VPN betaalt voor externe audit: is dit de toekomst?

De afgelopen jaren waren een hobbelige rit voor de Virtual Private Network (VPN) -industrie. Er is nieuws verschenen over VPN's die bandbreedte verkopen, advertenties injecteren, gebruikersgegevens verkopen, slechte beveiliging bieden en soms zelfs liegen over welke codering ze bieden. Hier bij ProPrivacy.com zijn we ons maar al te goed bewust van de problemen. Daarom beoordelen we VPN's zorgvuldig en informeren we consumenten over hun fouten (en over hun kenmerken).


Vorige week kwam er nieuws over een klacht die de onafhankelijke belangenbehartigingsgroep Centre for Democracy and Technology (CDT) heeft ingediend over de in de VS gevestigde VPN, Hotspot Shield. CDT heeft een klacht van 14 pagina's ingediend bij de Federal Trade Commission omdat deze vindt dat Hotspot Shield sectie 5 van het verbod van de FTC Act op oneerlijke en misleidende handelspraktijken heeft overtreden.

Het probleem wordt uitgelegd in de ProPrivacy.com-review van Hotspot Shield. Zoals CDT zegt,

"De beoordeling van ProPrivacy benadrukt precies wat Hotspot Shield verkeerd doet."

Joseph Jerome van CDT heeft het me ook verteld,

"Jij, als iemand in het onkruid op VPN's, begrijpt misschien wat ze doen, maar de gemiddelde consument niet."

Stof tot nadenken

Dat zette me aan het denken. CDT heeft gelijk een klacht in te dienen bij de FTC. Waarom? Omdat ondanks het feit dat ProPrivacy.com's beoordeling van Hotspot Shield voor iedereen gratis beschikbaar is, het privacybeleid van Hotspot Shield nog steeds verwarrend is. Consumenten zouden geen beoordelingen als de onze nodig hebben om de inhoud van het privacybeleid van een VPN-bedrijf te ontcijferen: het moet vanaf het begin in gewoon Engels worden uitgelegd, zodat abonnees precies weten wat ze krijgen.

Helaas zijn consumenten zich niet altijd bewust van wat er speelt onder de motorkap van een VPN. Een rapport van de Commonwealth Scientific and Industrial Research Organisation (CSIRO) van eerder dit jaar analyseerde slechte beoordelingen (één of twee sterren) van VPN's in de Google Play Store (met meer dan 500K installaties en een algemene beoordeling van 4 sterren). Het heeft dat gevonden,

"Slechts minder dan 1% van de negatieve beoordelingen heeft betrekking op beveiligings- en privacykwesties, waaronder het gebruik van misbruik of twijfelachtige toestemmingsverzoeken en frauduleuze activiteiten."

Csiro 150X150

Dat is een verrassende statistiek. Het laat zien hoe kwetsbaar VPN-consumenten zijn voor de onjuiste privacyclaims van VPN's. Bovendien moeten niet alleen het VPN-privacybeleid nauwkeurig en eerlijk zijn, maar moet de volledige code en infrastructuur van een VPN worden getest om te controleren of deze daadwerkelijk de beloftes nakomt. Helaas zijn VPN's momenteel niet gereguleerd, zodat consumenten risico lopen.

Nu heeft een VPN-bedrijf genaamd TunnelBear besloten het heft in eigen handen te nemen om nog meer transparantie toe te voegen aan zijn reeds gerespecteerde service.

De TunnelBear VPN-audit van derden

TunnelBear is een VPN-bedrijf gevestigd in Toronto, Canada, dat zojuist de resultaten van een externe audit heeft aangekondigd. In zijn blogpost over de audit legt TunnelBear uit dat vanwege een toename van bezorgdheid over de praktijken van commerciële VPN's, hij besloot een onafhankelijk beveiligingsbedrijf in dienst te nemen om zijn service te controleren:

"Hoewel we het vertrouwen in de branche niet kunnen herstellen, realiseerden we ons dat we verder konden gaan door onze klanten te laten zien waarom ze vertrouwen kunnen en moeten hebben in TunnelBear."

Het bedrijf dat TunnelBear heeft gebruikt om die audit uit te voeren, wordt Cure53 genoemd. In zijn blogpost geeft TunnelBear openhartig toe dat niet alle bevindingen van Cure53 positief waren:

"Als je al naar de resultaten hebt gekeken, heb je gezien dat de audit van 2016 kwetsbaarheden in de Chrome-extensie aantrof waar we niet trots op waren. Het zou leuk geweest zijn om sterker uit de poort te zijn, maar dit versterkte ook ons ​​begrip van de waarde van regelmatig, onafhankelijk testen. We willen kwetsbaarheden proactief vinden voordat ze kunnen worden misbruikt. "

Alle kwetsbaarheden die tijdens de eerste audit werden ontdekt, werden snel opgelost door het ontwikkelingsteam van TunnelBear. Tijdens de follow-upaudit ontdekte Cure53 dat TunnelBear erin was geslaagd alle belangrijke beveiligingsproblemen op te lossen die het had ontdekt:

"De resultaten van de tweede audit onderstrepen duidelijk dat TunnelBear erkenning verdient voor het implementeren van een beter beveiligingsniveau voor zowel de servers en infrastructuur als de clients en browser-extensies voor verschillende platforms."

Dit is fantastisch nieuws voor de klanten van TunnelBear. Het geeft echter ook alarmen over andere VPN's. Naar eigen zeggen had TunnelBear gehoopt "sterker uit de poort te komen." Helaas is wat we hopen echter niet altijd wat we krijgen.

