Makalah, tolong: kebangkitan audit VPN independen


Tampaknya ada gelombang baru yang mengalir melalui komunitas VPN: audit independen untuk layanan VPN populer. Ini pertama dimulai dengan TunnelBear pada musim panas 2017, lalu Mullvad, melanjutkan dengan Surfshark’Audit VPN browser-nya pada bulan November. Pada November 2018 menyebar ke NordVPN, yang merilis temuan audit kebijakan tanpa-log oleh the “Besar 4” perusahaan audit PwC (Pricewaterhouse Coopers).

Kemudian VyprVPN keluar dan menyatakan bahwa mereka juga memiliki audit independen yang dilakukan untuk memastikan bahwa pengguna’ Informasi Identifikasi Pribadi (PII) tidak dikumpulkan dalam layanan mereka. Dan baru-baru ini ExpressVPN juga menggunakan PwC untuk audit mereka, sementara PureVPN menggunakan Altius IT untuk audit mereka.

Tren baru dalam industri VPN ini penting karena layanan VPN selalu membuat klaim besar, dan dalam tinjauan VPN kami yang luas, kami menemukan bahwa klaim tersebut sering dipenuhi, tetapi terkadang berlebihan.

Audit independen dari berbagai bagian layanan VPN mereka akan membuktikan kepada dunia bahwa mereka benar-benar dapat mendukung klaim mereka dengan produk yang berfungsi yang memberikan privasi dan keamanan.

Namun demikian’Penting untuk dicatat bahwa ada dua jenis audit yang dapat dilakukan:

  • keamanan mengaudit: layanan VPN memberikan aplikasi mereka’sumber kode ke auditor independen, yang menyelidiki kode dan mencoba untuk mensimulasikan serangan untuk mengidentifikasi kerentanan
  • audit tanpa penebangan: audit yang lebih sulit ini memerlukan lebih banyak akses, karena auditor akan memeriksa informasi apa yang disimpan di VPN’server

Kedua jenis audit itu penting; Namun, kami’d masih menempatkan sedikit lebih penting pada audit no-logging karena memastikan bahwa klaim privasi data mereka benar.

Jadi mari’Lihat sekilas bagaimana gerakan ini dimulai, dan dari mana kami berharap’sedang menuju.

7 Agustus 2017: TunnelBear menyelesaikan audit keamanan VPN pertama di industri

Jenis audit: audit keamanan

Pada akhir 2016, TunnelBear mempekerjakan penguji keamanan web Jerman independen, Cure53, untuk melakukan audit keamanan lengkap untuk server, aplikasi, dan infrastruktur mereka. Awalnya direncanakan hanya akan digunakan secara internal, tetapi TunnelBear merasa industri membutuhkan dorongan kepercayaan setelah beberapa krisis keamanan.

Posting blog tertanggal untuk Agustus 2017, meskipun itu adalah tanggal audit keamanan kedua. Yang pertama telah selesai pada tahun 2016 dan menemukan beberapa kerentanan dalam ekstensi Chrome mereka, yang TunnelBear bekerja untuk memperbaikinya sebelum audit tahun 2017. Oleh karena itu, dua iterasi ini harus dilihat sebagai dua bagian dari satu audit yang lebih besar.

Mereka’Saya sekarang telah merilis audit keamanan VPN mereka untuk tahun 2018. Dalam yang satu ini, Cure53 menemukan 2 “kritis,” 5 “tinggi,” 3 “medium,” 7 “rendah,” dan beberapa “informasi” masalah di TunnelBear’layanan.

Masalah-masalah ini telah terjadi “segera diperbaiki” oleh TunnelBear. Secara umum, audit 2018 [pdf] menyatakan bahwa audit tersebut memiliki:

“mengungkapkan kemajuan besar yang telah dilakukan TunnelBear selama beberapa tahun terakhir. Ini jelas dimungkinkan oleh upaya gencar dari tim in-house, yang berhasil memperkenalkan perbaikan selanjutnya pada keseluruhan integritas dan keamanan…”

Secara keseluruhan, itu’Ini adalah awal yang bagus untuk gerakan baru.

24 September 2018: Mullvad mendapat audit keamanan untuk aplikasinya

Jenis audit: audit keamanan

Pada bulan September 2018, layanan VPN Swedia yang relatif kurang dikenal Mullvad menerbitkan hasil audit keamanannya. Sekali lagi, Cure53 digunakan untuk memeriksa kode dan mencari kerentanan.

