Segurança da Informação

[FISL 12] Hardening de servidores Linux e Backup com software livre

Você sabia que pode baixar GRATUITAMENTE algumas das melhores soluções de backup para VMware e HYPERV do mercado?

Algumas são GRATUITAS PRA SEMPRE!!!

Veeam Availability Suite

Veeam Backup & Replication

Veeam Availability Orchestrator

Veeam backup for Agents: Linux & Windows

Veeam Backup for Microsoft Office 365

Veeam Backup for Nutanix AHV

Veeam Backup for Azure

Resovi juntar neste post as duas palestras que assisti da Marta Vuelma. Os slides estão lá pra quem quiser conferir. Ela é bastante didática, e embora as palestras não tenham acrescentado muito ao que eu já sabia, foi interessante rever e revisar alguns conceitos.

A palestra sobre Hardening de servidores abordou os pontos importantes a considerar na segurança de um servidor, que listo a seguir.

  • Instalação – garantir que as fontes dos pacotes sejam confiáveis, e checar chave GPG.
  • Fazer imagem do sistema de arquivos para detectar alterações posteriores (rootkits, etc), checando com ferramentas como tripwire e aide. Nestes tempos de ataques pra todo lado, ferramentas desse tipo são essenciais. Já usei o aide e recomendo.
  • Logs remotos com rsyslog – mesmo que um intruso comprometa/apague os logs locais, você ainda terá informação pra analisar.
  • Checar serviços com nmap para verificar se não há nenhuma porta ativa indevidamente. Isso é básico, né pessoal ?
  • Organizar o sistema de arquivos de modo a restringir operações de gravação em pontos de montagem como /bin, /sbin, etc. Essa foi nova pra mim, nunca pensei nesse nível de segurança, mas é uma idéia bem interessante para sistemas mais visados. Vai dar mais trabalho na hora de atualizar, mas faz parte.
  • Checar arquivos SUID, SGID e sem dono. Isso também é básico, né ?
  • Utilizar ferramentas de conformidade como Bastille. Já testei ele e achei bem legal também.
  • Usar firewall, se possível de camada 7 (patch L7-filter para o netfilter). Firewall em cada servidor ? É segurança “de verdade”.
  • Colocar serviços críticos “enjaulados” com chroot. Não lembro em que palestra vi que isso não será mais necessário na próxima versão do Debian ou Ubuntu. Vai ter algum recurso que vai ajudar nisso, mas não tô lembrando. Foi mal.
  • Monitorar login no servidor – incluir no .bashrc envio de e-mail automático a cada login do root. Achei esta sacada ótima, e já vou providenciar nos meus servidores. Dá pra pensar em várias outras idéias legais quando o root logar.
  • Utilizar ferramentas de monitoramento como Nagios, Shinken ou Zabbix. Mais um da série “Isso é básico, né ?”.

A palestra sobre Backup citou ferramentas conhecidas, algumas bem velhinhas e outras nem tanto. Vamos a elas.

  • Dump – confesso, confesso. Vergonhosamente eu não conhecia esta ferramenta, que segundo ela é uma das mais antigas no mundo *nix. Faz backup de arquivos e até de devices, inclusive incremental, e preserva permissões, data/hora e dono.
  • rsync – a conhecida ferramenta de sincronização de pastas pode ser uma poderosa ferramenta de backup, especialmente no que se refere a desempenho, já que tem a capacidade de transferir apenas os dados modificados (eu disse dados, não arquivos).
  • Bacula – solução poderosíssima, de nível corporativo mesmo, traz uma série de conceitos importantes para a definição de uma política de backup, como jobs, volumes, mídias, agendas, etc. E ainda faz o gerenciamento da execução dos backups. Utilizamos esta solução há alguns anos e, apesar de alguns problemas, a ferramenta funciona bem. Recomendo.
  • A Marta citou ainda ferramentas como Amanda, Mondo Rescue, Star e algumas comerciais, mas sem dar detalhes.
Ela se concentrou no bacula, que é a solução que mais conhece, e destacou uma série de pontos positivos da solução: backup do Exchange 2003/2007, Expresso, Xen e VMware.
Ela deu a entender que a ferramenta faz backup desses ambientes “a quente”, mas preciso investigar melhor isso, pois nas conversas que tive com o Heitor Farias (especialista na solução) me pareceu que este suporte ainda não estaria disponível.
De todo modo, não deixa de ser interessante saber que eles estão caminhando na direção de suportar as soluções de mercado.
Quer ter mais dicas essenciais pra administrar melhor seu backup? Clique AQUI.
SAIBA MAIS…
O erro #1 que sysadmins cometem ao fazer backup de seus servidores virtuais
Unitrends Free – 1 TB de backup gratuito pra suas máquinas virtuais VMware e Hyper-V
Veeam Endpoint Backup – ferramenta gratuita para backup de estações e servidores físicos e virtuais
4 ferramentas gratuitas para backup de VMware (inclusive ESXi gratuito) e Microsoft Hyper-V
Onde obter entre 100 GB e 10 TB gratuitamente na nuvem (atualizado!)
Alternativas de #backup para ambientes virtualizados
Backup múltiplo automágico com Dropbox, Skydrive e Google Drive
#Backup gratuito do seu ambiente virtual com o #Veeam Backup Free Edition
#FISL 13: Tape’s not dead
O problema da deduplicação
Veeam oferece soluções para ambiente VMWare ESX
FISL 9: Backup prático, porque precisamos evoluir!
Back In Time simplifica backup do Linux
Faça backup dos seus dados na nuvem
Sincronize suas pastas e computadores com simplicidade
Restore: backup multiplataforma com software livre
Backup online
Wuala une backup online e rede social
Veeam SureBackup faz verificação automática de backups no #VMware
Backup simplificado de GPOs

10 ferramentas de #segurança que você deve conhecer já!

 

Vou listar aqui 10 ferramentas que todo profissional de segurança deve conhecer. São ferramentas para testes de penetração, análise de malware, detecção de vulnerabilidades em aplicações web e muito mais!

Confira a lista.

OWASP ZAP – Zed Attack Proxy Project 
Ferramenta para teste de penetração e análise de vulnerabilidades em aplicações web.

BeEF – The Browser Exploitation Framework Project
Ferramenta focada na análise do navegador e suas vulnerabilidades.

Burp Suite
Também é voltado para análise de vulnerabilidades em aplicações web, com possibilidades de automatização sofisticadas.

PEStudio
Voltado para análise de executáveis Windows sem a necessidade de executá-los, permitindo a análise de malware com segurança.

OWASP Xenotix

Dedicado à identificação e exploração de falhas do tipo XSS em aplicações web, garante que não ocorra falso positivo com três engines de navegadores embutidos na ferramenta.

Lynis

Já conhecia o Lynis de loga data (obrigado FISL :), e fiquei muito feliz em saber que a ferramenta continua “viva” e ativa. É interessante para hardening de servidores, verificando uma infinidade de configurações do sistema, aplicações instaladas e adequação a padrões de segurança. Recomendo!

Recon-NG The Web Reconnaissance Framework

Voltado para o “reconhecimento” de aplicações web (confesso que não conhecia o termo), permite a análise de aplicações, mas não a exploração de falhas identificadas, sendo menos intrusivo, digamos assim, que outros frameworks como o metasploit.

Suricata

O nome engenhoso identifica bem a idéia deste IPS/IDS de rede. Sempre alerta ao que acontece no ambiente, permite detectar e previnir incidentes de segurança.

WPScan WordPress Security Tool
É natural que o CMS mais usado na web tenha ferramentas dedicadas, e uma delas é o WPScan, que ajuda a verificar a segurança de sua instalação.

O-SAFT OWASP SSL Advanced Forensic Tool

Uma das ferramentas que mais me chamou a atenção, pois permite verificar uma série de características de conexões SSL, ajudando a identificar falhas, vulnerabilidades e reduzir riscos, já que sabemos que atualmente SSL não é mais garantia de tranquilidade no acesso a web.

Via ToolsWatch.

 

E se você quer descobrir mais listas interessantes, fatos estranhos e curiosos, acesse http://biglistas.com.

Prepare-se para a certificação ISO 27002!

O problema da deduplicação

Muito tem se falado nos últimos tempos sobre deduplicação, à medida que o backup em disco se consolida no mercado. Inúmeras soluções surgem a cada dia, há quem diga que a fita morreu, ou que a fita deve ser utilizada para fins de arquivamento somente, dentre outras afirmações controversas.
A deduplicação é o processo de analisar os dados e eliminar redundâncias através de algoritmos que permitem identificar chunks ou blocos de dados idênticos e comprimí-los, diminuindo assim a quantidade de informação a ser manipulada.
A deduplicação pode ser aplicada em transferências de dados através da rede, com os chamados WAN Accelerators, ou pode ser aplicada a dados sendo armazenados em sistemas de arquivos, ou ainda pode ser aplicada aos dados durante o processo de backup em disco ou fita, sendo este último o cenário de utilização considerado para efeito da análise que faço a seguir.
Os benefícios da deduplicação são inegáveis. Redução drástica no volume de dados do backup (taxas de 10 pra 1 ou até maiores não são difíceis de obter), otimização do tempo de restauração e redução dos custos associados à solução (especiamente com aquisição de discos e fitas) são alguns exemplos.
O problema está no fato de que existem alguns pontos negativos, dos quais vou destacar o que considero mais grave: o ponto único de falha resultante do fato de que pode haver uma única cópia completa do seu backup, ou mesmo de vários dos seus backups, a depender da solução utilizada.
Vamos exemplificar para facilitar o entendimento:
  • Suponha que você possua um servidor de banco de dados, cujo backup é realizado através de uma solução que oferece o recurso de deduplicação.
  • Ao realizar o backup do servidor pela primeira vez, todos os dados serão copiados.
  • A partir da segunda execução, serão copiados apenas os dados alterados, seja através da identificação de blocos modificados ou outra técnica qualquer.
  • Agora vem a pergunta do milhão: o que acontece se aquela cópia inicial dos dados for corrompida ?
  • Há soluções que vão além, e são capazes de reutilizar esta cópia primária (de uma máquina virtual, por exemplo) para vários backups, aumentando a gravidade do problema.
Desta forma, quero com este texto alertar para o fato de que, apesar de todas as vantagens das soluções baseadas em deduplicação, é essencial garantir que haja mais de uma cópia primária de cada backup. A boa notícia é que isto é bastante simples de fazer, bastando realizar um segundo backup do mesmo dado, mas com destino diferente. Ou seja, pode ser feito um backup diário para disco e um semanal para fita, por exemplo, ou qualquer combinação que garanta que haverá mais de uma cópia completa dos dados.
Vale lembrar que, certamente, a estratégia aqui sugerida vai causar uma redução nas “taxas de economia de espaço de armazenamento” propagandeadas pelas soluções baseadas em deduplicação, que desconsideram esta questão em seus datasheets e folders. Há inclusive quem considere que o problema não existe, buscando por outros meios (redundância de discos, por exemplo) garantir que a cópia única jamais será corrompida. Você acreditaria nisso ? Eu não.
Portanto, o recado que deixo é: “Deduplicação, use com moderação.”.
Quer ter mais dicas essenciais pra administrar melhor seu backup? Clique AQUI.

SAIBA MAIS…
O erro #1 que sysadmins cometem ao fazer backup de seus servidores virtuais
Unitrends Free – 1 TB de backup gratuito pra suas máquinas virtuais VMware e Hyper-V
Veeam Endpoint Backup – ferramenta gratuita para backup de estações e servidores físicos e virtuais
4 ferramentas gratuitas para backup de VMware (inclusive ESXi gratuito) e Microsoft Hyper-V
Onde obter entre 100 GB e 10 TB gratuitamente na nuvem (atualizado!)
Alternativas de #backup para ambientes virtualizados
Backup múltiplo automágico com Dropbox, Skydrive e Google Drive
#Backup gratuito do seu ambiente virtual com o #Veeam Backup Free Edition
#FISL 13: Tape’s not dead
O problema da deduplicação
Veeam oferece soluções para ambiente VMWare ESX
FISL 9: Backup prático, porque precisamos evoluir!
Back In Time simplifica backup do Linux
Faça backup dos seus dados na nuvem
Sincronize suas pastas e computadores com simplicidade
Restore: backup multiplataforma com software livre
Backup online
Wuala une backup online e rede social
Veeam SureBackup faz verificação automática de backups no #VMware
Backup simplificado de GPOs

Melhores Serviços de VPN Anônima

VPN Anonimato Privacidade

VPN gratuita ou paga, anônima ou não, está se tornando uma necessidade, com o avanço do trabalho remoto, e com ele o aumento das ameaças, já que dificilmente uma pessoa tem em casa o mesmo nível de proteções de segurança e privacidade que na empresa. A solução, portanto, é usar um serviço que forneça mais privacidade e segurança.

Os serviços de VPN têm se tornado cada vez mais populares nos últimos anos, mas nem todos são completamente anônimos. Alguns serviços de VPN mantêm extensos registros de endereços de IP dos usuários por semanas. Para descobrir quais são os melhores VPNs, o TorrentFreak fez um levantamento completíssimo de informações sobre os melhores serviços de VPN do mundo.

O resultado deste levantamento (em tradução livre) você confere agora.
Ressalto que, mais que um simples levantamento de provedores de serviço, as informações que você terá acesso a seguir são uma verdadeira aula de segurança, e por isso recomendo que leia até o final, com bastante atenção, para que possa entender melhor os riscos que enfrentamos diariamente quanto à nossa privacidade e o que podemos fazer a respeito.
Boa leitura! 🙂

Quais serviços de vpn levam seu anonimato a sério?

