VPN betalar för tredjepartsrevision: Är detta framtiden?

De senaste åren har varit en ojämn resa för VPN-industrin (Virtual Private Network). Nyheter har framkommit om VPN som säljer bandbredd, injicerar annonser, säljer användardata, ger dålig säkerhet och ibland till och med ljuger om vilken kryptering de tillhandahåller. Här på ProPrivacy.com är vi alla medvetna om problemen. Det är därför vi granskar noggrant VPN: er och informerar konsumenterna om deras brister (liksom deras attribut).


Just förra veckan bröt nyheter om ett klagomål som den oberoende förespråkningsgruppen Center for Democracy and Technology (CDT) har gjort om den USA-baserade VPN, Hotspot Shield. CDT har lämnat in ett 14-sidars klagomål till Federal Trade Commission eftersom det anser att Hotspot Shield har brutit mot avsnitt 5 i FTC-lagens förbud mot illojal och vilseledande handelspraxis.

Frågan förklaras i ProPrivacy.com-granskningen av Hotspot Shield. Som CDT säger,

"ProPrivacy's recension belyser exakt vad Hotspot Shield gör fel."

Joseph Jerome från CDT berättade också för mig,

"Du som någon i ogräs på VPN kan förstå vad de gör, men den genomsnittliga konsumenten kommer inte."

Något att tänka på

Det fick mig att tänka. CDT har rätt att klaga till FTC. Varför? För trots att ProPrivacy.coms granskning av Hotspot Shield är fritt tillgängligt för alla att läsa, är Hotspot Shields sekretesspolicy fortfarande förvirrande. Konsumenter bör inte kräva recensioner som vår för att dechiffrera innehållet i ett VPN-företags integritetspolicy: det bör förklaras på vanligt engelska från början så att prenumeranter vet exakt vad de får.

Tyvärr är konsumenterna inte alltid medvetna om vad som händer under huven på ett VPN. En Commonwealth Scientific and Industrial Research Organization (CSIRO) -rapport från tidigare i år analyserade dåliga recensioner (en eller två stjärnor) av VPN: er i Google Play Store (som hade mer än 500K-installationer och ett totalt betyg på 4-stjärnor). Det fann det,

"Endast mindre än 1% av de negativa recensionerna avser säkerhets- och integritetsproblem, inklusive användning av missbruk eller tvivelaktiga tillståndförfrågningar och bedräglig aktivitet."

Csiro 150X150

Det är en häpnadsväckande statistik. Den visar hur sårbara VPN-konsumenter är för de felaktiga integritetsanspråk som VPN: er gör. Dessutom är det inte bara VPN-sekretesspolicyer som måste vara exakta och ärliga, utan hela VPN: s kod och infrastruktur som måste testas för att säkerställa att den faktiskt levererar de löften den ger. Tyvärr regleras inte VPN för närvarande så konsumenterna är i riskzonen.

Nu har ett VPN-företag som heter TunnelBear beslutat att ta frågor i sina egna händer för att ge ännu mer öppenhet till sin redan respekterade tjänst.

TunnelBear tredjeparts VPN-revision

TunnelBear är ett VPN-företag baserat i Toronto, Kanada, som just har meddelat resultaten av en tredjepartsrevision. I sitt blogginlägg om revisionen förklarar TunnelBear att det på grund av en ökad oro över praxis för kommersiella VPN: er beslutade att anställa ett oberoende säkerhetsföretag för att granska sin tjänst:

"Även om vi inte kan återställa förtroendet för branschen, insåg vi att vi kunde gå vidare för att visa våra kunder varför de kan och borde ha förtroende för TunnelBear."

Företaget som TunnelBear anställde för att göra denna granskning kallas Cure53. I sitt blogginlägg medger TunnelBear uppriktigt att inte alla Cure53s resultat var positiva:

"Om du redan har tittat på resultaten har du sett att revisionen 2016 hittade sårbarheter i Chrome-tillägget som vi inte var stolta över. Det hade varit trevligt att vara starkare utanför grinden, men detta förstärkte också vår förståelse för värdet av att ha regelbundna, oberoende tester. Vi vill proaktivt hitta sårbarheter innan de kan utnyttjas. ”

Alla sårbarheter som upptäcktes under den första revisionen fixades snabbt av TunnelBears utvecklingsteam. Under uppföljningsrevisionen fann Cure53 att TunnelBear hade lyckats ansluta alla viktiga säkerhetsproblem som den upptäckte:

"Resultaten av den andra revisionen understryker tydligt att TunnelBear förtjänar erkännande för att implementera en bättre säkerhetsnivå för både servrar och infrastruktur samt klienter och webbläsarförlängningar för olika plattformar."

Detta är fantastiska nyheter för TunnelBears kunder. Men det ger också larm om andra VPN: er. TunnelBear hade hoppats att ”vara starkare utanför grinden”. Trots det är det vi hoppas på inte alltid vad vi får.

