Gazetat, ju lutemi: rritja e auditimit të pavarur të VPN


Duket se ka një valë të re që rrjedh në komunitetin VPN: auditime të pavarura të shërbimeve VPN të njohura. Filloi së pari me TunnelBear në verën e vitit 2017, pastaj Mullvad, duke vazhduar me Surfshark’Auditimi i shfletuesit të tij VPN në nëntor. Në Nëntor 2018 u përhap në NordVPN, i cili lëshoi ​​gjetjet e auditimit të politikave të saj pa log nga “Big 4” firma audituese PwC (Pricewaterhouse Coopers).

Pastaj VyprVPN doli dhe deklaroi se ata gjithashtu kishin një auditim të pavarur të kryer për të siguruar që përdoruesit’ Informacioni personalisht i identifikueshëm (PII) nuk mblidhet në shërbimin e tyre. Dhe së fundmi ExpressVPN përdori gjithashtu PwC për auditimin e tyre, ndërsa PureVPN përdori Altius IT për të tyre.

Kjo prirje e re në industrinë VPN është e rëndësishme pasi shërbimet VPN gjithmonë bëjnë kërkesa të mëdha, dhe në rishikimet tona të gjera VPN, zbulojmë se ato pretendime shpesh përmbushen, por nganjëherë janë të ekzagjeruara.

Auditimet e pavarura të pjesëve të ndryshme të shërbimeve të tyre VPN do t’i dëshmojnë botës që ata në të vërtetë mund të mbështesin pretendimet e tyre me një produkt pune që siguron intimitetin dhe sigurinë.

Megjithatë, ajo’importantshtë e rëndësishme të theksohet se ekzistojnë dy lloje të ndryshme të auditimeve që mund të kryhen:

  • siguri revizion: shërbimi VPN jep aplikacionin e tyre’Kodi burimor i një auditori të pavarur, i cili heton kodin dhe përpiqet të simulojë sulmet për të identifikuar dobësitë
  • auditi pa prerje: ky auditim më i vështirë kërkon shumë më tepër akses, pasi auditori do të kontrollojë se çfarë informacioni ruhet në VPN’serverat

Të dy llojet e auditimeve janë të rëndësishme; megjithatë, ne’d ende i kushtojnë pak më shumë rëndësi auditimit të mos-loging pasi siguron që pretendimet për intimitetin e të dhënave të tyre janë të vërteta.

Kështu që le’Shikoni një vështrim të shpejtë se si filloi lëvizja, dhe ku ne e shpresojmë atë’drejtimi.

7 gusht 2017: TunnelBear përfundon auditimin e parë të industrisë së parë VPN të sigurisë

Lloji i auditimit: kontrolli i sigurisë

Në fund të vitit 2016, TunnelBear punësoi testuesit e pavarur gjermanë të sigurisë në internet, Cure53, për të kryer një kontroll të plotë sigurie të serverëve, aplikacioneve dhe infrastrukturës së tyre. Fillimisht ishte planifikuar të përdoret vetëm brenda vendit, por TunnelBear ndjeu se industrisë i duhej një ngritje e besimit pas krizave të shumta të sigurisë.

Postimi në blog është i datës për Gusht 2017, megjithëse kjo është data e auditimit të dytë të sigurisë. E para kishte përfunduar në vitin 2016 dhe gjeti dobësi të shumta në shtrirjen e tyre të Chrome, të cilat TunnelBear punoi për të rregulluar para auditimit të vitit 2017. Prandaj, këto dy përsëritje duhet të shihen si dy seksione të një auditimi më të madh.

ata’Tani publikuan auditimin e tyre të sigurisë VPN për vitin 2018. Në këtë, Cure53 zbuloi 2 “kritik,” 5 “i lartë,” 3 “medium,” 7 “ulët,” dhe disa “informative” çështje në të gjithë TunnelBear’sherbim.

Këto çështje kanë qenë “fiksuar menjëherë” nga TunnelBear. Në përgjithësi, auditimi [pdf] i vitit 2018 deklaron se auditimi kishte:

“zbuloi përparim të madh që ka bërë TunnelBear gjatë viteve të fundit. Kjo mundësohet qartë nga përpjekjet e vazhdueshme të ekipit të brendshëm, i cili arrin të prezantojë përmirësime të mëvonshme në integritetin dhe sigurinë e përgjithshme…”

Në përgjithësi, kjo’ashtë një fillim i shkëlqyeshëm i lëvizjes së re.

24 shtator 2018: Mullvad merr një kontroll të sigurisë për aplikacionin e saj

Lloji i auditimit: kontrolli i sigurisë

Në Shtator 2018, shërbimi VPN Suedez relativisht më pak i njohur Mullvad publikoi rezultatet e auditimit të tij të sigurisë. Edhe një herë, Cure53 u përdor për të kontrolluar kodin dhe për të kërkuar dobësitë.

Raporti Cure53 Mullvad [pdf] tregoi se ishin gjetur 7 çështje, një vlerësim “kritik” dhe një tjetër i vlerësuar “i lartë.” Auditorët vazhduan të pretendojnë se çështjet ishin:

“një numër jashtëzakonisht i vogël duke pasur parasysh fushën komplekse të softuerit VPN dhe sipërfaqen e lidhur, të gjerë të sulmit.”

