Etiqueta: Max

Facebook sigue siendo el cielo para los votantes en 2020 | Max Eddy


Me gusta comenzar mi día con un equilibrio entre lo bueno y lo malo: una sola taza de café preparada de manera ritual tomada en la tranquila comodidad de mi cocina mientras alterno entre la desesperación y la ira ante las noticias del día. En los últimos días, he leído más sobre la decisión de Facebook de no restringir la publicidad política dirigida en 2020, lo que al menos me gustaría molestar, porque eso es al menos una mala noticia. relacionado con la seguridad.

ComentariosAl igual que con el público estadounidense, probablemente deberíamos preocuparnos por la política de Facebook sobre publicidad política. En 2016, los sitios de redes sociales como Facebook estaban en cero para la campaña de desinformación liderada por Rusia que arruinó las elecciones presidenciales de EE. UU. Sin embargo, cree que el resultado de la elección no es importante; Sabemos que Rusia se involucró en nuestra elección y sabemos que las redes sociales, especialmente Facebook, fueron como antes.

A medida que nos dirigimos a las elecciones de 2020, Facebook ha decidido que no aprenderá del pasado. En lugar de tratar de frenar la publicidad política, Facebook ofrece a sus usuarios cierto control sobre el tipo de anuncios que ven. Los anuncios seguirán orientados y aún los verá, pero usted mayo ser capaz de atenuarlo un poco.

Verdad opcional

Además de poner barreras frágiles en la publicidad política, Facebook también ha anunciado que no eliminará los anuncios políticos pagados que contengan acusaciones falsas. Ahora, la verdad en política es algo raro y a menudo subjetivo, pero la admisión directa de que todo vale para la publicidad en Facebook es insultante.

También está en línea con otro anuncio reciente de la gran compañía azul de redes sociales sobre deepfakes. Estos son, para recordar a aquellos que están menos aterrorizados del futuro que yo, videos falsos manipulados de manera convincente por la inteligencia artificial. La posición de Facebook sobre deepfakes es que solo eliminará aquellos que sean intencionalmente engañosos, y la compañía ha creado grandes exclusiones para los videos que son "sátira". Dada la frecuencia con que los artículos sobre cebolla se difunden como hechos, este último punto parece particularmente problemático.

Definir "verdad" es una tarea aterradora, pero ¿somos realmente tan cínicos por decir lo menos que es evidentemente falso?

Cual es el plan

Hablando de cinismo: una lectura de la decisión de Facebook es que la compañía realmente está tratando de hacer que sus voces sean escuchadas por los partidos políticos. El Congreso ha hecho algunos intentos de responsabilizar a Facebook por sus fracasos, y la candidata presidencial Elizabeth Warren incluso ha pedido la disolución de grandes compañías tecnológicas como Facebook. Pero podemos suponer que los partidos políticos probablemente como Herramientas de orientación de Facebook, y ciertamente no me importa no tener que decir la verdad en la plataforma. La publicidad dirigida, especialmente en Facebook, ha sido un gran problema y es una herramienta increíblemente barata y efectiva para la desinformación. La decisión de Facebook de no restringir la focalización podría huir de sus detractores, pero eso los mantiene como una herramienta esencial para los mecanismos que ganan las elecciones.

SecurityWatchDe hecho, gran parte del enfoque de privacidad de Facebook ha seguido el mismo modelo de membresía. En el pasado, Facebook podía cambiar una función y los usuarios no se darían cuenta hasta más tarde que tenían que eliminarse manualmente de algo que había cambiado. Del mismo modo, Facebook Messenger utiliza el protocolo de señal para proteger sus mensajes no guardados, que incluso Facebook no puede leer, pero los usuarios deben activar esta función siempre que lo deseen.

El enfoque de Facebook también contrasta con el de sus competidores y otras compañías tecnológicas. La plataforma de transmisión de música Spotify ha anunciado que no transmitirá publicidad política en 2020, y Twitter también ha suspendido la publicidad política pagada. La posición del CEO de Twitter Jack Dorsey de que el compromiso político debe ser "ganado, no comprado" es sinceramente refrescante.

