VPN zahlt sich für Third Party Audit aus: Ist das die Zukunft?

Die letzten Jahre waren für die VPN-Branche (Virtual Private Network) eine schwierige Zeit. Es sind Nachrichten über VPNs aufgetaucht, die Bandbreite verkaufen, Werbung schalten, Benutzerdaten verkaufen, schlechte Sicherheit bieten und manchmal sogar darüber lügen, welche Verschlüsselung sie bereitstellen. Hier bei ProPrivacy.com sind wir uns der Probleme nur allzu bewusst. Aus diesem Grund prüfen wir VPNs sorgfältig und informieren die Verbraucher über ihre Mängel (sowie deren Eigenschaften)..

Erst letzte Woche wurde über eine Beschwerde der unabhängigen Interessenvertretung Center for Democracy and Technology (CDT) über das in den USA ansässige VPN Hotspot Shield berichtet. CDT hat bei der Federal Trade Commission eine 14-seitige Beschwerde eingereicht, weil es der Ansicht ist, dass Hotspot Shield gegen Abschnitt 5 des FTC-Gesetzes über das Verbot unlauterer und irreführender Handelspraktiken verstößt.

Das Problem wird in der ProPrivacy.com-Überprüfung von Hotspot Shield erläutert. Wie CDT sagt,

"Der Test von ProPrivacy zeigt genau, was Hotspot Shield falsch macht."

Joseph Jerome vom CDT erzählte es mir auch,

"Sie als Unkrautkranker in VPNs verstehen vielleicht, was sie tun, aber der Durchschnittsverbraucher weiß es nicht."

Denkanstoß

Das hat mich zum Nachdenken gebracht. CDT hat das Recht, sich bei der FTC zu beschweren. Warum? Da die Überprüfung von Hotspot Shield durch ProPrivacy.com für jedermann frei zugänglich ist, ist die Datenschutzrichtlinie von Hotspot Shield immer noch verwirrend. Verbraucher sollten keine Bewertungen wie unsere benötigen, um den Inhalt der Datenschutzrichtlinien eines VPN-Unternehmens zu entschlüsseln. Diese sollten von Anfang an in einfachem Englisch erklärt werden, damit die Abonnenten genau wissen, was sie erhalten.

Leider wissen die Verbraucher nicht immer, was sich unter der Haube eines VPN abspielt. Ein Bericht der Commonwealth Scientific and Industrial Research Organization (CSIRO) vom Anfang dieses Jahres analysierte schlechte Bewertungen (ein oder zwei Sterne) von VPNs im Google Play Store (mit mehr als 500.000 Installationen und einer Gesamtbewertung von 4 Sternen). Es hat das gefunden,

"Nur weniger als 1% der negativen Bewertungen beziehen sich auf Sicherheits- und Datenschutzbedenken, einschließlich missbräuchlicher oder zweifelhafter Erlaubnisanfragen und betrügerischer Aktivitäten."

Csiro 150X150

Das ist eine erstaunliche Statistik. Es zeigt, wie anfällig VPN-Kunden für die fehlerhaften Datenschutzansprüche von VPNs sind. Darüber hinaus müssen nicht nur VPN-Datenschutzrichtlinien präzise und ehrlich sein, sondern der gesamte VPN-Code und die gesamte VPN-Infrastruktur, die getestet werden müssen, um sicherzustellen, dass sie tatsächlich die Versprechen erfüllen, die sie machen. Leider sind VPNs derzeit nicht reguliert, sodass die Verbraucher einem Risiko ausgesetzt sind.

Nun hat eine VPN-Firma namens TunnelBear beschlossen, die Angelegenheit selbst in die Hand zu nehmen, um den bereits respektierten Service noch transparenter zu machen.

Das TunnelBear-VPN-Audit von Drittanbietern

TunnelBear ist ein VPN-Unternehmen mit Sitz in Toronto, Kanada, das gerade die Ergebnisse einer Prüfung durch Dritte bekannt gegeben hat. In seinem Blogbeitrag über das Audit erklärt TunnelBear, dass es sich aufgrund der wachsenden Besorgnis über die Praktiken kommerzieller VPNs dazu entschlossen hat, eine unabhängige Sicherheitsfirma für das Audit seines Service zu beauftragen:

"Obwohl wir das Vertrauen in die Branche nicht wiederherstellen können, haben wir erkannt, dass wir unseren Kunden zeigen können, warum sie auf TunnelBear vertrauen können und sollten."

