Kertas kerja, silakan: peningkatan audit VPN bebas


Nampaknya gelombang baru yang mengalir melalui komuniti VPN: audit bebas perkhidmatan VPN popular. Ia bermula dengan TunnelBear pada musim panas tahun 2017, kemudian Mullvad, meneruskan dengan Surfshark’sudit VPN penyemak imbasnya pada bulan November. Pada November 2018 ia merebak ke NordVPN, yang mengeluarkan penemuan audit dasar tanpa log oleh “Besar 4” firma pengauditan PwC (Pricewaterhouse Coopers).

Kemudian VyprVPN keluar dan menyatakan bahawa mereka juga mempunyai audit bebas yang dilakukan untuk memastikan pengguna’ Maklumat Pengenalan Peribadi (PII) tidak dikutip dalam perkhidmatan mereka. Dan baru-baru ini ExpressVPN juga menggunakan PwC untuk audit mereka, sementara PureVPN menggunakan Altius IT untuk mereka.

Trend baru dalam industri VPN adalah penting kerana perkhidmatan VPN sentiasa membuat tuntutan besar, dan dalam tinjauan VPN kami yang luas, kami mendapati bahawa tuntutan tersebut sering dipenuhi, tetapi kadang-kadang dibesar-besarkan.

Audit bebas dari pelbagai bahagian perkhidmatan VPN mereka akan membuktikan kepada dunia bahawa mereka benar-benar boleh menyokong tuntutan mereka dengan produk kerja yang menyampaikan privasi dan keselamatan.

Walau bagaimanapun, ia’s penting untuk diperhatikan bahawa terdapat dua jenis audit yang boleh dilakukan:

  • keselamatan audit: perkhidmatan VPN memberikan aplikasinya’kod sumber kepada juruaudit bebas, yang menyiasat kod tersebut dan cuba mensimulasikan serangan untuk mengenal pasti kelemahan
  • audit tiada pembalakan: audit yang lebih sukar ini memerlukan akses yang lebih banyak, kerana juruaudit akan memeriksa maklumat yang disimpan di VPN’pelayan s

Kedua-dua jenis audit adalah penting; Walau bagaimanapun, kami’d masih meletakkan sedikit lebih penting pada audit tidak log masuk kerana ia memastikan bahawa tuntutan privasi data mereka adalah benar.

Jadi mari’s mengambil melihat dengan cepat bagaimana pergerakan bermula, dan di mana kita mengharapkannya’tajuk s.

7 Ogos 2017: TunnelBear melengkapkan audit keselamatan VPN yang pertama di industri

Jenis audit: audit keselamatan

Pada akhir tahun 2016, TunnelBear mengupah penguji keselamatan web Jerman bebas, Cure53, untuk melaksanakan audit keselamatan lengkap bagi pelayan, aplikasi dan infrastruktur mereka. Ia pada asalnya dirancang untuk digunakan secara dalaman sahaja, tetapi TunnelBear merasakan industri memerlukan peningkatan keyakinan setelah beberapa krisis keselamatan.

Jawatan blog ini bertarikh untuk Ogos 2017, walaupun itu adalah tarikh audit keselamatan kedua. Yang pertama telah siap pada 2016 dan mendapati banyak kelemahan dalam sambungan Chrome mereka, yang TunnelBear berfungsi untuk menetapkan sebelum audit 2017. Oleh itu, kedua-dua lelaran ini harus dilihat sebagai dua bahagian satu audit yang lebih besar.

Mereka’kini telah mengeluarkan audit keselamatan VPN mereka untuk 2018. Dalam satu ini, Cure53 ditemui 2 “kritikal,” 5 “tinggi,” 3 “sederhana,” 7 “rendah,” dan beberapa “maklumat” isu di seluruh TunnelBear’perkhidmatan s.

Isu-isu ini telah “segera ditetapkan” oleh TunnelBear. Secara umum, audit 2018 [pdf] menyatakan bahawa audit mempunyai:

“mendedahkan kemajuan besar yang telah dibuat TunnelBear sejak beberapa tahun kebelakangan ini. Ini jelas dibolehkan oleh usaha-usaha yang tidak henti-henti dari pasukan dalaman, yang berjaya memperkenalkan peningkatan seterusnya terhadap integriti dan keselamatan keseluruhan…”

Keseluruhannya, itu’s adalah permulaan yang baik untuk pergerakan baru.

24 September 2018: Mullvad mendapat audit keselamatan untuk aplikasinya

Jenis audit: audit keselamatan

Pada September 2018, perkhidmatan VPN Sweden yang agak kurang dikenali Mullvad menerbitkan hasil audit keselamatannya. Sekali lagi, Cure53 digunakan untuk menyemak kod dan mencari kelemahan.

