VPN تدفع لتدقيق الطرف الثالث: هل هذا هو المستقبل؟

كانت السنوات القليلة الماضية مطية وعرة لصناعة الشبكات الافتراضية الخاصة (VPN). ظهرت أخبار حول بيع شبكات VPN ، وحقن الإعلانات ، وبيع بيانات المستخدم ، وتوفير الأمن الضعيف ، وفي بعض الأحيان الكذب حول نوع التشفير الذي يقدمونه. هنا في ProPrivacy.com ، ندرك جميعًا المشكلات. لهذا السبب نقوم بمراجعة الشبكات الخاصة الافتراضية بعناية ونبلغ المستهلكين عن عيوبها (وكذلك سماتها).

في الأسبوع الماضي فقط ، اندلعت أنباء حول شكوى قدمتها جماعة الدعوة المستقلة مركز الديمقراطية والتكنولوجيا (CDT) حول VPN التي مقرها الولايات المتحدة ، Hotspot Shield. قدمت CDT شكوى من 14 صفحة إلى لجنة التجارة الفيدرالية لأنها تشعر أن Hotspot Shield ينتهك المادة 5 من قانون FTC Act بحظر الممارسات التجارية غير العادلة والمضللة.

تم توضيح المشكلة في مراجعة ProPrivacy.com لـ Hotspot Shield. كما تنص CDT,

"يسلط استعراض ProPrivacy الضوء على الخطأ الذي يرتكبه هوت سبوت شيلد."

جوزيف جيروم من CDT أخبرني أيضًا,

"أنت ، كشخص ما في الأعشاب الضارة على شبكات VPN ، قد تفهم ما يفعلونه ، لكن المستهلك العادي لن يفهم".

غذاء للفكر

هذا جعلني أفكر. CDT هو الحق في تقديم شكوى إلى FTC. لماذا ا؟ لأنه على الرغم من أن مراجعة ProPrivacy.com لـ Hotspot Shield متاحة مجانًا لأي شخص يقرأها ، إلا أن سياسة خصوصية Hotspot Shield لا تزال مربكة. لا ينبغي على المستهلكين مطالبة مراجعات مثلنا بفك تشفير محتويات سياسة خصوصية شركة VPN: يجب شرحها باللغة الإنجليزية البسيطة من البداية حتى يعرف المشتركون بالضبط ما يحصلون عليه.

لسوء الحظ ، لا يدرك المستهلكون دائمًا ما يحدث تحت غطاء شبكة VPN. حلل تقرير لمنظمة البحث العلمي والصناعي التابع لكومنولث (CSIRO) من أوائل هذا العام الاستعراضات السيئة (نجمة أو نجمتان) للشبكات الخاصة الظاهرية على متجر Google Play (التي تضم أكثر من 500 ألف عملية تثبيت وتصنيف إجمالي 4 نجوم). وجدت ذلك,

"أقل من 1٪ فقط من المراجعات السلبية تتعلق بمخاوف الأمان والخصوصية ، بما في ذلك استخدام طلبات التصريح المسيئة أو المشكوك فيها والنشاط الاحتيالي."

Csiro 150X150

هذا هو إحصاء مذهل. إنه يوضح مدى ضعف مستهلكي VPN لمزاعم الخصوصية الخاطئة المقدمة من شبكات VPN. ما هو أكثر من ذلك ، ليس فقط سياسات خصوصية VPN التي يجب أن تكون دقيقة ونزيهة ، ولكن برمتها من كود VPN والبنية التحتية التي يجب اختبارها للتأكد من أنها تفي في الواقع بالوعود التي قطعتها. للأسف ، لا يتم تنظيم الشبكات الخاصة الافتراضية حاليًا بحيث يكون المستهلكون في خطر.

الآن ، قررت شركة VPN تسمى TunnelBear أن تأخذ الأمور في أيديها من أجل إضافة المزيد من الشفافية إلى خدمتها المحترمة بالفعل.

The TunnelBear Third Party Audit Audit

TunnelBear هي شركة VPN مقرها في تورنتو ، كندا ، وقد أعلنت للتو عن نتائج تدقيق الطرف الثالث. تشرح TunnelBear في مدونتها حول التدقيق ، أنه بسبب تزايد المخاوف بشأن ممارسات VPN التجارية ، قررت استخدام شركة أمنية مستقلة لتدقيق خدماتها:

"بينما لم نتمكن من استعادة الثقة في الصناعة ، أدركنا أنه يمكننا المضي قدمًا في إظهار لعملائنا لماذا يمكنهم ، بل يجب ، أن يثقوا في TunnelBear."

