तीसरे पक्ष के ऑडिट के लिए वीपीएन भुगतान करता है: क्या यह भविष्य है?

पिछले कुछ साल वर्चुअल प्राइवेट नेटवर्क (वीपीएन) इंडस्ट्री के लिए धमाकेदार सवारी रहे हैं। वीपीएन बैंडविड्थ को बेचने, विज्ञापनों को इंजेक्ट करने, उपयोगकर्ता डेटा को बेचने, खराब सुरक्षा प्रदान करने और यहां तक ​​कि एन्क्रिप्शन क्या प्रदान करता है, इसके बारे में झूठ बोलने के बारे में समाचार सामने आए हैं। यहाँ ProPrivacy.com पर, हम सभी समस्याओं से अवगत हैं। इसलिए हम वीपीएन की सावधानीपूर्वक समीक्षा करते हैं और उपभोक्ताओं को उनकी खामियों (साथ ही उनकी विशेषताओं) के बारे में सूचित करते हैं।.


अभी पिछले हफ्ते, एक शिकायत के बारे में खबर टूटी कि स्वतंत्र वकालत करने वाला समूह सेंटर फ़ॉर डेमोक्रेसी एंड टेक्नोलॉजी (सीडीटी) ने अमेरिका स्थित वीपीएन, हॉटस्पॉट शील्ड के बारे में बनाया है। सीडीटी ने संघीय व्यापार आयोग के साथ 14-पृष्ठ की शिकायत दर्ज की है क्योंकि ऐसा लगता है कि हॉटस्पॉट शील्ड अनुचित और भ्रामक व्यापार प्रथाओं के खिलाफ एफटीसी अधिनियम की धारा 5 का उल्लंघन कर रही है।.

समस्या को हॉटस्पॉट शील्ड के ProPrivacy.com समीक्षा में समझाया गया है। जैसा कि सीडीटी बताता है,

"ProPrivacy की समीक्षा में वही बात सामने आई है जो हॉटस्पॉट शील्ड गलत करती है।"

सीडीटी से जोसेफ जेरोम ने भी मुझे बताया,

"आप वीपीएन पर मातम में किसी के रूप में, समझ सकते हैं कि वे क्या कर रहे हैं, लेकिन औसत उपभोक्ता नहीं होगा।"

सोच के लिए भोजन

यही सोचकर मुझे मिला। सीडीटी को एफटीसी से शिकायत करना सही है। क्यों? चूँकि इस तथ्य के बावजूद कि हॉटस्पॉट शील्ड के प्रीपेडिटी.कॉम की समीक्षा किसी को भी पढ़ने के लिए स्वतंत्र रूप से उपलब्ध है, हॉटस्पॉट शील्ड की गोपनीयता नीति अभी भी भ्रामक है। वीपीएन फर्म की गोपनीयता नीति की सामग्री को समझने के लिए उपभोक्ताओं को हमारे जैसी समीक्षाओं की आवश्यकता नहीं होनी चाहिए: इसे शुरुआत से ही स्पष्ट अंग्रेजी में समझाया जाना चाहिए ताकि ग्राहकों को पता चले कि उन्हें क्या मिल रहा है.

दुर्भाग्य से, उपभोक्ताओं को हमेशा यह पता नहीं होता है कि वीपीएन के हुड के नीचे क्या हो रहा है। इस वर्ष की शुरुआत से राष्ट्रमंडल वैज्ञानिक और औद्योगिक अनुसंधान संगठन (CSIRO) की रिपोर्ट ने Google Play Store पर वीपीएन की खराब समीक्षाओं (एक या दो स्टार) का विश्लेषण किया (जिसमें 500K से अधिक इंस्टाल और 4-सितारों की कुल रेटिंग थी)। यह पाया गया कि,

"केवल 1% से कम नकारात्मक समीक्षा सुरक्षा और गोपनीयता की चिंताओं से संबंधित हैं, जिसमें अपमानजनक या संदिग्ध अनुमति अनुरोधों और धोखाधड़ी गतिविधि का उपयोग शामिल है।"