Mas que tecnologia

Los expertos en seguridad saben desde hace tiempo que el mejor malware del mundo no es tan efectivo como llamar a alguien y pedir su contraseña. La ingeniería social, en forma de phishing u otro ataque, funciona de manera alarmante. La información errónea en una elección no es muy diferente de la suplantación de identidad: alguien difunde mala información para obtener el resultado deseado. Podría ser dar una contraseña o aparecer para votar en el día equivocado.

Las empresas han aprendido que para derrotar el phishing y ataques similares, debe proporcionar a los usuarios información y tecnología de calidad. La autenticación de dos factores detiene muchos ataques de phishing, pero capacitar a los empleados para identificar enlaces sospechosos y correos electrónicos falsos es igual de importante.

Estamos comenzando a obtener la tecnología adecuada para las elecciones. Las auditorías que utilizan el poder de las matemáticas sofisticadas para evaluar con precisión la autenticidad de un resultado con solo unas pocas papeletas son un gran ejemplo, al igual que los sistemas que permiten una votación rápida con un seguimiento de papel verificable. Esto debe estar respaldado por esfuerzos para limitar la facilidad y precisión de la publicidad dirigida, y un esfuerzo de buena fe para ayudar a las personas a identificar información errónea. Es lo contrario de los recientes anuncios de Facebook.

Una triste conclusión

Si bien las elecciones de mitad de período de 2018 mostraron que al menos era posible mantener la democracia en Estados Unidos sin un fracaso colosal, esto no es una garantía para 2020. De hecho, los expertos tienen dijo que probablemente habrá ataques en las próximas elecciones, especialmente ahora que otros países han visto una interferencia electoral moderna efectiva. Las compañías de redes sociales, incluido Facebook, fueron más proactivas que en 2016, lo que hizo que la reciente decisión de la compañía fuera aún más decepcionante.

La respuesta a este problema debería ser la regulación en todas sus formas: leyes de sentido común que imponen límites razonables a la publicidad dirigida y prohibiciones autoimpuestas de información falsa. Pero no puedo evitar preguntarme si es probable que esto suceda cuando los anuncios, especialmente los anuncios dirigidos, son tan útiles para campañas y empresas. Alguien, en algún lugar, debe actuar en contra de sus intereses personales, y está claro que Facebook no está listo para arriesgarse a hacer cambios para mejor.

Disney +? HBO Max? Los nuevos gigantes del streaming han explicado


Amazon ha estado compitiendo con Netflix durante años, pero la entrada de alto perfil de Apple en el paisaje frenético tiene el potencial de inclinar el equilibrio de poder hacia el sector de la tecnología.

Apple presentó Apple TV + y Apple TV Channel en abril y finalmente lanzó Apple TV + el 1 de noviembre por $ 4.99 al mes. Apple sabe que su biblioteca de contenido es pequeña y, por lo tanto, planea ganar cuota de mercado al ofrecer un año de Apple TV + gratis a quienes compren un nuevo iPhone, iPad, Mac o Apple TV. Aquí se explica cómo obtenerlo.

Los títulos de lanzamiento de Apple TV + incluyen: una serie de televisión por cable El show de la mañana con Jennifer Aniston, Steve Carell y Reese Witherspoon; futuras series post-apocalípticas Ver protagonizada por Jason Momoa y Alfre Woodard; una serie de biopics de Emily Dickinson con Hailee Steinfeld; y la serie de carreras de ciencia ficción del espacio Por toda la humanidad. La mayoría de los programas han recibido críticas decepcionantes, pero Apple tiene inversiones en contenido original por valor de miles de millones de dólares en su canal de desarrollo para alimentar el servicio de transmisión a principios del próximo año, especialmente con colaboraciones. grandes nombres como Steven Spielberg y Oprah.

La rediseñada aplicación Apple TV también está disponible en varios formatos, incluidos los dispositivos Roku y Amazon Fire TV y televisores inteligentes de Samsung, Sony, LG y Vizio. Ofrecerá contenido original a través de Apple TV +, así como suscripciones a aplicaciones y redes de transmisión a través de canales de TV, que es similar a las extensiones ofrecidas por Prime Video y Hulu.