Milhões de pessoas usam um serviço de VPN para navegar na Internet de forma segura e anônima. Infelizmente, porém, nem todos os serviços de VPN são efetivamente anônimos como eles dizem ser e alguns mantêm extensos registros de informações privadas.
Para ajudar os usuários a fazer a escolha certa do serviço de VPN, decidimos perguntar a dezenas de serviços de VPN como eles protegem a privacidade de seus usuários. Hoje apresentamos a quinta iteração dos nossos serviços de VPN anuais “logging” review.
Além de perguntas sobre as políticas de registro também perguntamos aos provedores de VPN sobre várias outras questões relacionadas a privacidade.1. Você mantém algum log que permite combinar um endereço IP e um dado tempo para um usuário de seu serviço? Se sim, quais informações e por quanto tempo?


2. Qual é o nome de registro da empresa e em que a jurisdição opera?


3. Você usa algum monitoramento de visitantes externos, fornecedores de e-mail ou ferramentas de apoio que mantêm informações de seus usuários/visitantes?


4. Em caso de você receber um “takedown notice” (DMCA ou outro), como eles são tratados?


5. Quais medidas são tomadas quando uma ordem judicial ou intimação requer que a empresa identifique um usuário ativo do seu serviço? Isso já aconteceu?


6. O BitTorrent ou outro serviço de compartilhamento de arquivos são permitidos em todos os servidores? Se não, por quê?


7. Quais sistemas de pagamento você usa e como eles estão ligados a contas de usuários individuais?


8. Qual é a conexão e algoritmo de criptografia de VPN mais seguro que você recomendaria aos seus utilizadores? Você fornece proteção contra vazamento de DNS e ferramentas como “kill switches” em caso da conexão cair?


9. Vocês oferecem uma aplicação personalizada de VPN para seus usuários? Se sim, para quais plataformas?


10. Você usa seus próprios servidores DNS?


11. Você tem o controle físico sobre seus servidores VPN e rede ou eles são hospedados por uma empresa terceira?


12. Em quais países estão localizados os seus servidores?O que se segue é uma lista de respostas dos serviços de VPN, por meio de suas próprias palavras. Prestadores que não responderam às nossas perguntas diretamente ou com falhas foram excluídos. Nós deixamos espaço para respostas detalhadas quando necessário. A ordem da lista não está condicionada a nenhum critério.

Private internet access.pngPRIVATEINTERNET ACCESS

1. Nós não guardamos registos referentes ao tráfego, sessão, DNS ou metadados. Em outras palavras, nós não registramos. A privacidade é a nossa política.
2. Somos conhecidos como London Trust Media, Inc. e estamos localizados nos EUA, um dos poucos países que não têm uma política de retenção de dados obrigatória. Além disso, uma vez que nós operamos no país com a mais rígida legislação de defesa do consumidor, nossos amados clientes são capazes de comprar com confiança.
3. Temos de aproveitar o Google Apps e Google Analytics. Todos os nossos sistemas e ferramentas de suporte estão em nossa própria infraestrutura.
4. Nós não monitoramos nossos usuários. Dito isto, temos um sistema proprietário ativo para ajudar a mitigar o abuso.
5. Cada intimação é examinada no mais alto grau de conformidade tanto com o “espírito” e a “letra da lei.” Nós nunca recebemos uma ordem judicial. Com isso, nós não registramos e não temos quaisquer dados dos nossos consumidores que não sejam seu e-mail e nome de usuário.
6. Sim. Nós não censuramos nossos servidores.
7. Nós utilizamos uma variedade de sistemas de pagamento, incluindo, mas não limitados a: PaypPal, Credit Card (with Stripe), Amazon, Google, Bitcoin, Stellar, Ripple, CashU e OKPAY. Mais de 100 novas formas de pagamento internacional estarão disponíveis em breve.
8. Atualmente, o algoritmo de criptografia mais seguro e prático que recomendamos aos nossos usuários é a nossa cypher suite de AES-256 + RSA4096 + SHA256. Dito isto, o AES-128 ainda é seguro. Os nossos usuários também ganham uma infinidade de proteções adicionais, incluindo, mas não se limitando a:
(A) Kill Switch: certifique-se de que o tráfego é encaminhado através da VPN tal que, se a conexão VPN é encerrada inesperadamente, o tráfego não será roteado.
(B) IPv6 Leak Protection: protege os clientes a partir de sites que podem incluir IPv6 incorporado, o que poderia vazar informações de IP IPv6.
(C) DNS Leak Protection: este é um built-in e garante que as solicitações de DNS sejam feitas através da VPN em um ambiente seguro, privado e sem registros DNS.
(D) Shared IP System: nós misturamos o tráfego de clientes com muitos outros clientes por meio de um sistema de compartilhamento de IP anônimo, garantindo que nossos usuários se misturem na multidão.
9. Temos uma boa aplicação em que nossos usuários deixaram comentários surpreendentes. Ela é suportada nas seguintes plataformas: Windows, Mac OS X, Linux, Android, iOS e uma extensão do Chrome (em breve).
Além disso, os usuários de outros sistemas operacionais podem se conectar com outros protocolos, incluindo OpenVPN, IPSec, entre outros. Nosso aplicativo mantém informações de conexão de depuração, armazenados de forma segura, localmente, sendo periodicamente apagados. Isso é feito para os usuários que desejam procurar assistência em caso de problemas de conexão.
10. Sim, operamos nossos próprios servidores DNS em nossa rede de alto desempenho. Esses servidores são privados e não criam logs.
11. Nós utilizamos datacenters de terceiros que são operados por amigos de confiança e, agora, parceiros de negócios. Nossos servidores estão localizados em algumas instalações, incluindo 100TB, UK2, SoftLayer, Choopa, Leaseweb, entre outros.
12. No momento, estamos localizados em: EUA, Canadá, Reino Unido, Austrália, Nova Zelândia, Países Baixos, Suécia, Noruega, Dinamarca, Suíça, França, Alemanha, Irlanda, Itália, Rússia, Romênia, Turquia, Hong-Kong, Singapura, Japão, Israel, México, Brasil, Índia, Finlândia (em breve) e Espanha (em breve).
Temos mais de 3.000 servidores implantados (no momento em que escrevemos este texto) com mais de 500 na fábrica ou em transporte.

RN4wbXr8.jpg

AZIREVPN

1. Não.
2. Nessla AB, registada na Suécia.
3. Não, 100% infraestrutura própria. Nenhum terceiro envolvido.
4. Uma vez que DMCA não é aplicável na Suécia, estes são ignorados. Se eles continuam a enviar e-mails, informamos educadamente que não podemos distribuir qualquer informação ou parar a atividade, pelo fato de que não temos a possibilidade de rastrear o usuário e os registros não são mantidos.
5. Informar a outra parte que não somos capazes de entregar qualquer informação, uma vez que não guardamos registos ou monitoramos o tráfego.
6. Sim.
7. PayPal, cartão de crédito, Bitcoins, abanada.
8. AES-256-CBC com SHA512 HMAC e autenticação TLS. Nós não fornecemos “kill switches”, mas uma vez que nossos servidores DNS estão abertos para qualquer um usar, recomendamos a todos os usuários usarem como servidores DNS padrão para evitar vazamentos e bloqueio de seu próprio DNS do ISP.
9. Não. Nós usamos o cliente oficial open-source’d OpenVPN.
10. Sim, hospedado em nossa própria infraestrutura.
11. Temos o controle físico sobre nossos servidores.
12. Suécia, EUA.

TorGuardCover_w_500.png

TORGUARD

1.
Não há registros. O TorGuard não armazena os logs de tráfego
ou dados de sessão do usuário em nossa rede. Além de uma
estrita política de não armazenar informações, utilizamos uma
configuração de IP compartilhado em todos os nossos
servidores. Pelo fato de não haver registros mantidos com
vários usuários compartilhando um único endereço IP, não é
possível corresponder um usuário com um endereço IP e tempo.
2.
TorGuard pertence e é operado por VPNetworks LLC sob a jurisdição
dos Estados Unidos, com a nossa empresa-mãe VPNetworks LTD, LLC com
sede em Nevis.
3.
Nós usamos o Sendgrid para os serviços de e-mail em massa e
incentivamos os usuários a aproveitar o serviço de e-mail gratuito
da TorGuard para aumentar o anonimato durante a inscrição. Nossos
serviços de chat 24/7 ao vivo são geridos pela plataforma da
Livechatinc. Solicitações de suporte avançadas são mantidas
pelo próprio sistema de emissão de tickets de suporte interno da
TorGuard.
4.
Nós não hospedamos nenhum conteúdo que não seja possível para
nós de remover a partir de um servidor. No caso de uma
notificação DMCA válida for recebida, é imediatamente processada
pela nossa equipe de abuso. Devido à nossa política de “no log”
e de configuração de rede IP compartilhada, somos incapazes de
transmitir qualquer solicitação para um único usuário.
5.
Se uma ordem judicial é recebida, ela é primeiro tratada por nossa
equipe jurídica, examinando a validade em nossa jurisdição. Caso
seja considerada válida, a nossa representação legal seria forçada
a explicar melhor a natureza de uma configuração de IP
compartilhada e o fato de que nós não determos quaisquer registros
de identificação. Não, nós permanecemos incapazes de
identificar qualquer usuário ativo a partir de um endereço IP e
tempo.
6.
Sim, BitTorrent e todo o tráfego P2P é permitido. Por padrão
não bloqueamos ou limitamos nenhum tipo de tráfego em toda a nossa
rede.
7.
Atualmente, aceitamos mais de 200 diferentes opções de pagamento
através de todas as formas de cartão de crédito, PayPal, Bitcoin,
altcoins (por exemplo dogecoin, litecoin + more), Alipay, UnionPay,
CashU, 100+ Gift Cards e muitos outros métodos. O
não uso pode ser referenciado de volta para uma conta de cobrança
devido ao fato de que não mantemos nenhum registro em toda a nossa
rede.
8.
Para melhor segurança, aconselhamos os clientes a usar somente
conexões OpenVPN e criptografia AES256 com 2048bit RSA. O
AES128 também é considerado muito seguro e é uma ótima opção se
a velocidade de download é uma prioridade. Sim, TorGuard
fornece uma gama completa de funcionalidades de segurança incluindo
uma conexão “kill switch”, aplicação “kill switch”,
proteção contra vazamento DNS, proteção contra vazamento IPv6,
proteção contra vazamento WebRTC e serviços de discrição
VPN. Todos os recursos de criptografia e de segurança estão
disponíveis para os clientes, sem custo adicional.
9.
TorGuard oferece um aplicativo de VPN personalizado alimentado por
OpenVPN para todas as versões do Windows, OSX, Linux e Android. Nós
também oferecemos um aplicativo iOS personalizado, disponível no
iTunes. No entanto, devido a restrições da API da Apple, o
aplicativo usa IPsec para conexões VPN. Aplicações VPN
personalizadas do TorGuard não armazenam os logs de conexão na
máquina local do usuário.
10.
Sim, nós oferecemos a todos os clientes a escolha entre servidores
DNS TorGuard privados sem armazenamento de logs ou servidores DNS
Google nível 3. Os membros também têm a opção de usar o DNS
local TorGuard, que é uma solução que não armazena logs DNS
executada localmente em cada endpoint VPN.
11.
Sim, nós mantemos o controle físico completo sobre todo o hardware
e só buscamos parcerias com centros de dados que podem atender
nossos rigorosos critérios de segurança. Todos os servidores
são implementados e geridos exclusivamente por nossa equipe de rede
através de uma chave única e segura.

12.
O TorGuard mantém atualmente milhares de servidores em mais de 49
países ao redor do mundo e continuamos a expandir a rede a cada
mês. Todos os clientes obtém acesso completo a nossa rede com
servidores localizados em: Austrália, Bélgica, Brasil, Canadá,
China, Costa Rica, República Checa, Dinamarca, Egito, Finlândia,
França, Alemanha, Grécia, Hong-Kong, Hungria, Islândia, Índia,
Indonésia, Irlanda, Itália, Japão, Coréia, Letônia, Luxemburgo,
Malásia, México, Moldávia, Holanda, Nova Zelândia, Noruega,
Panamá, Polônia, Portugal, Romênia, Rússia, Arábia Saudita,
Singapura, África do Sul, Espanha, Suécia, Suíça, Tailândia,
Tunísia, Turquia, Ucrânia, Reino Unido, EUA e Vietnã.

KGJXaBFF.png

SLICKVPN

1. O SlickVPN não registra nenhum dado de tráfego ou de sessão de qualquer tipo.2. Redes Slick, Inc. é a nossa razão social. Operamos uma estrutura empresarial complexa, com múltiplas camadas de Offshore Holdings, Holdings subsidiárias e, finalmente, algumas empresas que operam para ajudar a proteger os nossos interesses. A filial de marketing principal para o nosso negócio está nos Estados Unidos da América e uma filial operacional está fora de Nevis.

3. Nós utilizamos sistemas de e-mail de terceiros para contato com clientes que optam por nossos boletins e Google Analytics para monitorar o tráfego de websites básicos e solução de problemas.

4. Se uma queixa DMCA válida for recebida enquanto a conexão ainda está ativa, paramos a sessão e notificamos o usuário ativo dessa sessão, caso contrário, não somos capazes de agir sobre qualquer queixa, assim como não temos nenhuma maneira de rastrear o usuário. É importante notar que quase nunca recebemos uma queixa DMCA válida enquanto um usuário ainda está em uma sessão ativa.

5. Isso nunca aconteceu na história da nossa empresa. A privacidade dos nossos clientes é a questão mais importante para nós. Somos obrigados a cumprir todas as ordens judiciais válidas. Gostaríamos de contribuir com as ordens judiciais, com total transparência, mas não temos dados para fornecer a qualquer corte em qualquer jurisdição. Nós não descartamos a hipótese de realocar nossas empresas para uma nova jurisdição, se necessário.

6. Sim, todo o tráfego é permitido.

7. Nós aceitamos PayPal, cartões de crédito, Bitcoin, dinheiro e ordens de pagamento. Mantemos a autenticação do usuário e informações de faturamento em plataformas independentes. Uma plataforma é operada fora dos Estados Unidos da América e a outra plataforma é operada fora de Nevis. Oferecemos a possibilidade para o cliente de excluir permanentemente suas informações de pagamento dos nossos servidores em qualquer ponto. Todos os dados do cliente são automaticamente removidos dos nossos registros logo após o cliente deixar de ser um membro pagante.