Csiro 150X150

यह एक चौंकाने वाला आँकड़ा है। यह दर्शाता है कि वीपीएन उपभोक्ताओं द्वारा वीपीएन द्वारा किए गए गलत गोपनीयता के दावों के प्रति कितना संवेदनशील है। यह अधिक है, यह केवल वीपीएन गोपनीयता नीतियां नहीं हैं जो सटीक और ईमानदार होनी चाहिए, लेकिन वीपीएन के कोड और बुनियादी ढाँचे की पूरी जांच होनी चाहिए ताकि यह पता लगाया जा सके कि यह वास्तव में किए गए वादों को पूरा कर रहा है। अफसोस की बात है कि वर्तमान में वीपीएन को विनियमित नहीं किया जाता है जिससे उपभोक्ताओं को जोखिम होता है.

अब, टनलबियर नामक एक वीपीएन फर्म ने अपनी संबंधित सेवा में और अधिक पारदर्शिता जोड़ने के लिए मामलों को अपने हाथों में लेने का फैसला किया है।.

टनलबियर थर्ड पार्टी वीपीएन ऑडिट

टनलबियर टोरंटो, कनाडा में स्थित एक वीपीएन फर्म है, जिसने सिर्फ थर्ड पार्टी ऑडिट के परिणामों की घोषणा की है। ऑडिट के बारे में अपने ब्लॉग पोस्ट में, टनलबियर बताता है कि वाणिज्यिक वीपीएन की प्रथाओं पर चिंताओं में वृद्धि के कारण, उसने अपनी सेवा का ऑडिट करने के लिए एक स्वतंत्र सुरक्षा फर्म को नियोजित करने का निर्णय लिया:

"जब तक हम उद्योग में विश्वास बहाल नहीं कर सकते, हमने महसूस किया कि हम अपने ग्राहकों को प्रदर्शित करने में आगे बढ़ सकते हैं कि वे क्यों, और, टनलबियर पर भरोसा करना चाहिए।"

टनलबियर ने उस ऑडिट को करने के लिए जो फर्म नियोजित की उसे Cure53 कहा जाता है। अपने ब्लॉग पोस्ट में, टनलबियर ने स्पष्ट रूप से स्वीकार किया कि Cure53 के सभी निष्कर्ष सकारात्मक नहीं थे:

"यदि आपने पहले ही परिणामों को देखा है, तो आपने देखा है कि 2016 के ऑडिट में क्रोम एक्सटेंशन में कमजोरियां पाई गईं, जिन पर हमें गर्व नहीं था।" गेट के बाहर मजबूत होना अच्छा होता, लेकिन इसने नियमित, स्वतंत्र परीक्षण के मूल्य के बारे में हमारी समझ को मजबूत किया। इससे पहले कि हम शोषण किया जा सके, हम लगातार कमजोरियों को ढूंढना चाहते हैं। ”

प्रारंभिक ऑडिट के दौरान खोजे गए सभी कमजोरियों को टनलबियर की विकास टीम द्वारा तेजी से तय किया गया था। फॉलो-अप ऑडिट के दौरान, Cure53 ने पाया कि टनलबियर ने अपने द्वारा खोजे गए सभी प्रमुख सुरक्षा मुद्दों को प्लग करने में कामयाब रहे:

"दूसरे ऑडिट के परिणाम स्पष्ट रूप से रेखांकित करते हैं कि टनलबियर सर्वर और बुनियादी ढांचे दोनों के साथ-साथ क्लाइंट और ब्राउज़र एक्सटेंशन के लिए विभिन्न प्लेटफार्मों के लिए बेहतर स्तर की सुरक्षा को लागू करने के लिए मान्यता के योग्य है।"

टनलबियर के ग्राहकों के लिए यह शानदार खबर है। हालाँकि, यह अन्य वीपीएन के बारे में भी जानकारी देता है। अपने स्वयं के प्रवेश द्वारा, टनलबियर ने "गेट से बाहर मजबूत होने की उम्मीद की थी।" अफसोस की बात है, हालांकि, जो हम हमेशा प्राप्त करते हैं उसके लिए हम आशा करते हैं।.

