Το VPN πληρώνει για έλεγχο τρίτου μέρους: Είναι αυτό το μέλλον;

Τα τελευταία χρόνια ήταν μια ανώμαλη πορεία για τη βιομηχανία του εικονικού ιδιωτικού δικτύου (VPN). Έχουν προκύψει νέα σχετικά με τα δίκτυα VPN που πωλούν εύρος ζώνης, εισάγουν διαφημίσεις, που πωλούν δεδομένα χρηστών, παρέχουν κακή ασφάλεια και μερικές φορές μάλιστα ψέματα για την κρυπτογράφηση που παρέχουν. Εδώ στο ProPrivacy.com, γνωρίζουμε πολύ καλά τα προβλήματα. Αυτός είναι ο λόγος για τον οποίο εξετάζουμε προσεκτικά τα δίκτυα VPN και ενημερώνουμε τους καταναλωτές για τα ελαττώματά τους (καθώς και τα χαρακτηριστικά τους).


Μόλις την περασμένη εβδομάδα, έσβησαν νέα σχετικά με μια καταγγελία που υπέβαλε το ανεξάρτητο κέντρο υπεράσπισης του Κέντρου για τη Δημοκρατία και την Τεχνολογία (CDT) σχετικά με το αμερικανικό VPN, Hotspot Shield. Η CDT έχει καταθέσει μια καταγγελία 14 σελίδων στην Ομοσπονδιακή Επιτροπή Εμπορίου επειδή θεωρεί ότι το Hotspot Shield παραβίασε το άρθρο 5 της απαγόρευσης του FTC για την καταπολέμηση των αθέμιτων και παραπλανητικών εμπορικών πρακτικών.

Το ζήτημα εξηγείται στην αναθεώρηση ProPrivacy.com του Hotspot Shield. Όπως δηλώνει το CDT,

"Η κριτική της ProPrivacy υπογραμμίζει ακριβώς τι κάνει το λανθασμένο Hotspot Shield."

Ο Joseph Jerome από το CDT μου είπε επίσης,

"Εσείς, ως κάποιος από τα ζιζάνια στα VPN, ίσως καταλάβετε τι κάνουν, αλλά ο μέσος καταναλωτής δεν θα το κάνει".

Τροφή για σκέψη

Αυτό με έκανε να σκεφτώ. Το CDT έχει δίκιο να διαμαρτύρεται στην FTC. Γιατί; Επειδή παρά το γεγονός ότι η κριτική του ProPrivacy.com σχετικά με το Hotspot Shield είναι ελεύθερα διαθέσιμη για οποιονδήποτε μπορεί να διαβάσει, η πολιτική απορρήτου του Hotspot Shield εξακολουθεί να προκαλεί σύγχυση. Οι καταναλωτές δεν θα πρέπει να απαιτούν αναθεωρήσεις όπως οι δικές μας για να αποκρυπτογραφήσουν το περιεχόμενο μιας πολιτικής απορρήτου μιας εταιρείας VPN: θα πρέπει να εξηγείται από απλά στα αγγλικά, έτσι ώστε οι συνδρομητές να γνωρίζουν ακριβώς τι παίρνουν.

Δυστυχώς, οι καταναλωτές δεν γνωρίζουν πάντα τι συμβαίνει κάτω από την κουκούλα ενός VPN. Σύμφωνα με μια έκθεση της CSIRO, από το παρελθόν έτος, αναλύθηκαν ανεπαρκείς κριτικές (ένα ή δύο αστέρια) των VPN στο Google Play Store (που είχε εγκατεστημένες περισσότερες από 500K και συνολική βαθμολογία 4 αστέρων). Το βρήκε αυτό,

"Μόνο λιγότερο από το 1% των αρνητικών ανασκοπήσεων αφορά θέματα ασφάλειας και προστασίας της ιδιωτικής ζωής, συμπεριλαμβανομένης της χρήσης καταχρηστικών ή αμφισβητήσιμων αιτημάτων άδειας και δόλιων δραστηριοτήτων".

