Etiqueta: VPN

¿Puede una nueva alianza ayudar a las compañías de VPN a demostrar su fiabilidad?


He estado cubriendo la industria de VPN durante varios años y la experiencia a veces ha sido bastante frustrante. Las medidas de calidad son a menudo contradictorias y vagas, y algunas empresas son opacas sobre sus prácticas. La solución que he propuesto, en varias ocasiones y ante los rostros de muchos fundadores y CEOs, ha sido la creación de un grupo industrial para VPN. El 11 de diciembre, algunos proveedores de VPN se unieron para hacer precisamente eso.

ComentariosEl nuevo grupo se ha denominado VPN Trust Initiative (VTI), que suena un poco como una especie de infección, pero la marca sigue siendo difícil. El VTI está organizado por Internet Infrastructure Coalition (i2coalition), un grupo empresarial compuesto principalmente por proveedores de alojamiento web, registradores, etc. Al momento de escribir este artículo, el grupo incluye ExpressVPN, NordVPN, Golden Frog VyprVPN, Surfshark, SaferVPN, StrongVPN, IPVanish, Encrypt.me y WLVPN.

Tenga en cuenta que Encrypt.me, WLVPN, IPVanish, StrongVPN y SaferVPN son propiedad de NetProtect, propiedad de j2 Global, que a su vez es propietaria de Ziff Davis, el editor de PCMag.com. A pesar de la conexión con la empresa y mi propia defensa de dicho grupo, no participo en VTI y no se me consultó en su creación. Leí su creación por primera vez en un comunicado de prensa, eso es exactamente lo que quiero.

En este comunicado de prensa, la organización recién creada explica sus objetivos de la siguiente manera:

Las VPN deben seguir las mejores prácticas para garantizar la seguridad de sus usuarios. La reputación de esta importante tecnología se basa en las VPN que siguen las mejores prácticas técnicas y éticas. El VTI reúne a los expertos en VPN y alinea las voces de la industria para defender, crear, monitorear y validar las políticas y directrices de la industria que garantizan la confianza en el mercado de VPN y promueven las prácticas de la industria. autorregulación constructiva para servir mejor a los consumidores.

¿Por qué necesitamos algo como esto?

Aunque la tecnología VPN ha existido durante años, es solo cuando el alojamiento en la nube de bajo costo, el marketing de afiliación y la paranoia global generalizada se unieron para hacer que las ventas de VPN sean verdaderamente rentable. Esto comenzó un incendio forestal en la industria. Las empresas VPN dormidas de repente capturaron más clientes y crecieron en tamaño. Ejemplo: en 2016, NordVPN solo tenía 3000 servidores. En 2019, ese número casi se duplicó a 5,367 servidores.

Pero no todo fue bueno. Nuevas compañías de VPN comenzaron a aparecer como hongos después de una tormenta, y algunas desaparecieron con la misma rapidez. Algunos han resultado ser estafas, sin cifrar el tráfico de usuarios. Otros fueron culpables de tácticas de desinformación. Y en torno a todo esto, ha crecido un ecosistema masivo de blogs de "revistas", cada uno luchando por un pedazo del pastel de afiliados, y no siempre con prácticas éticas en mente. También ha habido violaciones de datos e historias de prácticas sospechosas dentro de las propias compañías de VPN.

SecurityWatchEste mal comportamiento ha agravado un problema fundamental con las VPN: son cajas negras para los usuarios. Es difícil para una persona saber si su tráfico está encriptado. Es imposible que una persona sepa si las empresas respetan su privacidad, gestionan sus datos de manera responsable, configuran los servidores correctamente, etc. La industria ha hecho esfuerzos para ser responsable, como ordenar auditorías de sus servicios a terceros. Pero sin un marco compartido, no siempre está claro si estas auditorías miden algo útil.

Historia relacionada Descubre cómo probamos las VPN

El resultado final fue un desastre no solo sobre las VPN confiables, sino también sobre lo que define esa confiabilidad. Todo el concepto de VPN está amenazado con volverse tan confuso y tóxico que los consumidores podrían comenzar a evitarlos por completo. Al igual que una pareja que lucha duro y enojado en la calle, parece más seguro y fácil ignorarlos y seguir caminando.

Formar una alianza

Mi esperanza siempre ha sido que, eventualmente, algunas compañías de VPN se den cuenta de que su industria está en peligro de ser comida viva. En lugar de atacarme, esperaba que reconocieran que todos comparten el mismo objetivo, proteger a las personas, y comenzar a sujetarse entre sí a estándares más altos. La industria antivirus logró hacerlo hace años, y la mayoría ahora comparte información sobre amenazas particularmente desagradables, en lugar de tratar de socavar a los competidores a expensas de la seguridad de las personas.

