Son birkaç yıl Sanal Özel Ağ (VPN) endüstrisi için engebeli bir yolculuk oldu. Bant genişliği satan, reklam enjekte eden, kullanıcı verilerini satan, düşük güvenlik sağlayan ve hatta zaman zaman hangi şifrelemeyi sağladıklarını söyleyen VPN'ler hakkında haberler ortaya çıktı. ProPrivacy.com'da hepimiz sorunların farkındayız. Bu yüzden VPN'leri dikkatle inceler ve tüketicileri kusurları (ve özellikleri) hakkında bilgilendiririz.


Geçen hafta, bağımsız savunuculuk grubu Demokrasi ve Teknoloji Merkezi'nin (CDT) ABD merkezli VPN Hotspot Shield hakkında yaptığı bir şikayet hakkında haberler çıktı. CDT, Federal Ticaret Komisyonu'na 14 sayfalık bir şikayette bulundu, çünkü Hotspot Shield'in FTC Yasası'nın haksız ve aldatıcı ticaret uygulamalarına karşı yasağının 5. Bölümü'nü ihlal ettiğini düşünüyor.

Sorun, Hotspot Shield'in ProPrivacy.com incelemesinde açıklanmaktadır. CDT'nin belirttiği gibi,

“ProPrivacy’in incelemesi, Hotspot Shield'in neyi yanlış yaptığının altını çiziyor”

CDT'den Joseph Jerome da bana söyledi,

“Siz, VPN'lerde yabani otlardan biri olarak, ne yaptıklarını anlayabilirsiniz, ancak ortalama bir tüketici bunu yapmaz.”

Düşünce için yiyecek

Bu beni düşündürdü. CDT, FTC'ye şikayet etme hakkına sahiptir. Neden? Çünkü ProPrivacy.com’un Hotspot Shield'i incelemesi herkesin okuyabildiği için serbest olsa da Hotspot Shield’in gizlilik politikası hala kafa karıştırıcı. Tüketiciler, bir VPN firmasının gizlilik politikasının içeriğini deşifre etmek için bizim gibi incelemelere ihtiyaç duymamalıdır: abonelerin tam olarak ne aldıklarını bilmesi için en baştan İngilizce olarak açıklanmalıdır..

Ne yazık ki, tüketiciler her zaman bir VPN kaputunun altında neler olup bittiğinin farkında değildir. Bu yılın başlarındaki Commonwealth Bilimsel ve Endüstriyel Araştırma Organizasyonu (CSIRO) raporu, Google Play Store'daki (500.000'den fazla yüklemeye ve genel olarak 4 yıldız derecesine sahip) VPN'lerin kötü eleştirilerini (bir veya iki yıldız) analiz etti. Bunu buldu,

“Olumsuz incelemelerin yalnızca% 1'inden azı, küfürlü veya şüpheli izin isteklerinin ve hileli faaliyetlerin kullanılması da dahil olmak üzere güvenlik ve gizlilikle ilgili endişelerle ilgilidir.”

Csiro 150X150

Bu şaşırtıcı bir istatistik. VPN tüketicilerinin VPN'ler tarafından yapılan hatalı gizlilik iddialarına ne kadar savunmasız olduklarını gösterir. Dahası, sadece kesin ve dürüst olması gereken VPN gizlilik politikaları değil, gerçekte verdiği sözleri yerine getirdiğinden emin olmak için test edilmesi gereken bir VPN kodunun ve altyapısının tamamı. Ne yazık ki, VPN'ler şu anda düzenlenmemiştir, bu nedenle tüketiciler risk altındadır.

Şimdi, TunnelBear adlı bir VPN firması, zaten saygı duyulan hizmetine daha fazla şeffaflık eklemek için işleri kendi ellerine almaya karar verdi.

TunnelBear Üçüncü Taraf VPN Denetimi

TunnelBear, Kanada, Toronto'da bulunan ve üçüncü taraf denetiminin sonuçlarını açıklayan bir VPN firmasıdır. Denetim hakkındaki blog yazısında, TunnelBear, ticari VPN'lerin uygulamalarına ilişkin endişelerin artması nedeniyle, hizmetini denetlemek için bağımsız bir güvenlik firması kullanmaya karar verdiğini açıklıyor:

“Sektöre olan güveni geri kazanamasak da müşterilerimize TunnelBear'a neden güvenebileceklerini ve sahip olmaları gerektiğini göstermede daha ileri gidebileceğimizi fark ettik.”