8. Recomendamos a utilização de OpenVPN, se possível (disponível para Windows, Apple, Linux, iOS, Android) e o algoritmo AES-256-CBC para criptografia.

O nosso cliente Windows e Mac incorpora proteção de IP e vazamento DNS que evita vazamentos de DNS e oferece melhor proteção do que as comuns “kill-switches”. Nossa proteção contra vazamento IP protege o tempo todo seu tráfego IPv4 e IPv6 de vazar a redes não confiáveis. Esta foi uma das primeiras características que discutimos internamente quando estávamos desenvolvendo nossa rede, é uma necessidade para qualquer bom provedor de VPN.

SlickVPN Scramble está disponível para todos os nossos clientes. Este recurso fornece um nível adicional de privacidade, escondendo os cabeçalhos OpenVPN, permitindo que o cliente ignore o Deep Packet Inspection (DPI). Usar o SlickVPN Scramble permitirá aos usuários acessar nossa rede quando o acesso VPN é restrito por certos países, universidades, locais de trabalho, ou organizações. Nós também oferecemos nosso produto HYDRA, que utiliza a revolucionária multi-hop, conexões multi-ponto para bloquear alguém do monitoramento de suas atividades on-line.

9. Sim. Nossos usuários utilizam uma aplicação personalizada, projetada por nossos engenheiros. Atualmente trabalhamos com produtos Windows e Mac. Nossa aplicação “client” não armazena os logs em computadores dos clientes por padrão. Nós também fornecemos guias para outras plataformas.

10. Sim.

11. Temos um mix. Controlamos fisicamente alguns dos nossos locais de servidores, onde temos uma carga mais pesada. Outros locais são hospedados por terceiros ao menos que haja demanda suficiente nesse local que justifique a instalação de nossa própria infraestrutura. Para garantir redundância, nós hospedamos com vários provedores em cada local. Temos servidores em mais de quarenta países. Em todos os casos, os nossos nós de rede são carregados sobre a nossa pilha de rede criptografada e executados a partir da memória. Qualquer pessoa controle o servidor não teria dados utilizáveis ​​no disco. Utilizamos um algoritmo para reiniciar aleatoriamente cada servidor regurlarmente para que possamos limpar a memória.

12. Na SlickVPN nós nos esforçamos para colocar um servidor físico em cada país que listamos. Existem servidores nos seguintes países: Austrália, Áustria, Bélgica, Brasil, Bulgária, Canadá, Chile, China, República Checa, Dinamarca, França, Alemanha, Hong Kong, Hungria, Islândia, Índia, Indonésia, Irlanda, Israel, Itália, Japão, Letônia, Liechtenstein, Luxemburgo, Macau, Malásia, Holanda, Nova Zelândia, Noruega, Panamá, Polônia, Portugal, República do Kosovo, Romênia, Rússia, Singapura, África do Sul, Espanha, Suécia, Suíça, Taiwan, Tailândia, Turquia, Ucrânia, Reino Unido e Estados Unidos.

ipredator-cyberstalking-cyberbullying-cybercriminal-minds-ipredator-inc.png

IPREDATOR

1. Logs não são mantidos, o que permitiria fazer a correlação entre um endereço IP de um usuário e um endereço VPN. A base de dados de cada sessão não inclui o endereço IP de origem do usuário. Depois que uma conexão é encerrada, as informações da sessão são excluídas do banco de dados de sessão.2. O nome da empresa é PrivActually Ltd., que opera a partir da Cyprus.

3. Nós não utilizamos qualquer mecanismo de rastreamento de visitantes, nem mesmo os passivos que analisam logs do servidor web. Também não usamos um sistema de ticket para gerenciar as solicitações de suporte. Nós usamos um sistema de correio simples e apagamos os dados antigos de nossas caixas de correio após 3 meses.

4. O pessoal encaminha para o BOFH. Os anúncios enviados através de papel são geralmente convertidos em energia por combustão… para alimentar o centro de dados na sala onde o BOFH está.

5. Nós avaliamos o pedido de acordo com o quadro jurídico estabelecido nas jurisdições em que operamos em conformidade. Tivemos vários casos em que alguém tentou, mas não conseguiu identificar usuários ativos no sistema.

Exemplos:
– Uma empresa francesa que enviou advogados para identificar um delator.
– A polícia polonesa que nos contactou porque alguém fez uma ameaça de bomba em um shopping na Polônia.
– O estado oligarca russo que tentou apreender quem estava hospedando um site de torrent na VPN.
Todos os casos foram resolvidos sem revelar as identidades.

6. Além da filtragem SMTP na porta 25, não impomos quaisquer restrições sobre protocolos que nossos usuários podem usar na VPN, muito pelo contrário. Acreditamos que o nosso papel é o de proporcionar um acesso à Internet neutro.
Cada usuário é livre para compartilhar seus arquivos. Somos pessoas conservadoras e acreditamos firmemente na herança da nossa sociedade, que foi construída sobre a livre troca de conhecimento cultural.

7. Oferecemos PayPal, Bitcoins, Payza, e Payson totalmente integrados. OKPAY, Transferwise, WU, PerfectMoney, Webmoney, Amazon Giftcards, Dinheiro e cartões de crédito, mediante pedido. Uma ID de transação interna é utilizada para ligar os pagamentos aos seus processadores de pagamento. Nós não armazenamos quaisquer outros dados sobre os pagamentos associados com a conta de usuário.

8. Fornecemos arquivos de configuração e cumprimos TLS1.2 para o canal de controle em todos os sistemas suportados. Para maior proteção, fornecemos instruções detalhadas de configuração para os nossos usuários. Além dos servidores DNS públicos internos e VPN, também apoiamos DNSCrypt como um meio para criptografar as solicitações de DNS.

9. Não no momento.

10. Tal como referido no tópico 8 rodamos ambos os servidores DNS internos públicos e VPN e também o suporte ao DNSCrypt.

11. Nós próprios fazemos a configuração completa de rede e do data center – não é concedido acesso a nenhum terceiro. Nós não confiamos em terceiros que operem a nossa infraestrutura básica. Mais detalhes estão disponíveis aqui.

12. Eles estão na Suécia devido as leis que nos permitem executar o nosso serviço de forma a proteger a privacidade.

images.png

IPVANISH

1. IPVanish não armazena logs.2. Mudhook Marketing, Inc. Estado da Flórida

3. Nós usamos ferramentas básicas de marketing de entrada como o Google Analytics, mas não acompanhamos as atividades dos usuários fora do nosso site. Também não acompanhamos as atividades de navegação de usuários que estão conectados em nosso serviço de VPN.

4. Nós não armazenamos qualquer conteúdo, mídia, imagens ou arquivos que estariam sujeitos a um aviso de remoção adequadamente formado.

5. Em primeiro lugar, para reconhecermos o pedido, é preciso que ele seja válido e legal. Se a solicitação for para dados de usuário ou identificação de um assinante com base num endereço IP, informamos a agência que fez o pedido que nós não mantemos os logs de uso e operamos em uma jurisdição que não obriga o armazenamento de dados. Às vezes, as agências legais ou autoridades podem não estar satisfeitas com esta resposta. Entretanto, lembramos que o IPVanish opera dentro da lei e é um serviço válido e necessário para proteger a privacidade de seus assinantes.

6. Sim.

7. Bitcoin, PayPal e todos os principais cartões de crédito são aceitos. Pagamentos e uso do serviço não são de modo algum vinculados.

8. Recomendamos OpenVPN com 256 bit AES como o algoritmo de conexão VPN e criptografia mais seguros.
IPVanish tem uma funcionalidade “Kill Switch” que finaliza todo o tráfego de rede para evitar qualquer vazamento de DNS em caso de sua conexão VPN cair. Temos também uma opção ativada pelo usuário que muda automaticamente o seu endereço IP aleatoriamente em intervalos de tempo selecionados.

9. Sim. iOS, Android, Windows e Mac. IPVanish também é configurável com DD-WRT e Tomato routers (roteadores pré-configurados), consoles de jogos, Ubuntu e Chromebook.

10. Sim.

11. Nós temos o controle físico sobre toda a nossa infraestrutura operacional, incluindo os servidores. Ao contrário de outros serviços de VPN, nós realmente possuímos e operamos uma rede backbone IP global otimizada para entrega do serviço de VPN que garante velocidades mais rápidas do que qualquer provedor de VPN.

12. Nós temos servidores em mais de 60 países, incluindo os EUA, Austrália, Reino Unido, Canadá e vários outros. Você pode ver a lista completa na nossa página
de servidores
.

Mullvad.jpg

MULLVAD

1. Não. Isto faria com que nós e os nossos usuários tornássemos mais vulneráveis. Então, nós não fazemos. Para tornar mais difícil de rastrear as atividades de um endereço IP do lado de fora, temos muitos usuários compartilhando cada endereço, tanto para IPv4 quanto IPv6.2. Amagicom AB. Sueco.

3. Não temos elementos externos em nosso site. Nós usamos e-mail externo e incentivamos as pessoas a nos enviar um e-mail para usar a criptografia PGP, que é a única maneira eficaz de manter um e-mail privado. O conteúdo descriptografado está disponível apenas para nós.

4. Não existe uma lei sueca que seja aplicável a nós.

5. Recebemos pedidos de governos de tempos em tempos. Eles nunca obtêm qualquer informação sobre nossos usuários. Nos certificamos de não armazenar informações sensíveis que podem ser vinculadas a informações publicamente disponíveis. Nós acreditamos que não é possível, na lei sueca, a elaboração de uma ordem judicial que nos obrigue a dar a informação sobre nossos usuários. Nós não faríamos de qualquer maneira. Começamos este serviço por razões políticas e preferimos eliminá-lo do que ter que trabalhar contra o seu propósito.

6. Sim.

7. Bitcoin, dinheiro (pelo correio), transferências bancárias e PayPal / cartões de crédito.

8. OpenVPN (utilizando o programa de cliente Mullvad).

Em relação a criptografia nós recomendamos Ed25519 para certificados, Curve25519 para troca de chaves (ECDHE) e ChaCha20-Poly1305 para fluxos de dados, mas a suíte não é suportada pelo OpenVPN. Recomendamos, portanto, o uso padrão RSA-2048, D-H (DHE) e AES-256-CBC-SHA.

Dito isto, algoritmos de criptografia, comprimentos de chave, dentre outros, são geralmente a parte mais forte de um sistema e quase nunca a coisa certa a se concentrar. É como se preocupar com a possibilidade de ter 128 mm ou 256 mm de espessura de uma porta de aço numa casa com paredes de madeira e janelas de vidro.

Nós fornecemos um “kill switch” e proteção contra vazamento de DNS, bem como proteção contra vazamento IPv6 (e tunelamento IPv6).

9. Sim. Windows, Linux e OS X. O programa cliente armazena registros de conexão para o tempo atual e passado.

10. Sim.

11. Nós temos uma gama de servidores. Os servidores são cuidadosamente montados e configurados por nós com uma segurança física ambiciosa em centros de dados de proprietários e operados por pessoas em quem confiamos pessoalmente e cuja ideologia nós gostamos. Outra parte de servidores é hardware alugado em grandes centros de dados. O uso de um ou de outro depende das exigências do modelo de ameaça e de desempenho.

12. Suécia, Holanda, EUA, Alemanha e Canadá.

c6Qxr7tp.png

BLACKVPN

1. Não. Nós apagamos esta informação quando o usuário desconecta da VPN.2. BLACKVPN LIMITED é uma empresa registada em Hong Kong e opera sob a jurisdição de Hong Kong.

3. Nós usamos StreamSend para o envio de boas-vindas e lembrete de renovação de e-mails, bem como para as atualizações de notícias ocasionais. Temos widgets de Facebook e Twitter em nossa página que pode acompanhar os visitantes. Hospedamos nossas próprias análise de sites, sistema de apoio e sistemas de chat ao vivo, utilizando ferramentas de código aberto.

4. Nós bloqueamos temporariamente a porta no servidor VPN indicado no anúncio.

5. Se recebemos uma ordem judicial válida de um tribunal de Hong Kong, seríamos obrigados a cumpri-la. Isso ainda não aconteceu.

6. Só é permitido em nossos locais de VPN privados, devido a uma aplicação mais rigorosa desses autos nos EUA e no Reino Unido.

7. PayPal, Bitcoin e PaymentWall (para cartões de crédito e transferências bancárias). Os detalhes da transação (ID, tempo, quantidade, etc) estão ligados a cada conta de usuário.

8. Recomendamos sempre OpenVPN e os nossos servidores VPN utilizam a criptografia AES-256-CBC e usam 4096 chaves bit RSA e Diffie Hellman. O cliente OpenVPN open source pode ser configurado para prevenção de vazamento de DNS e não vaza qualquer tráfego se a conexão VPN cai. Nós empacotamos o cliente Windows OpenVPN pré-configurado dessa forma para os nossos usuários e também empacotamos o aplicativo OS X Tunnelblick para evitar vazamentos IP.

9. Android – atualmente em fase beta, mas quase pronto para o lançamento. Apenas o registro de conexão a partir da última conexão é mantido.

10. Nós fazemos consultas DNS para UncensoredDNS.org / CensurfriDNS.dk

11. Nós usamos servidores dedicados que estão hospedados em data centers de terceiros.

12. EUA, Reino Unido, Canadá, Brasil, Holanda, Suíça, Luxemburgo, Estônia, Lituânia, Romênia, Rússia, Ucrânia, Cingapura e Austrália

ivpn-review-1280x600.jpg

IVPN

1. Não, isso é fundamental para o serviço que prestamos. Também é do nosso interesse não o fazer, uma vez que minimiza a nossa própria responsabilidade e não é exigido por lei.2. Privatus Limited, Gibraltar.