Me puse en contacto con VTI para obtener más información sobre sus objetivos de transparencia y seguridad para la industria y me puse en contacto con Christian Dawson, Director Ejecutivo de ; i2Coalition. Dawson me dijo:

Las empresas que se han unido a esta iniciativa lo han hecho porque saben que sus usuarios se beneficiarán de un mayor diálogo con la industria sobre principios y estándares. El objetivo no es solo ser una voz singular para la industria VPN; se trata de pasar a lo básico para asegurarse de que la industria asuma la responsabilidad y se adhiera a un conjunto sólido de principios. Como grupo, enfocamos nuestros esfuerzos en definir los principios de la industria y, en última instancia, en escribir un conjunto de principios para guiar a los líderes en la industria de VPN. y trabajar hacia una autorregulación efectiva de la industria. Estamos involucrados en debates activos sobre transparencia y privacidad, así como sobre temas importantes como la divulgación, la seguridad y las prácticas publicitarias.

No tengo idea de si el VTI realmente cambiará la conversación en torno a las VPN, pero tengo algunas esperanzas de lo que, u otro grupo de VPN, podría lograr.

Cualquier grupo como VTI debe establecer estándares claros y comprensibles para la tecnología y la implementación. Debe entenderse cuál es la forma aceptable de configurar un servicio VPN, y este método debe ser validado por expertos externos a la industria VPN. Con los estándares establecidos, las empresas individuales pueden simplificar sus mensajes a los consumidores: ese es el estándar, quién definió ese estándar y nos apegamos a él.

También necesitamos pautas claras sobre la mejor manera de preservar la privacidad del usuario y proteger la privacidad del cliente de los atacantes y las fuerzas del orden. Esto incluye no solo tecnología y mejores prácticas, sino también políticas. Cuando reviso una VPN, tengo que pasar por complicadas políticas de privacidad y términos de uso para saber qué información se recopila, cómo se procesa y qué esfuerzos se realizan para protegerla. No debería tener que hacer esto, o preguntarme si una empresa realmente está siguiendo las reglas que se ha establecido.

Finalmente, las compañías VPN deben acordar estándares de transparencia. Debería ser fácil saber qué servidores VPN son virtuales y dónde están ubicados esos servidores. Debería ser fácil saber quién es el propietario de una compañía VPN y dónde está ubicada. Debería ser fácil encontrar informes sobre la cantidad de consultas que una empresa ha recibido de agencias gubernamentales y sobre la cantidad de información divulgada como resultado. Debería ser una práctica estándar para las empresas revelar infracciones y problemas de seguridad de manera oportuna.

¿Es esto todo lo que la industria necesita? Probablemente no, pero sería un gran comienzo. Con estándares claramente definidos, las auditorías de terceros podrían tener mucho más peso y ser más fáciles de entender.

Los lectores atentos notarán que VTI habla mucho acerca de comprometerse con el gobierno para desarrollar la regulación, así como la autorregulación. Ciertamente hay espacio para el escepticismo sobre cualquier industria que se regule a sí misma o dicte los términos de la regulación gubernamental de esta industria. Sin embargo, el gobierno de los Estados Unidos y otros a menudo han estado, si no ignoran cómo funciona la tecnología, trabajando activamente para erosionar la seguridad y la privacidad de las personas. El renovado impulso para acceder a la mensajería cifrada es solo un ejemplo de por qué el gobierno no siempre sabe lo mejor.

Herramientas para usuarios

Un punto importante que no se menciona en ninguna de la información disponible en el VTI es la verificación del usuario. Por el momento, no hay una manera fácil y conveniente para que un cliente verifique que su información esté correctamente encriptada por la VPN, lo más básico que debe hacer una VPN. Claro, podrían usar Wireshark para interceptar y analizar paquetes, pero no es algo que la persona promedio (o incluso un crítico experimentado) deba hacer.

La Organización de Estándares de Pruebas Anti-Malware (AMTSO) es similar a VTI en que existe para fomentar la confianza en la industria antivirus. Han hecho un gran trabajo para ese fin, pero diría que su contribución más útil ha sido crear una serie de pruebas que cualquiera puede usar para verificar que su antivirus realmente esté haciendo algo.

Por ejemplo: las compañías de antivirus han acordado detectar el inofensivo archivo EICAR como malicioso. Puede sonar contradictorio, pero permite a las personas confirmar que su software antivirus está haciendo algo. Simplemente descargue el archivo, y si su antivirus lo informa, sabe que es más que un montón de gráficos sofisticados disfrazados de antivirus.

Las VPN necesitan una herramienta similar. Algo simple que cualquiera puede usar para verificar que sí, de hecho, sus datos están encriptados de forma segura.

Le pregunté a Dawson si este tipo de herramienta estaba en la hoja de ruta de VTI. "Hasta la fecha, no hemos discutido el desarrollo de conjuntos de herramientas industriales que serían operados a través de la fuerza de trabajo", escribió Dawson. "Dicho esto, estamos en las primeras etapas de este esfuerzo".

"A medida que el grupo se acerca a la finalización de la primera generación de sus principios, las discusiones también continuarán sobre cómo podemos dar a los usuarios la capacidad de comprender que el proveedor de VPN que han elegido es el que se adhiere a estos principios ", escribió Dawson.

Esta en ellos

VTI es una oportunidad para que la industria VPN finalmente se defina en términos profesionales, pero eso significa asumir la responsabilidad. La creación de un grupo comercial es el primer paso. Ahora VTI y sus miembros deben actuar. Un siguiente paso podría ser integrar más empresas. He revisado más de 30 servicios de VPN y tengo una lista de otras 56 compañías que me han contactado para una revisión. VTI tiene algunos nombres importantes, pero todavía solo representa nueve marcas, muchas de las cuales son parte de la misma compañía.