Als het gaat om het goed controleren van de honderden regels code waaruit een VPN bestaat - vooral omdat het cryptografie betreft - zijn er maar weinig mensen die het werk goed kunnen doen. Bovendien is het financieren van een audit zoals die waarvoor TunnelBear heeft betaald (uit eigen zak) verre van goedkoop.

Big Bill

Een teken van dingen die komen gaan?

Het goede nieuws is dat andere audits al plaatsvinden. In mei toonden de resultaten van een audit van OpenVPN-codering aan dat het toonaangevende VPN-protocol veilig was. Dat rapport is gepubliceerd door het Open Source Technology Improvement Fund (OSTIF). Het werd betaald door bijdragen van veel particulieren en bedrijven binnen de VPN-industrie (inclusief ProPrivacy.com).

Het OSTIF-rapport bewees de geldigheid van OpenVPN als een vorm van codering. Het toonde aan dat VPN's die OpenVPN (volgens de nieuwste normen) implementeren hun gebruikers een sterke privacy en beveiliging bieden. Wat die audit echter niet kon doen, was de implementatie van aangepaste clients van externe VPN's of client-side infrastructuur en beveiliging verifiëren. Dat is iets dat elke VPN voor zichzelf moet doen - als het wil bewijzen dat elk deel van zijn code vrij van kwetsbaarheden is.

Geslaagd Audit Vpn

Niet genoeg doen

AirVPN, een bekende en zeer vertrouwde VPN-provider, vertelde me dat het white hat hackers in dienst heeft om zijn infrastructuur op regelmatige basis te testen:

"Onze service is gebaseerd op OpenVPN. Over OpenVPN hebben we een uitgebreide audit medegefinancierd, naast de normale peer reviews door beveiligingsexperts en community van gratis en open source software.

"Onze softwareclient, een OpenVPN-wrapper en frontend, is ook gratis en open source software (vrijgegeven onder GPLv3). Broncode is beschikbaar in GitHub.

"We geven geen bloatware vrij, dus de resterende delen van de infrastructuur die stress- en aanvalstests nodig hebben, staan ​​aan onze kant. Onze infrastructuur wordt vaak aangevallen door professionele en bevoegde personen (ervaren hackers) op zoek naar kwetsbaarheden en natuurlijk analyseert het Air-personeel de rapporten van dergelijke aanvallen zorgvuldig. We adverteren deze activiteit niet en beschouwen het niet als een marketingtool, omdat dit het normale en normale gedrag in de IT-industrie is, vooral wanneer services op een openbaar netwerk worden weergegeven."

Cure53 Penetratietests

Mario Heiderich van Cure53 vertelde me echter dat het niet intuïtief is voor VPN's om reclame te maken voor de tests die ze hebben gedaan:

"VPN-providers moeten er hard over zijn, transparantie bieden, rapporten publiceren en aan hun gebruikers bewijzen dat ze het beste voor hen in gedachten hebben."

Bovendien vertelde Heiderich me dat "het kan helpen om hun clientcode op Github of iets dergelijks te hebben - maar veel software bevat kritieke bugs ondanks dat het open source is, dus er is geen enkele garantie." Dat belangrijke punt onderstreept het belang van dit soort controles. Er is immers een verschil tussen het hebben van een open source VPN-code en het hebben van een open source code die grondig onafhankelijk is geverifieerd.

Goed ... Geweldig ... Beter

Begrijp me niet verkeerd, qua transparantie is AirVPN een grote sprong voorwaarts voor de overgrote meerderheid van VPN's op de markt. Wat TunnelBear heeft gedaan, gaat echter zeker een stap verder. Het toont een ongewoon vastberaden aanpak om de betrouwbaarheid van de dienst te benadrukken.

Goed beter

Hier bij ProPrivacy.com juichen we TunnelBear toe omdat hij de sprong heeft gemaakt om zijn eigen diepgaande en openbare audit te betalen. TunnelBear kan nu met meer vertrouwen opscheppen over zijn beveiligingsniveaus dan met elke andere VPN. Dit is een positie die andere VPN's ongetwijfeld willen emuleren. Wat ons betreft is dit iets dat alle top-end VPN's zouden moeten doen.

VPN's moeten volledig eerlijk en transparant zijn over elk onderdeel van hun service. TunnelBear is een stap verder gegaan en heeft bewezen dat er een manier is om de reputatie van de VPN-industrie te verbeteren. We hopen dat meer VPN's besluiten dit uitstekende voorbeeld te volgen.

Consumenten moeten handelen!

Cure53 informeert me dat 38 dagen (de tijd die TunnelBear zegt dat zijn twee audits hebben geduurd) van de audit ongeveer $ 45.000 kostte. Als zodanig lijkt het zeer onwaarschijnlijk dat de meeste commerciële VPN's doorgaan en dit voorbeeld volgen.

Wat meer is, totdat consumenten acht slaan op waarschuwingen zoals die we hier op ProPrivacy.com maken, zullen ze hun privacy blijven schaden door VPN's die van plan zijn snel geld te verdienen. Consumenten moeten actie ondernemen door weg te gaan van VPN's met een slecht privacybeleid en weg te blijven van VPN's die valse claims maken op hun websites. Het is tijd voor gebruikers om waardeloze VPN's weg te gooien ten gunste van vertrouwde en aanbevolen services!

De meningen zijn van de schrijver.

Titel afbeelding tegoed: TunnelBear startpagina

Afbeelding credits: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me