Csiro 150X150

Αυτό είναι ένα καταπληκτικό στατιστικό στοιχείο. Επιδεικνύει πόσο ευάλωτοι είναι οι καταναλωτές VPN σχετικά με τους λανθασμένους ισχυρισμούς περί απορρήτου που έχουν γίνει από τα VPN. Επιπλέον, δεν είναι μόνο οι πολιτικές απορρήτου VPN που πρέπει να είναι ακριβείς και ειλικρινείς, αλλά ολόκληρος ο κωδικός και η υποδομή ενός VPN που πρέπει να δοκιμαστούν για να βεβαιωθείτε ότι πραγματικά παραδίδει τις υποσχέσεις που κάνει. Δυστυχώς, τα VPN δεν ρυθμίζονται επί του παρόντος, επομένως οι καταναλωτές βρίσκονται σε κίνδυνο.

Τώρα, μια εταιρεία VPN που ονομάζεται TunnelBear αποφάσισε να πάρει τα πράγματα στα χέρια της, προκειμένου να προσθέσει ακόμα μεγαλύτερη διαφάνεια στην ήδη σεβαστή υπηρεσία.

Ο έλεγχος VPN τρίτων μερών της TunnelBear

Το TunnelBear είναι μια επιχείρηση VPN που εδρεύει στο Τορόντο του Καναδά, η οποία μόλις ανακοίνωσε τα αποτελέσματα ενός ελέγχου τρίτου μέρους. Στο blog της σχετικά με τον έλεγχο, η TunnelBear εξηγεί ότι λόγω της αύξησης των ανησυχιών σχετικά με τις πρακτικές των εμπορικών VPN, αποφάσισε να χρησιμοποιήσει μια ανεξάρτητη εταιρεία ασφάλειας για να ελέγξει την υπηρεσία της:

"Ενώ δεν μπορούμε να αποκαταστήσουμε την εμπιστοσύνη στον κλάδο, συνειδητοποιήσαμε ότι θα μπορούσαμε να προχωρήσουμε περαιτέρω στην απόδειξη στους πελάτες μας γιατί μπορούν και πρέπει να έχουν εμπιστοσύνη στο TunnelBear".

Η επιχείρηση που η TunnelBear χρησιμοποίησε για να πραγματοποιήσει αυτόν τον έλεγχο καλείται Cure53. Στην ανάρτησή του στο blog, η TunnelBear ομολογεί με ειλικρίνεια ότι δεν ήταν όλα θετικά τα συμπεράσματα του Cure53:

"Αν έχετε ήδη εξετάσει τα αποτελέσματα, έχετε δει ότι ο έλεγχος 2016 διαπίστωσε ευπάθειες στην επέκταση του Chrome που δεν είμαστε υπερήφανοι. Θα ήταν ωραίο να είμαστε ισχυρότεροι από την πύλη, αλλά αυτό ενίσχυσε επίσης την κατανόησή μας για την αξία της ύπαρξης τακτικών, ανεξάρτητων δοκιμών. Θέλουμε να βρούμε προληπτικά ευπάθειες προτού μπορέσουν να αξιοποιηθούν. "

Όλες οι ευπάθειες που ανακαλύφθηκαν κατά τη διάρκεια του αρχικού ελέγχου καθορίστηκαν γρήγορα από την ομάδα ανάπτυξης της TunnelBear. Κατά τη διάρκεια του ελέγχου παρακολούθησης, το Cure53 διαπίστωσε ότι η TunnelBear κατάφερε να συνδέσει όλα τα σημαντικά ζητήματα ασφάλειας που ανακάλυψε:

"Τα αποτελέσματα του δεύτερου ελέγχου υπογραμμίζουν σαφώς ότι το TunnelBear αξίζει την αναγνώριση για την εφαρμογή ενός καλύτερου επιπέδου ασφάλειας τόσο για τους διακομιστές όσο και για τις υποδομές, καθώς και για τους πελάτες και τις επεκτάσεις του προγράμματος περιήγησης για διάφορες πλατφόρμες".

Αυτό είναι φανταστικό νέο για τους πελάτες της TunnelBear. Ωστόσο, εγείρει επίσης συναγερμούς σχετικά με άλλα δίκτυα VPN. Με δική του ομολογία, η TunnelBear ήλπιζε να είναι "ισχυρότερη από την πύλη." Δυστυχώς, όμως, αυτό που ελπίζουμε δεν είναι πάντα αυτό που παίρνουμε.

