Choice de cinco estrellas. Ahora es un servicio de cuatro estrellas y conservará por el momento su Premio Editors Choice. TorGuard conservará su calificación de cuatro estrellas. Explicaré por qué, con lo que sucedió, a continuación.
La historia comienza hace meses en el tablero de mensajes anónimo, 8chan, donde un usuario se jactó de haber comprometido NordVPN, TorGuard VPN y un servicio que no analizamos, llamado VikingVPN . Los meses pasaron desapercibidos hasta el 20 de octubre, cuando una tormenta en Twitter sacó a la luz los cargos contra las empresas. Fue en este punto cuando descubrí el incidente.
He aprendido, como todos los demás, que en el caso de NordVPN y TorGuard VPN, alguien había logrado acceder a los servidores VPN alquilados por las compañías. NordVPN y TorGuard tienen declaraciones publicadas que describen el ataque. VikingVPN no ha actualizado su blog durante algún tiempo y han pasado casi dos años desde que su cuenta de Twitter está activa.
Como crítico, odio los días como hoy, y no solo porque tuve que leer publicaciones realmente feas en 8chan para descubrir el origen de esta historia. En particular, odio esta situación porque plantea preguntas muy difíciles que no proporcionan respuestas particularmente satisfactorias.
Preguntas como: ¿Es justo penalizar a una empresa por participar en un ataque? Otra compañía puede tener prácticas de seguridad terribles, pero simplemente no ha sido atacada. ¿Debo comparar las respuestas de una empresa con las de otra y elegir un ganador? Esto no es justo, porque la suerte ciega podría haber sido un factor en estos resultados. ¿Cómo puedo creer todo lo que se dice, ya que las compañías involucradas tienen una poderosa motivación financiera para dar el mejor efecto posible en la situación? Esta es una situación particularmente dolorosa en el sector de redes VPN, que tiene una historia lamentable de artimañas.
Tengo la suerte de que los lectores de PCMag confíen en mis críticos y sé que tengo una responsabilidad especial en la evaluación de los productos de seguridad y privacidad. Estos productos están destinados a proteger a las personas y, cuando fallan, son peores que las malas compras: ponen a las personas en riesgo. Dicho esto, resumiré lo que entiendo sobre las violaciones y explicaré cómo PCMag tomó nuestra decisión con respecto a los puntajes de estas dos VPN.
¿Cuántas de estas violaciones se han cometido?
Según la declaración de NordVPN, un atacante tuvo acceso a su servidor en Finlandia en marzo de 2018 utilizando una función de acceso remoto que se dejó en el servidor. El servidor fue alquilado por NordVPN, pero administrado por una empresa de terceros. NordVPN afirma que la compañía de servidores ha sido negligente en la administración de sus herramientas de acceso remoto. TorGuard no ha revelado el método exacto utilizado para acceder a su servidor, pero los eventos parecen estar relacionados.
NordVPN indica que el atacante podría capturar la clave de seguridad de la capa de transporte utilizada para verificar que NordVPN gestione realmente un sitio. TorGuard declaró que administra sus claves de CA para que no se almacenen directamente en el servidor. Las dos compañías dijeron que ya se habían dado cuenta de la intrusión en sus servidores y que ya habían tomado medidas para limitar futuros ataques. TorGuard VPN reveló el ataque poco después de que fue informado. NordVPN no reveló públicamente el problema hasta el 21 de octubre.
Señalaré brevemente aquí que estoy al tanto de un caso judicial en curso entre NordVPN y TorGuard VPN que está relacionado con estas violaciones. En general, no revisamos las quejas legales privadas en nuestras revisiones, que también es el caso aquí.
Está claro que el atacante tenía acceso privilegiado que no debería haber sido accesible para nadie. La información obtenida durante el ataque es muy útil, pero NordVPN y TorGuard dijeron que esta información habría sido difícil de usar en la práctica.