الشركة التي استخدمها TunnelBear للقيام بهذا التدقيق تسمى Cure53. في منشور المدونة الخاص بها ، يعترف TunnelBear بصراحة بأنه لم تكن جميع نتائج Cure53 إيجابية:

"إذا نظرت بالفعل إلى النتائج ، فقد رأيت أن تدقيق عام 2016 قد وجد ثغرات في امتداد Chrome الذي لم نفخر به. كان من الجيد أن تكون أقوى من البوابة ، ولكن هذا يعزز أيضًا فهمنا لقيمة إجراء اختبارات منتظمة ومستقلة. نريد إيجاد نقاط الضعف بشكل استباقي قبل أن يتم استغلالها. "

تم إصلاح جميع نقاط الضعف التي تم اكتشافها أثناء المراجعة الأولية بسرعة بواسطة فريق التطوير التابع لـ TunnelBear. أثناء مراجعة المتابعة ، وجد Cure53 أن TunnelBear قد نجح في سد جميع مشكلات الأمان الرئيسية التي اكتشفها:

"تؤكد نتائج التدقيق الثاني بوضوح أن TunnelBear يستحق التقدير لتطبيق مستوى أفضل من الأمان لكل من الخوادم والبنية التحتية وكذلك العملاء وملحقات المستعرضات لمختلف المنصات."

هذه أخبار رائعة لعملاء TunnelBear. ومع ذلك ، فإنه يثير أيضًا إنذارات حول شبكات VPN الأخرى. باعترافها الخاص ، كان TunnelBear يأمل في "أن يكون أقوى من البوابة". ولكن للأسف ، ما نأمله ليس هو ما نحصل عليه دائمًا.

عندما يتعلق الأمر بالتدقيق الصحيح لمئات أسطر التعليمات البرمجية التي تشكل VPN - خاصةً بسبب تشفيرها - هناك عدد قليل من الأشخاص الذين يمكنهم القيام بالمهمة بشكل صحيح. والأكثر من ذلك ، أن تمويل عملية تدقيق مثل تلك التي دفعتها TunnelBear (من جيبها الخاص) ليست رخيصة.

بيل كبير

ودلالة على أشياء مقبلة?

والخبر السار هو أن عمليات التدقيق الأخرى تحدث بالفعل. في مايو ، أثبتت نتائج تدقيق تشفير OpenVPN أن بروتوكول VPN الرائد آمن. تم نشر هذا التقرير من قبل صندوق تحسين تكنولوجيا المصادر المفتوحة (OSTIF). تم سداده من خلال مساهمات من العديد من الأفراد والشركات في صناعة VPN (بما في ذلك ProPrivacy.com).

أثبت تقرير OSTIF صحة OpenVPN كشكل من أشكال التشفير. لقد أثبتت أن شبكات VPN التي تطبق OpenVPN (وفقًا لأحدث المعايير) توفر لمستخدميها خصوصية وأمان قويين. ومع ذلك ، فإن ما لم يستطع التدقيق القيام به هو التحقق من تطبيق عملاء VPN المخصصين من جهات خارجية أو البنية التحتية والأمن من جانب العميل. هذا شيء يجب على كل VPN أن تفعله لنفسها - إذا أرادت أن تثبت أن كل جزء من شفرتها خالية من نقاط الضعف.

مرت المراجعة فبن

لا تفعل ما يكفي

أخبرني AirVPN ، وهو مزود VPN معروف وموثوق به للغاية ، أنه يستخدم قراصنة القبعة البيضاء لاختبار بنيته التحتية بشكل منتظم:

"تعتمد خدمتنا على OpenVPN. حول OpenVPN ، شاركنا في تمويل عملية تدقيق شاملة ، بالإضافة إلى مراجعات النظراء العادية التي أجراها خبراء الأمن والمجتمع على برامج مجانية ومفتوحة المصدر.

"برنامج عميلنا ، وهو برنامج التفاف OpenVPN وواجهة أمامية ، هو برنامج مجاني ومفتوح المصدر أيضًا (تم إصداره في GPLv3). شفرة المصدر متاحة في جيثب.