Se necesitarán muchas más empresas para que el VTI demuestre que puede ser valioso, no solo un gesto vacío. Espero que puedan hacerlo.

Las mejores ofertas de Cyber ​​Monday en servicios VPN | Noticias y opiniones


El lunes cibernético es quizás el mayor día de compras en línea del año, pero también debe recordar cuán vitalmente importante es proteger sus datos personales. Con un red privada virtual (VPN), puede proteger su información de miradas indiscretas y encontrar una medida de confidencialidad en línea.

Muchos de nuestros servicios favoritos están a la venta para Cyber ​​Monday, por lo que es un buen momento para comprar hoy. Estas ofertas terminan hoy, por lo que si planea invertir en una VPN, es mejor registrarse ahora.

Las mejores ofertas de VPN Cyber ​​Monday

NordVPN

NordVPN abarca un cliente inteligente en torno a una amplia colección de características para proteger su negocio en línea y una extensa red de servidores. Esta es una opción de primer nivel para VPN y la elección de editores de PCMag. Ahora puedes obtenga un 83% de descuento en tres años de este servicio, bajando el precio a $ 125.64. Esta oferta también incluye un servicio de bonificación de tres meses y acceso gratuito a NordLocker, el software especializado de cifrado de archivos de la compañía.

IPVanish

IPVanish contiene potentes funciones que los usuarios experimentados de VPN apreciarán y proporcionarán una buena relación calidad-precio, aunque su interfaz puede intimidar a los menos experimentados. Si eres un profesional de VPN, Ofertas IPVanish un año de servicio por solo $ 39 Cyber ​​Monday, un 73% de descuento.

PureVPN

PureVPN

PureVPN tiene una extensa colección de servidores VPN en todo el mundo, que ofrece una de las mejores diversidades geográficas que hemos visto. Para el lunes cibernético, el plan de servicio de cinco años de PureVPN ha sido obtuvo solo $ 1.15 al mes, o 88 por ciento de descuento.

TorGuard

TorGuard VPN es la mejor opción para usuarios y lectores de BitTorrent que buscan asegurar su tráfico web. Tiene características que atraerán a los aficionados a la seguridad. Obtener 50% de descuento en el paquete de su elección, más una cuenta de bonificación PrivateMail de 10GB para Cyber ​​Monday cuando usar código promocional PCMag en la caja.

TunnelBear

Si estás harto de productos de seguridad sofisticados, deja que los osos potentes y lindos de TunnelBear VPN defiendan tu tráfico web. Fácil de usar y fácilmente accesible, es un ganador de la elección del editor. Conseguir un plan de dos años por $ 99.99, una reducción del 58%.

Norton Secure

Norton Secure VPN ofrece protección VPN de un nombre confiable además de precios flexibles y seguros. Para el lunes cibernético, es $ 50 de descuento: obtener un año de servicio para cinco dispositivos por solo $ 29.99.

Para obtener más ofertas, consulte a nuestros socios en BlackFriday.com.

Nota del editor: IPVanish pertenece a j2 Global, la empresa matriz del editor de PCMag, Ziff Davis.

Las mejores ofertas de VPN Black Friday | Noticias y opiniones


Es imposible ser completamente anónimo en Internet, pero wcon un red privada virtual (VPN), puede proteger su información de miradas indiscretas y encontrar una medida de confidencialidad en línea.

Muchos de los mejores servicios de VPN están a la venta para el Black Friday, por lo que es un buen momento para registrarse. Estas son algunas de las ofertas que puede ingresar ahora:

NordVPN

NordVPN abarca un cliente inteligente en torno a una amplia colección de características para proteger su negocio en línea y una extensa red de servidores. Esta es una opción de primer nivel para VPN y la elección de editores de PCMag. Ahora puedes obtenga un 83% de descuento en tres años de este servicio, bajando el precio a $ 125.64. Esta oferta también incluye un servicio de bonificación de tres meses y acceso gratuito a NordLocker, el software especializado de cifrado de archivos de la compañía.

IPVanish

IPVanish contiene potentes funciones que los usuarios experimentados de VPN apreciarán y proporcionarán una buena relación calidad-precio, aunque su interfaz puede intimidar a los menos experimentados. Si eres un profesional de VPN, Ofertas IPVanish un año de servicio por solo $ 39 Black Friday, un descuento del 73 por ciento.

PureVPN

PureVPN

PureVPN tiene una extensa colección de servidores VPN en todo el mundo, que ofrece una de las mejores diversidades geográficas que hemos visto. Para el Black Friday, el plan de servicio de cinco años de PureVPN ha sido obtuvo solo $ 1.15 al mes, o 89% de descuento, lo que lo convierte en uno de los servicios VPN más baratos que he visto.

TorGuard

TorGuard VPN es la mejor opción para usuarios y lectores de BitTorrent que buscan asegurar su tráfico web. Tiene características que atraerán a los aficionados a la seguridad. Obtener 50% de descuento en el paquete de su elección, más una cuenta Privatemail de 10GB como bonificación para el Black Friday cuando usar código promocional PCMag en la caja.