3. Não. Tomamos uma decisão estratégica em que nenhuma empresa ou dados de clientes jamais possam ser armazenados em sistemas de terceiros. Nossos servidores de software de suporte ao cliente, e-mail, web analytics (Piwik), tracker, monitoramento de servidores, de reporte de código, gerenciamento de configuração, dentre outros, todos rodam em nossos próprios servidores dedicados. Nenhuma empresa terceira têm acesso aos nossos servidores ou dados.

4. Nosso departamento jurídico envia uma resposta afirmando que não armazena o conteúdo em nossos servidores e que os nossos servidores VPN funcionam apenas como um canal para dados. Além disso, nós nunca armazenamos os endereços IP de clientes conectados à nossa rede nem estamos legalmente obrigados a fazer isso.

5. Em primeiro lugar, isso nunca aconteceu. No entanto, se solicitados a identificar um cliente com base em um “timestamp” e/ou endereço IP, vamos responder que não armazenamos essas informações, de modo que não somos capazes de fornecê-la. Se eles nos fornecerem um endereço de e-mail e pedirem a identidade do cliente, então, respondemos que não armazenamos dados pessoais. Se a empresa for servida por uma ordem judicial válida que não violou o Data Protection Act de 2004, só poderia confirmar que um endereço de e-mail foi ou não foi associado a uma conta ativa no momento em questão.

6. Sim, nós não bloqueamos BitTorrent ou qualquer outro protocolo em qualquer um dos nossos servidores. Solicitamos que nossos clientes utilizem servidores de saída que não sejam baseados em USA por P2P. Qualquer empresa que recebe um grande número de notificações DMCA está expondo-se a uma ação judicial. Os nossos fornecedores ameaçaram desligar nossos servidores no passado.

7. Nós aceitamos Bitcoin, Dinheiro, PayPal e cartões de crédito. Ao usar o dinheiro não existe uma ligação a uma conta de usuário no nosso sistema. Ao usar Bitcoin, armazenamos o ID de transação Bitcoin no nosso sistema. Se você deseja permanecer anônimo para IVPN você deve tomar as precauções necessárias quando se compra Bitcoin. Ao pagar com PayPal ou cartão de crédito um token é armazenado que é usado para processar pagamentos recorrentes. Essas informações são apagadas imediatamente quando uma conta é encerrada.

8. Nós fornecemos RSA-4096 / AES-256 com OpenVPN, o que acreditamos ser mais do que seguro o suficiente para as necessidades dos nossos clientes. Se você é o alvo de um adversário a nível estadual ou outra instituição, você deve estar muito mais preocupado em aumentar sua OPSEC geral do que escolher entre 2048 ou 4096 bits.
O cliente IVPN oferece um firewall VPN avançado que bloqueia todo o tipo de vazamentos IP possíveis (DNS, falhas de rede, WebRTC stun, IPv6, etc.). Ele também tem um modo de “always on” que será ativado na inicialização antes de qualquer processo quando o computador é iniciado. Isso irá garantir que nenhum pacote seja capaz de sair do túnel VPN.

9. Sim, nós oferecemos um cliente baseado em OpenVPN para Windows e OSX, que inclui o nosso firewall VPN avançado que bloqueia todo o tipo de possível vazamento IP.

10. Sim, absolutamente.

11. Nós usamos servidores Bare Metal dedicados alugados a partir de centros de dados de terceiros em cada país onde temos presença. Nós instalamos cada servidor usando nossas próprias imagens personalizadas e empregamos criptografia completa de disco para garantir que, se um servidor for apreendido, seus dados são inúteis. Também operamos uma rede multi-hop exclusiva permitindo aos clientes escolher uma entrada e saída do servidor em diferentes jurisdições, que torna a tarefa de obter legalmente acesso aos servidores ao mesmo tempo mais difícil.

12. Islândia, Suíça, Suécia, Reino Unido, Holanda, Alemanha, Romênia, França, Itália, Hong Kong, EUA, Canadá.

LiquidVPN_FBAdd.png

LIQUIDVPN

1. Não, nós não.2. LiquidVPN Inc fora de Wyoming, EUA.

3. Nós usamos o Google Analytics com Anonymous IP. Usamos percepções do Facebook e Open Graph em nosso site front-end para rastrear o nosso impacto em blogs e mídias sociais. Usamos Stripe como o nosso processador de cartão de crédito.

4. Todos os centros de dados nos EUA exigem alguma resposta agora. Alguns são apenas um simples check box, e outros querem uma resposta por escrito. Tivemos que remover servidores de vários locais por causa da nossa política de log zero. Nós respeitamos e cumprimos leis de direitos autorais da EU e EUA, incluindo os requisitos do DMCA e esperamos que nossos usuários façam o mesmo. Nós não registramos as atividades de nossos usuários e não somos capazes de identificá-los, que podem estar a infringir os direitos autorais legais de terceiros.

5. Isso nunca aconteceu. Dependendo do seu método de pagamento, limitamos a quantidade de dados pessoais em arquivo. Tanto é assim que, se um usuário paga com Bitcoin, apenas o primeiro nome e endereço de e-mail são salvos. Se uma ordem judicial válida chega solicitando identificar alguém que está em nosso sistema, seríamos obrigados a fornecer as informações de faturamento da pessoa. Mesmo que seja apenas um número de transação, o nome e endereço de e-mail.

6. Sim, eles são.

7. Atualmente, aceitamos cartões de crédito, BTC, dinheiro e PayPal. Faturamento e autenticação são separados. Recentemente, reformulamos completamente o nosso faturamento e infra-estrutura de autenticação para fazer uso de SHA512. Tudo relacionado ao faturamento e autenticação do usuário que é enviado “sobre o fio” é feito com o uso de proxies em ambos os lados que criptografam os dados usando a criptografia AES de 256 bit e passam para outro proxy que transforma-o de volta em algo que nossa rede de autenticação pode processar.

8. Bem, se você está preocupado com sua privacidade, utilize o nosso Modulation IP. Ele muda de endereço IP público várias vezes durante um único carregamento da página. Por vezes, pode quebrar websites, por isso, recomendamos apenas a 1% dos usuários.
Usamos AES-256-CBC, chaves RSA de 4096 bits e auth SHA512. Atualmente, é a melhor criptografia que o OpenVPN suporta nativamente. Nosso software vem com uma ferramenta chamada Bloqueio líquido que constrói regras de firewall personalizado usando o seu firewall e sistemas operacionais para evitar vazamentos de DNS, vazamentos de desconexão, vazamentos WebRTC, vazamentos IPv6 e qualquer outro tipo de vazamento evitável ​​com regras de firewall.

9. Sim, nós fazemos. Temos aplicações Windows, Mac e Android atualmente disponíveis. OSX e Linux estão em produção. O nosso cliente só mantém registros de conexão essenciais para a sessão ativa, uma vez que a sessão é desconectada, os logs são apagados da memória.

10. Sim, eles fornecem funcionalidade DNS SMART para provedores de conteúdo dos EUA e do Reino Unido.

11. Nós temos controle sobre nossa rede. Cada servidor que possuímos é executado em um kernel ou RouterOS Gentoo personalizado. Nós alugamos o hardware de nível 3 ou datacenters mais elevados em todo o mundo. Ninguém além de nós tem acesso a esses servidores.

12. Atualmente, temos vários locais nos EUA e na Holanda. Temos também servidores no Canadá, Reino Unido, Suécia, Alemanha, Romênia, Singapura e Suíça.

smartvpn.jpg

SMARTVPN

1. Não guardamos qualquer tipo de logs.2. O nome da empresa é Anonymous SARL e opera sob a jurisdição do Reino de Marrocos.

3. Nós usamos o Google Analytics e Tawk para suporte ao vivo.

4. Não há nada para derrubar uma vez que não hospedamos nenhum arquivo em primeiro lugar.

5. Isso nunca aconteceu antes, mas não será capaz de atender a demanda, assim como não podemos identificar o usuário dentro do nosso sistema.

6. BitTorrent e outros protocolos P2P são permitidos em todos os nossos servidores.

7. Usamos BitPay (BitCoins), PayPal, HiPay.

8. Recomendamos o OpenVPN para Desktop e IKEv2 para dispositivos móveis, a partir da criptografia que usa o algoritmo AES-256-CBC. A proteção contra vazamento DNS já está ativo. No entanto, “kill switches” estará disponível em breve.

9. Nós fornecemos um aplicativo personalizado VPN para Mac e Windows no OpenVPN e aplicativos móveis (Android e iOS) com base em IKEv2. E, mais uma vez, não mantemos quaisquer registos conexões.

10. Nós usamos nossos próprios servidores DNS.

11. Temos um mix, controle físico sobre a maior parte de nossa infra-estrutura e alguns locais são hospedados por parceiros.

12. Alemanha, Holanda, França, EUA, Marrocos, Rússia, Canadá, Reino Unido, Espanha, Itália, Ucrânia, Singapura, Brasil, Coreia do Sul, Sydney, Irlanda, Japão e Ilha de Man. E, claro, novos servidores/locais são adicionados semanalmente.

privatevpn-betaclient-connection-guard.png

PRIVATEVPN

1. Nós não guardamos quaisquer registos que permitam que nós ou um terceiro coincida um endereço IP e um “time stamp” para um usuário do nosso serviço. Valorizamos a privacidade de nossos clientes.2. Privat Kommunikation Sverige AB e operamos sob jurisdição sueca.

3. Nós usamos um serviço de suporte (TOS) ao vivo. Eles não possuem qualquer informação sobre a sessão de chat. Sobre o fornecimento de suporte: as transcrições das conversas do bate-papo não são armazenadas em nossos servidores. Elas permanecem no servidor de bate-papo enquanto a sessão de bate-papo está ativa. Opcionalmente, pode ser enviado por e-mail de acordo com as configurações da conta do usuário e então deletado. Também estamos usando o Google Analytics e Statcounter para a coleta estática de quantos visitantes temos, páginas populares e conversão de todos os anúncios. Estes dados são utilizados para otimização do site e propaganda.

4. Nós não armazenamos qualquer tipo de registos de atividade dos nossos clientes, que também serão informados.

5. Devido à nossa política de não manter quaisquer registros, não há nada a fornecer a cerca de usuários do nosso serviço. Isso nunca aconteceu.

6. Sim, nós permitimos o tráfego de Torrent. Nós adquirimos uma largura de banda de alta capacidade, para que possamos atender as demandas. Em alguns locais, usamos fornecedores de tráfego Tier1 IP para melhor velocidade e encaminhamento para outros peers.

7. PayPal, Payson, Bitcoin. Cada pagamento tem um número de ordem, que está ligado a um usuário. Caso contrário, não saberíamos quem fez um pagamento. Para ser claro, não é possível vincular um pagamento para um endereço IP que você recebe de nós ou a atividade do usuário.

8. TUN OpenVPN com AES-256. Na parte superior temos uma chave DH de 2048 bits. Para o nosso cliente Windows VPN, temos um recurso chamado “Conexão guarda”, que vai fechar um programa (s) selecionado (s) se a conexão cair. Não temos ferramentas para vazamento de DNS, mas, o melhor caminho, que é sempre 100%, é mudar o DNS local no dispositivo para servidores DNS que prestamos. Estamos trabalhando para que isso seja feito automaticamente, sem que o cliente precise alterá-lo manualmente para a proteção 100%.

9. Sim, para Windows. Nós estamos trabalhando em um aplicativo de VPN personalizado para Mac OS X também. Nosso aplicativo VPN, como todas as outras aplicações VPN, armazena um log de conexão local no computador para fins de solução de problemas. Esta informação só é armazenada localmente e não pode ser acessada por nós ou qualquer outra pessoa. Os registros de conexão contêm informações sobre qual servidor VPN o usuário está se conectando e qualquer tipo de erros.

10. Usamos um DNS de Censurfridns.

11. Nós temos o controle físico sobre os nossos servidores e rede na Suécia. Todos os outros servidores e redes estão hospedados por RETN, Kaia Global Networks, Leaseweb, Blix, Creanova, UK2, Fastweb, Server.lu, Selectel e Netrouting. Nós só trabalhamos com fornecedores confiáveis.

12. Suécia, Estados Unidos, Suíça, Grã-Bretanha, França, Dinamarca, Luxemburgo, Finlândia, Noruega, Romênia, Rússia, Alemanha, Holanda, Canadá, Singapura, Austrália, Espanha, Itália, Polônia e Ucrânia. Ainda estamos expandindo nossos locais de acordo com as demandas dos clientes.

download.jpg

CRYPTOSTORM

1. Não, não há registros. Usamos o OpenVPN com registros definidos para /dev/null, impedindo que endereços IPs do cliente de apareçam nos status de logs temporários, usando o nosso patch disponível em https://cryptostorm.is/noip.diff.2. Nós somos um projeto descentralizado, com a separação intencional de componentes do projeto integradas. Nós não possuímos nenhuma propriedade intelectual, patentes, marcas comerciais, dentre outras, que exigiriam uma entidade corporativa em que a propriedade poderia ser imposta pela ameaça implícita de violência apoiada pelo Estado; todo o nosso código é publicado e licenciado opensource.

3. Não, não usamos quaisquer provedores de rastreamento de visitantes ou de e-mail externos.

4. A nossa escolha é para responder a mensagens que não são, obviamente, geradas por spambots automatizados (e muito provavelmente ilegais). Em nossas respostas, pedimos dados forenses suficientes para verificar se a alegação tem mérito suficiente para justificar uma análise mais aprofundada. Ainda temos que receber tais dados forenses em resposta a tais perguntas, apesar de muitas centenas de tais respostas ao longo dos anos.

5. Veja acima. Nunca recebemos quaisquer ordens judiciais válidas solicitando a identidade de um usuário, mas se porventura isso vier a acontecer, seria impossível para nós para dar cumprimento, uma vez que não armazenamos nenhuma informação.