Die Firma, die TunnelBear für dieses Audit beauftragt hat, heißt Cure53. TunnelBear gibt in seinem Blog-Beitrag offen zu, dass nicht alle Ergebnisse von Cure53 positiv waren:

"Wenn Sie sich die Ergebnisse bereits angesehen haben, haben Sie festgestellt, dass bei der Prüfung 2016 Schwachstellen in der Chrome-Erweiterung gefunden wurden, auf die wir nicht stolz waren. Es wäre schön gewesen, von Anfang an stärker zu sein, aber dies hat auch unser Verständnis für den Wert regelmäßiger, unabhängiger Tests gestärkt. Wir wollen Schwachstellen proaktiv finden, bevor sie ausgenutzt werden können. “

Alle Schwachstellen, die während des ersten Audits entdeckt wurden, wurden vom Entwicklungsteam von TunnelBear schnell behoben. Während des Folge-Audits stellte Cure53 fest, dass es TunnelBear gelungen war, alle wichtigen Sicherheitslücken zu schließen:

"Die Ergebnisse des zweiten Audits unterstreichen eindeutig, dass TunnelBear die Anerkennung für die Implementierung eines höheren Sicherheitsniveaus sowohl für die Server und die Infrastruktur als auch für die Clients und Browsererweiterungen für verschiedene Plattformen verdient."

Dies sind fantastische Neuigkeiten für die Kunden von TunnelBear. Es werden jedoch auch Alarme über andere VPNs ausgelöst. TunnelBear hatte nach eigenen Angaben gehofft, "von Anfang an stärker zu sein". Leider ist das, was wir uns erhoffen, nicht immer das, was wir bekommen.

Wenn es darum geht, die Hunderte von Codezeilen, aus denen sich ein VPN zusammensetzt, ordnungsgemäß zu prüfen - insbesondere, weil Kryptografie erforderlich ist -, gibt es nur wenige Personen, die diese Aufgabe ordnungsgemäß ausführen können. Darüber hinaus ist die Finanzierung einer Prüfung wie der von TunnelBear bezahlten (aus eigener Tasche) alles andere als billig.

Big Bill

Ein Zeichen der Zukunft?

Die gute Nachricht ist, dass bereits andere Audits durchgeführt werden. Im Mai haben die Ergebnisse einer Prüfung der OpenVPN-Verschlüsselung gezeigt, dass das führende VPN-Protokoll sicher ist. Dieser Bericht wurde vom Open Source Technology Improvement Fund (OSTIF) veröffentlicht. Es wurde durch Beiträge von vielen Einzelpersonen und Firmen aus der VPN-Branche (einschließlich ProPrivacy.com) bezahlt..

Der OSTIF-Bericht hat die Gültigkeit von OpenVPN als eine Form der Verschlüsselung bewiesen. Es wurde gezeigt, dass VPNs, die OpenVPN (nach den neuesten Standards) implementieren, ihren Benutzern eine hohe Vertraulichkeit und Sicherheit bieten. Diese Prüfung konnte jedoch nicht die Implementierung der benutzerdefinierten Clients von Drittanbieter-VPNs oder die clientseitige Infrastruktur und Sicherheit überprüfen. Das muss jedes VPN für sich selbst tun - wenn es beweisen will, dass jeder einzelne Teil seines Codes frei von Schwachstellen ist.

Bestanden Audit Vpn

Nicht genug tun

AirVPN, ein bekannter und sehr vertrauenswürdiger VPN-Anbieter, teilte mir mit, dass White-Hat-Hacker eingesetzt werden, um seine Infrastruktur regelmäßig zu testen:

"Unser Service basiert auf OpenVPN. Über OpenVPN haben wir ein umfangreiches Audit mitfinanziert, zusätzlich zu den normalen Peer-Reviews von Sicherheitsexperten und der Community für freie und Open-Source-Software.