Laporan Cure53 Mullvad [pdf] menunjukkan terdapat 7 isu yang ditemui, satu undian “kritikal” dan lain-lain diberi nilai “tinggi.” Juruaudit terus mendakwa bahawa isu-isu tersebut adalah:

“satu nombor yang sangat kecil yang diberi medan komprehensif perisian VPN dan permukaan serang yang disambungkan.”

Walau bagaimanapun, satu aspek penting telah dicatatkan oleh Cure53: audit keselamatan tidak’t komprehensif, kerana hanya bahagian depan telah diperiksa:

“Perlu diingatkan, bagaimanapun, bahawa dalam hal ini hanya aplikasi dan ciri sokongan diperiksa, yang bermaksud bahawa tiada keputusan dapat dibuat pada postur keamanan sisi server dan backend.”

Walaupun terdapat beberapa masalah dengan audit keselamatan yang tidak lengkap ini, termasuk yang dilakukannya’t memeriksa bagaimana data pengguna dikumpulkan dan diproses, namun ia mempunyai beberapa kepentingan sebagai audit bebas yang kedua.

20 November 2018: Surfshark mendapat audit sambungan penyemak imbas VPN

Jenis audit: audit keselamatan

Dalam catatan blog mereka kurang dari dua minggu yang lalu, Surfshark membiarkan dunia tahu bahawa sambungan penyemak imbas VPNnya telah diaudit oleh Cure53. Audit itu (boleh didapati di sini [pdf]) terdiri daripada kedua-dua ujian penembusan dan audit kod Surshark’sambungan Chrome dan Firefox pelayar Firefox.

Cure53 mendakwa bahawa ujian menunjukkan Surfshark’sambungan Chrome dan Firefox yang disediakan:

“kesan yang sangat kuat dan tidak didedahkan kepada sebarang isu, tidak dalam privasi atau dalam alam keselamatan yang lebih umum.”

Ini adalah berita hebat untuk Surfshark, kerana tuntutan privasinya seolah-olah telah dipenuhi - untuk sambungan penyemak imbasnya. Walau bagaimanapun, audit ini tidak melihat klien VPNnya untuk desktop atau mudah alih, jadi’sesuatu yang perlu diingat.

22 November 2018: NordVPN mendapat audit dasar tiada log

Jenis audit: audit polisi tiada pembalakan

Itu’ketika anak laki-laki besar, NordVPN, melangkah masuk, dan seminggu kemudiannya mengeluarkan dapatan awal dari audit PwC mengenai polisi tidak log mereka. Kami memberikan analisa mendalam tentang audit bebas mereka sendiri di sini, tetapi cukup untuk mengatakan bahawa kami masih percaya’s sangat penting, terutamanya memandangkan reputasi tinggi PwC firma pengauditan.

Dalam usaha untuk menyelesaikan orang’ketakutan tentang jenis data penyedia VPN yang sebenarnya pembalakan, terutamanya gergasi seperti NordVPN, mereka pergi ke depan dan mengupah gergasi dengan haknya sendiri, sekurang-kurangnya dalam dunia pengauditan: PwC. Pengauditan ini sebenarnya berlaku pada bulan Ogos.

NordVPN hanya ingin membuktikan kepada dunia bahawa mereka’semula boleh dipercayai, dan audit PwC nampaknya menunjukkan bahawa. Dalam versi laporan yang dibocorkan, PwC menyatakan:

“a) perihalan yang disertakan dengan adil Te&# 64257; ncom S.A.’s no-log NordVPN perkhidmatan, dan

b) Perkhidmatan NordVPN direka bentuk dan dilaksanakan dengan sesuai pada 1 November 2018.”

Mereka baru saja menyiarkan postingan blog mereka mengenai hasil selepas Surfshark.

29 November 2018: VyprVPN’audit

Jenis audit: audit polisi tiada pembalakan

Dan kemudian kita sampai ke VyprVPN’post blog baru-baru ini tentang audit dasar pembalakan mereka.

Bukan sekadar berkata, “Kami juga mendapat audit bebas,” dalam apa yang kelihatan seperti aksi pemasaran murni, mereka’juga mendakwa bahawa mereka “dunia’pertama yang diaudit oleh Penyedia VPN Log Tidak.” Ini kelihatannya aneh apabila ia keluar selepas NordVPN’post blog audit dasar tiada log.

Tetapi wakil VyprVPN, Jim Crooks mengatakan masa pembebasan itu adalah kebetulan kebetulan:

“Sila faham bahawa untuk menyelesaikan audit besarnya magnitud ini, ia mengambil masa yang penting. Kami telah aktif bekerja secara dalaman untuk memastikan perkhidmatan kami tidak Log, diikuti dengan hubungan aktif dengan juruaudit kami Leviathan Security untuk menguji dan menangani sebarang isu yang ditimbulkan sepanjang peralihan kami kepada Tiada Log. Walaupun kita memahami masa kita mungkin agak ganjil memandangkan pembebasan NordVPN’pengumuman, sila fahami ini adalah semata-mata kebetulan.”