A través de los canales de televisión, Apple tiene como objetivo adoptar un enfoque similar al de la App Store para controlar la transmisión de contenido en dispositivos iOS. Según los informes, su suscripción a esta aplicación se reduciría en un 30%. Es una comisión considerable, pero iguala el 30% que actualmente tiene en las suscripciones de aplicaciones premium y los servicios de transmisión a través de App Store. La comisión se reduce al 15% para renovaciones de suscripción.

Los canales de televisión se lanzaron en mayo con algunos socios importantes, incluidos Amazon Prime Video, HBO, Hulu, Showtime, Starz, CBS All Access y muchos otros (pero no Netflix); Apple presentó los originales de Prime Video como La maravillosa señora maisel en demos en su evento de lanzamiento. Los canales de televisión también permitirán a los usuarios seleccionar operadores de cable tradicionales de proveedores como Optimum y Spectrum, así como servicios de reemplazo de cable over-the-top (OTT), incluido AT&T TV Now.

Los grandes dibujos de Apple

Esta estrategia se ajusta a la estrategia más amplia de software y servicios de Apple: tiene grandes planes para expandirse a varias otras industrias, más allá del creciente flujo de ingresos. recurrente generado por iCloud, Apple Music y Apple Pay. En un contexto de ventas estancadas de iPhone, el brillante evento de lanzamiento de Apple para su nueva gama de servicios destaca su visión de crecimiento futuro.

Apple, como Amazon, posee sus centros de datos. Por lo tanto, cada nuevo servicio propuesto genera márgenes de beneficio atractivos. Junto con sus nuevas ofertas de transmisión, Apple también presentó su servicio Apple News + a $ 9.99 por mes por una suscripción combinada a 300 revistas y periódicos, su Servicio de suscripción de juegos Apple Arcade (que también cuesta 4 , $ 99 por mes) y soporte de Goldman Sachs. Tarjeta de Apple.

Para todos estos servicios, especialmente cuando se trata de agregar contenido bajo su propio banner, Apple tomará una gran decisión. The Wall Street Journal informó que el gigante tecnológico recupera hasta el 50% de los editores de noticias para Apple News +, basado en la adquisición de Texture por parte de Apple, descrita como "Netflix para revistas".

"Creo que el entretenimiento se convertirá en una parte clave del negocio de Apple", dijo Jeffrey Cole, de la USC. "Para ellos, gastar $ 2 mil millones (contenido original) es solo jugar. Si les gusta lo que ven, creo que tendrán un presupuesto de $ 10 mil millones ". (Foto por Roy Rochlin / WireImage)

Photoshop en iPad y otros 9 anuncios interesantes de Adobe Max


Max es el foro gigante de creación de software para la introducción de nuevas tecnologías de software en los campos de la fotografía, el video y otros programas. Muchas perspectivas anuncian para 2020

La conferencia Adobe Adobe, donde la compañía presenta su hoja de ruta para 2020, atrae cada año a más de 15,000 creativos (diseñadores, fotógrafos, camarógrafos y artistas) y casi un millón de espectadores.

La creatividad para todos es el tema de este año. Se adhiere a este credo al ofrecer varias aplicaciones gratuitas para todas las funciones básicas.

Tecnología Sensei AI y aprendizaje automático de Adobe, que toca su espectro de aplicaciones: desde pintura, ilustración y fotografía hasta video, hasta animaciones 3D, para RA y aplicaciones de realidad virtual, también está a la mano.

Transferir potentes aplicaciones creativas a dispositivos móviles es otra gran tendencia. Escuchamos sobre Photoshop para iPad (completo Photoshop se construye nuevamente para dispositivos táctiles, han pasado años y finalmente está listo. Pero también tendremos una versión para iPad de Illustrator en 2020 y una nueva aplicación llamada Photoshop Camera.

El conjunto completo de aplicaciones Creative Cloud también se beneficia de un impulso. Siga leyendo para conocer estos y otros anuncios, incluidas las actualizaciones de Premiere Pro y Lightroom.

HBO Max llega en mayo de 2020 por $ 15: ¿Quieres suscribirte? | Noticias y opiniones


Ahora tenemos una imagen más completa de cómo será el panorama de la transmisión de video a fines del próximo año: HBO Max llegará en mayo de 2020 por $ 14.99 por mes.

