La VPN paga per l’audit di terze parti: è questo il futuro?

Gli ultimi anni sono stati un giro accidentato per l'industria della rete privata virtuale (VPN). Sono emerse notizie sulle VPN che vendono larghezza di banda, iniettano pubblicità, vendono dati degli utenti, forniscono scarsa sicurezza e, a volte, mentono persino su quale crittografia forniscono. Qui su ProPrivacy.com, siamo fin troppo consapevoli dei problemi. Ecco perché esaminiamo attentamente le VPN e informiamo i consumatori sui loro difetti (e sui loro attributi).

Proprio la scorsa settimana, sono arrivate le notizie su una denuncia che il gruppo indipendente di difesa del Centro per la democrazia e la tecnologia (CDT) ha fatto riguardo alla VPN con sede negli Stati Uniti, Hotspot Shield. CDT ha presentato un reclamo di 14 pagine alla Federal Trade Commission perché ritiene che Hotspot Shield stia violando la Sezione 5 del divieto della legge FTC contro pratiche commerciali sleali e ingannevoli.

Il problema è spiegato nella recensione di ProPrivacy.com di Hotspot Shield. Come afferma CDT,

"La recensione di ProPrivacy evidenzia esattamente ciò che Hotspot Shield fa di sbagliato."

Anche Joseph Jerome di CDT mi ha detto,

"Tu, come qualcuno tra le erbacce su VPN, potresti capire cosa stanno facendo, ma il consumatore medio non lo farà."

Cibo per la mente

Mi ha fatto pensare. CDT ha ragione a sporgere denuncia all'FTC. Perché? Perché, nonostante il fatto che la recensione di ProPrivacy.com di Hotspot Shield sia liberamente disponibile per chiunque, la politica sulla privacy di Hotspot Shield è ancora confusa. I consumatori non dovrebbero richiedere recensioni come la nostra per decifrare il contenuto della politica sulla privacy di una società VPN: dovrebbe essere spiegato in un inglese semplice sin dall'inizio in modo che gli abbonati sappiano esattamente cosa stanno ottenendo.

Sfortunatamente, i consumatori non sono sempre consapevoli di ciò che accade sotto il cofano di una VPN. Un rapporto dell'organizzazione di ricerca scientifica e industriale del Commonwealth (CSIRO) all'inizio di quest'anno ha analizzato le recensioni negative (una o due stelle) delle VPN sul Google Play Store (che aveva più di 500.000 installazioni e una valutazione complessiva di 4 stelle). Lo ha trovato,

"Solo meno dell'1% delle recensioni negative si riferisce a problemi di sicurezza e privacy, compreso l'uso di richieste di autorizzazione abusive o dubbie e attività fraudolente."

Csiro 150X150

Questa è una statistica sorprendente. Dimostra quanto siano vulnerabili i consumatori VPN alle errate dichiarazioni sulla privacy fatte dalle VPN. Inoltre, non sono solo le politiche sulla privacy della VPN che devono essere precise e oneste, ma l'intero codice e l'infrastruttura di una VPN che devono essere testati per accertare che stia effettivamente promettendo. Purtroppo, le VPN non sono attualmente regolamentate, quindi i consumatori sono a rischio.

Ora, una società VPN chiamata TunnelBear ha deciso di prendere in mano la situazione al fine di aggiungere ancora più trasparenza al suo servizio già rispettato.

Audit VPN di terze parti TunnelBear

TunnelBear è una società VPN con sede a Toronto, in Canada, che ha appena annunciato i risultati di un audit di terze parti. Nel suo post sul blog sull'audit, TunnelBear spiega che a causa di un aumento delle preoccupazioni sulle pratiche delle VPN commerciali, ha deciso di assumere una società di sicurezza indipendente per controllare il suo servizio:

"Anche se non possiamo ripristinare la fiducia nel settore, ci siamo resi conto che potremmo andare oltre nel dimostrare ai nostri clienti perché possono e dovrebbero avere fiducia in TunnelBear."

La ditta che TunnelBear impiegava per fare quell'audit si chiama Cure53. Nel suo post sul blog, TunnelBear ammette candidamente che non tutti i risultati di Cure53 erano positivi:

"Se hai già esaminato i risultati, hai visto che l'audit del 2016 ha rilevato vulnerabilità nell'estensione di Chrome di cui non eravamo orgogliosi. Sarebbe stato bello essere più forti fuori dal cancello, ma ciò ha anche rafforzato la nostra comprensione del valore di avere test regolari e indipendenti. Vogliamo trovare in modo proattivo le vulnerabilità prima che possano essere sfruttate. "

Tutte le vulnerabilità scoperte nel corso dell'audit iniziale sono state rapidamente risolte dal team di sviluppo di TunnelBear. Durante l'audit di follow-up, Cure53 ha scoperto che TunnelBear era riuscito a collegare tutti i principali problemi di sicurezza rilevati:

"I risultati del secondo audit sottolineano chiaramente che TunnelBear merita il riconoscimento per l'implementazione di un livello di sicurezza migliore sia per i server che per l'infrastruttura, nonché per i client e le estensioni del browser per varie piattaforme."

Questa è una notizia fantastica per i clienti di TunnelBear. Tuttavia, genera anche allarmi su altre VPN. Per sua stessa ammissione, TunnelBear aveva sperato di "essere più forte fuori dal cancello". Purtroppo, tuttavia, ciò che speriamo non è sempre quello che otteniamo.