Ini kelihatan seperti alasan yang munasabah, dan lebih kurang menjelaskan idea di sebalik tajuk artikel.

Walau bagaimanapun, audit Keselamatan Leviathian [pdf] menyimpulkan bahawa:

“Sambungan dilog semasa pengesahan, tetapi log yang dapat mengenal pasti pengguna disimpan hanya untuk masa yang singkat. Dengan menggunakan sumber terbuka atau aplikasi yang digunakan secara meluas untuk komponen pelayan dan klien, mereka telah mengurangkan risiko tidak sengaja menambah kelemahan ke dalam perisian itu sendiri.”

Juy 9, 2019: Pelayan ExpressVPN mendapat audit PwC

Jenis audit: audit privasi dan keselamatan

Hampir 8 bulan selepas NordVPN mengeluarkan keputusan audit dasar PwC mereka, ExpressVPN keluar dengan audit PwC mereka sendiri. Walau bagaimanapun, kali ini’s audit privasi dan keselamatan penuh.

Apa yang dimaksudkan pada dasarnya adalah bahawa ExpressVPN memberi juruaudit akses penuh kepada pasukan dan maklumat sistem mereka. ExpressVPN menulis dalam catatan blog mereka:

Dalam tempoh sebulan, PwC menemubual kakitangan yang bertanggungjawab untuk menguruskan pelayan VPN kami; diperiksa kod sumber, konfigurasi, dan fail log teknikal; dan memerhatikan konfigurasi dan proses penyebaran pelayan kami.

Laporan PwC nampaknya mengesahkan apa yang kita’sudah diketahui: ExpressVPN adalah VPN selamat, swasta dan selamat. Itu berita bagus - dan sesuatu yang kami harapkan akan membakar industri VPN yang lebih besar.

27 Ogos 2019: PureVPN mendapat diaudit oleh Altius IT

Jenis audit: audit polisi tiada pembalakan

Sekiranya ada’s satu penyedia VPN yang memerlukan audit dasar tanpa pembalakan, ia akan menjadi PureVPN. Jika anda masih ingat, mereka adalah orang yang tertangkap memberikan FBI dengan rekod penting dalam menahan dan mensabitkan Ryan Lin, 24 tahun. Rekod-rekod ini, atau log, tidak sepatutnya wujud, kerana PureVPN sebelum ini mendakwa tidak menyimpan sebarang log.

Sejak itu, mereka’telah mengemas kini Dasar Privasi mereka untuk mengetatkan dasar tidak log mereka. Tetapi dengan reputasi mereka sudah tercemar, mereka benar-benar memerlukan jaminan yang lebih kuat. Nasib baik, mereka mengontrak juruaudit keselamatan California yang berpusat di Altius IT untuk mengesahkan tuntutan mereka tanpa log.

Dan hasilnya? Di sini’apa yang dikatakan Altius:

“[kami] tidak menemui apa-apa bukti konfigurasi sistem dan / atau fail log sistem / perkhidmatan yang secara bebas, atau secara kolektif, boleh membawa kepada mengenal pasti orang tertentu dan / atau orang itu’aktiviti semasa menggunakan perkhidmatan PureVPN.”

Itu’berita yang cukup bagus, dan itu’s pasti langkah ke arah yang betul, walaupun kita’d suka melihat laporan untuk diri kita sendiri. Untuk meraikan, PureVPN bahkan memberi pengguna diskaun diskaun 30% ke atas semua rancangan mereka dengan kod NOLOGSVPN.

Siapa’s seterusnya?

Dalam rangka trend atau pergerakan untuk bekerja, perlu terus berkembang dan berkembang pesat. Dan walaupun pergerakan baru bermula, kita’masih menunggu beberapa gergasi VPN yang lain untuk sekurang-kurangnya mengisytiharkan audit bebas mereka sendiri. Ini termasuk:

  • TorGuard
  • CyberGhost
  • PrivateVPN
  • Akses Internet Persendirian
  • IPVanish
  • HideMyAss
  • dan cukup banyak setiap VPN yang lain

Jika mereka peduli dengan privasi, jika mereka peduli dengan keselamatan, jika mereka mahu membuktikan kepada dunia bahawa mereka boleh dipercayai, kita memerlukan resit. Kami memerlukan audit, atau sekurang-kurangnya untuk memberitahu kami apabila audit akan berlaku. Kami memerlukan mereka untuk mengumumkan secara terbuka bahawa mereka selamat, bahawa kami boleh mempercayai mereka, bahawa VPN benar-benar tidak melebarkan, menjual, atau membocorkan data kami untuk alasan apa pun.

Hanya dengan itu kita boleh memastikan bahawa kita’selamat menjelajah internet, dengan penuh privasi, keselamatan dan kawalan.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 81 = 89