जब एक वीपीएन बनाने वाली कोड की सैकड़ों लाइनों को ठीक से ऑडिट करने की बात आती है - विशेष रूप से क्योंकि क्रिप्टोग्राफी शामिल है - कुछ लोग हैं जो ठीक से काम कर सकते हैं। क्या अधिक है, एक सुरंग की तरह ऑडिट के लिए धन देना जो अपनी जेब से (अपनी जेब से) के लिए भुगतान किया गया है.

बड़ा बिल

भविष्य में होने वाली घटनाओं की झलक?

अच्छी खबर यह है कि अन्य ऑडिट पहले से ही होते हैं। मई में, OpenVPN एन्क्रिप्शन के ऑडिट के परिणामों ने साबित किया कि प्रमुख वीपीएन प्रोटोकॉल सुरक्षित था। वह रिपोर्ट ओपन सोर्स टेक्नोलॉजी इंप्रूवमेंट फंड (OSTIF) द्वारा प्रकाशित की गई थी। यह वीपीएन उद्योग के भीतर कई व्यक्तियों और फर्मों के योगदान से भुगतान किया गया था (ProPrivacy.com सहित).

OSTIF रिपोर्ट ने OpenVPN की वैधता को एन्क्रिप्शन के रूप में साबित किया। इसने प्रदर्शित किया कि वीपीएन जो ओपनवीपीएन (नवीनतम मानकों पर लागू होते हैं) अपने उपयोगकर्ताओं को मजबूत गोपनीयता और सुरक्षा प्रदान कर रहे हैं। हालाँकि, ऑडिट जो नहीं कर सका, वह तीसरे पक्ष के वीपीएन के कस्टम क्लाइंट कार्यान्वयन या क्लाइंट-साइड इंफ्रास्ट्रक्चर और सुरक्षा को सत्यापित करता था। यह कुछ ऐसा है जो प्रत्येक वीपीएन को स्वयं के लिए करना चाहिए - यदि वह यह साबित करना चाहता है कि उसके कोड का हर एक हिस्सा कमजोरियों से मुक्त है.

ऑडिट वीपीएन उत्तीर्ण

नहीं कर रहा है पर्याप्त

जाने-माने और बेहद भरोसेमंद वीपीएन प्रदाता AirVPN ने मुझे बताया कि यह नियमित आधार पर अपने बुनियादी ढांचे का परीक्षण करने के लिए व्हाइट हैट हैकर्स को नियुक्त करता है:

"हमारी सेवा OpenVPN पर आधारित है। OpenVPN के बारे में हमने एक व्यापक ऑडिट का सह-वित्त किया, जिसमें नि: शुल्क और खुले सॉफ़्टवेयर क्लाइंट पर सुरक्षा विशेषज्ञों और समुदाय द्वारा सामान्य सहकर्मी समीक्षाओं के अलावा.

"हमारा सॉफ्टवेयर क्लाइंट, एक OpenVPN रैपर और फ्रंटेंड, मुक्त और ओपन सोर्स सॉफ्टवेयर भी है (GPLv3 के तहत जारी किया गया है)। स्रोत कोड GitHub में उपलब्ध है.

"हम कोई ब्लोटवेयर जारी नहीं करते हैं, इसलिए बुनियादी ढांचे के शेष हिस्सों को तनाव की जरूरत है और हमले परीक्षण हमारे पक्ष में हैं। हमारे बुनियादी ढांचे को अक्सर कमजोरियों की तलाश में पेशेवर और अधिकृत व्यक्तियों (कुशल हैकर्स) द्वारा हमला किया जाता है और निश्चित रूप से, वायु कर्मचारी ऐसे हमलों की रिपोर्टों का सावधानीपूर्वक विश्लेषण करते हैं। हम इस गतिविधि का विज्ञापन नहीं करते हैं या इसे एक विपणन उपकरण मानते हैं, क्योंकि यह आईटी उद्योग में सामान्य और सामान्य व्यवहार है, खासकर जब एक सार्वजनिक नेटवर्क पर सेवाओं को उजागर करना."

