Beberapa tahun kebelakangan ini telah menjadi tumpuan untuk industri Rangkaian Peribadi Maya (VPN). Berita telah muncul mengenai VPN yang menjual lebar jalur, menyuntik iklan, menjual data pengguna, menyediakan keselamatan yang lemah, dan kadang-kadang berbohong tentang penyulitan yang mereka berikan. Di sini di ProPrivacy.com, kita semua menyedari masalah ini. Itulah sebabnya kami mengkaji dengan teliti VPN dan memaklumkan kepada pengguna tentang kelemahan mereka (serta ciri-ciri mereka).


Semalam minggu lalu, berita memecah aduan bahawa Pusat Sokongan Demokrasi dan Teknologi (CDT) kumpulan advokasi bebas telah membuat mengenai VPN yang berpangkalan di AS, Hotspot Shield. CDT telah memfailkan aduan 14 muka surat dengan Suruhanjaya Perdagangan Persekutuan kerana merasakan bahawa Hotspot Shield telah melanggar Seksyen 5 larangan Akta FTC terhadap amalan perdagangan yang tidak adil dan menipu.

Isu ini dijelaskan dalam kajian ProPrivacy.com mengenai Hotspot Shield. Seperti yang dinyatakan oleh CDT,

"Peninjauan ProPrivacy menonjol dengan tepat apa yang Hotspot Shield lakukan salah."

Joseph Jerome dari CDT juga memberitahu saya,

"Anda, sebagai orang di rumput di VPN, mungkin memahami apa yang mereka lakukan, tetapi pengguna purata tidak akan."

Makanan untuk Pemikiran

Itu membuat saya berfikir. CDT adalah betul untuk mengadu kepada FTC. Mengapa? Kerana walaupun ulasan ProPrivacy.com mengenai Hotspot Shield tersedia secara percuma untuk sesiapa sahaja untuk membaca, dasar privasi Hotspot Shield masih membingungkan. Pengguna tidak sepatutnya memerlukan ulasan seperti kami untuk mentafsirkan kandungan dasar privasi syarikat VPN: ia harus dijelaskan dalam bahasa Inggeris biasa dari awal supaya pelanggan tahu dengan tepat apa yang mereka dapatkan.

Malangnya, pengguna tidak selalu menyedari apa yang berlaku di bawah hud VPN. Laporan Pertubuhan Penyelidikan Sains dan Industri Komanwel (CSIRO) dari awal tahun ini menganalisa tinjauan buruk (satu atau dua bintang) VPN di Google Play Store (yang mempunyai lebih dari 500K pemasangan dan penarafan keseluruhan 4 bintang). Ia mendapati bahawa,

"Hanya kurang daripada 1% ulasan negatif berkaitan dengan keselamatan dan kebimbangan privasi, termasuk penggunaan permintaan kebenaran yang kasar atau meragukan dan aktiviti penipuan."

Csiro 150X150

Itulah statistik yang mengejutkan. Ia menunjukkan betapa pengguna VPN terdedah kepada tuntutan privasi yang salah yang dibuat oleh VPN. Lebih-lebih lagi, bukan sekadar dasar privasi VPN yang mesti tepat dan jujur, tetapi keseluruhan kod VPN dan infrastruktur yang mesti diuji untuk memastikan bahawa ia sebenarnya menyampaikan janji-janji yang dibuatnya. Malangnya, VPN tidak dikawal selia sehingga pengguna berisiko.

Sekarang, sebuah firma VPN bernama TunnelBear telah memutuskan untuk mengambil perkara-perkara ke dalam tangannya sendiri untuk menambah lebih ketelusan kepada perkhidmatan yang sudah dihormati.

Audit VPN Pihak Ketiga TunnelBear

TunnelBear adalah firma VPN yang berpangkalan di Toronto, Kanada, yang baru saja mengumumkan keputusan audit pihak ketiga. Dalam catatan blognya tentang audit, TunnelBear menerangkan bahawa disebabkan oleh peningkatan kebimbangan mengenai amalan VPN komersial, ia memutuskan untuk menggunakan firma keselamatan bebas untuk mengaudit perkhidmatannya:

"Walaupun kami tidak dapat memulihkan kepercayaan dalam industri, kami menyedari kami dapat terus menerus menunjukkan kepada para pelanggan kami mengapa mereka boleh, dan harus percaya kepada TunnelBear."

