VPN płaci za audyt zewnętrzny: czy to przyszłość?

Ostatnie kilka lat to trudna jazda dla branży wirtualnej sieci prywatnej (VPN). Pojawiły się wiadomości na temat sieci VPN sprzedających przepustowość, wstrzykujących reklamy, sprzedających dane użytkowników, zapewniających słabe bezpieczeństwo, a czasem nawet kłamających na temat tego, jakie szyfrowanie zapewniają. Tutaj w ProPrivacy.com jesteśmy zbyt świadomi problemów. Dlatego dokładnie sprawdzamy VPN i informujemy konsumentów o ich wadach (a także o ich atrybutach).


W zeszłym tygodniu pojawiły się informacje na temat skargi złożonej przez niezależną grupę obrońców Center for Democracy and Technology (CDT) na temat amerykańskiej sieci VPN Hotspot Shield. CDT złożyło 14-stronicową skargę do Federalnej Komisji Handlu, ponieważ uważa, że ​​Hotspot Shield narusza sekcję 5 zakazu nieuczciwych i nieuczciwych praktyk handlowych ustawy FTC.

Problem wyjaśniono w przeglądzie ProPrivacy.com na temat Hotspot Shield. Jak stwierdza CDT,

„Recenzja ProPrivacy podkreśla dokładnie to, co robi Hotspot Shield”.

Joseph Jerome z CDT również mi powiedział,

„Ty, jako ktoś z chwastów w sieciach VPN, możesz zrozumieć, co robią, ale przeciętny konsument tego nie zrobi”.

Jedzenie dla przemyślenia

To mnie zastanowiło. CDT ma prawo złożyć skargę do FTC. Dlaczego? Ponieważ pomimo faktu, że opinia ProPrivacy.com na temat Hotspot Shield jest ogólnie dostępna dla każdego, każdy może przeczytać, polityka prywatności Hotspot Shield jest nadal myląca. Konsumenci nie powinni wymagać takich recenzji jak nasza, aby rozszyfrować treść polityki prywatności firmy VPN: należy to wyjaśnić prostym językiem od samego początku, aby subskrybenci wiedzieli dokładnie, co otrzymują.

Niestety konsumenci nie zawsze są świadomi tego, co dzieje się pod maską VPN. Raport organizacji Commonwealth Scientific and Industrial Research Organisation (CSIRO) z początku tego roku analizował słabe recenzje (jednej lub dwóch gwiazdek) sieci VPN w sklepie Google Play (który miał ponad 500 000 instalacji i ogólną ocenę 4 gwiazdek). Znalazło to,

„Tylko mniej niż 1% negatywnych opinii dotyczy problemów związanych z bezpieczeństwem i prywatnością, w tym wykorzystywania niewłaściwych lub wątpliwych próśb o pozwolenie oraz oszukańczych działań.”

Csiro 150X150

To zaskakująca statystyka. Pokazuje, jak podatni są klienci VPN na błędne roszczenia dotyczące prywatności zgłoszone przez VPN. Co więcej, nie tylko polityka prywatności VPN musi być precyzyjna i uczciwa, ale cały kod VPN i infrastruktura VPN muszą zostać przetestowane, aby upewnić się, że faktycznie spełnia obietnice. Niestety, VPN nie są obecnie regulowane, więc konsumenci są zagrożeni.

Teraz firma VPN o nazwie TunnelBear postanowiła wziąć sprawy w swoje ręce, aby jeszcze bardziej zwiększyć przejrzystość swojej już szanowanej usługi.

Audyt VPN firmy zewnętrznej TunnelBear

TunnelBear to firma VPN z siedzibą w Toronto w Kanadzie, która właśnie ogłosiła wyniki audytu zewnętrznego. W swoim blogu na temat audytu TunnelBear wyjaśnia, że ​​ze względu na rosnące obawy dotyczące praktyk komercyjnych sieci VPN zdecydowała się zatrudnić niezależną firmę ochroniarską do przeprowadzenia audytu swoich usług:

„Chociaż nie możemy przywrócić zaufania do branży, zdaliśmy sobie sprawę, że możemy pójść dalej, pokazując naszym klientom, dlaczego mogą i powinni ufać TunnelBear”.

Firma, którą zatrudnił TunnelBear do przeprowadzenia tego audytu, nazywa się Cure53. W swoim blogu TunnelBear szczerze przyznaje, że nie wszystkie ustalenia Cure53 były pozytywne:

„Jeśli już spojrzałeś na wyniki, zobaczyłeś, że audyt 2016 odkrył luki w rozszerzeniu Chrome, z których nie byliśmy dumni. Byłoby miło być silniejszym poza bramę, ale to również wzmocniło nasze zrozumienie wartości regularnych, niezależnych testów. Chcemy proaktywnie znajdować luki, zanim można je wykorzystać. ”

Wszystkie luki wykryte podczas wstępnego audytu zostały szybko naprawione przez zespół programistów TunnelBear. Podczas audytu kontrolnego Cure53 stwierdził, że TunnelBear zdołał usunąć wszystkie główne wykryte problemy bezpieczeństwa:

„Wyniki drugiego audytu wyraźnie podkreślają, że TunnelBear zasługuje na uznanie za wdrożenie lepszego poziomu bezpieczeństwa zarówno serwerów i infrastruktury, jak i klientów i rozszerzeń przeglądarki dla różnych platform.”

To fantastyczna wiadomość dla klientów TunnelBear. Budzi jednak również alarmy dotyczące innych sieci VPN. Jak sam przyznaje, TunnelBear miał nadzieję, że „będzie silniejszy poza bramą”. Niestety, niestety, nie zawsze mamy nadzieję, że otrzymamy.