Así es como el periodista de PCMag Michael Kan describió un posible ataque:
"El robo de la clave TLS (NordVPN) ha abierto la puerta a lo que se llama un" ataque centralizado ", que puede exponer su tráfico no encriptado al pirata informático, pero establecer tal esquema. No sería fácil … crear un cliente NordVPN ficticio y luego pedirle a un usuario que lo instale, que, al final, solo habría victimizado una computadora ".
NordVPN minimizó el potencial de ataques de esta manera:
"El ataque requeriría un acceso bastante extraordinario a la red o al dispositivo del usuario para que esto suceda". Tal ataque podría, en teoría, ser realizado por un proveedor de acceso a Internet malicioso o comprometido. , una red Wi-Fi maliciosa, un administrador de red intrusivo Fi (como una red universitaria o profesional) o un hacker que ya tiene acceso a su dispositivo ".
Por su parte, TorGuard ha descrito el ataque contra su infraestructura de la siguiente manera:
"TorGuard no almacenó nuestra clave maestra (CA) en ningún punto final, sin embargo, incluso si la clave de la CA fue obtenida y válida, tales ataques serían casi imposibles de disparar. porque OpenVPN tiene varios niveles de seguridad Un atacante A veces sería necesario localizar y sincronizar varios vectores de ataque (…) La gente a veces se queja de que OpenVPN es complicado, pero esta es una de las razones por las que es muy apreciado como un protocolo VPN seguro ".
Lo que quizás sea aún más inquietante es que el atacante podría observar la actividad del usuario mientras tenía acceso al servidor NordVPN. Me he puesto en contacto con TorGuard para aclarar si este también es el caso. En su informe, Bloomberg citó a Tom Okman, miembro de la junta asesora de NordVPN.
Okman dijo que era difícil determinar si los piratas informáticos obtenían información sobre el uso de Internet por parte de los usuarios del Norte porque la compañía no recopilaba registros de actividad. en sus servidores, un argumento de venta para clientes preocupados por su privacidad ". Creo que el peor de los casos Okman dijo que solo se aplicaría a los usuarios del norte que estaban usando su servidor finlandés y accedían a sitios web que no usaban el protocolo HTTPS seguro. "
Según Bloomberg, NordVPN estima que entre 50 y 200 clientes han utilizado el servidor afectado.
Me puse en contacto con NordVPN para comentar sobre este problema específico. Un representante de la compañía señaló que, incluso si fuera posible, no hay nada que indique que el atacante haya observado tráfico. La respuesta de la empresa:
"A pesar de que (el) pirata informático pudo haber visto el tráfico mientras estaba conectado al servidor, solo pudo ver lo que vería un ISP común, pero en ningún caso podría ser personalizado o vinculado a un nombre de usuario o a un correo electrónico en particular El tráfico histórico de VPN podría no ser monitoreado ".
Aunque parece que el atacante habría tenido problemas para usar la información robada (es muy interesante que NordVPN y su competidor TorGuard VPN estén de acuerdo en este punto), pero me preocupa la posibilidad de que el atacante Podía observar el tráfico. La buena noticia es que el protocolo HTTPS es más común que nunca, lo que limitaría en gran medida lo que el atacante podría haber observado si hubiera observado algo. Además, el atacante no pudo haber atribuido el tráfico observado a usuarios específicos conectados al servidor. Pero eso sigue siendo una comodidad fría, porque representa un fracaso completo de lo que se supone que debe hacer un negocio de VPN en primer lugar.
