Beberapa tahun terakhir telah menjadi perjalanan yang sulit bagi industri Virtual Private Network (VPN). Berita telah muncul tentang VPN yang menjual bandwidth, menyuntikkan iklan, menjual data pengguna, memberikan keamanan yang buruk, dan kadang-kadang bahkan berbohong tentang enkripsi apa yang mereka berikan. Di sini, di ProPrivacy.com, kita semua terlalu menyadari masalahnya. Itu sebabnya kami meninjau VPN dengan hati-hati dan memberi tahu konsumen tentang kekurangan mereka (serta atributnya).


Baru minggu lalu, ada berita tentang sebuah keluhan yang dibuat oleh kelompok advokasi independen Center for Democracy and Technology (CDT) tentang VPN yang berbasis di AS, Hotspot Shield. CDT telah mengajukan keluhan 14 halaman dengan Komisi Perdagangan Federal karena merasa bahwa Hotspot Shield telah melanggar Bagian 5 dari larangan Undang-Undang FTC terhadap praktik perdagangan yang tidak adil dan menipu..

Masalahnya dijelaskan dalam ulasan ProPrivacy.com tentang Hotspot Shield. Seperti yang dinyatakan CDT,

“Ulasan ProPrivacy menyoroti apa yang salah dari Hotspot Shield.”

Joseph Jerome dari CDT juga memberi tahu saya,

"Anda, sebagai seseorang di rumput liar di VPN, mungkin mengerti apa yang mereka lakukan, tetapi konsumen pada umumnya tidak."

Inspirasi

Itu membuat saya berpikir. CDT berhak mengadu ke FTC. Mengapa? Karena terlepas dari kenyataan bahwa ulasan ProPrivacy.com tentang Hotspot Shield tersedia secara bebas bagi siapa saja untuk membaca, kebijakan privasi Hotspot Shield masih membingungkan. Konsumen tidak perlu meminta ulasan seperti dari kami untuk menguraikan konten kebijakan privasi perusahaan VPN: itu harus dijelaskan dalam bahasa Inggris sejak awal sehingga pelanggan tahu persis apa yang mereka dapatkan.

Sayangnya, konsumen tidak selalu menyadari apa yang terjadi di bawah tenda VPN. Laporan Organisasi Riset Ilmiah dan Industri Persemakmuran (CSIRO) dari awal tahun ini menganalisis ulasan buruk (satu atau dua bintang) VPN di Google Play Store (yang memiliki lebih dari 500 ribu pemasangan dan peringkat keseluruhan bintang 4). Ditemukan itu,

"Hanya kurang dari 1% ulasan negatif yang berkaitan dengan masalah keamanan dan privasi, termasuk penggunaan permintaan izin yang kasar atau meragukan dan aktivitas penipuan."

Csiro 150X150

Itu adalah statistik yang mengejutkan. Ini menunjukkan betapa rentan konsumen VPN terhadap klaim privasi yang salah yang dibuat oleh VPN. Terlebih lagi, bukan hanya kebijakan privasi VPN yang harus tepat dan jujur, tetapi seluruh kode dan infrastruktur VPN yang harus diuji untuk memastikan bahwa itu benar-benar memberikan janji yang dibuatnya. Sayangnya, VPN saat ini tidak diatur sehingga konsumen berisiko.

Sekarang, sebuah perusahaan VPN bernama TunnelBear telah memutuskan untuk menangani sendiri masalahnya untuk menambah transparansi pada layanannya yang sudah dihormati..

Audit VPN Pihak Ketiga TunnelBear

TunnelBear adalah perusahaan VPN yang berbasis di Toronto, Kanada, yang baru saja mengumumkan hasil audit pihak ketiga. Dalam posting blognya tentang audit, TunnelBear menjelaskan bahwa karena meningkatnya kekhawatiran atas praktik VPN komersial, ia memutuskan untuk menggunakan perusahaan keamanan independen untuk mengaudit layanannya:

"Meskipun kami tidak dapat memulihkan kepercayaan di industri ini, kami menyadari bahwa kami dapat menunjukkan lebih jauh kepada pelanggan kami mengapa mereka dapat, dan seharusnya, memiliki kepercayaan pada TunnelBear."