Se unirá a Netflix, Amazon Prime Video, Hulu y CBS All Access en el mercado de transmisión a demanda muy disputado, así como a Apple TV + y Disney +, que llegarán el próximo mes a $ 4.99 y $ 6.99 por mes , respectivamente. El servicio NBCUniversal Peacock también estará disponible el próximo año.

HBO Max será la opción de transmisión más costosa, eclipsando el paquete más popular de Netflix, a $ 12.99 por mes. WarnerMedia de AT&T está apostando a que los espectadores en streaming se sentirán tentados a suscribirse a través de una combinación de contenido HBO de alta calidad, 50 nuevas series originales para 2021, programas nuevos y existentes y películas de marca bajo su bandera como CNN, Cartoon Network y Warner Bros. la Colección de películas de animación de Studio Ghibli, y una selección de programas de televisión que incluyen chicos, Sesame Street, la The Big Bang Theory, Dr. Who, The Fresh Prince of Bel Air, South Park, y Rick y Morty (de los cuales WarnerMedia ha pagado el precio de forma gratuita para adquirir una licencia).

Netflix siempre tiene una biblioteca de contenido mucho más grande. El martes en un evento para inversionistas en Los Ángeles, los ejecutivos de WarnerMedia elogiaron el enfoque de "calidad versus cantidad" de HBO Max, mientras discutían las 10,000 horas de contenido disponible en el mercado. servicio. También tuvimos un primer vistazo a la interfaz (que se parece más o menos a cualquier otro servicio de transmisión). Puedes ver algunos looks en el video promocional a continuación:

WarnerMedia comercializa algunas características nuevas de la interfaz de usuario en HBO Max, incluida una herramienta "Highlight" que organiza el contenido para los suscriptores para que no se vean obligados a desplazarse sin rumbo fijo. El servicio también permitirá a los suscriptores crear cuentas compartidas que tengan en cuenta las preferencias de todos los espectadores al recomendar transmisiones. HBO Max también ofrecerá recomendaciones de celebridades y algunos podcasts asociados con ciertos programas, como HBO Chernobyl.

Whle HBO Max costará $ 14.99 por mes para los nuevos suscriptores. La empresa matriz de AT&T distribuirá suscripciones gratuitas por un año a todos los clientes de AT&T, así como ofertas de banda ancha. Esta estrategia se está convirtiendo en una estrategia bastante popular, con Apple dando un año gratis de Apple TV + a cualquiera que compre un nuevo dispositivo Apple y Verizon llegando a un acuerdo con Disney para ofrecer un año Disney + gratis a todos sus suscriptores a la red móvil.

Los ejecutivos también dijeron que la compañía estaba considerando ofertar por suscriptores de HBO que se suscriben a través de proveedores de cable. En cuanto a los suscriptores actuales de HBO Now, John Stankey, jefe de WarnerMedia, lo ha llamado una "prueba de coeficiente intelectual", proyectando que 30 millones de suscriptores actuales de HBO comerciarán contra HBO Max. La filosofía de la empresa es: el costo es el mismo, entonces, ¿por qué no cambiar?

WarnerMedia predice 50 millones de suscriptores estadounidenses y entre 75 y 90 millones de suscriptores en todo el mundo para 2025, momento en el cual la compañía también estima que el servicio generará ganancias. En comparación, actualmente se espera que Disney + alcance aproximadamente 82 millones de suscriptores para 2024, aunque según algunas estimaciones este número es mucho mayor.

HBO Max no tendrá publicidad, pero WarnerMedia también ha criticado un nivel más barato financiado por publicidad, que saldrá en 2021.

HBO Max incluirá TV en vivo en 2021 con soporte publicitario | Noticias y opiniones


AT&T ya ha explicado cómo se vería HBO Max cuando se lanzó, pero nuevos detalles rodean su expansión a largo plazo.

El servicio de transmisión de video, programado para el próximo año, debe contener una gran cantidad de programación original. HBO Max también explota propiedades existentes como chicos y todas las melodías de HBO. Aquí se exhibirá toda la cartera de divisiones de producción y distribución de WarnerMedia.

