VPN betaler for tredjepartsrevisjon: Er dette fremtiden?

De siste årene har vært en humpete tur for VPN-bransjen. Det har kommet nyheter om VPN-er som selger båndbredde, injiserer annonser, selger brukerdata, gir dårlig sikkerhet og til tider til og med lyver om hvilken kryptering de gir. Her på ProPrivacy.com er vi altfor klar over problemene. Det er derfor vi gjennomgår VPN-er nøye og informerer forbrukerne om deres feil (så vel som attributtene deres).

Bare forrige uke brøt nyheter om en klage som den uavhengige fortalergruppen Center for Democracy and Technology (CDT) har kommet med om den USA-baserte VPN, Hotspot Shield. CDT har sendt inn en 14-siders klage til Federal Trade Commission fordi den mener at Hotspot Shield har brutt paragraf 5 i FTC-lovens forbud mot urettferdig og villedende handelspraksis.

Problemet blir forklart i ProPrivacy.com-gjennomgangen av Hotspot Shield. Som CDT uttaler,

"ProPrivacy's gjennomgang belyser nøyaktig hva Hotspot Shield gjør galt."

Joseph Jerome fra CDT fortalte meg det også,

"Du som noen i ugresset på VPN-er kan forstå hva de gjør, men den gjennomsnittlige forbrukeren vil ikke."

Noe å tenke på

Det fikk meg til å tenke. CDT har rett til å klage til FTC. Hvorfor? For til tross for at ProPrivacy.coms gjennomgang av Hotspot Shield er fritt tilgjengelig for alle å lese, er Hotspot Shields personvernregler fremdeles forvirrende. Forbrukere skal ikke kreve anmeldelser som vår for å dechiffrere innholdet i et VPN-firmaets personvernregler: det skal forklares på vanlig engelsk fra begynnelsen, slik at abonnenter vet nøyaktig hva de får.

Dessverre er ikke forbrukere alltid klar over hva som foregår under panseret til en VPN. En Commonwealth Scientific and Industrial Research Organization (CSIRO) -rapport fra tidligere i år analyserte dårlige anmeldelser (en eller to stjerner) av VPN-er i Google Play Store (som hadde mer enn 500 000 installasjoner og en samlet vurdering av 4-stjerner). Det fant den ut,

"Bare mindre enn 1% av de negative vurderingene gjelder sikkerhets- og personvernhensyn, inkludert bruk av fornærmende eller tvilsomme tillatelsesforespørsler og uredelig aktivitet."

Csiro 150X150

Det er en oppsiktsvekkende statistikk. Det demonstrerer hvor sårbare VPN-forbrukere er overfor feilaktige personvernkrav fra VPN-er. Dessuten er det ikke bare VPN-personvernregler som må være presise og ærlige, men hele VPNs kode og infrastruktur som må testes for å sikre at den faktisk leverer løftene den gir. Dessverre er ikke VPN-er regulert for øyeblikket, så forbrukere er i faresonen.

Nå har et VPN-firma som heter TunnelBear bestemt seg for å ta saken i egne hender for å legge enda mer åpenhet til den allerede respekterte tjenesten.

TunnelBear-tredjeparts VPN-revisjon

TunnelBear er et VPN-firma med base i Toronto, Canada, som nettopp har kunngjort resultatene fra en tredjepartsrevisjon. I sitt blogginnlegg om tilsynet forklarer TunnelBear at på grunn av en økning i bekymring for praksis med kommersielle VPN-er, bestemte den seg for å ansette et uavhengig sikkerhetsselskap for å revidere tjenesten sin:

"Selv om vi ikke kan gjenopprette tilliten til bransjen, skjønte vi at vi kunne gå videre med å demonstrere for kundene våre hvorfor de kan og bør ha tillit til TunnelBear."

Firmaet som TunnelBear ansatt for å gjøre den tilsynet kalles Cure53. I sitt blogginnlegg innrømmer TunnelBear åpenlyst at ikke alle funn av Cure53 var positive:

"Hvis du allerede har sett på resultatene, har du sett at tilsynet fra 2016 fant sårbarheter i Chrome-utvidelsen som vi ikke var stolte av. Det hadde vært fint å være sterkere utenfor porten, men dette forsterket også vår forståelse av verdien av å ha regelmessig, uavhengig testing. Vi ønsker å finne sårbarheter proaktivt før de kan utnyttes. ”

Alle sårbarhetene som ble oppdaget i løpet av den første revisjonen ble raskt løst av TunnelBears utviklingsteam. Under oppfølgingsrevisjonen fant Cure53 at TunnelBear hadde klart å plugge alle de viktigste sikkerhetsproblemene som den oppdaget:

"Resultatene av den andre tilsynet understreker tydelig at TunnelBear fortjener anerkjennelse for å implementere et bedre sikkerhetsnivå for både servere og infrastruktur, så vel som klienter og nettleserutvidelser for forskjellige plattformer."

Dette er fantastiske nyheter for TunnelBears kunder. Imidlertid vekker det også alarmer om andre VPN-er. Ved egen innrømmelse hadde TunnelBear håpet å "være sterkere ut av porten." Men det vi håper på er ikke alltid det vi får.

