VPN支付第三方审核费用:这是未来吗?

在过去的几年中,虚拟专用网(VPN)行业经历了一段坎bump的旅程。有关VPN出售带宽,注入广告,出售用户数据,提供较差的安全性,甚至有时甚至谎称其提供的加密技术的消息已经出现。在ProPrivacy.com上,我们都非常注意这些问题。这就是为什么我们仔细审查VPN并告知消费者其缺陷(及其属性)的原因.


就在上周,有关独立宣传组织民主技术中心(CDT)对美国VPN热点盾(Hotspot Shield)进行投诉的消息传出。 CDT向联邦贸易委员会提出了长达14页的投诉,因为它认为Hotspot Shield违反了FTC法案禁止不公平和欺诈性贸易行为的第5条。.

ProPrivacy.com对Hotspot Shield的评论中对此问题进行了解释。如CDT所述,

“ ProPrivacy的评论正好突出了Hotspot Shield做错了什么。”

CDT的Joseph Jerome也告诉我,

“作为VPN杂草丛生的人,您可能了解他们在做什么,但普通消费者却不知道。”

思想的食物

那让我开始思考。 CDT向FTC投诉是正确的。为什么?因为尽管ProPrivacy.com对Hotspot Shield的评论可以免费供任何人阅读,但Hotspot Shield的隐私政策仍然令人困惑。消费者不应该要求像我们这样的评论来破译VPN公司的隐私权政策的内容:应从一开始就用简单的英语进行解释,以便订户确切地知道他们所得到的.

不幸的是,消费者并不总是知道VPN背后发生了什么。联邦科学与工业研究组织(CSIRO)今年早些时候的一份报告分析了Google Play商店(安装量超过50万,总评价为4星)中VPN的差评(一星或两星)。发现,

“只有不到1%的负面评论与安全和隐私问题有关,包括使用辱骂或可疑的许可请求以及欺诈活动。”

西罗150X150

这是一个惊人的统计数字。它展示了VPN消费者对VPN提出的错误隐私声明有多脆弱。而且,不仅仅是VPN隐私政策必须准确而诚实,而且必须对VPN的整个代码和基础结构进行测试,以确定其实际上正在兑现其所作的承诺。可悲的是,VPN目前尚未受到监管,因此消费者面临风险.

现在,一家名为TunnelBear的VPN公司决定自行处理事务,以为其已受尊敬的服务增加更多透明度.

TunnelBear第三方VPN审核

TunnelBear是一家位于加拿大多伦多的VPN公司,该公司刚刚宣布了第三方审核的结果。在有关审核的博客文章中,TunnelBear解释说,由于对商业VPN的做法的担忧增加,它决定聘请独立的安全公司来审核其服务:

“虽然我们无法恢复对业界的信任,但我们意识到我们可以进一步向客户展示他们为什么可以而且应该信任TunnelBear。”

TunnelBear雇用该公司进行审计的公司称为Cure53。 TunnelBear在其博客文章中坦率地承认,并非Cure53的所有发现都是正面的:

“如果您已经查看了结果,就会发现2016年的审核发现了Chrome扩展程序中的漏洞,我们对此并不感到骄傲。走出困境,这本来很好,但是这也加强了我们对进行定期,独立测试的价值的理解。我们希望主动发现漏洞,然后加以利用。”

TunnelBear的开发团队迅速修复了在初次审核过程中发现的所有漏洞。在后续审核中,Cure53发现TunnelBear设法解决了它发现的所有主要安全问题:

“第二次审核的结果清楚地表明,TunnelBear应该为服务器和基础架构以及各种平台的客户端和浏览器扩展实现更高级别的安全性而受到认可。”

对于TunnelBear的客户来说,这真是个好消息。但是,这也会引发有关其他VPN的警报。自己承认,TunnelBear曾希望“变得坚强”。但是,可悲的是,我们希望得到的并不总是我们能得到的.