6. Sim, todo o tráfego é permitido.

7. Nós aceitamos PayPal e bitcoin via BitPay, mas vamos processar manualmente qualquer outro altcoin se um cliente desejar. Não temos informação financeira ligada de alguma forma com a identidade dos nossos membros da rede. O nosso sistema de autenticação baseado em tokens remove essa conexão sistêmica, e, assim, evita de termos acesso a esses dados. Nós não sabemos nada sobre qualquer pessoa que usa nossa rede, exceto o fato de que eles têm um token que não expira (SHA512) quando eles se conectam. Além disso, agora processamos ordens BitPay instantaneamente no navegador, de modo que já não é mais necessário um endereço de e-mail para encomendas bitcoin.

8. Suportamos somente um conjunto de codificação on-net. Oferecendo “musical chairs” roulette suite de estilo de codificação OPSEC é ruim, criptografia ruim e prática administrativa ruim. Não há necessidade de suportar suítes obsoletas, fracas ou defeituosas nesses modelos de segurança de rede. Ao contrário dos que são baseados em navegador HTTPS/TLS, não há pacotes de software do lado do cliente que devem ser suportados. Qualquer desculpa para a implantação de fracos conjuntos de codificação é insustentável. Todos na Cryptostorm recebem atenção igual e segura, incluindo aqueles que utilizam nosso serviço gratuito “Cryptofree”

Não existem ferramentas “kill switch” disponíveis hoje, que realmente funcionam. Nós testamos elas, e até desenvolvermos ferramentas que passem no exame forense intensivo ao nível NIC, não vamos afirmam ter tal. Vários projetos internos estão em andamento, mas nenhum está pronto ainda para testes públicos.

Tomamos medidas padrão para incentivar ambientes de computação do lado do cliente para consultas de rotas DNS através de nossas sessões, quando conectadas. No entanto, não podemos controlar as coisas, tais como consultas DNS baseadas em roteador, consultas baseadas em Teredo que trafegam através de IPv6, ou consultas da camada de aplicação sem escrúpulos para servidores DNS que, embora enviadas em túnel, no entanto, podem estar usando servidor DNS de endereçamento arbitrário. O nosso cliente Windows tenta impedir alguns destes problemas, mas é atualmente impossível fazê-lo completamente. Ficamos tristes ao ver outros que afirmam que eles têm essas ferramentas “mágicas”; recebendo um “passe” de diversos sites “de vazamento de DNS” não é o mesmo que proteger todo o tráfego de consulta DNS. Aqueles que não conseguem entender, precisam reparar a sua arquitetura de rede.

À medida que executamos o nosso próprio sistema baseado em uma malha de servidores DNS, “deepDNS”, temos o controle total e arbitrário sobre todos os níveis de apresentação de resolução de DNS a terceiros.

9. Oferecemos uma aplicação open source escrito em Perl (apelidado de “Widget CS”), com código fonte disponível no GitHub . Atualmente disponível apenas para Windows, mas estamos trabalhando para disponibilizar para o Linux. A aplicação é essencialmente uma GUI OpenVPN com alguns ajustes aqui e ali para evitar diferentes tipos de vazamentos (DNS, IPv6, etc.), e para tornar a conexão o mais fácil possível. A saída do processo de OpenVPN backend é mostrada na GUI. Quando você sai do programa, os dados são apagados.

10. Nós construímos um sistema de “malha-topologia” de servidores DNS redundantes, “auto administrados” e seguros conhecidos como “DeepDNS”. DeepDNS é um mecanismo completo “in-house” que impede quaisquer metadados DNS relacionados de ser referenciados a qualquer cliente particular. Ele também permite nos fornecer outras características úteis tais como .onion transparente, .i2p, .p2p, etc. Há também suporte ao DNSCrypt em todos os servidores deepDNS para ajudar a proteger as consultas ao DNS pré-connect.

11. Nós implantamos nós em datacenters de terceiros que não armazenam dados dos clientes e, portanto, descartáveis ​​em face de quaisquer possíveis ataques que podem comprometer a integridade. No passado retiramos tais nós com base numa indicação dos nossos sistemas, mantendo independentemente registros remotos que confirmaram que uma violação estava ocorrendo. É importante notar que tais eventos não nos exigem de ter o controle físico da máquina em questão: fazemos atualizações de servidores de nomes, através do nosso HAF (Hostname Assignment Framework), percorrendo canais paralelos a todos os membros conectados. Ao fazer isso, podemos derrubar qualquer nó na rede em menos de 10 minutos de commit inicial.

12. Nossa lista atual de servidores (a partir do início de 2016) são: Moldávia, Suíça, Canadá, Portugal, Alemanha, Itália, França, Inglaterra e EUA. Tenha em mente que estamos constantemente adicionando novos servidores para esta
lista
.

boleh-vpn.jpg

BOLEHVPN

1. Não.2. BV Internet Services Limited, Seychelles.

3. Nós usamos Zendesk e Zopim. Em geral, eliminamos bilhetes Zendesk com idade superior a 6 meses. Estamos explorando mover para o código aberto (como osTicket), mas sinto que a experiência do usuário de tais opções é menor do que a ideal. Esta é definitivamente uma área que estamos procurando ativamente com a revisão do nosso portal do cliente que está em andamento. Temos utilizado o Google Analytics para medir nossas conversões e de onde nossos clientes estão vindo. E-mail é auto hospedado.

4. Geralmente trabalhamos com os fornecedores para resolver o problema. Entretanto, nunca compartilhamos informações de clientes. Geralmente encerramos nosso relacionamento com o fornecedor, se isso não é aceitável. Nossos servidores norte-americanos sob jurisdição DMCA ou Reino Unido (equivalente europeu) têm P2P bloqueado.

5. Isto ainda não aconteceu, mas nós não mantemos qualquer log de usuário, de modo que não há muito o que pode ser fornecido especialmente se o pagamento é através de um canal anônimo. Um dos nossos fundadores é um advogado. Por conta disso, assim que tais pedidos forem examinados em sua validade, ele vai resistir a tais pedidos, se feito sem causa própria ou apoio legal. Nós também nos esforçamos para manter nossos clientes informados em caso de haver algum desses pedidos. Se estamos impedidos de fazer isso, nós também mantemos um mandado PGP assinado que é atualizado na primeira semana de cada mês que deixará de ser atualizado, se formos obrigados a iniciar sessão sem informar os nossos utilizadores. (Http://bolehvpn.net/canary.html)

6. Sim, é permitido, exceto sobre aqueles marcados Surf-Streaming e BolehGEO que são restritos, devido às políticas do provedor ou largura de banda limitada.

7. Usamos MolPay, 2Checkout, Paypal, Coinbase (Bitcoin), Coinpayments (Dash e XEM) e depósitos diretos. Em nosso sistema, é apenas marcado o ID da fatura, destinatário, o método de pagamento e se ele está pago ou não. Nós, no entanto, claro, não temos controle do que está armazenado com os provedores de pagamento.

8. As nossas configurações implementam AES 256 bits e SHA-512 HMAC combinados com uma camada de obscurecimento scrambling. Nós temos um bloqueio “kill switch” e proteção contra vazamento DNS.

9. Sim, para Windows e Mac OS X. Há um registo de usuário básico com um nível de detalhamento mínimo de 1 (onde 0 é silencioso e 9 é o mais detalhado) armazenados em um arquivo TXT (log.txt) na pasta de instalação. Os usuários são livres para excluir este item se assim o desejarem, de tempos em tempos. Eles são usados ​​principalmente para fins de solução de problemas.

10. Sim, nós usamos nossos próprios servidores DNS.

11. Nossos servidores são alugados a partir de provedores de servidores em todo o mundo com os quais temos construído uma relação de longa data. No entanto, mantemos o acesso root completo. Não somos um revendedor de marca branca e controlamos nossa própria infraestrutura. É de notar que o nosso serviço de VPN autentica usando a infraestrutura de chave pública (PKI) sem a necessidade de usar um servidor de autenticação central. Isto significa que não há comunicação necessária do nosso servidor portal do cliente para estabelecer uma conexão VPN válida para os nossos servidores VPN, o que significa não há nenhum ponto de autenticação central.

1. Anonymizer não regista qualquer tráfego que passa pelo nosso sistema. Não mantemos quaisquer registos que permitem combinar um endereço IP e hora a um usuário do nosso serviço.2. Nossa empresa está registrada como Anonymizer Inc. Anonymizer Inc. opera sob jurisdição dos Estados Unidos, onde não existem leis de retenção de dados.

3. Anonymizer usa um sistema de tickets para o suporte, mas não solicitamos a verificação do usuário, a menos que seja necessário fazer especificamente para um ticket. Anonymizer usa um serviço de e-mail em massa para e-mail marketing, mas não armazena informações sobre o endereço de e-mail individual que os conecta a um cliente existente. Anonymizer usa o Google Analytics e Google Adwords para apoiar a comercialização geral para novos clientes. Ambas as ferramentas não armazenam informações de identificação em nenhum cliente exclusivo ou qualquer forma de identificar um indivíduo específico como um usuário do nosso serviço. Nós também garantimos que nenhuma ligação é criada a partir dos dados em um sistema para um cliente específico após um julgamento ou compra de nosso produto.

4. Nós não podemos. Nós não monitoramos o tráfego. Quando recebemos relatos de abuso, não temos nenhuma maneira de isolar ou remediá-lo.

5. Anonymizer Inc. só responde a ordens judiciais válidas oficiais ou intimações que estejam em conformidade com as informações que temos disponíveis. Uma vez que não armazenamos dados sobre o nosso sistema, não temos nada para oferecer em resposta a pedidos associados ao uso de serviço. Se um usuário paga por cartão de crédito só podemos confirmar que ele comprou o acesso ao nosso serviço. Não há como conectar um usuário específico para um tráfego específico. Houveram casos em que recebemos ordens judiciais válidas e seguimos os procedimentos acima. Durante os 20 anos de serviço nunca identificamos detalhes sobre o tráfego ou atividades de um cliente.

6. Todo o tráfego é permitido em todos os nossos servidores.

7. Anonymizer Inc. usa um processador de pagamento para os nossos pagamentos de cartão de crédito. Há um registro do pagamento para o serviço e as informações de faturamento associado ao cartão de crédito confirmando que o serviço foi pago. Nós também oferecemos uma opção de pagamento em dinheiro e em breve ofereceremos opções cripto-moeda, ou seja, Bitcoin. Opções de pagamento em dinheiro não armazenam nenhum detalhe.

8. Nós recomendamos OpenVPN para um usuário que esteja procurando a conexão mais segura. Acreditamos que é o protocolo de conexão mais confiável e estável no momento. Nossa implementação OpenVPN usa AES-256. Nós também oferecemos L2TP, que é o IPSEC. O software do cliente Anonymizer tem a opção de ativar um “kill switch” que impede que qualquer tipo de tráfego web saia de sua máquina sem passar pela VPN.

9. Nós oferecemos um aplicativo de VPN personalizado para OSX e Windows. Nosso log de aplicativos padrão registra apenas erros fatais que ocorrem dentro do aplicativo que impede a execução do mesmo.

10. Sim, operamos nossos próprios servidores DNS.

11. Somos proprietários de todo o nosso hardware e temos o controle físico completo dos nossos servidores. Nenhum terceiro tem acesso ao nosso ambiente.

12. Nós temos servidores nos Estados Unidos e Holanda.

 

CONCLUSÃO

Espero que as informações sejam úteis e que faça o melhor uso delas, de forma a proteger sua privacidade quando estiver em risco.

Ressalto que este texto tem objetivo meramente educativo, não constituindo aval a nenhum dos serviços listados.

Do mesmo modo, as informações aqui relacionadas podem ser atualizadas pelos respectivos provedores sem aviso prévio, sendo de responsabilidade do leitor fazer o uso que julgar adequado dos serviços, por sua exclusiva conta e risco.

Prepare-se para a certificação ISO 27002 (a partir de R$19,70!)

Qual é a melhor VPN gratuita?

1 As VPNs são de todas as formas e tamanhos, como desktop, mac e mobile. Se você está procurando apenas nomes, existem muitos; esconda minha bunda, escudo de ponto quente, Ivacy Lite, zenmate, urso de túnel etc. Mas lembre-se: “Melhor” é um termo subjetivo. Para qualquer pessoa, se um serviço VPN específico funcionar extremamente bem, isso não significa necessariamente que você também vai adorar. Porque as pessoas têm diferentes necessidades e preferências. Além disso, as VPNs gratuitas têm funcionalidade limitada em comparação com as contrapartes pagas. 2 Não confio na VPN gratuita, se você me perguntar. Eles são indignos de confiar. Se sua preocupação com o uso de uma VPN é proteger sua identidade, a VPN gratuita é a pior decisão que você tomará, acredite. Mas se você quiser experimentar os serviços deles, então sim, é uma decisão bastante sábia. Como 15 dias de teste ou um mês de VPN grátis. E, se sua preocupação é desbloquear o site, o Zenmate é muito melhor do que qualquer VPN. você também tem Hola. 3 VPN grátis! Hahaha, você pode perguntar Qual é a melhor VPN falsa? Porque para mim, não há nada de graça neste mundo, ou se você está recebendo algo de graça, é falso ou inseguro de usar. Eu não sou rico, mas não posso correr nenhum risco com a minha privacidade on-line; por isso, sempre busco uma opção barata e não gratuita. Estou usando a Cyberghost VPN porque é uma das VPN mais baratas do mercado. E sem dúvida está fornecendo uma velocidade incrível.

Qual é a melhor VPN gratuita na Índia?