Όταν πρόκειται για τον σωστό έλεγχο των εκατοντάδων γραμμών κώδικα που αποτελούν ένα VPN - ειδικά επειδή εμπλέκεται στην κρυπτογραφία - υπάρχουν λίγοι άνθρωποι που μπορούν να κάνουν σωστά τη δουλειά. Επιπλέον, η χρηματοδότηση ενός ελέγχου όπως αυτό που πληρώνει η TunnelBear (από την τσέπη του) δεν είναι καθόλου φτηνό.

Μεγάλο νομοσχέδιο

Ένα σημάδι για να έρθουν?

Τα καλά νέα είναι ότι ήδη πραγματοποιούνται και άλλοι έλεγχοι. Τον Μάιο, τα αποτελέσματα ενός ελέγχου της κρυπτογράφησης OpenVPN απέδειξαν ότι το πρωτεύον πρωτόκολλο VPN ήταν ασφαλές. Η έκθεση αυτή δημοσιεύθηκε από το Ταμείο βελτίωσης της τεχνολογίας ανοιχτού κώδικα (OSFI). Πληρώθηκε από εισφορές πολλών ατόμων και επιχειρήσεων στο πλαίσιο του κλάδου VPN (συμπεριλαμβανομένου του ProPrivacy.com).

Η έκθεση OSTIF απέδειξε την εγκυρότητα του OpenVPN ως μορφή κρυπτογράφησης. Έδειξε ότι τα VPN που εφαρμόζουν το OpenVPN (σύμφωνα με τα πιο πρόσφατα πρότυπα) παρέχουν στους χρήστες τους ισχυρό απόρρητο και ασφάλεια. Ωστόσο, αυτό που ο έλεγχος δεν μπόρεσε να κάνει ήταν να επαληθευτεί η εφαρμογή προσαρμοσμένων πελατών VPN τρίτου μέρους ή η υποδομή και η ασφάλεια του πελάτη. Αυτό είναι κάτι που κάθε VPN πρέπει να επιδιώξει να κάνει για τον εαυτό του - αν θέλει να αποδείξει ότι κάθε τμήμα του κώδικα του είναι απαλλαγμένο από τρωτά σημεία.

Έχει περάσει Audit Vpn

Δεν το κάνει αρκετά

Η AirVPN, ένας πολύ γνωστός και πολύ αξιόπιστος πάροχος VPN, μου είπε ότι απασχολεί λευκούς hackers για να δοκιμάσει την υποδομή της σε τακτική βάση:

"Η υπηρεσία μας βασίζεται στο OpenVPN. Σχετικά με το OpenVPN, συγχρηματοδοτήσαμε έναν εκτεταμένο έλεγχο, εκτός από τις συνήθεις αξιολογήσεις από τους ειδικούς σε θέματα ασφάλειας και την κοινότητα σχετικά με δωρεάν λογισμικό ανοιχτού κώδικα.

"Ο πελάτης μας λογισμικού, ένα περιτύλιγμα OpenVPN και ένα front end, είναι δωρεάν και λογισμικό ανοιχτού κώδικα (που κυκλοφορεί στο GPLv3). Ο πηγαίος κώδικας είναι διαθέσιμος στο GitHub.

"Δεν κυκλοφορούμε κανένα bloatware, επομένως τα υπόλοιπα τμήματα της υποδομής που χρειάζονται δοκιμές άγχους και επίθεσης είναι στο πλευρό μας. Η υποδομή μας συχνά επιτίθεται από επαγγελματίες και εξουσιοδοτημένους (εξειδικευμένους hackers) σε αναζήτηση ευπαθειών και, φυσικά, το προσωπικό της Air αναλύει προσεκτικά τις αναφορές για τέτοιες επιθέσεις. Δεν διαφημίζουμε αυτή τη δραστηριότητα ούτε θεωρούμε ένα εργαλείο μάρκετινγκ, επειδή αυτή είναι η συνηθισμένη και φυσιολογική συμπεριφορά στον κλάδο της πληροφορικής, ειδικά όταν εκθέτουμε υπηρεσίες σε ένα δημόσιο δίκτυο."

Δοκιμές διείσδυσης Cure53

Ωστόσο, ο Mario Heiderich από το Cure53 μου είπε ότι, για να μην διαφημίζουν οι VPN οι δοκιμές που έχουν κάνει είναι απροσδιόριστη:

"Οι πάροχοι VPN θα πρέπει να είναι δυνατοί για αυτό, θα πρέπει να προσφέρουν διαφάνεια, να δημοσιεύουν αναφορές και να αποδείξουν στους χρήστες τους ότι έχουν το καλύτερο για αυτούς."