También contacté a TorGuard VPN para averiguar si el atacante pudo haber observado el tráfico mientras estaba conectado a sus servidores. El representante declaró que esto no era posible porque la compañía utiliza una gestión segura de infraestructura de clave pública (PKI) para proteger sus claves de cifrado. Un representante escribió:
"No, eso sería imposible en el caso de TorGuard. (…) La clave privada de la Autoridad de Certificación de TorGuard (CA) nunca se almacena en un servidor VPN, no lo haría. por lo tanto, no es posible que un atacante descifre los paquetes que pasan a través de la VPN. Cuando el tráfico VPN abandona la computadora del usuario final a través del adaptador VPN, está completamente encriptado. Después del paquete le sucede al proveedor de VPN, la única forma de ver la actividad es descifrar el paquete con la clave privada del proveedor de VPN. En teoría, el atacante podría guardar el tráfico o examinarlo más a fondo para 39, explotación ".
Cómo pensar en violaciones de seguridad
NordVPN y TorGuard ciertamente no son las primeras compañías, ni siquiera las primeras compañías de seguridad, en sufrir graves violaciones de seguridad. En general, mi enfoque para evaluar los productos vulnerados de seguridad es juzgarlos tanto por cómo tratan la infracción como por la gravedad de la infracción misma.
Después de todo, los ataques contra cualquier organización que almacena información del usuario, que es cada organización – son de esperarse. No ser cínico, pero las violaciones son ir pasarse. Pueden ser pequeños, masivos, pero eventualmente, alguien encontrará una solución. Lo que es más importante que prevenir una violación es manejar las consecuencias.
Tome el ejemplo de LastPass. Este administrador de contraseñas registra conexiones y las lee para conexiones rápidas y fáciles. También puede generar contraseñas únicas y complejas para cada una de sus cuentas. Este es un excelente servicio. En 2015, la compañía anunció que había sido víctima de un ataque. LastPass notificó rápidamente a los usuarios y publicó información en su blog en su blog público. La compañía también tuvo el peor de los casos. Ya cifraba toda la información de sus usuarios, y la información robada sería difícil, si no imposible, de usar. Siempre se aconsejaba a los usuarios que cambiaran su contraseña maestra, solo para estar seguros.
Este es un ejemplo de una empresa que maneja bien una brecha. Fueron transparentes sobre el ataque y brindaron consejos claros a los afectados. Más importante aún, LastPass tomó medidas para asegurar la información que contenía. Los datos fueron encriptados, la contraseña desperdiciada y salada. Cuando los atacantes robaron datos, la compañía estaba convencida de que ninguno de estos datos podría usarse para lanzar nuevos ataques.
En general, NordVPN y TorGuard tienen buenas respuestas, pero dejan algunas cosas que desear. Por un lado, un representante de TorGuard dijo que la compañía había revelado el delito en mayo. NordVPN no reveló el delito hasta que explotó en Twitter, aparentemente para asegurarse de que el ataque no pudiera ser replicado en ningún otro día. otros servidores Una respuesta rápida y transparente ayuda enormemente a generar confianza en un negocio.
TorGuard dice que determinó que el ataque no representaba una amenaza, pero que volvió a emitir los certificados que verifican la identidad de sus servidores. Casi parece que TorGuard no iba a decir nada sobre este incidente hasta que apareció en Twitter. NordVPN afirma que no hizo una declaración para verificar que ninguno de sus otros servidores era vulnerable y para implementar medidas de protección adicionales.
En retrospectiva, es fácil juzgar con dureza, pero está claro que había medidas de seguridad adicionales que NordVPN podría haber utilizado en sus servidores. Puedo inferir esto en parte porque en esta situación muy similar, parece que NordVPN y TorGuard han tenido resultados diferentes con respecto a las claves TLS. Además, NordVPN anunció que a la luz del ataque "movería todos nuestros servidores a RAM", lo que limita significativamente la cantidad de información en el servidor en un momento dado. Es genial, pero también podría haberse hecho antes de la violación y no fue así.