TunnelBear'ın bu denetimi yapmak için kullandığı firmaya Cure53 adı verilir. Blog yazısında, TunnelBear, Cure53'ün tüm bulgularının olumlu olmadığını samimi bir şekilde itiraf ediyor:

“Sonuçları daha önce incelediyseniz, 2016 denetiminin Chrome uzantısında gurur duymadığımız güvenlik açıkları bulduğunu gördünüz. Kapıdan daha güçlü olmak güzel olurdu, ancak bu aynı zamanda düzenli, bağımsız testlere sahip olmanın değeri hakkındaki anlayışımızı da güçlendirdi. Güvenlik açıklarından yararlanılmadan önce proaktif olarak bulmak istiyoruz. ”

İlk denetim sırasında tespit edilen tüm güvenlik açıkları TunnelBear geliştirme ekibi tarafından hızla giderildi. Takip denetimi sırasında Cure53, TunnelBear'ın keşfettiği tüm önemli güvenlik sorunlarını takmayı başardığını tespit etti:

“İkinci denetimin sonuçları TunnelBear'ın hem sunucular ve altyapı hem de çeşitli platformlar için istemciler ve tarayıcı uzantıları için daha iyi bir güvenlik düzeyinin uygulanmasının tanınmasını hak ettiğinin altını çiziyor.”

Bu TunnelBear müşterileri için harika bir haber. Ancak, diğer VPN'ler hakkında da alarm verir. TunnelBear kendi girişiyle “kapıdan daha güçlü olmayı” umuyordu. Ne yazık ki, umduğumuz şey her zaman elde ettiğimiz şey değil.

Bir VPN oluşturan yüzlerce kod satırını düzgün bir şekilde denetlemek söz konusu olduğunda - özellikle kriptografi söz konusu olduğu için - işi düzgün bir şekilde yapabilen birkaç kişi var. Dahası, TunnelBear'ın ödediği (kendi cebinden) gibi bir denetime fon sağlamak ucuz olmaktan uzak.

Big Bill

Bu olacakların bir habercisi?

İyi haber şu ki, diğer denetimler zaten gerçekleşti. Mayıs ayında, OpenVPN şifrelemesi denetiminin sonuçları, önde gelen VPN protokolünün güvenli olduğunu kanıtladı. Bu rapor Açık Kaynak Teknoloji Geliştirme Fonu (OSTIF) tarafından yayınlandı. VPN endüstrisindeki birçok kişi ve firmanın katkılarıyla ödenmiştir (ProPrivacy.com dahil).

OSTIF raporu, OpenVPN'in bir şifreleme biçimi olarak geçerliliğini kanıtladı. OpenVPN uygulayan VPN'lerin (en son standartlara göre) kullanıcılarına güçlü gizlilik ve güvenlik sağladığını gösterdi. Ancak, bu denetimin yapamayacağı şey, üçüncü taraf VPN'lerin özel istemcilerinin uygulamasını veya istemci tarafı altyapı ve güvenliğini doğrulamaktı. Bu, her VPN'nin kendi başına yapması gereken bir şeydir - kodunun her bir parçasının güvenlik açıklarından arınmış olduğunu kanıtlamak istiyorsa.

Geçti Denetim Vpn

Yeterince Yapmamak

İyi bilinen ve son derece güvenilir bir VPN sağlayıcısı olan AirVPN, altyapısını düzenli olarak test etmek için beyaz şapka korsanları kullandığını söyledi:

"Hizmetimiz OpenVPN'e dayanmaktadır. OpenVPN hakkında, güvenlik uzmanları ve topluluğun özgür ve açık kaynaklı yazılımlar üzerindeki normal akran incelemelerine ek olarak kapsamlı bir denetimi ortaklaşa finanse ettik.