1 Atualmente, estou no norte da China (província de Ningxia) e usando dois vpn gratuitos, ou seja, vpn master e vpn robot baixados da Play Store. Quando eu vim para a China, usei todos os 10 aplicativos, mas a maioria deles não estava funcionando.Então, você pode usar esses dois vpn gratuitamente 2 Não há nada como um almoço grátis. Se você quer um serviço real, terá que pagar porque, com o pagamento, vem a responsabilidade da parte deles. 3 Na Índia, a maioria de nós usa o navegador Chrome; então suponho que você também esteja. Acesse as extensões do Chrome na play store e pesquise ‘VPN Zenmate’ e adicione-o ao seu navegador Chrome. Ele fornece de 3 a 4 países para você escolher entre os quais você pode alternar a qualquer momento; esses países são gratuitos, mas tem uma opção de pagamento que você pode usar para desbloquear mais países proxy. 4 Na minha opinião – o vpn não atendido pelo solid vpn é a melhor VPN gratuita. Esse vpn é muito rápido e seguro como hidemyass e vypr vpn. Truque de VyprVPNvocê pode assistir a este vídeo para saber como obter esse vpn: 5 Uma VPN para a Índia é uma maneira barata de escapar do ISP e da vigilância do governo. Ao usar uma VPN, os cidadãos podem ignorar os bloqueios de sites e acessar serviços com restrições geográficas locais ou estrangeiras – além de melhorar sua privacidade online. Neste artigo, vamos dar uma olhada nas 5 melhores VPNs para a Índia que estão à altura da tarefa. Aqui está uma lista rápida de nossas VPNs recomendadas para a Índia: DotVPNGhost Free VPNSuper VPN quenteBanana VPNFree for all VPN

O que uma VPN faz?

1 Em palavras simples, ele cria um túnel entre o seu computador (ou rede) e o segundo computador (ou rede). Como ele pode ser transferido para um túnel de trem, quando o trem está dentro, você não pode vê-lo, mesmo que afirme que está dentro. O endereço de destino, os protocolos, as portas usadas e os dados não processados dos serviços que você usa são visíveis para um invasor em potencial ou apenas para espiar o Tom. Ele só consegue perceber o tráfego da rede – um tipo de ruído de dados (devido à criptografia) -, pois tudo é “encapsulado” por dentro. 2 O software está instalado no seu computador que estabelece um túnel IP criptografado na rede VPN pela sua conexão com a Internet. Essa rede possui muitos servidores em muitos locais. O serviço VPN conecta você a um servidor aleatório ou mais rápido e à conexão à Internet que possui, atribui um endereço IP a partir do servidor DHCP e envia todas as solicitações de conexão à Internet por meio de seus servidores. Uma boa VPN também nunca registra quem obteve o endereço IP a qualquer momento. Portanto, se a aplicação da lei, o empregador ou qualquer número de pessoas intimidar o provedor VPN, eles não poderão fornecer essas informações, pois elas não existem. O mesmo com uma ordem judicial. Com redes VPN privadas que se conectam à sua empresa, esse túnel criptografado permite o trabalho privado na rede dessa empresa. (Completamente sujeito às regras da empresa, incluindo auditoria do tempo e do trabalho realizado.) 3 Imagine que você está morando no Canadá e depois deseja comprar coisas dos EUA. Agora imagine, Trump não permitirá que os canadenses comprem nos EUA (hipoteticamente). O que você faz ? Construa um túnel entre os dois locais, para que ninguém possa ver o túnel, mas as pessoas autorizadas por você. Somente você pode autorizar alguém a entrar e sair do túnel. e você não é diferente de nenhuma loja americana lá. E, às vezes, quando você sai, recebe um novo nome / ID. Agora esse é um exemplo simplificado demais, mas a melhor maneira de entender. 4 Ele permite que duas redes privadas diferentes, conectadas pela Internet, funcionem como uma rede. Pacotes de uma rede privada são interceptados, criptografados e enviados pela Internet. A outra extremidade os descriptografa e os encaminha para a outra rede. E, é claro, o mesmo na direção oposta para respostas.Tem pelo menos dois benefícios. As pessoas na Internet não conseguem ler o tráfego privado entre as duas redes. E os pacotes transmitidos pela VPN podem ser considerados “seguros” e enviados para servidores que você não deseja abrir na Internet.

Quais são alguns VPNs gratuitos que funcionam para a Netflix?

1 Não 2 Sim, existe. Estou usando o Veepn para assistir a programas de TV da Netflix nos EUA. Assista a vídeos em Full HD sem desconexões e atrasos.

Qual é a melhor VPN gratuita para PC?

1 Eu sugeriria Psiphon. É totalmente gratuito, fácil de instalar e rápido. Você tem a opção de escolher seu próprio servidor em qualquer país importante. Ou você pode ir com o servidor mais rápido disponível. Eu o usei para fins de torrent e não-torrent, e devo dizer que fornece uma boa taxa de transferência e não diminui muito o downlink. 2 O OpenVPN é uma excelente solução para estabelecer uma VPN para roteadores pfSense e outros servidores. Se você quer dizer um serviço VPN, eles podem ou não ter seu próprio software. Você não escolheu o software, escolheu o serviço VPN e depois viu o que eles suportam. Um amigo usa um serviço que lhe fornece uma VPN para IPs britânicos, para que ele possa assistir à BBC. O Dr. Who e Gordon Ramsey pela vitória. Como ex-CISO, não tenho vontade de mexer na dark web, para que sua milhagem possa variar. 3 Na minha opinião Openvpn. 4 Você está fazendo a pergunta errada – qual VPN me oferece a melhor segurança ao baixar torrents.Você vê, quando usa conexões P2P, como torrents, expõe seus pontos fracos a outras pessoas.Há uma razão pela qual algumas VPNs são gratuitas – elas não oferece alto nível de segurança. Você pode usar o ExpressVPN, por exemplo, por 30 dias antes de pagar por isso; por que não usar uma VPN premium sem se arriscar sem um bom motivo? Não gosta do ExpressVPN? Aqui está outra lista de VPNs incríveis para torrent. Faça um favor a si mesmo, não se arrisque de graça – pague quando necessário. 5 Bem, você pode baixar o Psiphon 3 para PC, ele está funcionando bem e estável para mim. Este aplicativo já está disponível para PC, sim, o Psiphon para PC já está disponível! A versão mais recente do Psiphon para desktop é conhecida como Psiphon 3 para PC. Este software é realmente leve e funciona em todas as versões do Windows. Você pode usar o Psiphon para Windows 7/8 / 8.1 / 10 / XP.Psiphon 3 para PC Windows 7/8 / 8.1 / 10 / XP Baixar – HackdripUse o link acima para encontrar instruções sobre o assunto ou, além disso, você pode assistir a este vídeo. agora também está disponível para Android, você também pode conferir! Está disponível na Play Store.

Qual é o uso de uma VPN em um iPhone?

1 HÁ VÁRIAS RAZÕESPrivacidadeAceder a conteúdo completo de streaming em qualquer lugarFaça o download e carregue seus arquivos em privacidadeUse Wi-Fi público ou de hotel em sigiloFuja de uma rede restritivaPague qualquer censura na Web e vigilância de conteúdoChave suas chamadas telefônicas VOIPUse mecanismos de pesquisa sem ter suas pesquisas registradasWatch Broadcasts Enquanto Você está viajandoEvite represálias e traceback por causa de suas pesquisasPor que você acredita que a privacidade é um direito básico da liberdade 2 Uma VPN criptografa os dados enviados ao roteador e os envia para outro computador, que os descriptografa e envia de volta a resposta criptografada para que os dados fiquem seguros.VPNs podem ser usados para desbloquear sitesConectando-se a um site como se fosse de um país diferenteProtegendo dados em redes insegurasI espero que isto ajude! 3 Uma VPN, seja usada em um iPhone ou em outro lugar, é por estes motivos; Para navegar na Internet de forma anônima, melhorar a privacidade. Para criptografar a conexão com a Internet para impedir hackers; para ignorar os bloqueios on-line e a censura; para acessar serviços com restrições geográficas ao viajar a bordo. 4 Normalmente, as VPNs são usadas para baixar filmes, músicas e diferentes tipos de aplicativos, que não estão disponíveis em seu país apenas para ocultar sua navegação na Internet. Embora eu não tenha usado o iPhone, mas para o Android não integra o suporte a servidores Open VPN, é necessário um aplicativo de terceiros. É melhor fazer root no seu dispositivo.

Qual aplicativo VPN você usa na maioria das vezes?

1 Por que limitar-se a apenas um? ExpressVPN. Rápido, confiável, distribuído. Apenas funciona. Dois servidores virtuais de diferentes provedores. Posso usar dispositivos TAP para que as máquinas virtuais do meu laptop possam compartilhar a conexão. Também me dá acesso aos serviços que posso desenvolver sem expô-los à internet. A VPN do meu empregador. Prático para trabalhar em casa. Meu roteador doméstico possui um servidor VPN embutido. Prático para acessar serviços disponíveis apenas no meu ISP. Todos esses serviços tiveram problemas ocasionais, para que eu possa tentar alternativas até que um funcione. 2 Eu uso o IPvanish. Eu o escolhi porque supostamente funciona com o Kodi, o programa multimídia que eu uso para reproduzir filmes. Ironicamente, o IPvanish e o Kodi estão atualmente instalados em diferentes máquinas. 🙂 Acontece que o IPvanish faz com que o Outlook não consiga enviar mensagens. A empresa afirma que este é um problema da Comcast. O IP parece que não é proveniente de uma máquina Comcast, que, por sua vez, parece que alguém pode estar tentando conectar o servidor ao hi-jack para enviar SPAM. A solução é fácil. Apenas desconecte do IPvanish. Force o Outlook a “sincronizar” com o servidor. Em seguida, reconecte-se. Um problema mais sério é que o IPvanish às vezes se desconecta espontaneamente enquanto estou baixando algo. Este pode ser um problema sério com torrents. De repente, meu endereço IP da Comcast é exposto. Eu descobri uma opção nas configurações para reconectar automaticamente se a conexão for perdida. Isso parece funcionar. Minha solução para os meus dois problemas é usar o IP desaparecer apenas em uma máquina, a que eu uso para baixar coisas. O Outlook e o Kodi não estão nessa máquina. 3 No momento, eu uso principalmente as equipes NordVPN. Como é uma VPN comercial e o trabalho leva cerca de 70% da minha vida, eu diria que a uso com bastante frequência. Quando comecei a usar a solução de negócios deles, eu já estava familiarizado com os serviços VPN regulares e os tinha usado por mim mesmo. Agora, uso o aplicativo Equipes todos os dias para garantir acessibilidade e segurança do site quando estou fora do escritório para reuniões. Geralmente, é um daqueles aplicativos em que você apenas deseja genuinamente dizer às pessoas para experimentá-lo, porque é bom! 4 NordVPN. É o melhor que já usei. Bom atendimento ao cliente: nunca é necessário esperar mais de 20 a 30 minutos para obter uma resposta. Taxa razoável: tenho um plano de dois anos com eles, de modo que custa cerca de US $ 4 por mês. Tráfego P2P: você sabe do que estou falando aqui. Servidores dedicados para coisas de torrent.Numerosos servidores em todo o mundo: tantos servidores em tantos países diferentes.

A VPN pode ser invadida?

1 Tudo pode ser hackeado. Se você está perguntando “é possível que alguém saiba que estou usando uma VPN e visitando algum site”, é possível porque: 1.- O provedor da VPN pode acompanhar o seu tráfego.2.- Alguém interessado pode atrapalhar você e o provedor de VPN (ataque intermediário – menos provável) 3.- Sua conexão com o provedor de VPN não é segura (usando uma configuração não padrão sem certificados) Isso é do alto da minha cabeça, pode haver mais maneiras de obter a lista de domínios / ip que você está visitando, como não encaminhar as consultas DNS através do cliente VPN etc. 2 VPN (Rede Privada Virtual), é basicamente um escudo entre o usuário e o provedor de serviços, que serve para ocultar a localização do usuário através da qual ele pode se proteger de ser rastreado pelo provedor de serviços com facilidade. , ficará mais calmo, mas pode ser. Porque, se alguém invadiu a rede VPN, é simples hackear todas as conexões que estão usando essa rede. Hoje, o setor de tecnologia está crescendo muito rápido e, por isso, qualquer coisa pode ser invadida e conectada à Internet ou à Web.

Qual é a melhor VPN para torrent?

1 Você não precisará necessariamente de uma VPN para torrents, a menos que esteja no Canadá e nos EUA. Mesmo se esse for o caso, não há sentido em obtê-lo. Sim, não há sentido em obter uma VPN para torrents, os tribunais de infração podem simplesmente ir ao provedor da VPN e solicitar seus carimbos de data / hora de conexão. Mike Rice postou esta excelente resposta anteriormente no quora: 2 Bem, não posso lhe dizer uma para torrent, mas com certeza posso dizer uma para streaming exclusivo. É conhecido como “VPN de túnel – VPN Proxy Master” e minha empresa é proprietária deste projeto. O que fizemos é que investimos muito em servidores exclusivos que permitem acessar todos os servidores de streaming. No entanto, este aplicativo foi projetado de maneira ideal para iPhone e iPad e, se você tiver um dos dois, tenho certeza de que realmente gostará. 3 http: //www.vpnground.com/blog/to … 4 Existe uma excelente cobertura profunda sobre Quais serviços VPN o mantêm anônimo em 2017? – TorrentFreak (Quais serviços VPN o mantêm anônimo em 2017? – TorrentFreak) Atualmente, eu uso a rede VPN Smart DNS Proxy Torrent. Eles foram projetados especificamente para servidores Torrent na conexão VPN. Os servidores estão localizados fisicamente na Holanda e na Suécia, onde a lei protege seu tráfego. 5 O recurso mais importante para procurar em uma VPN o torrenting em segurança. A VPN segura possui uma política estrita de não registro, de preferência deve ser baseada em um local amigável à privacidade, em protocolos de encapsulamento seguros, em proteção de vazamento de DNS e IP. Também um recurso muito crucial é o interruptor de interrupção embutido. Existem poucas VPNs que realmente podem garantir a segurança e o anonimato. Da minha experiência pessoal, você deve procurar ExpressVPN, Surfshark, NordVPN, CyberGhost, Perfect Privacy. Quando você compra uma VPN, não se esqueça de ativar o interruptor de interrupção, o que garantirá segurança de dados se sua conexão VPN cair repentinamente.