Laporan Cure53 Mullvad [pdf] menunjukkan bahwa ada 7 masalah yang ditemukan, satu dinilai “kritis” dan nilai lainnya “tinggi.” Auditor kemudian mengklaim bahwa masalahnya adalah:

“jumlah yang sangat kecil mengingat bidang kompleks perangkat lunak VPN dan permukaan serangan yang luas dan terhubung.”

Namun, satu aspek penting dicatat oleh Cure53: audit keamanan tidak’t komprehensif, karena hanya front-end telah diperiksa:

“Perlu dicatat, bagaimanapun, bahwa dalam hal ini hanya aplikasi dan fitur pendukung yang diperiksa, yang berarti bahwa tidak ada putusan dapat dibuat pada postur keamanan sisi server dan backend.”

Meskipun ada beberapa masalah dengan audit keamanan yang tidak lengkap ini, termasuk tidak’t memeriksa bagaimana data pengguna dikumpulkan dan diproses, ternyata memiliki beberapa arti sebagai audit independen kedua.

20 November 2018: Surfshark mendapat audit ekstensi browser VPN

Jenis audit: audit keamanan

Dalam posting blog mereka kurang dari dua minggu lalu, Surfshark memberi tahu dunia bahwa ekstensi browser VPN-nya telah diaudit oleh Cure53. Audit itu (tersedia di sini [pdf]) terdiri dari tes penetrasi dan audit kode Surshark’s Ekstensi browser Chrome dan Firefox.

Cure53 mengklaim bahwa tes menunjukkan Surfshark’Ekstensi Chrome dan Firefox disediakan:

“kesan yang sangat kuat dan tidak terpapar pada masalah apa pun, baik dalam privasi maupun di bidang keamanan yang lebih umum.”

Ini adalah berita bagus untuk Surfshark, karena klaim privasi tampaknya telah dipenuhi - untuk ekstensi perambannya. Audit ini, bagaimanapun, tidak melihat klien VPN untuk desktop atau seluler, jadi’Ada sesuatu yang perlu diingat.

22 November 2018: NordVPN mendapat audit kebijakan tanpa log

Jenis audit: audit kebijakan tanpa penebangan

Bahwa’ketika anak-anak besar, NordVPN, turun tangan, dan seminggu kemudian merilis temuan-temuan awal dari audit PwC tentang kebijakan larangan masuk mereka. Kami memberikan analisis mendalam kami sendiri tentang audit independen mereka di sini, tetapi cukup untuk mengatakan bahwa kami masih percaya’Ini masalah besar, terutama mengingat reputasi tinggi dari perusahaan audit PwC.

Dalam upaya untuk menenangkan orang’Ketakutan tentang data penyedia VPN seperti apa yang benar-benar masuk, terutama raksasa seperti NordVPN, mereka pergi ke depan dan menyewa raksasa dengan caranya sendiri, setidaknya di dunia audit: PwC. Audit ini sebenarnya berlangsung pada bulan Agustus.

NordVPN hanya ingin membuktikan kepada dunia bahwa mereka’dapat dipercaya, dan audit PwC tampaknya menunjukkan hal itu. Dalam versi laporan yang bocor, PwC menyatakan:

“a) deskripsi yang menyertai menyajikan Te secara wajar&# 64257; ncom S.A.’layanan NordVPN no-log, dan

b) layanan NordVPN dirancang dan diimplementasikan dengan tepat pada 1 November 2018.”

Mereka kebetulan mempublikasikan posting blog mereka tentang hasil setelah Surfshark.

29 November 2018: VyprVPN’audit

Jenis audit: audit kebijakan tanpa penebangan

Dan kemudian kita sampai ke VyprVPN’posting blog terbaru tentang audit kebijakan tanpa penebangan mereka.

Daripada hanya mengatakan, “Kami juga mendapat audit independen,” dalam apa yang tampak seperti aksi pemasaran murni, mereka’kembali juga mengklaim bahwa mereka “Dunia’Penyedia No Log VPN pertama yang diaudit untuk publik.” Ini tampak aneh melihat bahwa itu keluar setelah NordVPN’Posting blog audit kebijakan tanpa log.

Tetapi perwakilan VyprVPN Jim Crooks mengatakan waktu rilis itu murni kebetulan:

“Harap mengerti bahwa untuk menyelesaikan audit sebesar ini secara efektif, diperlukan waktu yang signifikan. Kami telah secara aktif bekerja baik secara internal untuk memastikan layanan kami Tidak Masuk, diikuti oleh hubungan aktif dengan auditor kami Leviathan Security untuk menguji dan mengatasi masalah apa pun yang timbul selama kami beralih ke Tanpa Log. Meskipun kami mengerti waktu kami mungkin sedikit aneh mengingat rilis NordVPN’Pengumuman, tolong mengerti ini murni kebetulan.”

