VPN betaler for tredjepartsrevision: Er dette fremtiden?

De sidste par år har været en ujævn tur for VPN-branchen. Der er kommet nyheder om VPN'er, der sælger båndbredde, injicerer annoncer, sælger brugerdata, giver dårlig sikkerhed og til tider endda lyver om, hvilken kryptering de leverer. Her på ProPrivacy.com er vi alle for opmærksomme på problemerne. Derfor gennemgår vi omhyggeligt VPN'er og informerer forbrugerne om deres mangler (såvel som deres attributter).


Bare i sidste uge brød der nyheder om en klage, som den uafhængige fortalergruppe Center for Democracy and Technology (CDT) har fremsat om den amerikanske VPN, Hotspot Shield. CDT har indgivet en klage på 14 sider til Federal Trade Commission, fordi den mener, at Hotspot Shield har overtrådt § 5 i FTC-lovens forbud mod illoyal og vildledende handelspraksis.

Problemet forklares i ProPrivacy.com-gennemgangen af ​​Hotspot Shield. Som CDT siger,

"ProPrivacy's anmeldelse fremhæver nøjagtigt, hvad Hotspot Shield gør forkert."

Joseph Jerome fra CDT fortalte mig det også,

"Du som nogen i ukrudtet på VPN'er forstår muligvis, hvad de laver, men den gennemsnitlige forbruger vil ikke."

Mad til tanke

Det fik mig til at tænke. CDT har ret til at klage til FTC. Hvorfor? For på trods af at ProPrivacy.com's anmeldelse af Hotspot Shield er frit tilgængeligt for enhver at læse, er Hotspot Shields privatlivspolitik stadig forvirrende. Forbrugerne skal ikke kræve anmeldelser som vores for at dechiffrere indholdet af et VPN-firma's privatlivspolitik: det skal forklares på almindeligt engelsk fra starten, så abonnenter ved nøjagtigt, hvad de får.

Desværre er forbrugere ikke altid opmærksomme på, hvad der sker under hætten på en VPN. En Commonwealth Scientific and Industrial Research Organization (CSIRO) -rapport fra tidligere i år analyserede dårlige anmeldelser (en eller to stjerner) af VPN'er i Google Play Store (der havde mere end 500K installationer og en samlet vurdering af 4-stjerner). Det fandt det,

"Kun mindre end 1% af de negative anmeldelser vedrører sikkerheds- og privatlivets fred, herunder brug af fornærmende eller tvivlsomme tilladelsesanmodninger og svigagtig aktivitet."

Csiro 150X150

Det er en overraskende statistik. Det viser, hvor sårbare VPN-forbrugere er over for de fejlagtige krav til beskyttelse af personlige oplysninger, der fremsættes af VPN'er. Hvad mere er, det er ikke kun VPN-privatlivspolitikker, der skal være nøjagtige og ærlige, men hele VPN's kode og infrastruktur, der skal testes for at sikre, at den faktisk leverer de løfter, den giver. Desværre er VPN'er i øjeblikket ikke reguleret, så forbrugere er i fare.

Nu har et VPN-firma kaldet TunnelBear besluttet at tage sagerne i egne hænder for at tilføje endnu mere gennemsigtighed til sin allerede respekterede service.

TunnelBear-tredjeparts VPN-revision

TunnelBear er et VPN-firma med base i Toronto, Canada, der netop har annonceret resultaterne af en tredjepartsrevision. I sit blogindlæg om revisionen forklarer TunnelBear, at det på grund af en stigning i bekymring for praksis med kommercielle VPN'er, besluttede det at ansætte et uafhængigt sikkerhedsfirma til at revidere sin tjeneste:

”Selvom vi ikke kan gendanne tilliden til branchen, indså vi, at vi kunne gå videre med at demonstrere for vores kunder, hvorfor de kan og bør have tillid til TunnelBear.”

Virksomheden, som TunnelBear ansat til at udføre denne revision, kaldes Cure53. I sit blogindlæg indrømmer TunnelBear ærligt, at ikke alle Cure53s fund var positive:

”Hvis du allerede har set på resultaterne, har du set, at 2016-revisionen fandt sårbarheder i Chrome-udvidelsen, som vi ikke var stolte af. Det ville have været dejligt at være stærkere ud af porten, men dette forstærkede også vores forståelse af værdien af ​​at have regelmæssig, uafhængig test. Vi ønsker proaktivt at finde sårbarheder, før de kan udnyttes. ”

Alle de sårbarheder, der blev opdaget i løbet af den indledende revision, blev hurtigt rettet af TunnelBears udviklingshold. Under opfølgningsrevisionen fandt Cure53, at TunnelBear havde formået at tilslutte alle de vigtigste sikkerhedsproblemer, den opdagede:

"Resultaterne af den anden revision understreger tydeligt, at TunnelBear fortjener anerkendelse for at implementere et bedre sikkerhedsniveau for både servere og infrastruktur samt klienter og browserudvidelser til forskellige platforme."

Dette er fantastiske nyheder for TunnelBears kunder. Dog rejser det også alarmer om andre VPN'er. Ved sin egen optagelse havde TunnelBear håbet på at ”være stærkere ud af porten.” Desværre er det, vi håber på, ikke altid det, vi får.