Firma yang TunnelBear digunakan untuk melakukan audit itu dipanggil Cure53. Dalam catatan blognya, TunnelBear secara terang-terangan mengakui bahawa tidak semua penemuan Cure53 adalah positif:

"Jika anda telah melihat hasilnya, anda telah melihat bahawa audit 2016 mendapati kelemahan dalam sambungan Chrome yang kami tidak bangga. Adalah baik untuk menjadi lebih kuat dari pintu, tetapi ini juga memperkuat pemahaman kita mengenai nilai yang mempunyai ujian yang tetap dan bebas. Kami mahu mencari kerentanan secara proaktif sebelum dapat dimanfaatkan. "

Kesemua kerentanan yang ditemui semasa audit awal telah ditetapkan dengan cepat oleh pasukan pembangunan TunnelBear. Semasa audit susulan, Cure53 mendapati bahawa TunnelBear berjaya memasangkan semua isu keselamatan utama yang ditemui:

"Hasil audit kedua jelas menggariskan bahawa TunnelBear patut mendapat pengiktirafan untuk melaksanakan tahap keselamatan yang lebih baik untuk kedua-dua pelayan dan infrastruktur serta sambungan klien dan pelayar untuk pelbagai platform."

Ini berita hebat untuk pelanggan TunnelBear. Walau bagaimanapun, ia juga menimbulkan penggera mengenai VPN yang lain. Dengan kemasukannya sendiri, TunnelBear berharap dapat "lebih kuat dari pintu gerbang." Malangnya, apa yang kita harapkan bukan selalu apa yang kita dapat.

Ketika datang untuk mengaudit beratus-ratus baris kode yang membentuk VPN - terutama karena kriptografi terlibat - ada sedikit orang yang dapat melakukan pekerjaan dengan baik. Tambahan lagi, pembiayaan audit seperti yang TunnelBear dibayar (daripada poketnya sendiri) jauh dari murah.

Rang Undang-Undang Besar

A Tanda Perkara Yang Datang?

Berita baiknya ialah audit lain sudah berlaku. Pada bulan Mei, keputusan audit penyulitan OpenVPN membuktikan bahawa protokol VPN yang terkemuka adalah selamat. Laporan itu diterbitkan oleh Dana Peningkatan Teknologi Sumber Terbuka (OSTIF). Ia dibayar oleh sumbangan daripada banyak individu dan firma dalam industri VPN (termasuk ProPrivacy.com).

Laporan OSTIF membuktikan kesahan OpenVPN sebagai satu bentuk penyulitan. Ia menunjukkan bahawa VPN yang melaksanakan OpenVPN (kepada piawaian terkini) menyediakan pengguna dengan privasi dan keselamatan yang kukuh. Walau bagaimanapun, apa yang tidak dapat dilakukan oleh audit itu adalah mengesahkan pelaksanaan klien khusus VPN pihak ketiga atau infrastruktur dan keselamatan klien. Itulah sesuatu yang setiap VPN perlu berusaha untuk melakukannya sendiri - jika ia mahu membuktikan bahawa setiap bahagian kodnya bebas dari kerentanan.

Lulus Audit Vpn

Tidak Berlaku Cukup

AirVPN, penyedia VPN yang terkenal dan sangat dipercayai, memberitahu saya bahawa ia menggunakan penggodam topi putih untuk menguji infrastrukturnya secara teratur:

"Perkhidmatan kami adalah berdasarkan OpenVPN. Mengenai OpenVPN kami bersama membiayai audit yang luas, sebagai tambahan kepada ulasan peer normal oleh pakar keselamatan dan komuniti mengenai perisian sumber terbuka dan terbuka.

"Pelanggan perisian kami, pembungkus OpenVPN dan frontend, juga bebas dan perisian sumber terbuka juga (dibebaskan di bawah GPLv3). Kod sumber boleh didapati di GitHub.