TunnelBear

Si estás harto de productos de seguridad sofisticados, deja que los osos potentes y lindos de TunnelBear VPN defiendan tu tráfico web. Fácil de usar y fácilmente accesible, es un ganador de la elección del editor. Conseguir un plan de dos años por $ 99.99, una reducción del 58%.

Norton Secure

Norton Secure VPN ofrece protección VPN de un nombre confiable además de precios flexibles y seguros. Para el viernes negro es 50 por ciento de descuento: obtener un año de servicio para cinco dispositivos por solo $ 39.99.

Para obtener más ofertas, consulte a nuestros socios en BestBlackFriday.com.

Nota del editor: IPVanish pertenece a j2 Global, la empresa matriz del editor de PCMag, Ziff Davis.

Después de una ruptura, ¿siempre debes confiar en tu VPN?


De vez en cuando, me tomo un descanso para brutalizar a los funcionarios y a Facebook para responder una pregunta de un lector. Esta semana, en medio de acusaciones de corrupción y relaciones públicas absurdas, encontré un mensaje de un suscriptor de NordVPN llamado Ann. Ann se ha dado cuenta de la reciente violación de NordVPN y se dice que está preocupada por el proveedor de VPN. La carta de Ann ha sido modificada en aras de la brevedad:

Estoy suscrito a NordVPN, por el momento. Me pregunto si debería continuar mi suscripción con ellos. Nunca he recibido un correo electrónico o mensaje de ellos informándome que su sistema ha sido pirateado. Su artículo es el primero que escucho sobre su violación. Es inquietante

OpinionesHe hablado mucho sobre la violación de NordVPN, pero aquí está la conclusión: en 2018, una persona estaba usando una herramienta de acceso remoto en un servidor VPN alquilado por NordVPN en Finlandia para acceder al servidor. NordVPN indica que esta herramienta fue instalada por la compañía que administra los servidores, sin el conocimiento de NordVPN. Una vez que se detectó la violación, NordVPN cambió de proveedor de servidor pero no informó al público hasta que la violación se convirtió en un tema de discusión en Twitter. Antes del descubrimiento de la falla, NordVPN declaró que el atacante había podido acceder a las claves TLS de la compañía. Esto podría haberse usado en ataques interceptados, pero solo con un trabajo significativo por parte de un atacante. TorGuard, que también tuvo una violación del servidor, dijo que no tenía estos problemas de seguridad.

Lo que está en juego

La violación de NordVPN amenazó dos cosas: los datos reales y la confianza de los usuarios.

Primero, la exposición real de los datos causada por la violación. Por lo que vi, un atacante determinado podría haber visto el tráfico que pasaba por el servidor afectado. Si esto sucediera, el atacante no habría podido asignar este tráfico a una persona específica. El atacante también habría tenido una visión limitada de la actividad del usuario. Mientras los usuarios afectados visitaran sitios HTTPS, el atacante solo habría visto el dominio visitado y nada más. Es la diferencia entre ver a alguien visitando los sitios PCMag.com y PCMag.com/securitywatch.

SecurityWatchEl atacante también podría haber usado la clave TLS robada para crear URL de NordVPN falsas. Esto es importante por varias razones, sobre todo porque todos los servidores de la compañía tienen "NordVPN.com" en la URL. Con la llave en mano, un atacante podría crear un servidor que parecería ser un servidor VPN normal, pero en realidad le permitiría espiar la actividad del usuario. Si un atacante puede engañar a una víctima para que le pida que instale una versión maliciosa de la aplicación NordVPN, el servidor falso podría revelar el tráfico de la víctima. Pero es una barra alta, y a menos que Ann (y otros usuarios como ella) sean atacados por piratas informáticos, probablemente no tenga que preocuparse por este incidente.

El verdadero problema aquí para la mayoría de los usuarios es el daño causado a su confianza en NordVPN. Si estos problemas existieron, ¿qué pasa? TorGuard dice que utilizó un enfoque diferente y que sus llaves permanecieron seguras durante el ataque. ¿Por qué NordVPN no hizo lo que hizo TorGuard? Estas no son las preguntas que todos deberían tener sobre un servicio en el que necesitan confiar.

La violación también reveló la delicada posición de los contratistas externos en la economía de VPN. Para operar servidores en todo el mundo, las compañías VPN alquilan o compran servidores en centros de datos operados por otra persona. NordVPN explica que el operador del centro de datos es el que instaló la herramienta de acceso remoto en el servidor sin el conocimiento de NordVPN. Incluso si esta narrativa demuestra ser defectuosa, el hecho es que las compañías de VPN no necesariamente ejercen un control total sobre los servidores en sus redes.

NordVPN también esperó mucho tiempo antes de revelar la violación. En su carta, Ann mencionó que nunca había tenido noticias de NordVPN y que no estaba sola en esta área. NordVPN no reveló la violación hasta octubre de 2019, mientras estuvo al tanto por más de un año.

