¿Qué puede decirme un especialista en seguridad sobre las VPN? La tecnología cambia la vida futura

Comencé respondiendo “ ¿Las VPN de EE. UU. También filtran información del usuario? “, Pero dado que Stan Hanks tiene una excelente respuesta allí, voy a echar un vistazo a ese problema, y otros relacionados, aquí. Continué respondiendo esta pregunta como “ ¿Qué puede decirme Adrian Lamo sobre las VPN? “, Y terminé de responderla como “¿Qué puede decirme un especialista en seguridad sobre las VPN?” (el consultante original lo editó a mi solicitud para evitar el tema de la Pregunta directa). Me apresuré a terminarlo antes de que mi meta volviera a cambiar.

En primer lugar, una red privada virtual no es una solución única para sus preocupaciones de privacidad. Es un buen paso. Y un paso importante. Pero dependiendo de cuánto tenga que esconder, algo de seguridad puede ser peor que nada, atrayendo la atención hacia usted mientras no lo protege integralmente.

La seguridad es una disciplina. Si solo le preocupa descargar películas y programas de TV de BitTorrent, no necesariamente tiene mucho de qué preocuparse. Pero si eres periodista o activista en una región opresiva, tu vida puede depender de esta disciplina, y es una disciplina que tendrás que internalizar en muchos aspectos de tu vida, no es algo que se pueda resolver con un solo fuego. -y-olvida la solución. Ninguna solución individual es la solución a sus problemas de privacidad, al igual que un costoso sistema de alarma no le hace mucho bien si no lo arma y deja sus ventanas abiertas.

Alguna información de fuga de VPN. Esto no es tanto un problema de los EE. UU. Como lo es, en cantidades variables, un problema específico de VPN y un problema de configuración del usuario.

Informe sobre qmul.ac.uk : un vistazo a través del espejo de VPN: fuga de IPv6 y secuestro de DNS en clientes de VPN comerciales

Como muestra el gráfico anterior, muchos proveedores de VPN que se facturan a sí mismos como completamente seguros persisten en ofrecer PPTP, utilizado principalmente en Windows y compatible (presumiblemente) como un medio para reducir el nivel de uso de VPN para los usuarios de Windows. Una explicación concisa de por qué esta es una idea terrible y cómo sacrifica la seguridad por la facilidad de uso se puede encontrar en Schneier on Security. El meollo del problema (extracto):

3. ¿Qué tan malo es?
Muy. Microsoft PPTP está muy roto, y no hay una forma real de solucionarlo sin desmontarlo todo y comenzar de nuevo. Este no es solo un problema, sino seis problemas diferentes, cualquiera de los cuales rompe el protocolo.
4. ¿Microsoft no lo sabe mejor?
Uno pensaría que lo harían. Los errores que cometieron no son sutiles; son errores del “criptógrafo de jardín de infantes”. El cifrado se usa de una manera que niega por completo su efectividad … [y] y el canal de control está tan descuidadamente diseñado que cualquiera puede hacer que un servidor PPTP de Microsoft se caiga.
5. ¿Alguien?
Bueno, cualquiera que pueda ver el servidor. Si está dentro de un firewall, podría ser seguro. Pero el objetivo de estos servidores es actuar como VPN; los usuarios fuera del firewall usan Microsoft PPTP para hacer un túnel dentro de la red. Entonces, si el servidor está configurado de esta manera, puede ser expulsado desde cualquier parte del mundo.
6. ¿Cuál es la respuesta?
No use Microsoft PPTP. Nuevamente, este ataque es contra Microsoft PPTP, no PPTP en general … Si es un usuario de VPN, use IPSec. Este es un protocolo mucho más robusto.

Yo personalmente sugeriría usar OpenVPN si estás planeando usar una VPN. Es bastante seguro y está disponible para varios sistemas operativos (descargas de OpenVPN). Los usuarios avanzados pueden estar interesados en fortalecer su configuración de OpenVPN.

A finales de 2013 escribí un artículo para la revista PenTest sobre el anonimato en Internet en general, explorando varios aspectos de los servicios de privacidad. Una de las cosas que vi fue una preocupación de privacidad algo menos técnica: cómo está pagando por una VPN u otro servicio de privacidad / anonimato.

Las tarjetas de crédito deberían ser una obviedad. Recibirá una declaración por correo, en su casa, con su nombre. No es el ápice de la privacidad. Aún así, hay algunas formas modestas de aumentar su privacidad financiera. Si sus inquietudes sobre la privacidad son del tipo más cotidiano, evitando el acoso y mejorando la seguridad personal, muchos estados tienen programas que le permiten mantener su dirección confidencial, incluso en las facturas de servicios públicos y los estados de crédito. Uno de estos programas es el “Safe At Home” de California ( Secretario de Estado de California ) que, a diferencia del apartado de correos más común, le asigna una dirección que no se puede distinguir de una dirección postal normal.