Perusahaan yang digunakan TunnelBear untuk melakukan audit itu disebut Cure53. Dalam posting blognya, TunnelBear dengan jujur ​​mengakui bahwa tidak semua temuan Cure53 positif:

“Jika Anda sudah melihat hasilnya, Anda telah melihat bahwa audit 2016 menemukan kerentanan dalam ekstensi Chrome yang tidak kami banggakan. Pasti menyenangkan untuk menjadi lebih kuat di luar gerbang, tetapi ini juga memperkuat pemahaman kita tentang nilai memiliki pengujian rutin dan independen. Kami ingin menemukan kerentanan secara proaktif sebelum mereka dapat dieksploitasi. ”

Semua kerentanan yang ditemukan selama audit awal dengan cepat diperbaiki oleh tim pengembangan TunnelBear. Selama audit tindak lanjut, Cure53 menemukan bahwa TunnelBear telah berhasil menyumbat semua masalah keamanan utama yang ditemukannya:

"Hasil audit kedua dengan jelas menggarisbawahi bahwa TunnelBear layak mendapatkan pengakuan karena menerapkan tingkat keamanan yang lebih baik untuk server dan infrastruktur serta ekstensi klien dan browser untuk berbagai platform."

Ini adalah berita fantastis bagi pelanggan TunnelBear. Namun, ini juga menimbulkan alarm tentang VPN lain. Dengan pengakuannya sendiri, TunnelBear berharap untuk "menjadi lebih kuat dari gerbang." Sayangnya, apa yang kita harapkan bukan selalu yang kita dapatkan.

Ketika datang untuk mengaudit dengan benar ratusan baris kode yang membentuk VPN - terutama karena kriptografi terlibat - ada beberapa orang yang dapat melakukan pekerjaan dengan baik. Terlebih lagi, mendanai audit seperti yang dibayar TunnelBear (dari kantongnya sendiri) jauh dari murah.

Tagihan Besar

Tanda Hal-hal yang Akan Datang?

Berita baiknya adalah audit lain sudah terjadi. Pada bulan Mei, hasil audit enkripsi OpenVPN membuktikan bahwa protokol VPN terkemuka aman. Laporan itu diterbitkan oleh Open Source Technology Improvement Fund (OSTIF). Itu dibayar oleh kontribusi dari banyak individu dan perusahaan dalam industri VPN (termasuk ProPrivacy.com).

Laporan OSTIF membuktikan validitas OpenVPN sebagai bentuk enkripsi. Ini menunjukkan bahwa VPN yang menerapkan OpenVPN (dengan standar terbaru) memberikan penggunanya privasi dan keamanan yang kuat. Namun, apa yang audit itu tidak dapat lakukan adalah memverifikasi implementasi klien kustom VPN pihak ketiga atau infrastruktur dan keamanan sisi klien. Itu adalah sesuatu yang harus dilakukan oleh setiap VPN untuk dirinya sendiri - jika ingin membuktikan bahwa setiap bagian dari kodenya bebas dari kerentanan..

Lulus Audit Vpn

Tidak Melakukan Cukup

AirVPN, penyedia VPN yang sangat terkenal dan sangat tepercaya, memberi tahu saya bahwa mereka mempekerjakan peretas topi putih untuk menguji infrastrukturnya secara teratur:

"Layanan kami didasarkan pada OpenVPN. Tentang OpenVPN, kami turut membiayai audit ekstensif, di samping ulasan rekan normal oleh pakar keamanan dan komunitas tentang perangkat lunak sumber terbuka dan gratis.