También hizo este anuncio hasta que después Una palabra salió en Twitter sobre la violación. La compañía dijo que seguía siendo madre para asegurarse de que sus otros servidores estuvieran seguros. No sé cuánto tiempo lleva sondear 5.200 servidores, pero un año parece ser largo.

No puedo evitar preguntarme si NordVPN no habría dicho nada sobre la violación si no hubiera habido alboroto público. Esperando tanto tiempo antes de revelar la violación, NordVPN ha perdido la oportunidad de transparencia, y no tenemos más que su promesa de que finalmente se habría producido una divulgación.

Esto es aún más inquietante ya que TorGuard reveló la falla a sus servidores. el día después de su descubrimiento. Es cierto que las circunstancias entre las empresas no eran exactamente las mismas. TorGuard tiene menos servidores que NordVPN y ha declarado que sus claves TLS nunca han sido expuestas. Sin embargo, es difícil no comparar las respuestas.

Una cuestión de confianza

La parte de "tecnología" de "tecnología convencional" puede dar la impresión de que los hechos racionales y fríos son lo único que vale la pena considerar. Pero está lejos de la verdad. Podemos comparar las estadísticas de un Samsung Galaxy y un iPhone, pero es igual de importante saber cómo se siente usarlos. Los activos intangibles son tan importantes como la velocidad del procesador porque realmente nos importa.

Lo mismo es cierto para la seguridad. Al igual que el dinero fiduciario o la democracia representativa, el software de seguridad se basa tanto en sus creencias como en sus mecanismos internos. Si no lo haces pensar si su antivirus o VPN lo protege, ¿para qué sirve? Parte de lo que paga es tranquilidad, lo admita o no.

La confianza y la confianza son los tipos de cosas que una empresa no puede crear con muchas herramientas de seguridad inteligentes. Se ganan por la acción y a menudo se pierden por la inacción. Similar a la experiencia de una computadora pirateada o un robo en el hogar, la violación de NordVPN puede hacer que los clientes se sientan traicionados o desamparados. Esta es una respuesta razonable, y si cree que la compañía no ha hecho lo suficiente para tranquilizarlo, cancelar su suscripción es una decisión razonable.

NordVPN tiene mucho que ofrecer y ha sido un líder de la industria durante años. Pero tendrá que demostrar que puede recuperarse de este episodio y, con suerte, mejorar en el futuro. La compañía dijo que está cambiando la forma en que opera sus servidores y que obligará a los proveedores a cumplir con estándares más altos. NordVPN también se compromete a realizar una auditoría de sus servidores por un tercero. Si es suficiente o no para asegurar a los clientes probablemente dependerá de la persona.

Si los lectores toman algo de esta debacle con NordVPN, espero que no valga la pena conservar ningún producto si no confía en él. Somos afortunados de vivir en un momento en que la competencia es feroz en todas las áreas de seguridad. Si lo que usa no lo hace sentir seguro, es hora de obtenerlo.

Violación de datos de VPN de NordVPN y TorGuard: lo que necesita saber | Max Eddy


OpinionesDespués de la revelación de violaciones de seguridad significativas en NordVPN y TorGuard VPN, reducimos el puntaje de NordVPN, un antiguo servicio VPN Editors 'Choice de cinco estrellas. Ahora es un servicio de cuatro estrellas y conservará por el momento su Premio Editors Choice. TorGuard conservará su calificación de cuatro estrellas. Explicaré por qué, con lo que sucedió, a continuación.

La historia comienza hace meses en el tablero de mensajes anónimo, 8chan, donde un usuario se jactó de haber comprometido NordVPN, TorGuard VPN y un servicio que no analizamos, llamado VikingVPN . Los meses pasaron desapercibidos hasta el 20 de octubre, cuando una tormenta en Twitter sacó a la luz los cargos contra las empresas. Fue en este punto cuando descubrí el incidente.

He aprendido, como todos los demás, que en el caso de NordVPN y TorGuard VPN, alguien había logrado acceder a los servidores VPN alquilados por las compañías. NordVPN y TorGuard tienen declaraciones publicadas que describen el ataque. VikingVPN no ha actualizado su blog durante algún tiempo y han pasado casi dos años desde que su cuenta de Twitter está activa.

Como crítico, odio los días como hoy, y no solo porque tuve que leer publicaciones realmente feas en 8chan para descubrir el origen de esta historia. En particular, odio esta situación porque plantea preguntas muy difíciles que no proporcionan respuestas particularmente satisfactorias.

Preguntas como: ¿Es justo penalizar a una empresa por participar en un ataque? Otra compañía puede tener prácticas de seguridad terribles, pero simplemente no ha sido atacada. ¿Debo comparar las respuestas de una empresa con las de otra y elegir un ganador? Esto no es justo, porque la suerte ciega podría haber sido un factor en estos resultados. ¿Cómo puedo creer todo lo que se dice, ya que las compañías involucradas tienen una poderosa motivación financiera para dar el mejor efecto posible en la situación? Esta es una situación particularmente dolorosa en el sector de redes VPN, que tiene una historia lamentable de artimañas.