Sin embargo, esto aún no resuelve el problema de que su tarjeta de pago esté asociada con su identidad. Una evasión popular para este problema implica el uso de tarjetas de crédito prepagas o de “regalo”. Mientras que los recargables pueden realizar
En algunas verificaciones de identidad, las tarjetas de un solo uso generalmente se compran en efectivo y aceptan cualquier información que decida poner en ellas, en lugar de los requisitos más onerosos de Conozca a su cliente de las cuentas a largo plazo. Además, el Sistema de verificación de direcciones utilizado para la mayoría de las transacciones con tarjeta, AVS tiene la peculiaridad de estar basado en números. Si eres John Doe en 123 Fake St, 20505, DC, EE. UU., AVS aún aprobará tu transacción si dices que eres John NoMoe de 123 Real St en 20505, McLean, EE. UU.

Debe verificar tanto con su tarjeta como con el TOS / AUP de su procesador de pagos para asegurarse de que tales travesuras no sean ilegales en su área, aunque por lo general tales prohibiciones solo se activan si su uso es fraudulento. Si bien el fraude probablemente siempre será un componente de los servicios de anonimato, solo ayuda a estigmatizarlos a ellos y a sus usuarios, sin mencionar que son una ciudadanía muy pobre.
Técnicas de privacidad y anonimato hoy, PenTest Magazine

El hecho de que esté detrás de una VPN razonablemente segura no significa que esté a salvo. Dependiendo de su ubicación, es posible que se requiera que las VPN entreguen evidencia de sus actividades en respuesta a solicitudes legales.

Diferentes países tienen diversos grados de receptividad a la idea de los servicios de privacidad, que van desde la prohibición ilegal hasta la vigilancia intensiva y la adopción entusiasta. Los servicios en los Estados Unidos y los países aliados han sido objeto de una creciente sospecha por parte del resto del mundo libre a raíz de las revelaciones de Edward Snowden este año, pero incluso antes de eso se sabía que muchos servicios de privacidad se someterían a presiones políticas y legales, como Sony el hacker Cody Kretsinger descubierto en 2011.

Kretsinger, que entonces tenía 23 años, usó el servicio VPN / proxy HideMyAss con sede en el Reino Unido para lanzar un ataque de inyección SQL contra la presencia de Internet del gigante de la electrónica y el servicio lo compró rápidamente a las autoridades al recibir una orden judicial, una medida que algunos condenarían como hipócritas, pero que HideMyAss en ese momento descartó como su deber legal. ( HideMyAss defiende el papel en LulzSec hack arresto )
HideMyAss no respondió de inmediato a mis solicitudes de comentarios.

Por esta y otras razones, no todos los servicios VPN se crean (o ejecutan) de la misma manera. Algunos han optado por evitar acumular cualquier cosa que pueda considerarse evidencia en primer lugar.

No todos los servicios comparten las actitudes de HideMyAss y HushMail hacia actividades cuestionables. Aunque no alentaba las travesuras de Internet, una portavoz de proxy.sh no expresó su deseo de convertirse en el guardián de sus usuarios, y señaló: “Solíamos tener una política ética que nos permitiera instalar Wireshark en un túnel VPN específico, para responder a las quejas relacionadas a actividades directamente perjudiciales para otros seres humanos como la pedofilia. [A partir del] 1 de diciembre de 2013, ya no nos permitimos tal intervención ”. De manera similar, Reuben Yap de BolehVPN le dijo a PenTest“ En este momento, no monitoreamos ningún servicio en tiempo real para tipos específicos de actividad ”, mientras que Privacidad , ahora y barato simplemente dijo “No guardamos ningún registro”.

Una de las partes más importantes del uso efectivo de las VPN es conocer su servicio VPN, su historial y a quién están comprometidos.

Incluso si su proveedor de VPN tiene una seguridad sólida y reside en un país amigable, ¿qué sabe realmente al respecto? Los servicios de VPN gratuitos con frecuencia publican poca información sobre sí mismos y rara vez tienen motivos completamente altruistas. Rumania es un anfitrión prolífico de servicios VPN, pero también de cibercrimen, con al menos una ciudad rumana declarada como una meca del fraude en Internet. ( Página en le-vpn.com ). Tampoco se puede confiar por completo en las revisiones de VPN: hay pruebas convincentes de que algunos resúmenes de los servicios de VPN en la prensa tecnológica pueden tener motivos ocultos, especialmente canalizar a los suscriptores a servicios cuidadosamente seleccionados para obtener comisiones de relaciones de afiliados que no se divulgan en las revisiones. Por lo general, si un sitio está dedicado por completo a las revisiones de VPN (las 5 mejores VPN de Rumania ) sin mencionar la autoría, los usuarios potenciales deben ser cautelosos, pero incluso algunos sitios tecnológicos conocidos han sido absorbidos en efectivo a expensas de la precisión.