"Klien perangkat lunak kami, pembungkus dan frontend OpenVPN, adalah perangkat lunak bebas dan sumber terbuka juga (dirilis di bawah GPLv3). Kode sumber tersedia di GitHub.

"Kami tidak merilis bloatware apa pun, sehingga bagian infrastruktur yang tersisa yang memerlukan uji tekanan dan serangan ada di pihak kami. Infrastruktur kami sering diserang oleh orang-orang profesional dan berwenang (peretas terampil) dalam mencari kerentanan dan, tentu saja, staf Air dengan hati-hati menganalisis laporan serangan tersebut. Kami tidak mengiklankan kegiatan ini atau menganggapnya sebagai alat pemasaran, karena ini adalah perilaku biasa dan normal dalam industri TI, terutama ketika mengekspos layanan pada jaringan publik."

Tes Penetrasi Cure53

Namun, Mario Heiderich dari Cure53 mengatakan kepada saya bahwa, untuk VPN yang tidak mengiklankan pengujian yang telah mereka lakukan adalah berlawanan dengan intuisi:

"Penyedia VPN harus bersuara keras, harus menawarkan transparansi, harus mempublikasikan laporan dan membuktikan kepada pengguna mereka bahwa mereka memiliki yang terbaik dalam pikiran mereka.."

Selain itu, Heiderich mengatakan itu kepada saya "memiliki kode klien mereka di Github atau sejenisnya mungkin membantu - namun banyak perangkat lunak memiliki bug penting meskipun bersifat open source, jadi tidak ada jaminan dalam bentuk apa pun." Poin penting itu menyoroti pentingnya audit semacam ini. Lagi pula, ada perbedaan antara memiliki kode Open Source VPN dan memiliki kode open source yang telah diverifikasi secara independen sepenuhnya.

Bagus ... Bagus ... Lebih baik

Jangan salah paham, dalam hal transparansi, AirVPN adalah lompatan besar di depan sebagian besar VPN di pasar. Namun, apa yang telah dilakukan TunnelBear pasti melangkah lebih jauh. Ini menunjukkan pendekatan yang ditentukan luar biasa untuk menyoroti kepercayaan layanan.

Baik lebih baik

Di sini, di ProPrivacy.com, kami memuji TunnelBear karena telah melakukan lompatan untuk membayar auditnya sendiri yang mendalam dan publik. TunnelBear sekarang dapat membual lebih percaya diri tentang tingkat keamanannya daripada VPN lainnya. Ini adalah posisi yang ingin ditiru oleh VPN lain. Sejauh yang kami ketahui, ini adalah sesuatu yang ingin dilakukan semua VPN kelas atas.

VPN harus sepenuhnya jujur ​​dan transparan tentang setiap bagian dari layanan mereka. TunnelBear telah melangkah lebih jauh dan membuktikan bahwa ada cara untuk meningkatkan reputasi industri VPN. Kami berharap lebih banyak VPN memutuskan untuk mengikuti contoh luar biasa ini.

Konsumen Harus Bertindak!

Cure53 memberi tahu saya bahwa 38 hari (lamanya waktu yang diambil TunnelBear tentang dua auditnya) untuk biaya audit sekitar $ 45.000. Dengan demikian, tampaknya sangat tidak mungkin bahwa sebagian besar VPN komersial akan melanjutkan dan mengikuti.

Terlebih lagi, sampai konsumen mulai mengindahkan peringatan seperti yang kami buat di sini di ProPrivacy.com, mereka akan terus memiliki privasi mereka dikompromikan oleh VPN yang berniat menghasilkan uang dengan cepat. Konsumen perlu mengambil tindakan dengan menjauh dari VPN dengan kebijakan privasi yang buruk dan menghindari VPN yang membuat klaim palsu di situs web mereka. Sudah waktunya bagi pengguna untuk membuang VPN yang buruk demi layanan tepercaya dan yang disarankan!

Pendapat adalah milik penulis sendiri.

Kredit gambar judul: Halaman utama TunnelBear

Kredit gambar: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me