Tengo la suerte de que los lectores de PCMag confíen en mis críticos y sé que tengo una responsabilidad especial en la evaluación de los productos de seguridad y privacidad. Estos productos están destinados a proteger a las personas y, cuando fallan, son peores que las malas compras: ponen a las personas en riesgo. Dicho esto, resumiré lo que entiendo sobre las violaciones y explicaré cómo PCMag tomó nuestra decisión con respecto a los puntajes de estas dos VPN.

¿Cuántas de estas violaciones se han cometido?

Según la declaración de NordVPN, un atacante tuvo acceso a su servidor en Finlandia en marzo de 2018 utilizando una función de acceso remoto que se dejó en el servidor. El servidor fue alquilado por NordVPN, pero administrado por una empresa de terceros. NordVPN afirma que la compañía de servidores ha sido negligente en la administración de sus herramientas de acceso remoto. TorGuard no ha revelado el método exacto utilizado para acceder a su servidor, pero los eventos parecen estar relacionados.

NordVPN indica que el atacante podría capturar la clave de seguridad de la capa de transporte utilizada para verificar que NordVPN gestione realmente un sitio. TorGuard declaró que administra sus claves de CA para que no se almacenen directamente en el servidor. Las dos compañías dijeron que ya se habían dado cuenta de la intrusión en sus servidores y que ya habían tomado medidas para limitar futuros ataques. TorGuard VPN reveló el ataque poco después de que fue informado. NordVPN no reveló públicamente el problema hasta el 21 de octubre.

Señalaré brevemente aquí que estoy al tanto de un caso judicial en curso entre NordVPN y TorGuard VPN que está relacionado con estas violaciones. En general, no revisamos las quejas legales privadas en nuestras revisiones, que también es el caso aquí.

Está claro que el atacante tenía acceso privilegiado que no debería haber sido accesible para nadie. La información obtenida durante el ataque es muy útil, pero NordVPN y TorGuard dijeron que esta información habría sido difícil de usar en la práctica.

Así es como el periodista de PCMag Michael Kan describió un posible ataque:

"El robo de la clave TLS (NordVPN) ha abierto la puerta a lo que se llama un" ataque centralizado ", que puede exponer su tráfico no encriptado al pirata informático, pero establecer tal esquema. No sería fácil … crear un cliente NordVPN ficticio y luego pedirle a un usuario que lo instale, que, al final, solo habría victimizado una computadora ".

NordVPN minimizó el potencial de ataques de esta manera:

"El ataque requeriría un acceso bastante extraordinario a la red o al dispositivo del usuario para que esto suceda". Tal ataque podría, en teoría, ser realizado por un proveedor de acceso a Internet malicioso o comprometido. , una red Wi-Fi maliciosa, un administrador de red intrusivo Fi (como una red universitaria o profesional) o un hacker que ya tiene acceso a su dispositivo ".

Por su parte, TorGuard ha descrito el ataque contra su infraestructura de la siguiente manera:

"TorGuard no almacenó nuestra clave maestra (CA) en ningún punto final, sin embargo, incluso si la clave de la CA fue obtenida y válida, tales ataques serían casi imposibles de disparar. porque OpenVPN tiene varios niveles de seguridad Un atacante A veces sería necesario localizar y sincronizar varios vectores de ataque (…) La gente a veces se queja de que OpenVPN es complicado, pero esta es una de las razones por las que es muy apreciado como un protocolo VPN seguro ".

Lo que quizás sea aún más inquietante es que el atacante podría observar la actividad del usuario mientras tenía acceso al servidor NordVPN. Me he puesto en contacto con TorGuard para aclarar si este también es el caso. En su informe, Bloomberg citó a Tom Okman, miembro de la junta asesora de NordVPN.

Okman dijo que era difícil determinar si los piratas informáticos obtenían información sobre el uso de Internet por parte de los usuarios del Norte porque la compañía no recopilaba registros de actividad. en sus servidores, un argumento de venta para clientes preocupados por su privacidad ". Creo que el peor de los casos Okman dijo que solo se aplicaría a los usuarios del norte que estaban usando su servidor finlandés y accedían a sitios web que no usaban el protocolo HTTPS seguro. "

Según Bloomberg, NordVPN estima que entre 50 y 200 clientes han utilizado el servidor afectado.

Me puse en contacto con NordVPN para comentar sobre este problema específico. Un representante de la compañía señaló que, incluso si fuera posible, no hay nada que indique que el atacante haya observado tráfico. La respuesta de la empresa:

"A pesar de que (el) pirata informático pudo haber visto el tráfico mientras estaba conectado al servidor, solo pudo ver lo que vería un ISP común, pero en ningún caso podría ser personalizado o vinculado a un nombre de usuario o a un correo electrónico en particular El tráfico histórico de VPN podría no ser monitoreado ".

SecurityWatchAunque parece que el atacante habría tenido problemas para usar la información robada (es muy interesante que NordVPN y su competidor TorGuard VPN estén de acuerdo en este punto), pero me preocupa la posibilidad de que el atacante Podía observar el tráfico. La buena noticia es que el protocolo HTTPS es más común que nunca, lo que limitaría en gran medida lo que el atacante podría haber observado si hubiera observado algo. Además, el atacante no pudo haber atribuido el tráfico observado a usuarios específicos conectados al servidor. Pero eso sigue siendo una comodidad fría, porque representa un fracaso completo de lo que se supone que debe hacer un negocio de VPN en primer lugar.