Aún así, ese abuso de centavo es pequeño en comparación con algunas de las acusaciones que rodean a los jugadores más grandes. Anonymizer, uno de los servicios de anonimato más antiguos y conocidos en la red, cambió de manos silenciosamente en 2008. El beneficiario de esta adquisición fue Richard “Hollis” Helms, ex jefe de la División de Recursos Nacionales de la CIA ( Examinando los lazos entre TrapWire, Abraxas y Anonymizer | ZDNet ), y presumiblemente orgulloso propietario de una compleja agrupación de compañías mejor conocidas por su asociación con el controvertido sistema Trapwire. ( Anonimizador vinculado a la empresa que vende vigilancia TrapWire a los gobiernos ) Dada la compleja cadena de propiedad corporativa y el interés común de control, lo mejor que se puede decir sobre el acuerdo es que Helms probablemente habría sido más feliz si nunca se hubiera identificado .
El fundador de Anonymizer, Lance Cottrell, encontró mis informes “decepcionantes”.

Vale la pena mantenerse al tanto de los problemas de seguridad actuales que pueden afectar a los usuarios de VPN. Recientemente, se lanzó una extensión de Google Chrome (Google lanza una extensión de Chrome para corregir el agujero crítico de seguridad de VPN) para ayudar a abordar un problema de seguridad que permitía a los sitios web adquirir la dirección IP real de los usuarios de VPN.

Me encuentro en las latitudes del caballo (ctrl + F) entre haber escrito mucho sobre algo y planear escribir más sobre eso en el futuro, y consecuentemente encontrar el mismo problema que encontré en mi artículo inicial: simplemente no hay suficiente tiempo y espacio para cubro todo lo que me gustaría llegar, con el factor agregado de duplicación de esfuerzo. Estoy un poco reacio a citar en bloque mi artículo tema por tema (pero aún menos inclinado a reescribirlo), por lo que los lectores interesados en el resto (hay mucho, son ~ 4000 palabras) pueden encontrarlo en Privacidad y Anonimato Técnicas de hoy.

En consecuencia, esta no es una de mis mejores respuestas, en parte porque encuentro que una dirección más específica ayuda a cubrir temas técnicos. Pero por ahora, probablemente sea mejor simplemente sacar la respuesta por la puerta en lugar de tomar otro mes o dos esperando para pulirla. Cuando llegue a mi objetivo de escribir un artículo más completo sobre la privacidad en Internet, probablemente en forma de un libro electrónico, se lo haré saber a mis compañeros coroanos. Mientras tanto, te dejaré con el mismo cierre que utilicé en mi artículo, que es tan cierto ahora como lo era entonces:

El mundo de la privacidad como servicio es un panorama complejo, a veces incluso aterrador, de servicios que a menudo están mal definidos y a menudo se benefician de una falta de responsabilidad aún mayor que los usuarios que protegen. De ninguna manera esto es cierto para todos, pero hay mucho más en lo que pensar que el precio y la conveniencia al decidirse por uno para usar. No hago ninguna recomendación porque no hay un solo mejor producto para recomendar.

Internet y sus usuarios, que durante mucho tiempo han disfrutado de que su privacidad y seguridad sean el problema de otra persona, deben comenzar a asumir la responsabilidad de su propia seguridad. ¿Es inseguro su correo electrónico? No esperes a que Google lo arregle. ¿ISP bloquea tus torrentes? No espere a que la legislación lo mejore. Esas cosas están inevitablemente en un juego constante de ponerse al día contra la última amenaza, justo a tiempo para ser derribado por la nueva. La legislación nunca ha resuelto un problema en Internet. Para el caso, ¿cuándo confiar en una corporación se toma en serio sus mejores intereses?

Cada usuario tiene la responsabilidad de mantener su propia conciencia de la situación virtual, su propio modelo de amenaza y sus propios planes para garantizar sus mejores intereses. Nadie más lo hará por ellos, y la única medida de seguridad que realmente puedo respaldar es “dejar de esperar que alguien más lo haga “.

Relacionado: la respuesta de Adrián Lamo a “¿Estoy siendo rastreado?”

Anonimatoinformáticapiratas informáticospirateríaPrivacidadRedes privadas virtualesseguridad de la información