Når det kommer til korrekt revision af de hundreder af kodelinjer, der udgør en VPN - især fordi kryptografi er involveret - er der få mennesker, der kan udføre jobbet korrekt. Derudover er det langt fra billigt at finansiere en revision som den, TunnelBear betalte for (ud af sin egen lomme).

Big Bill

Et tegn på ting, der kommer?

Den gode nyhed er, at andre revisioner allerede sker. I maj beviste resultaterne af en revision af OpenVPN-kryptering, at den førende VPN-protokol var sikker. Denne rapport blev offentliggjort af Open Source Technology Improvement Fund (OSTIF). Det blev betalt af bidrag fra mange enkeltpersoner og virksomheder inden for VPN-branchen (inklusive ProPrivacy.com).

OSTIF-rapporten beviste gyldigheden af ​​OpenVPN som en form for kryptering. Det demonstrerede, at VPN'er, der implementerer OpenVPN (efter de nyeste standarder), giver deres brugere et stærkt privatliv og sikkerhed. Hvad denne revision imidlertid ikke kunne gøre, var at verificere tredjeparts VPN'ers tilpassede klienters implementering eller klientsideinfrastruktur og sikkerhed. Det er noget, som hver VPN skal forsøge at gøre for sig selv - hvis den vil bevise, at hver enkelt del af sin kode er fri for sårbarheder.

Bestået revision Vpn

Ikke gør nok

AirVPN, en velkendt og meget betroet VPN-udbyder, fortalte mig, at den beskæftiger hvid hat-hackere til at teste sin infrastruktur regelmæssigt:

"Vores service er baseret på OpenVPN. Om OpenVPN samfinansierede vi en omfattende revision ud over de normale peer reviews fra sikkerhedseksperter og community på gratis og open source software.

"Vores softwareklient, en OpenVPN-indpakning og frontend, er også gratis og open source-software (frigivet under GPLv3). Kildekode er tilgængelig i GitHub.

"Vi frigiver ikke noget bloatware, så de resterende dele af infrastrukturen, der har behov for stress- og angrebstest, er på vores side. Vores infrastruktur bliver ofte angrebet af professionelle og autoriserede personer (dygtige hackere) på jagt efter sårbarheder, og selvfølgelig analyserer luftpersonalet omhyggeligt rapporterne om sådanne angreb. Vi reklamerer ikke for denne aktivitet eller betragter den som et marketingværktøj, fordi dette er den almindelige og normale opførsel i IT-branchen, især når vi udsætter tjenester på et offentligt netværk."

Cure53 penetrationsforsøg

Mario Heiderich fra Cure53 fortalte mig dog, at VPN'er for ikke at annoncere den test, de har foretaget, er intuitive:

"VPN-udbydere skal være højt om det, skulle tilbyde gennemsigtighed, bør offentliggøre rapporter og bevise for deres brugere, at de har det bedst i tankerne for dem."

Derudover fortalte Heiderich mig det "at have deres klientkode på Github eller lignende kan hjælpe - alligevel har masser af software kritiske bugs til trods for at de er open source, så der er ingen garanti af nogen art." Det vigtige punkt fremhæver vigtigheden af ​​denne form for revision. Når alt kommer til alt er der forskel mellem at have Open Source VPN-kode og at have open source-kode, der er grundigt uafhængigt verificeret.

God ... Fantastisk ... Bedre

Misforstå mig ikke, hvad angår gennemsigtighed, er AirVPN spring og grænser foran det store flertal af VPN'er på markedet. Hvad TunnelBear har gjort, går imidlertid bestemt et skridt videre. Det demonstrerer en usædvanlig bestemt tilgang til at fremhæve tjenestens troværdighed.

God bedre

Her på ProPrivacy.com bifalder vi TunnelBear for at have lavet springet til at betale for sin egen dybdegående og offentlige revision. TunnelBear kan nu prale mere sikkert med dets sikkerhedsniveauer end næsten enhver anden VPN. Dette er en position, som andre VPN'er uden tvivl ønsker at efterligne. For os er dette noget, som alle top-end VPN'er skulle ønske at gøre.

VPN'er skal være helt ærlige og gennemsigtige omkring enhver del af deres service. TunnelBear er gået den ekstra mile og bevist, at der er en måde at forbedre VPN-brancheens omdømme. Vi håber, at flere VPN'er beslutter at følge dette fremragende eksempel.

Forbrugerne skal handle!

Cure53 informerer mig om, at 38 dage (den tidsperiode, som TunnelBear siger, at dens to revisioner tog) af revision koster cirka $ 45.000. Som sådan ser det meget usandsynligt ud, at størstedelen af ​​kommercielle VPN'er vil gå foran og følge efter.

Hvad mere er, indtil forbrugerne begynder at adlyde advarsler som dem, vi fremstiller her på ProPrivacy.com, vil de fortsat have deres privatliv kompromitteret af VPNs hensigt om at tjene et hurtigt penge. Forbrugerne er nødt til at gribe ind ved at styre væk fra VPN'er med dårlige privatlivspolitikker og holde sig fri for VPN'er, der fremsætter falske påstande på deres websteder. Det er tid for brugere at grøft elendige VPN'er til fordel for pålidelige og anbefalede tjenester!

Meningerne er forfatterens egne.

Titelbillede: TunnelBear-startsiden

Billedkreditter: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me