HBO Max también se mezclará con la publicidad. AT & T dijo Reuters Después de la creación de HBO Max, explorará un nivel financiado por la publicidad. El nivel de publicidad también requiere una suscripción, pero los clientes pueden ahorrar dinero a cambio de publicar anuncios.

Cualquiera de las suscripciones se puede vender a un precio reducido a los clientes inalámbricos de AT&T. La compañía no confirmó lo que iba a hacer, pero se espera que HBO Max se comprará a un precio reducido si paga para acceder a sus redes 4G LTE y futuras. AT&T también quiere que los clientes en su negocio inalámbrico, DirecTV y HBO Max, generen mayores costos de publicidad en todas las plataformas.

Según su biblioteca, los analistas sugieren que HBO Max costará más de los $ 14.99 de HBO por mes. Este precio está muy por delante de Disney + ($ 6.99) y Apple TV + ($ 4.99). Pero, mientras busca atraer nuevos clientes, AT&T también quiere convertir muchos de los 35 millones de suscriptores existentes de HBO a un servicio todo incluido.

Además, AT&T anunció que ofrecerá transmisiones en vivo de este servicio para 2021. Las redes de cable Cartoon Network, CNN, NBA TV, TBS, TNT y TruTV están bajo la bandera de WarnerMedia. HBO Max los incluirá en un nivel completamente nuevo que también puede asociarse con su contenido a pedido. En general, AT&T quiere atraer a todo tipo de consumidores vendiendo diferentes suscripciones de acuerdo con sus necesidades.

Mientras tanto, AT&T TV todavía existe. El servicio ofrece televisión en vivo en cualquier dispositivo conectado. entonces, tal vez se convierta en HBO Max en el futuro. AT & T TV Now comienza en $ 65 al mes después de su reciente aumento de precios.

Se espera que HBO Max llegue en la primavera de 2020. Inicialmente, estará disponible de forma gratuita para 10 millones de clientes de AT&T que también se suscriban a HBO.

Violación de datos de VPN de NordVPN y TorGuard: lo que necesita saber | Max Eddy


OpinionesDespués de la revelación de violaciones de seguridad significativas en NordVPN y TorGuard VPN, reducimos el puntaje de NordVPN, un antiguo servicio VPN Editors 'Choice de cinco estrellas. Ahora es un servicio de cuatro estrellas y conservará por el momento su Premio Editors Choice. TorGuard conservará su calificación de cuatro estrellas. Explicaré por qué, con lo que sucedió, a continuación.

La historia comienza hace meses en el tablero de mensajes anónimo, 8chan, donde un usuario se jactó de haber comprometido NordVPN, TorGuard VPN y un servicio que no analizamos, llamado VikingVPN . Los meses pasaron desapercibidos hasta el 20 de octubre, cuando una tormenta en Twitter sacó a la luz los cargos contra las empresas. Fue en este punto cuando descubrí el incidente.

He aprendido, como todos los demás, que en el caso de NordVPN y TorGuard VPN, alguien había logrado acceder a los servidores VPN alquilados por las compañías. NordVPN y TorGuard tienen declaraciones publicadas que describen el ataque. VikingVPN no ha actualizado su blog durante algún tiempo y han pasado casi dos años desde que su cuenta de Twitter está activa.

Como crítico, odio los días como hoy, y no solo porque tuve que leer publicaciones realmente feas en 8chan para descubrir el origen de esta historia. En particular, odio esta situación porque plantea preguntas muy difíciles que no proporcionan respuestas particularmente satisfactorias.

Preguntas como: ¿Es justo penalizar a una empresa por participar en un ataque? Otra compañía puede tener prácticas de seguridad terribles, pero simplemente no ha sido atacada. ¿Debo comparar las respuestas de una empresa con las de otra y elegir un ganador? Esto no es justo, porque la suerte ciega podría haber sido un factor en estos resultados. ¿Cómo puedo creer todo lo que se dice, ya que las compañías involucradas tienen una poderosa motivación financiera para dar el mejor efecto posible en la situación? Esta es una situación particularmente dolorosa en el sector de redes VPN, que tiene una historia lamentable de artimañas.