当要正确审核构成VPN的数百行代码时(尤其是因为涉及密码学时),很少有人可以正确地完成这项工作。而且,像TunnelBear自己支付的那样为审计提供资金远非便宜.

大比尔

即将到来的迹象?

好消息是,其他审核确实已经进行了。 5月,对OpenVPN加密的审核结果证明领先的VPN协议是安全的。该报告由开源技术改进基金会(OSTIF)发布。它是由VPN行业内的许多个人和公司(包括ProPrivacy.com)的捐款支付的。.

OSTIF报告证明了OpenVPN作为一种加密形式的有效性。它表明,实施OpenVPN(最新标准)的VPN正在为其用户提供强大的隐私和安全性。但是,审计无法做到的是验证第三方VPN的自定义客户端实现或客户端基础结构和安全性。每个VPN都必须为自己做这件事-如果它想证明其代码的每个部分都没有漏洞.

通过审核Vpn

做得不够

AirVPN是一家知名且高度受信任的VPN提供商,它告诉我说,它雇用白帽黑客定期测试其基础架构:

"我们的服务基于OpenVPN。关于OpenVPN,除了安全专家和社区对免费和开源软件的正常同行评审之外,我们还共同资助了广泛的审核.

"我们的软件客户端,一个OpenVPN包装和前端,也是免费的开源软件(在GPLv3下发布)。源代码在GitHub中可用.

"我们不会发布任何过时软件,因此基础架构的其余部分需要压力和攻击测试就在我们这边。我们的基础设施经常受到专业和授权人员(熟练的黑客)的攻击,以寻找漏洞,当然,空军工作人员会仔细分析此类攻击的报告。我们不会宣传此活动或将其视为营销工具,因为这是IT行业的普通和正常行为,尤其是在公共网络上公开服务时."

Cure53渗透测试

但是,来自Cure53的Mario Heiderich告诉我,对于VPN不广告,他们所做的测试是违反直觉的:

"VPN提供商应该对此大声疾呼,应该提供透明度,应该发布报告并向其用户证明他们对他们有最好的想法."

另外,海德里希告诉我 "在Github等上使用其客户端代码可能会有所帮助-尽管许多软件都是开源的,但许多软件仍存在严重的错误,因此无法保证." 该要点突出了这种审计的重要性。毕竟,拥有开放源代码VPN代码和具有经过完全独立验证的开放源代码之间是有区别的.

好...好...更好

不要误会我的意思,就透明性而言,AirVPN在市场上绝大多数VPN上都遥遥领先。但是,TunnelBear所做的工作无疑又向前迈进了一步。它展示了一种异常确定的方法来强调服务的可信赖性.

好更好

在ProPrivacy.com上,我们为TunnelBear为自己的深入和公开审核付出了巨大的努力表示赞赏。现在,TunnelBear可以比其他任何VPN更加自信地宣称自己的安全级别。这无疑是其他VPN希望效仿的立场。就我们而言,这是所有高端VPN都应该做的事情.

VPN对于其服务的每个部分都应该完全诚实和透明。 TunnelBear已走得更远,并证明有一种方法可以提高VPN行业的声誉。我们希望更多的VPN决定效仿这个出色的例子.

消费者必须采取行动!

Cure53告诉我,为期38天(TunnelBear说其两次审计所用的时间),审计费用约为4.5万美元。因此,大多数商业VPN极不可能继续效仿.

更重要的是,在消费者开始注意我们在ProPrivacy.com上发出的警告之类的警告之前,他们将继续因VPN想要快速赚钱而损害其隐私。消费者需要采取行动,避免使用隐私政策不佳的VPN,并远离在其网站上做出虚假声明的VPN。现在是时候让用户放弃糟糕的VPN来支持受信任和推荐的服务了!

意见是作者自己的.

标题图片来源:TunnelBear主页

图片来源:hvostik / Shutterstock.com,Stuart Miles / Shutterstock.com,mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me