"Unser Software-Client, ein OpenVPN-Wrapper und Frontend, ist eine kostenlose Open-Source-Software (veröffentlicht unter GPLv3). Der Quellcode ist in GitHub verfügbar.

"Wir veröffentlichen keine Bloatware, daher sind die verbleibenden Teile der Infrastruktur, für die Stress- und Angriffstests erforderlich sind, auf unserer Seite. Unsere Infrastruktur wird häufig von Fachleuten und autorisierten Personen (erfahrenen Hackern) auf der Suche nach Sicherheitslücken angegriffen, und natürlich analysiert das Personal von Air die Berichte über solche Angriffe sorgfältig. Wir machen keine Werbung für diese Aktivität und betrachten sie nicht als Marketinginstrument, da dies das normale und normale Verhalten in der IT-Branche ist, insbesondere wenn Dienste in einem öffentlichen Netzwerk verfügbar gemacht werden."

Cure53 Penetrationstests

Mario Heiderich von Cure53 sagte mir jedoch, dass es für VPNs nicht intuitiv ist, die durchgeführten Tests nicht zu bewerben:

"VPN-Anbieter sollten darüber laut sein, Transparenz bieten, Berichte veröffentlichen und ihren Benutzern beweisen, dass sie das Beste für sich im Sinn haben."

Außerdem hat mir Heiderich das erzählt "Der Client-Code auf Github oder ähnlichem zu haben, könnte hilfreich sein - dennoch hat viele Software kritische Fehler, obwohl sie Open Source ist. Es gibt also keinerlei Garantie dafür." Dieser wichtige Punkt unterstreicht die Bedeutung dieser Art von Prüfung. Schließlich besteht ein Unterschied zwischen Open Source-VPN-Code und Open Source-Code, der von unabhängiger Seite gründlich überprüft wurde.

Gut ... Großartig ... Besser

Verstehen Sie mich nicht falsch, in Bezug auf Transparenz ist AirVPN der überwiegenden Mehrheit der VPNs auf dem Markt einen Schritt voraus. Was TunnelBear jedoch getan hat, geht definitiv noch einen Schritt weiter. Es zeigt einen ungewöhnlich entschlossenen Ansatz, um die Vertrauenswürdigkeit des Dienstes hervorzuheben.

Gut besser

Hier bei ProPrivacy.com begrüßen wir TunnelBear dafür, dass es den Sprung geschafft hat, für seine eigene gründliche und öffentliche Prüfung zu zahlen. TunnelBear kann jetzt mit mehr Sicherheit als mit jedem anderen VPN angeben. Dies ist eine Position, die andere VPNs zweifellos emulieren möchten. Für uns ist dies etwas, das alle Top-End-VPNs tun sollten.

VPNs sollten in Bezug auf jeden Teil ihres Dienstes absolut ehrlich und transparent sein. TunnelBear hat diese Extrameile überschritten und bewiesen, dass es eine Möglichkeit gibt, den Ruf der VPN-Branche zu verbessern. Wir hoffen, dass sich weitere VPNs für dieses hervorragende Beispiel entscheiden.

Verbraucher müssen handeln!

Cure53 teilt mir mit, dass 38 Tage (die Zeit, die TunnelBear nach eigenen Angaben für die beiden Audits benötigt hat) etwa 45.000 US-Dollar kosten. Daher ist es sehr unwahrscheinlich, dass die Mehrheit der kommerziellen VPNs diesem Beispiel folgt.

Darüber hinaus werden die Verbraucher, bis sie Warnungen wie die hier bei ProPrivacy.com gemachten beachten, weiterhin ihre Privatsphäre durch VPNs gefährden, die darauf abzielen, schnell Geld zu verdienen. Verbraucher müssen Maßnahmen ergreifen, indem sie sich von VPNs mit schlechten Datenschutzrichtlinien fernhalten und sich von VPNs fernhalten, die falsche Behauptungen auf ihren Websites aufstellen. Es ist Zeit für Benutzer, miese VPNs zugunsten von vertrauenswürdigen und empfohlenen Diensten aufzugeben!

Meinungen sind die eigenen des Verfassers.

Titelbild Kredit: TunnelBear Homepage

Bildnachweis: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me