También contacté a TorGuard VPN para averiguar si el atacante pudo haber observado el tráfico mientras estaba conectado a sus servidores. El representante declaró que esto no era posible porque la compañía utiliza una gestión segura de infraestructura de clave pública (PKI) para proteger sus claves de cifrado. Un representante escribió:

"No, eso sería imposible en el caso de TorGuard. (…) La clave privada de la Autoridad de Certificación de TorGuard (CA) nunca se almacena en un servidor VPN, no lo haría. por lo tanto, no es posible que un atacante descifre los paquetes que pasan a través de la VPN. Cuando el tráfico VPN abandona la computadora del usuario final a través del adaptador VPN, está completamente encriptado. Después del paquete le sucede al proveedor de VPN, la única forma de ver la actividad es descifrar el paquete con la clave privada del proveedor de VPN. En teoría, el atacante podría guardar el tráfico o examinarlo más a fondo para 39, explotación ".

Cómo pensar en violaciones de seguridad

NordVPN y TorGuard ciertamente no son las primeras compañías, ni siquiera las primeras compañías de seguridad, en sufrir graves violaciones de seguridad. En general, mi enfoque para evaluar los productos vulnerados de seguridad es juzgarlos tanto por cómo tratan la infracción como por la gravedad de la infracción misma.

Después de todo, los ataques contra cualquier organización que almacena información del usuario, que es cada organización – son de esperarse. No ser cínico, pero las violaciones son ir pasarse. Pueden ser pequeños, masivos, pero eventualmente, alguien encontrará una solución. Lo que es más importante que prevenir una violación es manejar las consecuencias.

Tome el ejemplo de LastPass. Este administrador de contraseñas registra conexiones y las lee para conexiones rápidas y fáciles. También puede generar contraseñas únicas y complejas para cada una de sus cuentas. Este es un excelente servicio. En 2015, la compañía anunció que había sido víctima de un ataque. LastPass notificó rápidamente a los usuarios y publicó información en su blog en su blog público. La compañía también tuvo el peor de los casos. Ya cifraba toda la información de sus usuarios, y la información robada sería difícil, si no imposible, de usar. Siempre se aconsejaba a los usuarios que cambiaran su contraseña maestra, solo para estar seguros.

Este es un ejemplo de una empresa que maneja bien una brecha. Fueron transparentes sobre el ataque y brindaron consejos claros a los afectados. Más importante aún, LastPass tomó medidas para asegurar la información que contenía. Los datos fueron encriptados, la contraseña desperdiciada y salada. Cuando los atacantes robaron datos, la compañía estaba convencida de que ninguno de estos datos podría usarse para lanzar nuevos ataques.

En general, NordVPN y TorGuard tienen buenas respuestas, pero dejan algunas cosas que desear. Por un lado, un representante de TorGuard dijo que la compañía había revelado el delito en mayo. NordVPN no reveló el delito hasta que explotó en Twitter, aparentemente para asegurarse de que el ataque no pudiera ser replicado en ningún otro día. otros servidores Una respuesta rápida y transparente ayuda enormemente a generar confianza en un negocio.

TorGuard dice que determinó que el ataque no representaba una amenaza, pero que volvió a emitir los certificados que verifican la identidad de sus servidores. Casi parece que TorGuard no iba a decir nada sobre este incidente hasta que apareció en Twitter. NordVPN afirma que no hizo una declaración para verificar que ninguno de sus otros servidores era vulnerable y para implementar medidas de protección adicionales.

En retrospectiva, es fácil juzgar con dureza, pero está claro que había medidas de seguridad adicionales que NordVPN podría haber utilizado en sus servidores. Puedo inferir esto en parte porque en esta situación muy similar, parece que NordVPN y TorGuard han tenido resultados diferentes con respecto a las claves TLS. Además, NordVPN anunció que a la luz del ataque "movería todos nuestros servidores a RAM", lo que limita significativamente la cantidad de información en el servidor en un momento dado. Es genial, pero también podría haberse hecho antes de la violación y no fue así.

El ataque y su divulgación revelan otro problema crítico de las VPN: el uso de subcontratistas de terceros para proporcionar los servidores necesarios para el funcionamiento de la empresa. NordVPN declaró que las prácticas laxas de la compañía que operaba el centro de datos al que alquilaba sus servidores estaban en el origen de la intrusión. No hay nada de malo en el arrendamiento de servidores, pero significa que incluso una compañía imaginaria de red virtual virtual podría verse frustrada por un comportamiento descuidado por parte del operador del servidor. Ambas compañías informaron haber roto lazos con sus respectivos centros de datos, aunque no está claro si las dos compañías estaban usando el mismo proveedor. Algunas compañías de VPN afirman tener sus propios servidores, lo que podría ser una opción más interesante en el futuro.

NordVPN, por ejemplo, dice que será más claro para el proveedor de su infraestructura de servidor. La compañía también anunció que se someterá a una auditoría pública para validar la seguridad de esta infraestructura.

¿Qué podemos aprender de estas violaciones?