Qual o aplicativo de mensagens mais seguro? Whatsapp, Telegram, Facebook, Snapchat, Hangout?

Qual o app de mensagens mais seguro?
A proliferação de apps de mensagens é uma realidade. Tem app somente texto, somente áudio, vídeo com e sem áudio, e todas as demais combinações destas características.
A Eletronic Frontier Foundation fez um trabalho espetacular de relacionar as principais apps de mensagens e avaliar a segurança segundo critérios bem definidos, e resolvi pedir ajuda para a tradução livre deste material que certamente vai fazer você repensar os apps que usa.
Vamos lá.

Quais
aplicativos e ferramentas realmente protegem suas mensagens?

Face
à vigilância generalizada da Internet, precisamos de um meio seguro
e prático para falar uns com os outros por meio dos nossos telefones
e computadores. Muitas empresas oferecem produtos “de mensagens
seguras” — mas será que esses sistemas são realmente
seguros? Decidimos descobrir, na primeira fase de uma nova campanha
da EFF para criptografia segura e utilizável.
Esta
tabela métrica representa apenas a primeira fase da campanha. Em
fases posteriores, estamos planejando oferecer exames mais profundos,
sobre a usabilidade e a segurança das ferramentas que tiverem aqui a
maior pontuação. Como tal, os resultados no scorecard abaixo não
devem ser lidos como recomendações para ferramentas individuais ou
garantias da sua segurança. Estas são apenas indicações de que os
projetos estão no caminho certo. Para conselhos práticos e
tutoriais sobre como proteger a sua comunicação on-line contra
vigilância, confira ao guia sobre auto-defesa contra a vigilância
do EFF.

Sobre os Critérios e Métricas

Durante
anos, especialistas de segurança e privacidade em todo o mundo pedem
ao público em geral, para adotar criptografia forte, em código
aberto para proteger as nossas comunicações. As revelações de
Snowden confirmaram os nossos piores medos: governos estão
espionando a nossa vida digital, interceptando as comunicações
transmitidas. Dada a vigilância generalizada do governo,
porque as pessoas não usam rotineiramente ferramentas para
criptografar as suas comunicações? Não seria melhor, e todos nos
comunicaríamos um pouco mais livres, sem a sombra da vigilância?
Resume-se
a duas coisas: segurança e usabilidade. A maioria das ferramentas
que são fáceis de usar para o público em geral, não dependem de
as melhores práticas de segurança — incluindo criptografia de
ponta a ponta e código-fonte aberto. Ferramentas de mensagens que
são realmente seguras, muitas vezes não são fáceis de usar. Usuários comuns podem ter dificuldades para instalar a tecnologia,
verificar a sua autenticidade, criar uma conta, ou até podem
acidentalmente usá-las de maneiras que expõem as suas comunicações.
A EFF,
em colaboração com Julia Angwin do ProPublica e Joseph Bonneau do
centro para política de tecnologia da informação em Princeton,
estão se unindo para lançar uma campanha para criptografia segura e
utilizável. Nós também defendemos as tecnologias que são
fortemente seguras e também simples de usar.
A
matriz de métricas para mensagens seguras examina dezenas de
tecnologias de mensagens e classifica cada uma em uma gama de práticas
recomendadas de segurança. A nossa campanha está focada em
tecnologias de comunicação, incluindo clientes de bate-papo,
aplicativos de mensagens de texto, aplicativos de e-mail e
tecnologias para chamadas vídeo. Estas são as ferramentas que os
usuários comuns precisam para se comunicar com amigos, familiares e
colegas, e precisamos de soluções seguras para elas.
Nós
escolhemos tecnologias que têm uma base de usuários grande — e,
deste modo, uma grande quantidade de comunicações confidenciais dos
seus usuário — além de pequenas empresas que são pioneiras em
práticas avançadas de segurança. Esperamos que a nossa matriz
servirá como uma corrida-ao-topo, estimulando a inovação em torno
de criptografia forte para comunicações digitais.

Metodologia

Aqui
estão os critérios que nós utilizamos na avaliação da segurança
de várias ferramentas de comunicação.

1.
A sua comunicação é criptografada em trânsito?

Este
critério exige que todas as comunicações do usuário sejam criptografadas ao longo de todos os links no caminho de comunicação.
Note que nós não estamos exigindo que os dados transmitidos em uma
rede da empresa sejam todos criptografados, embora isso seja ideal.
Nós não exigimos que os metadados (como nomes de usuários ou
endereços) sejam criptografados.

2.
A sua comunicação é criptografada com uma chave para a qual o
provedor não tem acesso?

Este
critério exige que todas as comunicações do usuário sejam
criptografadas de ponta-a-ponta. Isto significa que as chaves
necessárias para descriptografar as mensagens devem ser geradas e
armazenadas nos pontos finais (ou seja, pelos usuários, e não por
servidores). As chaves nunca devem deixar os pontos de cada
extremidade, exceto por uma ação explícita do usuário, tais como
uma chave de backup ou para sincronizar chaves entre dois
dispositivos. É aceitável se as chaves públicas dos usuários são
trocadas usando um servidor centralizado.

3.
Você pode verificar independentemente a identidade do seu
correspondente?

Este
critério exige que possa existir um método interno para que os
usuários possam verificar a identidade dos correspondentes com quem
eles estão falando e também a integridade do canal, mesmo que o
prestador de serviços ou outros serviços terceiros estejam
comprometidos. Duas soluções aceitáveis são as seguintes:
  • Uma
    interface para os usuários visualizarem a impressão digital (hash)
    das chaves públicas do seu correspondente bem como as suas
    próprias, que os usuários podem verificar manualmente ou fora de
    rede.
  • Um
    protocolo para intercâmbio de chaves com uma cadeia de texto para
    autenticação curta, tal como o protocolo Socialist Millionaires.
Outras
soluções também são possíveis, mas qualquer solução deve
verificar uma ligação entre os usuários e o canal de criptografia
que foi configurado. Para a nossa matriz, simplesmente exigimos que
um mecanismo esteja implementado e não avaliamos a usabilidade e a
segurança do mesmo mecanismo.

4.
Comunicações passadas estão seguras se as chaves forem roubadas?

Este
critério exige que o app forneça sigilo antecipado, ou seja, todas
as comunicações devem ser criptografadas com chaves efêmeras que
são rotineiramente excluídas (juntamente com os valores aleatórios
usados para derivá-las). É imperativo que essas chaves não possam
ser reconstruídas após o fato, por alguém mesmo dando acesso a
longo prazo às chaves particulares de ambas as partes, assegurando
assim que se os usuários escolherem apagar as suas cópias locais da
mensagem, que esta seja apagada permanentemente. Observe que
este critério requer o critério 2, criptografia de ponta a ponta.
Nota:
Para esta fase da campanha, nós aceitamos uma abordagem de sigilo
antecipado híbrida com sigilo sobre a camada de transporte (por
exemplo através de TLS com uma suite de cifra de Diffie-Hellman) e
criptografia de ponta a ponta de sigilo não-antecipado, além de
uma garantia explícita de que as mensagens cifradas não são
registrados pelo provedor. Trata-se de um compromisso, já que requer
confiar que o provedor não esteja a registrar as mensagens cifradas,
mas nós preferimos esta configuração a não ter nenhum
sigilo antecipado.

5.
O código está aberto para uma revisão independente?

Este
critério exige que se tenha publicado suficiente código-fonte para
que uma implementação compatível possa ser compilada de forma
independente. Embora seja preferível, não exigimos que o código
seja lançado sob alguma licença específica livre/open source. Só
exigimos que todo o código que pode afetar a comunicação e a
criptografia realizada pelo cliente esteja disponível para uma
revisão, a fim de detectar bugs, backdoors e problemas
estruturais.
Nota:
quando ferramentas são fornecidas por um fornecedor de sistema
operacional, apenas exigimos que esteja disponivel o código para a
ferramenta e não para o sistema operacional inteiro. Este é um
compromisso, a tarefa para garantir a segurança para sistemas
operacionais e atualizações para sistemas operacionais está além
do âmbito deste projeto.

6.
O projeto de criptografia está bem documentado?

Este
critério exige explicações claras e detalhadas sobre a
criptografia usada pelo aplicativo. De preferência, esta deve
assumir a forma de um white-paper escrito para revisão por um
público de profissionais criptógrafos. Este deve fornecer respostas
às seguintes perguntas:
  • Quais
    algoritmos e parâmetros (tais como os tamanhos das chaves ou os
    grupos de curva elíptica) são utilizados em cada etapa do processo
    de criptografia e autenticação;
  • Como
    as chaves são geradas, armazenadas e trocadas entre os usuários;
  • O
    ciclo de vida das chaves e o processo para que os usuários possam
    alterar ou revogar a sua chave;
  • Uma
    declaração clara sobre as propriedades e proteções que o
    software visa proporcionar (implicitamente, isto tende também a
    fornecer um modelo de ameaça, mas é bom ter um modelo de ameaça
    explícita também). Isto também deve incluir uma declaração
    clara dos cenários em que o protocolo não é seguro.

7.
Tem havido recentemente uma auditoria de segurança independente?

Este
critério exige que uma revisão de segurança independente tenha sido realizada nos 12 meses antes da nossa avaliação. Esta revisão deve
cobrir tanto o design como a implementação do app e deve ser
executada por um partido de auditoria nomeado que seja independente
da equipe de desenvolvimento principal da ferramenta. Auditorias por
uma equipe de segurança independente dentro de uma organização
grande são suficientes. Reconhecendo que as auditorias não
publicadas podem ser valiosas, não exigimos que os resultados da
auditoria se tenham tornado públicos, só que seja possível verificar que a auditoria tenha sido executada.

Comparativo

Vejamos então o resultado da avaliação das apps segundo os critérios relacionados.

Ferramentas Criptografado em trânsito? Criptografado de modo que o provedor não pode ler? Pode verificar as identidades de contatos? Comentários passados estão seguros, se as chaves forem
roubadas?
O código está aberto para revisão independente? O projeto de segurança está devidamente documentado? Houve alguma auditoria recente do código?
AIM
Sim
Não
Não
Não
Não
Não
Não
Blackberry Messenger
Sim
Não
Não
Não
Não
Não
Não
Blackberry Protected
Sim
Sim
Sim
Não
Não
Sim
Sim
ChatSecure +Orbot
Sim
Sim
Sim
Sim
Sim
Sim
Sim
CryptoCat
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Ebuddy XMS
Sim
Não
Não
Não
Não
Não
Não
Facebook Chat
Sim
Não
Não
Não
Não
Não
Sim
FaceTime
Sim
Sim
Não
Sim
Não
Sim
Sim
Google Hangouts/Chat “off the record”
Sim
Não
Não
Não
Não
Não
Sim
Hushmail
Sim
Não
Não
Não
Não
Não
Não
iMessage
Sim
Sim
Não
Sim
Não
Sim
Sim
iPGMail
Sim
Sim
Sim
Não
Não
Sim
Não
Jitsi + Ostel
Sim
Sim
Sim
Sim
Sim
Sim
Não
Kik Messenger
Sim
Não
Não
Não
Não
Não
Não
Mailvelope
Sim
Sim
Sim
Não
Sim
Sim
Sim
Mxit
Não
Não
Não
Não
Não
Não
Não
Off-the-Record Messaging for Mac (Adium)
Sim
Sim
Sim
Sim
Sim
Sim
Não
Off-the-Record Messaging for Windows (Pidgin)
Sim
Sim
Sim
Sim
Sim
Sim
Sim
PGP for Mac (GPGTools)
Sim
Sim
Sim
Não
Sim
Sim
Não
PGP for Windows (Gpg4win)
Sim
Sim
Sim
Não
Sim
Sim
Não
QQ
Sim
Não
Não
Não
Não
Não
Sim
RetroShare
Sim
Sim
Sim
Sim
Sim
Sim
Não
Signal / Redphone
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Silent Phone
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Silent Text
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Skype
Sim
Não
Não
Não
Não
Não
Não
SnapChat
Sim
Não
Não
Não
Não
Não
Sim
StartMail
Sim
Não
Sim
Não
Não
Sim
Não
SureSpot
Sim
Sim
Sim
Não
Sim
Sim
Não
Telegram
Sim
Não
Não
Não
Sim
Sim
Sim
Telegram (secret chats)
Sim
Sim
Sim
Sim
Sim
Sim
Sim
TextSecure
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Threema
Sim
Sim
Sim
Sim
Não
Sim
Sim
Viber
Sim
Não
Não
Não
Não
Não
Não
Virtru
Sim
Não
Não
Não
Não
Sim
Sim
WhatsApp
Sim
Sim*
Não
Não
Não
Não
Sim
Wickr
Sim
Sim
Sim
Sim
Não
Não
Sim
Yahoo!Messenger
Sim
Não
Não
Não
Não
Não
Não

Conclusão

De acordo com os resultados da tabela, vemos que as apps de mensagem mais seguras são ChatSecure +Orbot, CryptoCat, Pidgin (off the record – em Windows), Signal / Redphone, Silent Phone, Silent Text, Telegram (chat secreto) e TextSecure.
Chama a atenção o fato de que a única app conhecida da lista é o Telegram, embora o Signal, usado por Snowden, tenha ganhado fama também.
Fica claro também que as apps mais usadas e famosas (Whatsapp, Spanchat, Hangouts, FB Messenger, Viber, etc) são um lixo em termos de segurança.
Em suma, se você se preocupa com a segurança das suas mensagens, não dá pra “seguir a manada”, sendo mais recomendado tentar convencer as pessoas a usar apps alternativas. Esse trabalho ficou um pouco mais fácil pra quem prefere o Telegram, já que as falhas recentes e, principalmente, o bloqueio de (quase) 48h do Whatsapp fez com que muitos milhões de usuários instalassem o Telegram.
Alternativas mais seguras como o Signal já são mais difíceis de encontrar nos smartphones dos amigos e familiares, mas penso que seja nosso papel, como profissionais de TI conscientes, orientar estas pessoas a migrar para apps mais seguras. Não é fácil, mas temos que tentar.