Sidoqoftë, një aspekt i rëndësishëm u vu re nga Cure53: kontrolli i sigurisë nuk ishte’t gjithëpërfshirëse, pasi vetëm kontrollimi i pjesës së përparme ishte kontrolluar:

“Sidoqoftë, duhet të theksohet se në këtë rast vetëm aplikacionet dhe veçoritë mbështetëse janë kontrolluar, që do të thotë se nuk mund të merret asnjë aktgjykim për sjelljen e sigurisë së anës së serverit dhe prapambetjes.”

Ndërsa ka disa probleme me këtë auditim jo të plotë të sigurisë, përfshirë atë që nuk ndodh’Kontrolloni sesi mblidhen dhe përpunohen të dhënat e përdoruesit, megjithatë ai ka njëfarë rëndësie si auditimi i dytë i pavarur.

20 nëntor 2018: Surfshark merr një kontroll të zgjerimit të shfletuesit VPN

Lloji i auditimit: kontrolli i sigurisë

Në postimin e tyre në blog, më pak se dy javë më parë, Surfshark i bëri të ditur botës se zgjerimi i shfletuesit VPN i saj ishte audituar nga Cure53. Ky auditim (i disponueshëm këtu [pdf]) përbëhej nga një test depërtimi dhe një kontroll i kodit të Surshark’Zgjatjet e shfletuesit Chrome dhe Firefox.

Cure53 pretendoi se testet treguan Surfshark’Zgjatjet Chrome dhe Firefox ofrohen:

“një përshtypje shumë e fortë dhe nuk janë të ekspozuar ndaj asnjë çështje, as në intimitetin, as në sferat më të përgjithshme të sigurisë.”

Ky është një lajm i shkëlqyeshëm për Surfshark, pasi pretendimet e tij për intimitet duket se janë përmbushur – për shtesat e shfletuesit të tij. Megjithatë, ky auditim nuk i shikoi klientët e tij VPN për desktop ose celular, në mënyrë që’diçka për të kujtuar.

22 nëntor 2018: NordVPN merr një kontroll të politikës pa log

Lloji i auditimit: auditimi i politikave pa llogari

që’Kur djemtë e mëdhenj, NordVPN, u futën brenda dhe një javë më vonë lëshuan gjetjet fillestare nga auditimi i PwC për politikën e tyre pa log. Ne kemi dhënë analizën tonë të thelluar të auditimit të tyre të pavarur këtu, por mjafton që të themi se ne ende besojmë’dealshtë një çështje e madhe, veçanërisht duke marrë parasysh reputacionin e lartë të firmës audituese PwC.

Në një përpjekje për të zgjidhur njerëzit’Frika për atë se çfarë lloj të dhënash ofruesit VPN janë në të vërtetë prerjet, veçanërisht gjigandët si NordVPN, ata shkuan përpara dhe punësuan një gjigant në të drejtën e vet, të paktën në botën e auditimit: PwC. Ky kontroll në të vërtetë u zhvillua në gusht.

NordVPN thjesht deshi t’i tregojë botës se ata’është i besueshëm, dhe auditimi i PwC duket se tregon këtë. Në një version të dalë të raportit, PwC deklaroi:

“a) përshkrimi shoqërues paraqet me të drejtë Te&# 64257; ncom S.A.’s no-log shërbim NordVPN, dhe

b) shërbimi NordVPN është hartuar dhe zbatuar në mënyrë të përshtatshme që nga 1 nëntori 2018.”

Ata thjesht ndodhën që të botojnë postimin e tyre në blog në lidhje me rezultatet pas Surfshark.

29 nëntor 2018: VyprVPN’auditimi

Lloji i auditimit: auditimi i politikave pa llogari

Dhe pastaj arrijmë te VyprVPN’Postimi i fundit në blog në lidhje me auditimin e tyre të politikës pa llogari.

Në vend se të thuash thjesht, “Ne gjithashtu morëm një kontroll të pavarur,” në ato që duket si një marifet thjesht i marketingut, ata’gjithashtu pretendojnë se janë “Bota’Kontrata e parë e audituar publikisht No Log VPN Provider.” Kjo dukej e çuditshme duke parë që doli pas NordVPN’Postimi në blog i auditimit të politikave pa log.

Por përfaqësuesi i VyprVPN, Jim Crooks thotë se koha e lëshimit ishte thjesht e rastësishme:

“Ju lutemi kuptoni që për të përfunduar në mënyrë efektive një kontroll të kësaj madhësie, kërkon kohë të konsiderueshme. Ne kemi punuar në mënyrë aktive si nga brenda për të siguruar që shërbimet tona nuk janë Log, e ndjekur nga një marrëdhënie aktive me auditorët tanë Leviathan Security për të provuar dhe adresuar çdo çështje të ngritur gjatë gjithë zhvendosjes tonë në No Log. Megjithëse ne e kuptojmë se koha jonë mund të jetë e rastësishme duke marrë parasysh lëshimin e NordVPN’Njoftimi s, ju lutemi kuptoni që kjo ishte thjesht rastësi.”