Esperemos que otras compañías de VPN analicen detenidamente sus propias prácticas y los proveedores de servidores que utilizan. Esta experiencia también me ha iluminado. Siempre he tratado de aprender lo más posible sobre los esfuerzos que las compañías de redes VPN están haciendo para proteger a sus clientes. Para futuras revisiones, preguntaré sobre las reglas de la granja de servidores, cómo se almacenan los datos en esos servidores y cómo las empresas se están preparando para situaciones como esta. Espere ver revisiones actualizadas de todos los productos en un futuro muy cercano.

También aprovecho esta oportunidad para resaltar un problema que he visto con toda la red VPN desde que comencé a cubrirlo: la dificultad de validar las declaraciones hechas por las compañías VPN. Un observador externo tendría problemas para verificar que una red privada virtual (VPN) en realidad esté encriptando el tráfico de usuarios todo el tiempo y es imposible verificar que cada servidor esté configurado de manera correcta y segura.

Esto es claramente diferente de otros sectores de la industria de la seguridad. Las compañías de antivirus, por ejemplo, han creado AMTSO, que permite a los usuarios verificar que sus aplicaciones antivirus se estén ejecutando, y ha establecido pautas para evaluaciones de terceros de estos productos.

Las VPN también funcionaron en relativa oscuridad en comparación con el examen en profundidad aplicado a otras compañías de tecnología. Apple o Google, por ejemplo, son entrevistados regularmente por investigadores de seguridad que buscan vulnerabilidades. No se ha prestado la misma atención a las VPN y es más necesario que nunca. Obviamente, hay un buen trabajo para hacer aquí. Si una caminata de 8Chan puede encontrar algo interesante, los investigadores de seguridad ciertamente pueden hacerlo mejor.

Todos nuestros exámenes en PCMag están actualmente en progreso. Actualizo una notificación de red privada virtual cada vez que cambia el precio, se agregan nuevas funciones o se eliminan las funciones antiguas, y cuando ocurren tales incidentes. También hay muchas cosas que nadie sabe, y trato de aprender a escribir mejores críticas. Nuestra decisión de cambiar la calificación se basa en la información que tenemos actualmente. Si se revela más información condenatoria, el puntaje de una u otra compañía podría caer aún más. También existe la posibilidad de mejora.

Espero ver lo último.

Los hackers están apuntando a CCleaner of Avast nuevamente usando conexiones VPN robadas


Los hackers se han infiltrado recientemente en el proveedor de antivirus Avast con el obvio propósito de falsificar el producto CCleaner de la compañía.

Los piratas informáticos violaron la compañía al robar las credenciales de inicio de sesión de los empleados para un cliente VPN, que les dio acceso a la red interna de Avast, anunció el lunes el proveedor. ; antivirus.

Aunque la compañía encontró esta violación por primera vez el 23 de septiembre, hay evidencia de que los piratas informáticos pueden haber violado la red Avast tan pronto como el 14 de mayo. Pero en lugar de desconectar la conexión VPN, Avast ha decidido dejarla abierta para que pueda rastrear la actividad pirata.

La investigación reveló que los misteriosos culpables probablemente estaban apuntando al famoso producto CCleaner de Avast, instalado en todo el mundo. Esto ocurre dos años después de que los piratas informáticos robaran secretos comerciales de compañías de alta tecnología al manipular CCleaner versión 5.33 con malware bien oculto para recopilar secretamente información del sistema de las computadoras que los instalaron.

"No sabemos si fue el mismo actor que antes", dijo Jaya Baloo, jefe de seguridad de la información en Avast, en la declaración de hoy. Pero en respuesta a una violación, la compañía detuvo futuras versiones de CCleaner y verificó que no se habían realizado cambios maliciosos en el producto.

Avast comenzó a hackers en su red el 15 de octubre al cerrar el perfil VPN. Al mismo tiempo, lanzó una "actualización limpia" de CCleaner que se firmó con un nuevo certificado digital.

"Después de tomar todas estas precauciones, estamos seguros de decir que nuestros usuarios de CCleaner están protegidos y no están afectados", agregó Baloo. Toda la información de identificación de la conexión VPN de la red interna de la compañía también se ha restablecido.

Avast, con sede en la República Checa, se ha asociado con las agencias de inteligencia del país para investigar esta piratería. Los resultados muestran que los estafadores probablemente han robado varias credenciales de inicio de sesión de los empleados para un perfil VPN temporal creado por la compañía, pero se han olvidado de desconectarlo.

Para conectarse a la VPN, los hackers usaron una dirección IP pública alojada en el Reino Unido. A pesar de que el perfil VPN no tenía ningún "privilegio de administrador de dominio", los piratas informáticos lograron explotar una vulnerabilidad para obtener acceso completo a los sistemas internos de Avast.

"De la información que hemos reunido hasta ahora, está claro que fue un intento extremadamente sofisticado de nosotros para no dejar rastro de el intruso ni su objetivo ", dijo Baloo.

El incidente destaca el peligro de un ataque de la cadena de suministro; A principios de este año, los expertos en seguridad también informaron que el fabricante de PC, Asus, había sufrido una piratería similar que involucraba a la compañía para implementar una versión maliciosa de una utilidad de actualización para computadoras portátiles.