Tengo la suerte de que los lectores de PCMag confíen en mis críticos y sé que tengo una responsabilidad especial en la evaluación de los productos de seguridad y privacidad. Estos productos están destinados a proteger a las personas y, cuando fallan, son peores que las malas compras: ponen a las personas en riesgo. Dicho esto, resumiré lo que entiendo sobre las violaciones y explicaré cómo PCMag tomó nuestra decisión con respecto a los puntajes de estas dos VPN.

¿Cuántas de estas violaciones se han cometido?

Según la declaración de NordVPN, un atacante tuvo acceso a su servidor en Finlandia en marzo de 2018 utilizando una función de acceso remoto que se dejó en el servidor. El servidor fue alquilado por NordVPN, pero administrado por una empresa de terceros. NordVPN afirma que la compañía de servidores ha sido negligente en la administración de sus herramientas de acceso remoto. TorGuard no ha revelado el método exacto utilizado para acceder a su servidor, pero los eventos parecen estar relacionados.

NordVPN indica que el atacante podría capturar la clave de seguridad de la capa de transporte utilizada para verificar que NordVPN gestione realmente un sitio. TorGuard declaró que administra sus claves de CA para que no se almacenen directamente en el servidor. Las dos compañías dijeron que ya se habían dado cuenta de la intrusión en sus servidores y que ya habían tomado medidas para limitar futuros ataques. TorGuard VPN reveló el ataque poco después de que fue informado. NordVPN no reveló públicamente el problema hasta el 21 de octubre.

Señalaré brevemente aquí que estoy al tanto de un caso judicial en curso entre NordVPN y TorGuard VPN que está relacionado con estas violaciones. En general, no revisamos las quejas legales privadas en nuestras revisiones, que también es el caso aquí.

Está claro que el atacante tenía acceso privilegiado que no debería haber sido accesible para nadie. La información obtenida durante el ataque es muy útil, pero NordVPN y TorGuard dijeron que esta información habría sido difícil de usar en la práctica.

Así es como el periodista de PCMag Michael Kan describió un posible ataque:

"El robo de la clave TLS (NordVPN) ha abierto la puerta a lo que se llama un" ataque centralizado ", que puede exponer su tráfico no encriptado al pirata informático, pero establecer tal esquema. No sería fácil … crear un cliente NordVPN ficticio y luego pedirle a un usuario que lo instale, que, al final, solo habría victimizado una computadora ".

NordVPN minimizó el potencial de ataques de esta manera:

"El ataque requeriría un acceso bastante extraordinario a la red o al dispositivo del usuario para que esto suceda". Tal ataque podría, en teoría, ser realizado por un proveedor de acceso a Internet malicioso o comprometido. , una red Wi-Fi maliciosa, un administrador de red intrusivo Fi (como una red universitaria o profesional) o un hacker que ya tiene acceso a su dispositivo ".

Por su parte, TorGuard ha descrito el ataque contra su infraestructura de la siguiente manera:

"TorGuard no almacenó nuestra clave maestra (CA) en ningún punto final, sin embargo, incluso si la clave de la CA fue obtenida y válida, tales ataques serían casi imposibles de disparar. porque OpenVPN tiene varios niveles de seguridad Un atacante A veces sería necesario localizar y sincronizar varios vectores de ataque (…) La gente a veces se queja de que OpenVPN es complicado, pero esta es una de las razones por las que es muy apreciado como un protocolo VPN seguro ".

Lo que quizás sea aún más inquietante es que el atacante podría observar la actividad del usuario mientras tenía acceso al servidor NordVPN. Me he puesto en contacto con TorGuard para aclarar si este también es el caso. En su informe, Bloomberg citó a Tom Okman, miembro de la junta asesora de NordVPN.

Okman dijo que era difícil determinar si los piratas informáticos obtenían información sobre el uso de Internet por parte de los usuarios del Norte porque la compañía no recopilaba registros de actividad. en sus servidores, un argumento de venta para clientes preocupados por su privacidad ". Creo que el peor de los casos Okman dijo que solo se aplicaría a los usuarios del norte que estaban usando su servidor finlandés y accedían a sitios web que no usaban el protocolo HTTPS seguro. "

Según Bloomberg, NordVPN estima que entre 50 y 200 clientes han utilizado el servidor afectado.