"Bir OpenVPN sarıcı ve ön uç olan yazılım istemcimiz de ücretsiz ve açık kaynaklı yazılımdır (GPLv3 altında yayınlanmıştır). Kaynak kodu GitHub'da mevcuttur.

"Herhangi bir bloatware yayınlamıyoruz, bu nedenle altyapının stres ve saldırı testlerine ihtiyaç duyan geri kalan kısımları bizim tarafımızda. Altyapımız, güvenlik açıklarını bulmak için profesyonel ve yetkili kişiler (kalifiye bilgisayar korsanları) tarafından sık sık saldırıya uğrar ve elbette Hava personeli bu tür saldırıların raporlarını dikkatlice analiz eder. Bu etkinliğin reklamını yapmıyoruz veya bunu bir pazarlama aracı olarak görmüyoruz, çünkü bu özellikle bilişim ağında hizmet sunarken BT sektöründe sıradan ve normal bir davranıştır."

Cure53 Sızma Testleri

Ancak, Cure53'ten Mario Heiderich bana, VPN'lerin yaptıkları testi tanıtmamaları için mantıksız olduğunu söyledi:

"VPN sağlayıcıları bu konuda yüksek sesle konuşmalı, şeffaflık sunmalı, raporlar yayınlamalı ve kullanıcılarına akıllarında en iyi olduklarını kanıtlamalılar."

Ek olarak, Heiderich bana "müşteri kodlarının Github veya benzerlerine sahip olması yardımcı olabilir - ancak açık kaynak olmasına rağmen birçok yazılımın kritik hataları vardır, bu nedenle herhangi bir garanti yoktur.." Bu önemli nokta, bu tür denetimin önemini vurgulamaktadır. Sonuçta, Açık Kaynak VPN koduna sahip olmak ve tamamen bağımsız olarak doğrulanmış açık kaynak koduna sahip olmak arasında bir fark var..

İyi ... Harika ... Daha iyi

Beni yanlış anlamayın, şeffaflık açısından AirVPN piyasadaki VPN'lerin büyük çoğunluğunun önüne geçiyor. Ancak, TunnelBear'ın yaptığı kesinlikle bir adım daha ileri gidiyor. Hizmetin güvenilirliğini vurgulamak için alışılmadık derecede kararlı bir yaklaşım sergiliyor.

İyi Daha İyi

ProPrivacy.com'da, TunnelBear'ı kendi derinlemesine ve kamu denetimini ödemek için sıçrama yapmış olduğu için alkışlıyoruz. TunnelBear artık diğer VPN'lerden daha fazla güvenlik seviyeleri hakkında daha güvenli bir şekilde övünebilir. Bu, diğer VPN'lerin şüphesiz taklit etmek isteyecekleri bir konumdur. İlgili olarak, bu tüm üst düzey VPN'lerin yapmak istediği bir şeydir.

VPN'ler, hizmetlerinin her parçası hakkında tamamen dürüst ve şeffaf olmalıdır. TunnelBear bu kadar ilerledi ve VPN endüstrisinin itibarını artırmanın bir yolu olduğunu kanıtladı. Umarız daha fazla VPN bu mükemmel örneği izlemeye karar verir.

Tüketiciler Harekete Geçmeli!

Cure53, 38 günlük (TunnelBear'ın iki denetiminin sürdüğü sürenin uzunluğu) denetimin yaklaşık 45.000 $ olduğunu bildiriyor. Bu nedenle, ticari VPN'lerin çoğunun devam edip davayı takip etmesi pek olası görünmüyor..

Dahası, tüketiciler ProPrivacy.com'da yaptığımız gibi uyarılar almaya başlayana kadar, VPN'lerin gizliliklerinden ödün vermeyi hızlı bir para kazanmaya niyet edecekler. Tüketicilerin kötü gizlilik politikalarına sahip VPN'lerden uzaklaşarak ve web sitelerinde yanlış iddialarda bulunan VPN'lerden uzak durarak harekete geçmesi gerekir. Kullanıcıların güvenilir ve önerilen hizmetler lehine berbat VPN'lerden vazgeçme zamanı!

Görüşler yazarın kendi.

Başlık resim kredisi: TunnelBear ana sayfası

Fotoğraf: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me