"نحن لا نصدر أي bloatware ، لذلك الأجزاء المتبقية من البنية التحتية التي تحتاج إلى اختبارات الإجهاد والهجوم على جانبنا. كثيراً ما تتعرض بنيتنا التحتية للهجوم من قبل أشخاص محترفين ومصرح لهم (قراصنة ماهرون) بحثًا عن نقاط الضعف ، وبطبيعة الحال ، يقوم فريق Air بتحليل تقارير هذه الهجمات بعناية. نحن لا نعلن عن هذا النشاط أو نعتبره أداة تسويقية ، لأن هذا هو السلوك العادي والعادي في صناعة تكنولوجيا المعلومات ، خاصة عند تعريض الخدمات على شبكة عامة."

اختبارات الاختراق Cure53

ومع ذلك ، أخبرني Mario Heiderich من Cure53 أنه ، بالنسبة إلى شبكات VPN ، فإن عدم الإعلان عن الاختبار الذي أجروه هو أمر غير بديهي:

"يجب أن يكون مقدمو خدمة VPN مسموعين ، وأن يقدموا الشفافية ، وأن ينشروا التقارير ، وأن يثبتوا لمستخدميهم أن لديهم ما يفكرون فيه."

بالإضافة إلى ذلك ، قال لي Heiderich ذلك "قد يساعد وجود رمز عميل خاص بهم على Github أو ما شابه - ولكن الكثير من البرامج بها أخطاء حرجة على الرغم من كونها مفتوحة المصدر ، لذلك لا يوجد أي ضمان من أي نوع." تبرز هذه النقطة المهمة أهمية هذا النوع من التدقيق. بعد كل شيء ، هناك فرق بين وجود كود Open Source VPN وامتلاك شفرة مفتوحة المصدر تم التحقق منها بشكل مستقل.

جيد ... عظيم ... أفضل

لا تفهموني ، من حيث الشفافية ، فإن AirVPN تتقدم بسرعة كبيرة على الغالبية العظمى من شبكات VPN في السوق. ومع ذلك ، فإن ما فعله TunnelBear يذهب بالتأكيد خطوة إلى الأمام. إنه يوضح نهجًا مصممًا بشكل غير عادي لتسليط الضوء على جدارة بالثقة في الخدمة.

أفضل جيدة

هنا في ProPrivacy.com ، نحيي TunnelBear لقيامنا بالقفزة لدفع تكاليف التدقيق العام المتعمق. يمكن لـ TunnelBear الآن التباهي بثقة بمستويات الأمان الخاصة به أكثر من أي VPN أخرى. هذا هو الموقف الذي لا شك فيه أن شبكات VPN الأخرى ترغب في محاكاته. بقدر ما نشعر بالقلق ، هذا شيء يجب أن تفعله جميع الشبكات الافتراضية الخاصة.

يجب أن تكون الشبكات الافتراضية الخاصة صادقة وشفافة تمامًا فيما يتعلق بكل جزء من خدمتها. لقد قطعت TunnelBear هذا الميل الإضافي وأثبتت أن هناك طريقة لتحسين سمعة صناعة VPN. نأمل أن يقرر عدد أكبر من شبكات VPN اتباع هذا المثال الممتاز.

يجب أن يتصرف المستهلكون!

تبلغني Cure53 أن 38 يومًا (طول الفترة التي تقول TunnelBear أن عمليتي تدقيقها استغرقتا) تبلغ تكاليف المراجعة حوالي 45000 دولار. على هذا النحو ، يبدو من غير المحتمل أن تستمر غالبية شبكات VPN التجارية وتتبع ذلك.

ما هو أكثر من ذلك ، إلى أن يبدأ المستهلكون في الاستجابة للتحذيرات مثل تلك التي نصدرها هنا على ProPrivacy.com ، سيستمرون في اختراق خصوصيتهم من خلال شبكات VPN التي تهدف إلى تحقيق ربح سريع. يحتاج المستهلكون إلى اتخاذ إجراءات من خلال الابتعاد عن الشبكات الخاصة الافتراضية مع سياسات الخصوصية السيئة والابتعاد عن الشبكات الافتراضية الخاصة التي تقدم ادعاءات كاذبة على مواقعها على شبكة الإنترنت. لقد حان الوقت للمستخدمين للتخلص من شبكات VPN الرديئة لصالح الخدمات الموثوقة والمستحسنة!

الآراء هي الكاتب الخاص.

صورة الائتمان العنوان: TunnelBear الصفحة الرئيسية

أرصدة الصورة: hvostik / Shutterstock.com ، ستيوارت مايلز / Shutterstock.com ، mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me