Me puse en contacto con NordVPN para comentar sobre este problema específico. Un representante de la compañía señaló que, incluso si fuera posible, no hay nada que indique que el atacante haya observado tráfico. La respuesta de la empresa:

"A pesar de que (el) pirata informático pudo haber visto el tráfico mientras estaba conectado al servidor, solo pudo ver lo que vería un ISP común, pero en ningún caso podría ser personalizado o vinculado a un nombre de usuario o a un correo electrónico en particular El tráfico histórico de VPN podría no ser monitoreado ".

SecurityWatchAunque parece que el atacante habría tenido problemas para usar la información robada (es muy interesante que NordVPN y su competidor TorGuard VPN estén de acuerdo en este punto), pero me preocupa la posibilidad de que el atacante Podía observar el tráfico. La buena noticia es que el protocolo HTTPS es más común que nunca, lo que limitaría en gran medida lo que el atacante podría haber observado si hubiera observado algo. Además, el atacante no pudo haber atribuido el tráfico observado a usuarios específicos conectados al servidor. Pero eso sigue siendo una comodidad fría, porque representa un fracaso completo de lo que se supone que debe hacer un negocio de VPN en primer lugar.

También contacté a TorGuard VPN para averiguar si el atacante pudo haber observado el tráfico mientras estaba conectado a sus servidores. El representante declaró que esto no era posible porque la compañía utiliza una gestión segura de infraestructura de clave pública (PKI) para proteger sus claves de cifrado. Un representante escribió:

"No, eso sería imposible en el caso de TorGuard. (…) La clave privada de la Autoridad de Certificación de TorGuard (CA) nunca se almacena en un servidor VPN, no lo haría. por lo tanto, no es posible que un atacante descifre los paquetes que pasan a través de la VPN. Cuando el tráfico VPN abandona la computadora del usuario final a través del adaptador VPN, está completamente encriptado. Después del paquete le sucede al proveedor de VPN, la única forma de ver la actividad es descifrar el paquete con la clave privada del proveedor de VPN. En teoría, el atacante podría guardar el tráfico o examinarlo más a fondo para 39, explotación ".

Cómo pensar en violaciones de seguridad

NordVPN y TorGuard ciertamente no son las primeras compañías, ni siquiera las primeras compañías de seguridad, en sufrir graves violaciones de seguridad. En general, mi enfoque para evaluar los productos vulnerados de seguridad es juzgarlos tanto por cómo tratan la infracción como por la gravedad de la infracción misma.

Después de todo, los ataques contra cualquier organización que almacena información del usuario, que es cada organización – son de esperarse. No ser cínico, pero las violaciones son ir pasarse. Pueden ser pequeños, masivos, pero eventualmente, alguien encontrará una solución. Lo que es más importante que prevenir una violación es manejar las consecuencias.

Tome el ejemplo de LastPass. Este administrador de contraseñas registra conexiones y las lee para conexiones rápidas y fáciles. También puede generar contraseñas únicas y complejas para cada una de sus cuentas. Este es un excelente servicio. En 2015, la compañía anunció que había sido víctima de un ataque. LastPass notificó rápidamente a los usuarios y publicó información en su blog en su blog público. La compañía también tuvo el peor de los casos. Ya cifraba toda la información de sus usuarios, y la información robada sería difícil, si no imposible, de usar. Siempre se aconsejaba a los usuarios que cambiaran su contraseña maestra, solo para estar seguros.

Este es un ejemplo de una empresa que maneja bien una brecha. Fueron transparentes sobre el ataque y brindaron consejos claros a los afectados. Más importante aún, LastPass tomó medidas para asegurar la información que contenía. Los datos fueron encriptados, la contraseña desperdiciada y salada. Cuando los atacantes robaron datos, la compañía estaba convencida de que ninguno de estos datos podría usarse para lanzar nuevos ataques.

En general, NordVPN y TorGuard tienen buenas respuestas, pero dejan algunas cosas que desear. Por un lado, un representante de TorGuard dijo que la compañía había revelado el delito en mayo. NordVPN no reveló el delito hasta que explotó en Twitter, aparentemente para asegurarse de que el ataque no pudiera ser replicado en ningún otro día. otros servidores Una respuesta rápida y transparente ayuda enormemente a generar confianza en un negocio.