Ini sepertinya alasan yang cukup masuk akal, dan kurang lebih menjelaskan ide di balik judul artikel.

Meskipun demikian, audit Keamanan Leviathian [pdf] menyimpulkan bahwa:

“Koneksi dicatat selama otentikasi, tetapi log yang dapat mengidentifikasi pengguna disimpan hanya untuk waktu yang singkat. Dengan menggunakan open source atau aplikasi yang banyak digunakan untuk komponen server dan klien, mereka telah mengurangi risiko secara tidak sengaja menambahkan kelemahan ke dalam perangkat lunak itu sendiri.”

Juli 9, 2019: Server ExpressVPN mendapatkan audit PwC

Jenis audit: audit privasi dan keamanan

Hampir 8 bulan setelah NordVPN merilis hasil audit kebijakan non-logging PwC mereka, ExpressVPN mengeluarkan audit PwC mereka sendiri. Namun, kali ini’s audit privasi dan keamanan penuh.

Apa artinya ini pada dasarnya adalah bahwa ExpressVPN memberi auditor akses penuh ke tim dan informasi sistem mereka. ExpressVPN menulis di posting blog mereka:

Selama sebulan, PwC mewawancarai staf yang bertanggung jawab untuk mengelola server VPN kami; memeriksa kode sumber, konfigurasi, dan file log teknis; dan mengamati konfigurasi server kami dan proses penyebaran.

Laporan PwC tampaknya mengkonfirmasi apa yang kami’sudah diketahui: ExpressVPN adalah VPN yang aman, pribadi, dan aman. Itu adalah berita bagus - dan sesuatu yang kami harap akan membakar industri VPN yang lebih besar.

27 Agustus 2019: PureVPN diaudit oleh Altius IT

Jenis audit: audit kebijakan tanpa penebangan

Jika ada’Satu penyedia VPN yang membutuhkan audit kebijakan tidak ada penebangan, itu adalah PureVPN. Jika Anda ingat, merekalah yang tertangkap memberikan catatan penting kepada FBI dalam menangkap dan menghukum Ryan Lin yang berusia 24 tahun. Catatan-catatan ini, atau log, omong-omong, tidak seharusnya ada, karena PureVPN sebelumnya mengklaim tidak menyimpan log.

Sejak itu, mereka’telah memperbarui Kebijakan Privasi mereka untuk memperketat kebijakan no-log mereka. Tetapi dengan reputasi mereka yang tercemar, mereka benar-benar membutuhkan jaminan yang lebih kuat. Untungnya, mereka mengontrak auditor keamanan Altius IT yang berbasis di California untuk memverifikasi klaim tidak-log mereka.

Dan hasilnya? Sini’apa yang Altius katakan:

“[kami] tidak menemukan bukti konfigurasi sistem dan / atau file log sistem / layanan yang secara independen, atau kolektif, dapat mengarah pada identifikasi orang tertentu dan / atau orang tersebut’Aktivitas ketika menggunakan layanan PureVPN.”

Bahwa’Berita yang sangat bagus, dan itu’S pasti langkah ke arah yang benar, meskipun kita’d ingin melihat sendiri laporannya. Untuk merayakannya, PureVPN bahkan memberikan diskon 30% kepada pengguna untuk semua paket mereka dengan kode NOLOGSVPN.

Siapa’Selanjutnya?

Agar tren atau gerakan bekerja, ia perlu terus berjalan dan tumbuh dengan cepat. Dan meskipun gerakan baru saja dimulai, kita’masih menunggu beberapa raksasa VPN lainnya untuk setidaknya mendeklarasikan audit independen mereka sendiri. Ini termasuk:

  • TorGuard
  • CyberGhost
  • PrivateVPN
  • Akses Internet Pribadi
  • IPVanish
  • HideMyAss
  • dan hampir setiap VPN lainnya

Jika mereka peduli dengan privasi, jika mereka peduli dengan keamanan, jika mereka ingin membuktikan kepada dunia bahwa mereka dapat dipercaya, kita membutuhkan tanda terima. Kami membutuhkan audit, atau setidaknya untuk memberi tahu kami kapan audit akan terjadi. Kami membutuhkan mereka untuk secara terbuka menyatakan bahwa mereka aman, bahwa kami dapat mempercayai mereka, bahwa VPN sama sekali tidak mencatat, menjual, atau membocorkan data kami dengan alasan apa pun.

Hanya dengan begitu kita dapat memastikan bahwa kita’menjelajahi internet dengan aman, dengan privasi penuh, keamanan, dan kontrol.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

77 − = 69