När det gäller korrekt granskning av de hundratals kodrader som utgör ett VPN - särskilt för att kryptografi är involverat - finns det få personer som kan göra jobbet ordentligt. Dessutom är det långt ifrån billigt att finansiera en revision som den som TunnelBear betalade för (ur sin egen ficka).

Big Bill

Ett tecken på saker som kommer?

Den goda nyheten är att andra revisioner redan sker. I maj bevisade resultaten av en granskning av OpenVPN-kryptering att det ledande VPN-protokollet var säkert. Rapporten publicerades av Open Source Technology Improvement Fund (OSTIF). Det betalades av bidrag från många individer och företag inom VPN-branschen (inklusive ProPrivacy.com).

OSTIF-rapporten bevisade giltigheten av OpenVPN som en form av kryptering. Den visade att VPN: er som implementerar OpenVPN (enligt de senaste standarderna) ger sina användare stark integritet och säkerhet. Men vad revisionen inte kunde göra var att verifiera tredjeparts VPN: s anpassade klienters implementering eller klientsidan infrastruktur och säkerhet. Det är något som varje VPN måste försöka göra för sig själv - om den vill bevisa att varje del av sin kod är fri från sårbarheter.

Godkänd revision Vpn

Inte gör tillräckligt

AirVPN, en välkänd och mycket pålitlig VPN-leverantör, berättade för mig att den använder hackhackar för att testa sin infrastruktur regelbundet:

"Vår tjänst är baserad på OpenVPN. Om OpenVPN samfinansierade vi en omfattande revision, utöver de vanliga peer-granskningarna av säkerhetsexperter och community på gratis och öppen källkodsprogramvara.

"Vår programvaruklient, en OpenVPN-omslag och frontend, är också gratis och öppen källkodsprogramvara (släppt under GPLv3). Källkod finns i GitHub.

"Vi släpper inte några bloatware, så de återstående delarna av infrastrukturen som kräver stress- och attacktester är på vår sida. Vår infrastruktur attackeras ofta av professionella och auktoriserade personer (skickliga hackare) på jakt efter sårbarheter och naturligtvis analyserar Air-personalen noggrant rapporterna om sådana attacker. Vi annonserar inte denna aktivitet eller anser att det är ett marknadsföringsverktyg, eftersom detta är det vanliga och normala beteendet inom IT-branschen, särskilt när vi utsätter tjänster i ett offentligt nätverk."

Cure53 penetrationstester

Men Mario Heiderich från Cure53 berättade för mig att VPN: er för att inte annonsera testningen de har gjort är motsatt:

"VPN-leverantörer bör vara högt om det, ska erbjuda öppenhet, ska publicera rapporter och bevisa för sina användare att de har det bästa i åtanke för dem."

Dessutom berättade Heiderich för mig det "att ha sin klientkod på Github eller liknande kan hjälpa - ändå har massor av programvara kritiska buggar trots att de är öppen källkod, så det finns ingen garanti av något slag." Den viktiga punkten belyser vikten av denna typ av revision. När allt kommer omkring finns det skillnad mellan att ha Open Source VPN-kod och att ha open source-kod som har noggrant verifierats.

Bra ... Bra ... Bättre

Misför mig inte, när det gäller transparens är AirVPN hopp och gränser före den stora majoriteten av VPN på marknaden. Men vad TunnelBear har gjort går definitivt ett steg längre. Det visar en ovanligt bestämd strategi för att lyfta fram tjänstens pålitlighet.

Bra bättre

Här på ProPrivacy.com berömmer vi TunnelBear för att ha gjort språnget för att betala för sin egen djupgående och offentliga revision. TunnelBear kan nu skryta mer säker med sina säkerhetsnivåer än bara om någon annan VPN. Detta är en position som andra VPN utan tvekan vill efterlikna. När det gäller oss är detta något som alla toppnord-VPN: er bör göra.

VPN: n ska vara helt ärliga och öppna för varje del av deras tjänst. TunnelBear har gått den extra milen och bevisat att det finns ett sätt att förbättra VPN-industrins rykte. Vi hoppas att fler VPN: er väljer att följa detta utmärkta exempel.

Konsumenter måste agera!

Cure53 informerar mig om att 38 dagar (den tid som TunnelBear säger att dess två revisioner tog) av revision kostar cirka 45 000 dollar. Som sådan verkar det mycket osannolikt att majoriteten av kommersiella VPN: er kommer att gå vidare och följa efter.

Dessutom, tills konsumenterna börjar följa varningar som de vi gör här på ProPrivacy.com, kommer de att fortsätta att ha sin integritet komprometterad av VPN: s avsikt att tjäna ett snabbt pengar. Konsumenter måste vidta åtgärder genom att styra sig från VPN med dålig integritetspolicy och hålla sig borta från VPN som gör falska påståenden på sina webbplatser. Det är dags för användare att dike elaka VPN till förmån för pålitliga och rekommenderade tjänster!

Åsikter är författarens egna.

Titelbild kredit: TunnelBear hemsida

Bildkrediter: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me