El ataque y su divulgación revelan otro problema crítico de las VPN: el uso de subcontratistas de terceros para proporcionar los servidores necesarios para el funcionamiento de la empresa. NordVPN declaró que las prácticas laxas de la compañía que operaba el centro de datos al que alquilaba sus servidores estaban en el origen de la intrusión. No hay nada de malo en el arrendamiento de servidores, pero significa que incluso una compañía imaginaria de red virtual virtual podría verse frustrada por un comportamiento descuidado por parte del operador del servidor. Ambas compañías informaron haber roto lazos con sus respectivos centros de datos, aunque no está claro si las dos compañías estaban usando el mismo proveedor. Algunas compañías de VPN afirman tener sus propios servidores, lo que podría ser una opción más interesante en el futuro.
NordVPN, por ejemplo, dice que será más claro para el proveedor de su infraestructura de servidor. La compañía también anunció que se someterá a una auditoría pública para validar la seguridad de esta infraestructura.
¿Qué podemos aprender de estas violaciones?
Esperemos que otras compañías de VPN analicen detenidamente sus propias prácticas y los proveedores de servidores que utilizan. Esta experiencia también me ha iluminado. Siempre he tratado de aprender lo más posible sobre los esfuerzos que las compañías de redes VPN están haciendo para proteger a sus clientes. Para futuras revisiones, preguntaré sobre las reglas de la granja de servidores, cómo se almacenan los datos en esos servidores y cómo las empresas se están preparando para situaciones como esta. Espere ver revisiones actualizadas de todos los productos en un futuro muy cercano.
También aprovecho esta oportunidad para resaltar un problema que he visto con toda la red VPN desde que comencé a cubrirlo: la dificultad de validar las declaraciones hechas por las compañías VPN. Un observador externo tendría problemas para verificar que una red privada virtual (VPN) en realidad esté encriptando el tráfico de usuarios todo el tiempo y es imposible verificar que cada servidor esté configurado de manera correcta y segura.
Esto es claramente diferente de otros sectores de la industria de la seguridad. Las compañías de antivirus, por ejemplo, han creado AMTSO, que permite a los usuarios verificar que sus aplicaciones antivirus se estén ejecutando, y ha establecido pautas para evaluaciones de terceros de estos productos.
Las VPN también funcionaron en relativa oscuridad en comparación con el examen en profundidad aplicado a otras compañías de tecnología. Apple o Google, por ejemplo, son entrevistados regularmente por investigadores de seguridad que buscan vulnerabilidades. No se ha prestado la misma atención a las VPN y es más necesario que nunca. Obviamente, hay un buen trabajo para hacer aquí. Si una caminata de 8Chan puede encontrar algo interesante, los investigadores de seguridad ciertamente pueden hacerlo mejor.
Todos nuestros exámenes en PCMag están actualmente en progreso. Actualizo una notificación de red privada virtual cada vez que cambia el precio, se agregan nuevas funciones o se eliminan las funciones antiguas, y cuando ocurren tales incidentes. También hay muchas cosas que nadie sabe, y trato de aprender a escribir mejores críticas. Nuestra decisión de cambiar la calificación se basa en la información que tenemos actualmente. Si se revela más información condenatoria, el puntaje de una u otra compañía podría caer aún más. También existe la posibilidad de mejora.
Espero ver lo último.
Al igual que con el público estadounidense, probablemente deberíamos preocuparnos por la política de Facebook sobre publicidad política. En 2016, los sitios de redes sociales como Facebook estaban en cero para la campaña de desinformación liderada por Rusia que arruinó las elecciones presidenciales de EE. UU. Sin embargo, cree que el resultado de la elección no es importante; Sabemos que Rusia se involucró en nuestra elección y sabemos que las redes sociales, especialmente Facebook, fueron como antes.
De hecho, gran parte del enfoque de privacidad de Facebook ha seguido el mismo modelo de membresía. En el pasado, Facebook podía cambiar una función y los usuarios no se darían cuenta hasta más tarde que tenían que eliminarse manualmente de algo que había cambiado. Del mismo modo, Facebook Messenger utiliza el protocolo de señal para proteger sus mensajes no guardados, que incluso Facebook no puede leer, pero los usuarios deben activar esta función siempre que lo deseen.