Quando si tratta di controllare correttamente le centinaia di righe di codice che compongono una VPN - soprattutto perché è coinvolta la crittografia - ci sono poche persone che possono svolgere correttamente il lavoro. Inoltre, finanziare un audit come quello che TunnelBear ha pagato (di tasca propria) è tutt'altro che economico.

Big Bill

Un segno di cose a venire?

La buona notizia è che altri audit avvengono già. A maggio, i risultati di un controllo della crittografia OpenVPN hanno dimostrato che il protocollo VPN principale era sicuro. Tale rapporto è stato pubblicato dal Open Source Technology Improvement Fund (OSTIF). È stato pagato con i contributi di molte persone e aziende del settore VPN (incluso ProPrivacy.com).

Il rapporto OSTIF ha dimostrato la validità di OpenVPN come forma di crittografia. Ha dimostrato che le VPN che implementano OpenVPN (secondo gli standard più recenti) stanno fornendo ai loro utenti una forte privacy e sicurezza. Tuttavia, ciò che tale audit non ha potuto fare è stato verificare l'implementazione dei client personalizzati delle VPN di terze parti o l'infrastruttura e la sicurezza sul lato client. Questo è qualcosa che ogni VPN deve cercare di fare da sola - se vuole dimostrare che ogni singola parte del suo codice è priva di vulnerabilità.

Audit superato Vpn

Non fare abbastanza

AirVPN, un noto provider VPN di grande fiducia, mi ha detto che impiega hacker con cappello bianco per testare regolarmente la sua infrastruttura:

"Il nostro servizio si basa su OpenVPN. A proposito di OpenVPN abbiamo cofinanziato un ampio audit, oltre alle normali revisioni tra pari da parte di esperti di sicurezza e comunità su software gratuito e open source.

"Il nostro client software, un wrapper e frontend OpenVPN, è anche un software gratuito e open source (rilasciato sotto GPLv3). Il codice sorgente è disponibile in GitHub.

"Non rilasciamo bloatware, quindi le restanti parti dell'infrastruttura che necessitano di stress e test di attacco sono dalla nostra parte. La nostra infrastruttura viene frequentemente attaccata da persone professionali e autorizzate (hacker specializzati) in cerca di vulnerabilità e, naturalmente, il personale di Air analizza attentamente le segnalazioni di tali attacchi. Non pubblicizziamo questa attività né la consideriamo uno strumento di marketing, poiché si tratta del comportamento normale e normale nel settore IT, in particolare quando si espongono servizi su una rete pubblica."

Test di penetrazione Cure53

Tuttavia, Mario Heiderich di Cure53 mi ha detto che, per le VPN non pubblicizzare i test che hanno fatto è controintuitivo:

"I provider di VPN dovrebbero essere rumorosi, offrire trasparenza, pubblicare report e dimostrare ai propri utenti di avere in mente il meglio per loro."

Inoltre, Heiderich me lo ha detto "avere il proprio codice client su Github o simili potrebbe aiutare - eppure molti software hanno bug critici nonostante siano open source, quindi non esiste alcuna garanzia di alcun tipo." Questo importante punto evidenzia l'importanza di questo tipo di audit. Dopotutto, c'è una differenza tra avere un codice VPN Open Source e avere un codice open source che è stato verificato in modo completamente indipendente.

Bene ... Fantastico ... Meglio

Non fraintendetemi, in termini di trasparenza, AirVPN fa passi da gigante rispetto alla stragrande maggioranza delle VPN sul mercato. Tuttavia, ciò che TunnelBear ha fatto va decisamente oltre. Dimostra un approccio insolitamente determinato per evidenziare l'affidabilità del servizio.

Bene meglio

Qui a ProPrivacy.com, applaudiamo TunnelBear per aver fatto il salto per pagare il suo audit pubblico e approfondito. TunnelBear ora può vantarsi con maggiore sicurezza dei propri livelli di sicurezza rispetto a qualsiasi altra VPN. Questa è una posizione che altre VPN vorranno senza dubbio emulare. Per quanto ci riguarda, questo è qualcosa che tutte le VPN di fascia alta dovrebbero voler fare.

Le VPN dovrebbero essere completamente oneste e trasparenti su ogni parte del loro servizio. TunnelBear ha fatto quel miglio in più e ha dimostrato che esiste un modo per migliorare la reputazione del settore VPN. Speriamo che più VPN decidano di seguire questo eccellente esempio.

I consumatori devono agire!

Cure53 mi informa che 38 giorni (il periodo di tempo che TunnelBear afferma che i suoi due audit hanno richiesto) di audit costa circa $ 45.000. In quanto tale, sembra altamente improbabile che la maggior parte delle VPN commerciali prosegua e segua l'esempio.

Inoltre, fino a quando i consumatori non inizieranno a prestare attenzione ad avvertimenti come quelli che facciamo qui su ProPrivacy.com, continueranno ad avere la loro privacy compromessa dalle VPN intese a guadagnare rapidamente. I consumatori devono agire allontanandosi dalle VPN con politiche sulla privacy scadenti e evitando le VPN che fanno affermazioni false sui loro siti Web. È tempo che gli utenti abbandonino le pessime VPN a favore di servizi affidabili e consigliati!

Le opinioni sono proprie dello scrittore.

Credito immagine titolo: Home page di TunnelBear

Crediti immagine: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me