TorGuard dice que determinó que el ataque no representaba una amenaza, pero que volvió a emitir los certificados que verifican la identidad de sus servidores. Casi parece que TorGuard no iba a decir nada sobre este incidente hasta que apareció en Twitter. NordVPN afirma que no hizo una declaración para verificar que ninguno de sus otros servidores era vulnerable y para implementar medidas de protección adicionales.

En retrospectiva, es fácil juzgar con dureza, pero está claro que había medidas de seguridad adicionales que NordVPN podría haber utilizado en sus servidores. Puedo inferir esto en parte porque en esta situación muy similar, parece que NordVPN y TorGuard han tenido resultados diferentes con respecto a las claves TLS. Además, NordVPN anunció que a la luz del ataque "movería todos nuestros servidores a RAM", lo que limita significativamente la cantidad de información en el servidor en un momento dado. Es genial, pero también podría haberse hecho antes de la violación y no fue así.

El ataque y su divulgación revelan otro problema crítico de las VPN: el uso de subcontratistas de terceros para proporcionar los servidores necesarios para el funcionamiento de la empresa. NordVPN declaró que las prácticas laxas de la compañía que operaba el centro de datos al que alquilaba sus servidores estaban en el origen de la intrusión. No hay nada de malo en el arrendamiento de servidores, pero significa que incluso una compañía imaginaria de red virtual virtual podría verse frustrada por un comportamiento descuidado por parte del operador del servidor. Ambas compañías informaron haber roto lazos con sus respectivos centros de datos, aunque no está claro si las dos compañías estaban usando el mismo proveedor. Algunas compañías de VPN afirman tener sus propios servidores, lo que podría ser una opción más interesante en el futuro.

NordVPN, por ejemplo, dice que será más claro para el proveedor de su infraestructura de servidor. La compañía también anunció que se someterá a una auditoría pública para validar la seguridad de esta infraestructura.

¿Qué podemos aprender de estas violaciones?

Esperemos que otras compañías de VPN analicen detenidamente sus propias prácticas y los proveedores de servidores que utilizan. Esta experiencia también me ha iluminado. Siempre he tratado de aprender lo más posible sobre los esfuerzos que las compañías de redes VPN están haciendo para proteger a sus clientes. Para futuras revisiones, preguntaré sobre las reglas de la granja de servidores, cómo se almacenan los datos en esos servidores y cómo las empresas se están preparando para situaciones como esta. Espere ver revisiones actualizadas de todos los productos en un futuro muy cercano.

También aprovecho esta oportunidad para resaltar un problema que he visto con toda la red VPN desde que comencé a cubrirlo: la dificultad de validar las declaraciones hechas por las compañías VPN. Un observador externo tendría problemas para verificar que una red privada virtual (VPN) en realidad esté encriptando el tráfico de usuarios todo el tiempo y es imposible verificar que cada servidor esté configurado de manera correcta y segura.

Esto es claramente diferente de otros sectores de la industria de la seguridad. Las compañías de antivirus, por ejemplo, han creado AMTSO, que permite a los usuarios verificar que sus aplicaciones antivirus se estén ejecutando, y ha establecido pautas para evaluaciones de terceros de estos productos.

Las VPN también funcionaron en relativa oscuridad en comparación con el examen en profundidad aplicado a otras compañías de tecnología. Apple o Google, por ejemplo, son entrevistados regularmente por investigadores de seguridad que buscan vulnerabilidades. No se ha prestado la misma atención a las VPN y es más necesario que nunca. Obviamente, hay un buen trabajo para hacer aquí. Si una caminata de 8Chan puede encontrar algo interesante, los investigadores de seguridad ciertamente pueden hacerlo mejor.

Todos nuestros exámenes en PCMag están actualmente en progreso. Actualizo una notificación de red privada virtual cada vez que cambia el precio, se agregan nuevas funciones o se eliminan las funciones antiguas, y cuando ocurren tales incidentes. También hay muchas cosas que nadie sabe, y trato de aprender a escribir mejores críticas. Nuestra decisión de cambiar la calificación se basa en la información que tenemos actualmente. Si se revela más información condenatoria, el puntaje de una u otra compañía podría caer aún más. También existe la posibilidad de mejora.

Espero ver lo último.