*UPDATE! Whatsapp agora suporta criptografia de ponta a ponta, e portanto ganha vários pontos na avaliação, estando “menos longe” do Telegram em termos de segurança. Se torna uma alternativa viável, embora seja necessário analisar os demais critérios de acordo com sua preocupação com o comprometimento das chaves, auditabilidade do código e demais critérios do estudo.


Um agradecimento especial ao brother Ivo Peixinho, mestre em segurança da informação, pela lembrança para atualizar o post. Valeu! 🙂

E então, o que achou do comparativo? Qual seu app de mensagem favorito? Pretende mudar?

FISL 15: Ataques super eficientes de negação de serviço (DoS, DDoS)

Este ano, diferentemente do ano passado, não pude ir ao FISL.
Mas isto não significa que o evento vai passar batido aqui no blog, afinal o maior evento de software livre do Brasil sempre traz coisas interessantes, e este ano não foi diferente.
Para minha felicidade e de muitos, muitas apresentações estão disponíveis, com gravação completa em vídeo, no site da programação do evento.
E foi com base nestas informações que comecei a baixar e assistir algumas palestras, e começo compartilhando com vocês esta ótima palestra do Jan Seidl sobre Ataques super eficientes de negação de serviço
Nesta palestra ele mostra que a idéia de que um ataque de negação é sempre resultado da ação de uma “rede zumbi” de milhares de equipamentos atacando um alvo se tornou equivocada e obsoleta, sendo possível atualmente causar muito dano com pouco esforço, graças a algumas características dos servidores web modernos.
Ele mostra como realizar os ataques e como se prevenir, além de abordar algumas ferramentas muito legais desenvolvidas por ele e outros especialistas em segurança pra testar sua infraestrutura e se proteger destes ataques DoS e DDoS modernos.
Confira abaixo a palestra.

FBStalker: "espiar" o #facebook de alguém nunca foi tão fácil!

Em mais uma prova de que as redes sociais criam possibilidades interessantíssimas ou “preocupantíssimas”, a depender do ponto de vista, vi que já lançaram uma ferramenta que, a partir de um usuário e senha, além de um “alvo”, traça um perfil social com base na Graph Search, a nova pesquisa do facebook.
FBStalker é o nome da criança, que é software livre, foi desenvolvida em Python, é facim de instalar no Ubuntu e muito em breve deve fazer parte do arsenal do Kali Linux. Todos os detalhes na página do projeto no github.

O quão seguro é o #Mega (mega.nz)?

Information Security Wordle: RFC2196 - Site Se...
Crédito: purpleslog
 
O Torrent Freak traz uma questão importante, levantada por um desenvolvedor que afirma ter criado um bookmarklet que acessa a “chave master” de criptografia do usuário. O ponto mais interessante é que a discussão revelou os (já conhecidos) problemas da segurança do navegador, em especial do javascript ou qualquer outro código carregado “sob demanda”. Traduzi (livre) trechos do artigo, pois considero o texto uma aula de segurança.

Nova ferramenta alega revelar chave mestra de usuários do MEGA

(…)
O software, conhecido como MEGApwn é um bookmarklet javascript que é executado em um navegador web. Uma vez que o usuário esteja logado, o software alega revelar a chave mestra do usuário. Koziarski (o desenvolvedor) diz que isso prova que a própria chave mestra não é criptografada e que qualquer pessoa com acesso ao computador de um usuário MEGA pode acessá-la.
No entanto, esta não é a reivindicação mais polêmica. Koziarski diz que a própria MEGA é capaz de pegar uma chave e usá-la para acessar os arquivos de um usuário.

Koziarski explica que “Seu navegador web confia no que quer que receba do MEGA, o que significa que eles podem pegar sua chave mestra sempre que você visitar o site e, em seguida, usá-la para descriptografar e ler seus arquivos. Você nunca sabe”.

(…)

As revelações provocaram uma troca de mensagens com o programador Bram Van der Kolk, da MEGA, que questionou como qualquer um teria acesso ao computador de um usuário.

“Você realmente quer MEGA para proteja os usuários contra isso?”, disse.

“Não, eu quero que os usuários entendam o quão facilmente você pode ler todos os seus arquivos se você quiser”, respondeu Koziarski.
“Você quer dizer o quão facilimente o próprio usuário pode ler os seus próprios arquivos. Exatamente como um atacante externo pode aproveitar isso?”, Der Kolk questiona.
“Então você concorda que o MEGA só é seguro contra invasores externos, que você pode ler meus arquivos, se você quiser?”, Koziarski disparou de volta.
“Você está seriamente sugerindo que serviríamos um cavalo de Tróia em javascript ? Instale uma das nossas extensões do navegador e desligue as atualizações automáticas”, rebateu Der Kolk.
Para tentar ter uma idéia mais clara do quão séria (ou não) esta questão é, o TorrentFreak contactou tanto MEGA quanto Koziarski para comentar sobre a nova ferramenta.
(…)
“Será que este hack permite invadir o MEGA ? Não, ele simplesmente demonstra um dos muitos problemas graves e insolúveis que enfrentamos ao fazer a criptografia em aplicações web javascript. Existem muitos outros problemas como este e é por isso que muitos especialistas respeitados alertam contra isso há anos”, conclui.

(…)

Update 2: Comentários de Michael Koziarski

Eu fiz a ferramenta porque notei que as pessoas caíram em um dos dois campos quando se trata da criptografia do MEGA. Se soubessem das limitações da criptografia javascript, eles entenderiam que a criptografia do MEGA poderia facilmente ser contornada pelo próprio MEGA ou qualquer outra pessoa com acesso a seus servidores web. Mas os usuários que não sabiam nada sobre a criptografia pareciam pensar que havia algo incrivelmente seguro sobre MEGA.
Por outro lado, se você criptografar os arquivos com PGP antes de enviá-los, não há nada que MEGA ou qualquer outra pessoa pode fazer para recuperá-los. Nós já temos as ferramentas que precisamos [para resolver o problema].

Eu liberei MEGApwn para tornar mais fácil mostrar os usuários novatos como facilmente o MEGA (ou o FBI, com um mandado) poderia contornar a criptografia, se quisesse. Todo mundo na indústria de segurança já sabia disso.

Quanto à forma como ele funciona, é muito, muito simples. Navegadores não têm um local seguro para armazenar dados confidenciais como a sua chave mestra, então o MEGA usa a API de armazenamento local do HTML5. No entanto, esses dados estão disponíveis para qualquer pessoa usando o seu computador, ou qualquer código javaScript executado no domínio mega.co.nz. O MEGApwn simplesmente lê a chave do armazenamento local e mostra para você.
Fundamentalmente, o problema é que o seu navegador irá fielmente executar qualquer código de mega.co.nz, e seu navegador tem que baixar o código, basicamente, toda vez que você visita o site MEGA.
O MEGA configurou seus servidores web com SSL e HSTS, e não inseriram nenhum código de terceiros em seu site, por isso é relativamente seguro contra um terceiro tentando injetar código.
Se quisessem, qualquer funcionário MEGA poderia incluir o código que extrai sua chave secreta e carregá-lo para seus servidores.
(…)
A raiz do problema é que a abordagem da MEGA para a criptografia é segura se, e somente se, você confia que o MEGA não vai extrair as chaves. O que não é muito diferente de confiar em qualquer outro provedor de armazenamento em nuvem mais tradicional para não ler seus arquivos.

(…)

Update 3: Comentários de Bram Van der Kolk de MEGA

Gostaríamos de agradecer a um membro da comunidade MEGA por destacar dois dos potenciais riscos de segurança associados com o uso de computadores em geral e criptografia baseada em javascript em particular. Todas estas questões foram abordadas em nosso FAQ, desde o início, mas gostaríamos de aproveitar a oportunidade e reiterá-las aqui, caso você tenha perdido que:

1. Se você tiver acesso a um computador, você pode quebrar MEGA (e tudo o mais, também)

Este problema é ilustrado por um bookmarklet específico para o MEGA, que permite que a vítima invada sua própria conta. Uma abordagem mais generalizada é descrita no artigo de Brian Kaplan sobre extrair chaves de criptografia de memória volátil. E, se a vítima instala software de monitoramento remoto (keylogger / screen grabber) em sua máquina, o potencial de falha de segurança torna-se bastante abrangente.

2. Criptografia javascript é fraca, porque o código é carregado na hora

Há dois problemas de confiança associados com código carregado on-the-fly: quão seguro é o mecanismo de entrega? O provedor vai me enviar trojan após o recebimento, por exemplo, de uma carta do FBI?

2.1 Entrega javascript

A integridade do nosso código javascript depende da integridade de todos os emissores de certificado SSL, que seu navegador confia, mais os provedores entre você e nosso cluster de servidor raiz e/ou os servidores DNS envolvidos. Ou, dito sem rodeios: “Se você pode quebrar SSL, você pode quebrar o MEGA”. Claro que, se você pode quebrar SSL, há alvos mais interessantes para você que o MEGA…

2.2 Entrega intencional de código javascript backdoor por nós para usuários específicos

Se fôssemos maldosos e estivéssemos coagidos pela legislação, como numa futura revisão das leis de telecomunicações da Nova Zelândia, poderíamos enviar código trojan javascript que envia a sua chave mestra de criptografia para nós.

2.3 Provedores de armazenamento em nuvem tradicionais vs seguros

Javascript
A diferença fundamental entre os provedores de armazenamento em nuvem tradicionais (do lado do servidor de criptografia) e seguros (do lado do cliente de criptografia) é que o primeiro pode interceptar todos os dados de todos os usuários sem que as vítimas tenham uma maneira de descobrir, enquanto o este último tem que fazer algo que é detectável no lado do cliente. É verdade que, apesar da detectabilidade teórica, tais ataques provavelmente passariam despercebidos para a grande maioria dos clientes.

2.4 Soluções

Se você está preocupado com os riscos descritos acima, você deve usar MEGA de uma forma que não depende de código fornecido on the fly.

Carregando javascript do MEGA a partir de sua máquina local

Nós oferecemos uma extensão para o navegador (atualmente disponível para Chrome, logo para o Firefox), com a totalidade do código do MEGA. Se você instalar a versão de alguém que você confia que tem código auditado e desativar as atualizações automáticas, não poderemos enviar backdoor pra você.

2.4.2 Usando um aplicativo cliente

Um aplicativo cliente sem atualização automática que foi escrito ou auditado por alguém que você confia é imune contra backdoor dinâmico.

3. Javascript não confiável carregado a partir de um website ainda é mais seguro do que um executável não confiável carregado a partir do mesmo site

É um equívoco comum achar que o javascript é inerentemente inseguro e que o código de máquina nativo é uma escolha muito melhor para criptografia. Embora seja verdade que o acesso completo aos recursos da máquina host permite algum grau adicional de segurança (tais como prevenção de teclas sejam enviados para espaço de swap), javascript malicioso executa na sandbox do seu navegador (assumindo, claro, que não há vulnerabilidades conhecidas do navegador – uma suposição reconhecidamente fraca), pelo menos não pode assumir toda a sua conta de usuário ou, se você trabalha como root/administrador, do sistema!
 

Eis a prova definitiva: o #Google sabe mais sobre você que você mesmo! (#privacidade)

Há algum tempo o Google ativou um recurso “Atividade da Conta”, que juntamente com o “Google Dashboard”, te dá informações valiosíssimas para qualquer um que queira um mínimo de controle sobre a própria privacidade na web.
Ao receber o relatório mais recente, me deparo com as informações acima. Veja que o Google sabe por onde andei, quanto tempo fiquei, se estava em casa ou não. Assustador, né ?
Pois é.
Se você se preocupa com sua privacidade, é hora de rever conceitos, e repensar seu uso do GPS, seu grau de vinculação a um fornecedor único, especialmente em smartphones e tablets (pois os carregamos pra todo lugar!), e para os mais paranóicos, é hora de repensar o sistema e smartphone que usa, evitar usar o wifi e o 3G, e até desligar o smartphone quando não quiser ser rastreado.
Ah! E só pra lembrar, a imagem acima é uma pequena amostra das informações reveladas pelo relatório de atividade da conta.

16 extensões para tornar seu navegador mais seguro, rápido e produtivo #Chrome #Firefox

Twitter: escolha entre TweetDeck e Chromed Bird, duas excelentes opções para acessar o Twitter a partir do Chrome.

FastestChrome: turbine o navegador da Google com esta extensão que facilita o acesso a artigos em várias páginas, busca informações bastando selecionar o trecho do texto e acelera sua navegação na web.

Excelente captura de tela: capture, destaque, corte e ajuste imagens da web com esta fantástica extensão.

ActiveInbox: seja mais produtivo no GMail com esta extensão, e, de quebra, zere sua caixa de entrada!

ScribeFire: ótima extensão para blogueiros, facilita muito a postagem de conteúdos.

Zemanta: extensão muito útil para facilitar a localização de imagens, links e informações adicionais para ilustrar uma mensagem ou post.

NoScript: ótima extensão para diversos navegadores que aumenta a sua segurança inibindo o javascript.

GDocs: visualize vários tipos de arquivo automaticamente no Google Docs, sem precisar baixar.

WolphramAlfa: tenha sempre à mão esta excelente ferramenta de busca e análise estatística com esta extensão pra Firefox.

Produtividade: disfarce os sites (im)produtivos que você costuma visitar com esta extensão pro Chrome, e finja que está trabalhando.

Snooze: defina lembretes para mensagens no GMail (na versão gratuita o prazo mínimo é de 4 horas) com esta extensão pro Chrome.

Experimental: confira algumas das extensões experimentais do Mozilla Labs, como Snowl, Contacts, Ubiquity e Home Dash.