Cure53 पेनेट्रेशन टेस्ट

हालांकि, Cure53 के मारियो हाइडरिच ने मुझसे कहा कि, वीपीएन के लिए उनके द्वारा किए गए परीक्षण का विज्ञापन नहीं करना है।

"वीपीएन प्रदाताओं को इसके बारे में ज़ोर देना चाहिए, पारदर्शिता की पेशकश करनी चाहिए, रिपोर्ट प्रकाशित करनी चाहिए और अपने उपयोगकर्ताओं को यह साबित करना चाहिए कि उनके लिए उनके दिमाग में सबसे अच्छा है."

इसके अलावा, हेइडरिच ने मुझे बताया कि "गितुब या जैसे ग्राहक कोड होने से उनकी मदद हो सकती है - अभी तक बहुत सारे सॉफ़्टवेयर में खुले स्रोत होने के बावजूद महत्वपूर्ण कीड़े हैं, इसलिए किसी भी तरह की कोई गारंटी नहीं है." यह महत्वपूर्ण बिंदु इस तरह के ऑडिट के महत्व पर प्रकाश डालता है। आखिरकार, ओपन सोर्स वीपीएन कोड होने और ओपन सोर्स कोड होने के बीच एक अंतर है जिसे पूरी तरह से स्वतंत्र रूप से सत्यापित किया गया है.

अच्छा ... बढ़िया ... बेहतर

मुझे गलत मत समझिए, पारदर्शिता के मामले में, AirVPN बाज़ार में अधिकांश वीपीएन के आगे छलांग और सीमा है। हालांकि, टनलबियर ने जो किया है वह निश्चित रूप से एक कदम आगे है। यह सेवा की विश्वसनीयता को उजागर करने के लिए असामान्य रूप से निर्धारित दृष्टिकोण प्रदर्शित करता है.

अच्छा बेहतर

यहाँ ProPrivacy.com पर, हम अपनी गहराई और सार्वजनिक ऑडिट के लिए भुगतान करने के लिए छलांग लगाने के लिए टनलबियर की सराहना करते हैं। टनलबियर अब किसी भी अन्य वीपीएन की तुलना में अपने सुरक्षा स्तरों के बारे में अधिक आत्मविश्वास से डींग मार सकता है। यह एक ऐसी स्थिति है जो अन्य वीपीएन को संदेह करने की इच्छा नहीं होगी। जहां तक ​​हमारा सवाल है, यह कुछ ऐसा है जो सभी टॉप-एंड वीपीएन को करना चाहिए.

वीपीएन को अपनी सेवा के हर हिस्से के बारे में पूरी तरह से ईमानदार और पारदर्शी होना चाहिए। टनलबियर उस अतिरिक्त मील चला गया है और साबित किया है कि वीपीएन उद्योग की प्रतिष्ठा में सुधार करने का एक तरीका है। हमें उम्मीद है कि अधिक वीपीएन इस उत्कृष्ट उदाहरण का पालन करने का निर्णय लेते हैं.

उपभोक्ताओं को अवश्य कार्य करना चाहिए!

Cure53 ने मुझे सूचित किया कि 38 दिन (टनलबियर का कहना है कि इसके दो ऑडिट हुए) की ऑडिटिंग लागत लगभग $ 45,000 है। जैसे, यह अत्यधिक संभावना नहीं है कि अधिकांश व्यावसायिक वीपीएन आगे बढ़ेंगे और सूट का पालन करेंगे.

क्या अधिक है, जब तक कि उपभोक्ता यहाँ पर चेतावनी देने की शुरुआत नहीं करते हैं जैसे कि हम यहाँ पर बनाते हैं, ProPrivacy.com पर, वे एक त्वरित हिरन बनाने पर वीपीएन के इरादे से अपनी गोपनीयता के साथ समझौता करते रहेंगे। उपभोक्ताओं को खराब गोपनीयता नीतियों के साथ वीपीएन से दूर रहने और वीपीएन से दूर रहने के लिए कार्रवाई करने की आवश्यकता है जो उनकी वेबसाइटों पर झूठे दावे करते हैं। यह उपयोगकर्ताओं के लिए भरोसेमंद और अनुशंसित सेवाओं के पक्ष में घटिया वीपीएन खोदने का समय है!

राय लेखक के अपने हैं.

शीर्षक छवि क्रेडिट: टनलबियर होम पेज

छवि क्रेडिट: hvostik / Shutterstock.com, स्टुअर्ट माइल्स / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me