Επιπλέον, η Heiderich μου το είπε "έχοντας τον κωδικό πελάτη τους στο Github ή κάτι παρόμοιο θα μπορούσε να βοηθήσει - παρ 'όλα αυτά, το λογισμικό έχει κρίσιμα σφάλματα παρά το ότι είναι ανοικτού κώδικα, επομένως δεν υπάρχει εγγύηση οποιουδήποτε είδους." Αυτό το σημαντικό σημείο υπογραμμίζει τη σημασία αυτού του είδους ελέγχου. Μετά από όλα, υπάρχει μια διαφορά μεταξύ του κώδικα VPN ανοιχτού κώδικα και του κώδικα ανοιχτού κώδικα που έχει επαληθευτεί απόλυτα ανεξάρτητα.

Καλά ... Μεγάλη ... Καλύτερα

Μην με ενοχλείτε, από πλευράς διαφάνειας, το AirVPN είναι άλματα μπροστά από τη συντριπτική πλειοψηφία των VPN στην αγορά. Ωστόσο, αυτό που έκανε το TunnelBear σίγουρα πηγαίνει ένα βήμα παραπέρα. Επιδεικνύει μια ασυνήθιστα αποφασισμένη προσέγγιση για την επισήμανση της αξιοπιστίας της υπηρεσίας.

Καλό Καλύτερο

Εδώ στο ProPrivacy.com, χαιρετίζουμε το TunnelBear ότι έκανε το άλμα για να πληρώσει για το δικό του σε βάθος και δημόσιο έλεγχο. Το TunnelBear μπορεί πλέον να χαμογελάσει πιο σίγουρα για τα επίπεδα ασφαλείας του από ό, τι σχεδόν οποιοδήποτε άλλο VPN. Αυτή είναι μια θέση που άλλα δίκτυα VPN αναμφίβολα θα ήθελαν να μιμηθούν. Όσον αφορά εμάς, αυτό είναι κάτι που όλα τα κορυφαία VPN θα πρέπει να θέλουν να κάνουν.

Τα δίκτυα VPN πρέπει να είναι απόλυτα ειλικρινή και διαφανή για κάθε τμήμα της υπηρεσίας τους. Το TunnelBear έχει περάσει αυτό το επιπλέον μίλι και έχει αποδείξει ότι υπάρχει ένας τρόπος να βελτιωθεί η φήμη του κλάδου VPN. Ελπίζουμε ότι περισσότερα δίκτυα VPN θα αποφασίσουν να ακολουθήσουν αυτό το εξαιρετικό παράδειγμα.

Οι καταναλωτές πρέπει να δράσουν!

Το Cure53 με πληροφόρησε ότι 38 ημέρες (το χρονικό διάστημα που ο TunnelBear λέει ότι διενεργούν οι δύο έλεγχοι) του κόστους ελέγχου περίπου 45.000 δολάρια. Ως εκ τούτου, φαίνεται πολύ απίθανο ότι η πλειοψηφία των εμπορικών VPN θα προχωρήσει και θα ακολουθήσει το παράδειγμα.

Επιπλέον, μέχρι να αρχίσουν οι καταναλωτές προειδοποιήσεις, όπως αυτές που κάνουμε εδώ στο ProPrivacy.com, θα συνεχίσουν να διακυβεύονται τα προσωπικά τους δεδομένα από τα VPN που προτίθενται να κάνουν γρήγορο buck. Οι καταναλωτές πρέπει να αναλάβουν δράση, κατευθύνοντάς τους από VPN με κακές πολιτικές απορρήτου και παραμένοντας μακριά από VPN που κάνουν ψευδείς ισχυρισμούς στους ιστοτόπους τους. Ήρθε η ώρα για τους χρήστες να αποκόψουν άθλια VPN υπέρ των αξιόπιστων και συνιστώμενων υπηρεσιών!

Οι απόψεις είναι οι δικές του συγγραφείς.

Πιστοποίηση εικόνας τίτλου: Αρχική σελίδα του TunnelBear

Εικόνες πιστών: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 1 = 1

map