"Kami tidak membebaskan sebarang pembrokeran, jadi sebahagian daripada infrastruktur yang memerlukan tekanan dan ujian serangan berada di pihak kami. Infrastruktur kami sering diserang oleh orang yang profesional dan diberi kuasa (penggodam mahir) untuk mencari kelemahan dan, sememangnya, kakitangan Udara dengan teliti menganalisis laporan serangan tersebut. Kami tidak mengiklankan aktiviti ini atau menganggapnya sebagai alat pemasaran, kerana ini adalah tingkah laku biasa dan normal dalam industri IT, terutamanya apabila mendedahkan perkhidmatan pada rangkaian awam."

Ujian Penembusan Cure53

Walau bagaimanapun, Mario Heiderich dari Cure53 memberitahu saya bahawa, untuk VPN untuk tidak mengadaptasikan ujian yang mereka lakukan adalah tidak sah:

"Penyedia VPN harus kuat mengenainya, harus menawarkan ketelusan, harus menerbitkan laporan dan membuktikan kepada pengguna mereka bahwa mereka mempunyai yang terbaik untuk mereka."

Di samping itu, Heiderich memberitahu saya bahawa "mempunyai kod klien mereka di Github atau sejenisnya mungkin membantu - namun banyak perisian mempunyai pepijat kritikal walaupun terdapat sumber terbuka, jadi tidak ada jaminan apa-apa jenis." Perkara penting itu menekankan pentingnya jenis audit ini. Lagipun, terdapat perbezaan antara mempunyai kod VPN Open Source dan mempunyai kod sumber terbuka yang telah disahkan secara menyeluruh secara bebas.

Baik ... Hebat ... Lebih baik

Jangan salahkan saya, dari segi ketelusan, AirVPN melonjak ke hadapan sebahagian besar VPN di pasaran. Walau bagaimanapun, apa yang dilakukan TunnelBear pasti akan berjalan lebih jauh. Ia mendemonstrasikan pendekatan yang luar biasa ditentukan untuk menonjolkan kebolehpercayaan perkhidmatan.

Lebih baik

Di sini di ProPrivacy.com, kami memuji TunnelBear kerana telah melompat untuk membayar audit mendalam dan awamnya sendiri. TunnelBear kini boleh membanggakan dengan lebih yakin mengenai tahap keselamatannya daripada hanya VPN yang lain. Ini adalah kedudukan yang VPN lain tidak akan ragu untuk meniru. Sejauh yang kita bimbangkan, ini adalah sesuatu yang perlu dilakukan oleh semua VPN teratas.

VPN harus jujur ​​dan telus sepenuhnya mengenai setiap bahagian perkhidmatan mereka. TunnelBear telah melakukan mil tambahan dan membuktikan bahawa ada cara untuk meningkatkan reputasi industri VPN. Kami berharap lebih banyak VPN memutuskan untuk mengikuti contoh yang sangat baik ini.

Pengguna Perlu Bertindak!

Cure53 memaklumkan kepada saya bahawa 38 hari (panjang masa yang TunnelBear mengatakan dua auditnya diambil) kos pengauditan kira-kira $ 45,000. Oleh itu, nampaknya tidak mungkin majoriti VPN komersial akan diteruskan dan mengikutinya.

Terlebih lagi, sehingga pengguna mula memperhatikan amaran seperti yang kami buat di sini di ProPrivacy.com, mereka akan terus mempunyai privasi mereka yang dikompromi oleh niat VPN untuk membuat wang cepat. Pengguna perlu mengambil tindakan dengan menjauhkan diri dari VPN dengan dasar privasi yang kurang baik dan terus membersihkan VPN yang membuat tuntutan palsu di laman web mereka. Sudah tiba masanya untuk pengguna menjatuhkan VPN yang buruk memihak kepada perkhidmatan yang dipercayai dan disyorkan!

Pendapat adalah penulis sendiri.

Kredit imej tajuk: halaman rumah TunnelBear

Kredit imej: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me