Når det gjelder riktig revisjon av de hundrevis av kodelinjer som utgjør en VPN - spesielt fordi kryptografi er involvert - er det få mennesker som kan gjøre jobben ordentlig. I tillegg er det langt fra billig å finansiere en revisjon som den som TunnelBear betalte for (ut av egen lomme).

Big Bill

Et tegn på ting som kommer?

Den gode nyheten er at andre tilsyn allerede skjer. I mai beviste resultatene av en revisjon av OpenVPN-kryptering at den ledende VPN-protokollen var sikker. Denne rapporten ble publisert av Open Source Technology Improvement Fund (OSTIF). Det ble betalt av bidrag fra mange individer og firmaer i VPN-bransjen (inkludert ProPrivacy.com).

OSTIF-rapporten beviste gyldigheten av OpenVPN som en form for kryptering. Det demonstrerte at VPN-er som implementerer OpenVPN (til de nyeste standardene) gir brukerne et sterkt privatliv og sikkerhet. Det revisjonen ikke kunne gjøre, var imidlertid å bekrefte tredjeparts VPN-ere tilpassede klienter implementering eller klientsiden infrastruktur og sikkerhet. Det er noe hver VPN må søke å gjøre for seg selv - hvis den vil bevise at hver eneste del av koden er fri for sårbarheter.

Bestått tilsyn Vpn

Gjør ikke nok

AirVPN, en kjent og høyt pålitelig VPN-leverandør, fortalte meg at den sysselsetter hvite hathacker for å teste infrastrukturen regelmessig:

"Tjenesten vår er basert på OpenVPN. Om OpenVPN samfinansierte vi en omfattende revisjon, i tillegg til normale fagfellevurderinger av sikkerhetseksperter og samfunn på gratis og åpen kildekode-programvare..

"Vår programvareklient, en OpenVPN-innpakning og frontend, er også gratis og open source-programvare (utgitt under GPLv3). Kildekode er tilgjengelig i GitHub.

"Vi slipper ikke noe bloatware, så de resterende delene av infrastrukturen som trenger stress- og angrepstester er på vår side. Infrastrukturen vår angripes ofte av profesjonelle og autoriserte personer (dyktige hackere) på jakt etter sårbarheter, og selvfølgelig analyserer Air-staben nøye rapportene om slike angrep. Vi annonserer ikke denne aktiviteten eller anser det som et markedsføringsverktøy, fordi dette er den vanlige og normale oppførselen i IT-bransjen, spesielt når vi utsetter tjenester for et offentlig nettverk."

Cure53 penetrasjonstester

Mario Heiderich fra Cure53 fortalte meg imidlertid at for VPN-er ikke å annonsere testen de har gjort, er motsatt:

"VPN-leverandører bør være høye om det, skal tilby åpenhet, skal publisere rapporter og bevise for sine brukere at de har det beste for seg."

I tillegg fortalte Heiderich det "å ha sin klientkode på Github eller lignende kan hjelpe - likevel har mye programvare kritiske feil til tross for at de er åpen kildekode, så det er ingen garanti av noe slag." Det viktige poenget understreker viktigheten av denne typen tilsyn. Tross alt er det en forskjell mellom å ha Open Source VPN-kode og å ha åpen kildekode som er grundig uavhengig verifisert.

Bra ... Flott ... Bedre

Misforstå ikke, når det gjelder åpenhet, er AirVPN hopp og grenser foran de aller fleste VPN-er på markedet. Imidlertid går det TunnelBear definitivt et skritt videre. Det demonstrerer en uvanlig bestemt tilnærming til å fremheve påliteligheten til tjenesten.

God bedre

Her på ProPrivacy.com applauderer vi TunnelBear for å ha gjort spranget til å betale for sin egen dybde og offentlige revisjon. TunnelBear kan nå skryte mer selvsikker om sikkerhetsnivåene enn bare om noen annen VPN. Dette er en posisjon som andre VPN-er uten tvil vil ønske å etterligne. For oss er dette noe alle topp-VPN-er bør ønske å gjøre.

VPN-er bør være helt ærlige og transparente om alle deler av tjenesten deres. TunnelBear har gått en ekstra kilometer og bevist at det er en måte å forbedre VPN-bransjens omdømme på. Vi håper at flere VPN-er velger å følge dette utmerkede eksemplet.

Forbrukere må handle!

Cure53 informerer meg om at 38 dager (hvor lang tid TunnelBear sier at de to revisjonene deres tok) av revisjon koster omtrent 45 000 dollar. Som sådan virker det svært lite sannsynlig at flertallet av kommersielle VPN-er vil gå foran og følge etter.

Dessuten til forbrukere begynner å følge advarsler som de vi lager her på ProPrivacy.com, vil de fortsette å ha privatlivet deres utsatt av VPNs hensikt om å tjene raskt. Forbrukerne må iverksette tiltak ved å styre unna VPN-er med dårlig personvernpolicy og holde seg unna VPN-er som fremsetter falske påstander på sine nettsteder. Det er på tide at brukere graver elendige VPN-er til fordel for pålitelige og anbefalte tjenester!

Meninger er forfatterens egne.

Tittelbilde: TunnelBear-hjemmesiden

Bildekreditt: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me