Jeśli chodzi o prawidłowy audyt setek linii kodu tworzących VPN - szczególnie dlatego, że dotyczy to kryptografii - niewiele osób jest w stanie właściwie wykonać to zadanie. Co więcej, finansowanie audytu takiego jak ten, za który zapłacił TunnelBear (z własnej kieszeni), wcale nie jest tanie.

Big Bill

Znak rzeczy przyszłych?

Dobra wiadomość jest taka, że ​​inne audyty już się odbyły. W maju wyniki audytu szyfrowania OpenVPN wykazały, że wiodący protokół VPN jest bezpieczny. Raport ten został opublikowany przez Open Source Technology Improvement Fund (OSTIF). Zostało opłacone ze składek wielu osób i firm z branży VPN (w tym ProPrivacy.com).

Raport OSTIF potwierdził ważność OpenVPN jako formy szyfrowania. Wykazało, że sieci VPN wdrażające OpenVPN (zgodnie z najnowszymi standardami) zapewniają swoim użytkownikom silną prywatność i bezpieczeństwo. Audyt nie mógł jednak zweryfikować wdrożenia niestandardowych klientów VPN innych firm lub infrastruktury i bezpieczeństwa po stronie klienta. Jest to coś, co każda VPN musi zrobić dla siebie - jeśli chce udowodnić, że każda część kodu jest wolna od luk.

Przeszedł audyt VPN

Niewystarczająco

AirVPN, dobrze znany i bardzo zaufany dostawca VPN, powiedział mi, że zatrudnia hakerów w białych kapeluszach, aby regularnie testować swoją infrastrukturę:

"Nasza usługa oparta jest na OpenVPN. O OpenVPN współfinansowaliśmy szeroko zakrojony audyt, oprócz normalnych recenzji ekspertów i społeczności zajmujących się bezpieczeństwem, dotyczących wolnego i otwartego oprogramowania.

"Nasz klient oprogramowania, opakowanie i interfejs OpenVPN, jest również darmowym oprogramowaniem typu open source (wydanym na licencji GPLv3). Kod źródłowy jest dostępny w GitHub.

"Nie wydajemy żadnych programów typu bloatware, więc pozostałe części infrastruktury wymagające testów warunków skrajnych i ataków są po naszej stronie. Nasza infrastruktura jest często atakowana przez profesjonalnych i upoważnionych osób (wykwalifikowanych hakerów) w poszukiwaniu luk i, oczywiście, personel lotniczy dokładnie analizuje zgłoszenia takich ataków. Nie reklamujemy tej działalności ani nie uważamy jej za narzędzie marketingowe, ponieważ jest to zwykłe i normalne zachowanie w branży IT, szczególnie podczas udostępniania usług w sieci publicznej."

Testy penetracyjne Cure53

Jednak Mario Heiderich z Cure53 powiedział mi, że dla VPN nie reklamowanie przeprowadzonych testów jest sprzeczne z intuicją:

"Dostawcy VPN powinni głośno o tym mówić, powinni oferować przejrzystość, publikować raporty i udowadniać swoim użytkownikom, że mają dla nich najlepszy cel."

Ponadto Heiderich mi to powiedział "posiadanie kodu klienta na Github lub podobnym może pomóc - jednak wiele programów ma krytyczne błędy pomimo tego, że jest open source, więc nie ma żadnej gwarancji." Ten ważny punkt podkreśla znaczenie tego rodzaju audytu. W końcu istnieje różnica między posiadaniem kodu Open Source VPN a kodem Open Source, który został dokładnie niezależnie zweryfikowany.

Dobrze ... Świetnie ... lepiej

Nie zrozum mnie źle, jeśli chodzi o przejrzystość, AirVPN przeskakuje i wyprzedza ogromną większość sieci VPN na rynku. Jednak to, co zrobił TunnelBear, zdecydowanie idzie o krok dalej. Pokazuje to niezwykle zdeterminowane podejście do podkreślania wiarygodności usługi.

Dobre lepsze

Tutaj w ProPrivacy.com oklaskiwujemy TunnelBear za to, że dokonał skoku, aby zapłacić za swoją dogłębną i publiczną kontrolę. TunnelBear może teraz chwalić się swoim poziomem bezpieczeństwa bardziej niż jakąkolwiek inną siecią VPN. Jest to pozycja, którą inne VPN bez wątpienia będą chciały naśladować. Jeśli o nas chodzi, jest to coś, co powinny robić wszystkie topowe sieci VPN.

Sieci VPN powinny być całkowicie uczciwe i przejrzyste w odniesieniu do każdej części swojej usługi. TunnelBear poszedł o krok dalej i udowodnił, że istnieje sposób na poprawę reputacji branży VPN. Mamy nadzieję, że więcej VPN zdecyduje się pójść za tym doskonałym przykładem.

Konsumenci muszą działać!

Cure53 informuje mnie, że 38 dni (czas, o którym TunnelBear mówi, że zajęły jej dwa audyty), kosztuje około 45 000 USD. W związku z tym wydaje się bardzo mało prawdopodobne, aby większość komercyjnych sieci VPN poszła naprzód i poszła w ich ślady.

Co więcej, dopóki konsumenci nie zaczną słuchać ostrzeżeń, takich jak te, które robimy tutaj w ProPrivacy.com, będą oni nadal narażać swoją prywatność na szwank przez VPN zamierzające szybko zarobić. Konsumenci muszą podjąć działania, odsuwając się od sieci VPN o złej polityce prywatności i unikając sieci VPN, które przedstawiają fałszywe twierdzenia na swoich stronach internetowych. Czas, aby użytkownicy porzucili kiepskie sieci VPN na rzecz zaufanych i polecanych usług!

Opinie należą do autora.

Zdjęcie tytułowe: strona główna TunnelBear

Zdjęcia: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me