Kjo duket si një arsye e arsyeshme e mjaftueshme, dhe pak a shumë shpjegon idenë prapa titullit të artikullit.

Megjithatë, auditimi i Sigurisë Leviathian [pdf] arriti në përfundimin se:

“Lidhjet regjistrohen gjatë autentifikimit, por shkrimet që mund të identifikojnë përdoruesit mbahen vetëm për një kohë të shkurtër. Me përdorimin e burimeve të hapura ose aplikacioneve të përdorura gjerësisht për komponentët e serverit dhe klientit, ata kanë zvogëluar rrezikun e shtimit të paqëllimshëm të një dobësie në vetë programin.”

Gusht 9, 2019: Serverët ExpressVPN marrin një audit PwC

Lloji i auditimit: auditimi i privatësisë dhe sigurisë

Pothuajse 8 muaj pasi NordVPN lëshoi ​​rezultatet e tyre të kontrollit të politikave pa llogari të PwC, ExpressVPN doli me auditimin e tyre të PwC. Këtë herë, megjithatë, ajo’një kontroll i plotë i intimitetit dhe sigurisë.

Whatfarë do të thotë në thelb është se ExpressVPN u dha auditorëve qasje të plotë në informacionin e ekipit dhe sistemit të tyre. ExpressVPN shkruan në postimin e tyre në blog:

Gjatë një muaji, PwC intervistoi stafin përgjegjës për menaxhimin e serverëve tanë VPN; kodi burimor i inspektuar, konfigurimet dhe skedarët logjikë teknikë; dhe vëzhgoi proceset e konfigurimit dhe vendosjes së serverit tonë.

Raporti i PwC duket se konfirmon atë që ne’Dihet tashmë: ExpressVPN është një VPN e sigurt, private dhe e sigurt. Ky është një lajm i shkëlqyeshëm – dhe diçka që shpresojmë se do t’i vërë zjarr industrisë më të madhe VPN.

27 gusht 2019: PureVPN auditohet nga Altius IT

Lloji i auditimit: auditimi i politikave pa llogari

Nëse ka’oneshtë një ofrues i VPN që ka nevojë për një kontroll të politikave pa prerje, do të ishte PureVPN. Nëse ju kujtohet, ata ishin ata të kapur duke siguruar FBI me të dhëna të dobishme për arrestimin dhe dënimin e 24-vjeçarit Ryan Lin. Këto regjistrime, ose shkrimet, nga rruga, nuk duhej të ekzistonin, pasi PureVPN kishte pretenduar më parë të mos mbante ndonjë regjistër.

Që atëherë, ata’azhurnuan Politikën e tyre të Intimitetit për të forcuar politikën e tyre për mos-logs. Por me reputacionin e tyre tashmë të njollosur, ata me të vërtetë kishin nevojë për garanci më të forta. Për fat të mirë, ata kontraktuan me auditorë sigurie me qendër në Kaliforni Altius IT për të verifikuar pretendimet e tyre për mos regjistrime.

Dhe rezultatet? këtu’whatfarë Altius kishte për të thënë:

“[ne] nuk gjetëm ndonjë provë të konfigurimit të sistemit dhe / ose skedarëve të regjistrit të sistemit / shërbimeve që në mënyrë të pavarur, ose kolektive, mund të çonin në identifikimin e një personi specifik dhe / ose personit’Aktiviteti i përdorimit të shërbimit PureVPN.”

që’s lajme mjaft të shkëlqyera, dhe kjo’Padyshim një hap në drejtimin e duhur, megjithëse ne’d dëshirojmë ta shohim raportin për veten tonë. Për të festuar, PureVPN madje po u jep përdoruesve një zbritje prej 30% në të gjitha planet e tyre me kodin NOLOGSVPN.

Kush’s tjetër?

Në mënyrë që një prirje ose lëvizje të funksionojë, duhet të vazhdojë në mënyrë të qëndrueshme dhe të rritet me shpejtësi. Dhe megjithëse lëvizja sapo fillon, ne’përsëri po presin disa nga gjigantët e tjerë të VPN të paktën të deklarojnë auditimet e tyre të pavarura. Kjo perfshin:

  • TorGuard
  • Cyberghost
  • PrivateVPN
  • Qasje në Internet private
  • IPVanish
  • HideMyAss
  • dhe pothuajse shumë çdo VPN tjetër

Nëse ata kujdesen për privatësinë, nëse ata kujdesen për sigurinë, nëse duan t’i dëshmojnë botës se mund t’u besohet, ne kemi nevojë për faturat. Ne kemi nevojë për auditime, ose të paktën për të na njoftuar kur auditimet do të ndodhin. Ne kemi nevojë që ata të deklarojnë publikisht se janë të sigurt, se mund t’u besojmë atyre, se VPN-të nuk janë absolutisht duke regjistruar, shitur, ose përhapur të dhënat tona për çfarëdo arsye.

Vetëm atëherë mund të sigurohemi që ne’po hulumtoni me siguri në internet, me intimitet, siguri dhe kontroll të plotë.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map