V zadnjih nekaj letih se je v industriji virtualnih zasebnih omrežij (VPN) navidezno vozil. Pojavile so se novice o VPN-jih, ki prodajajo pasovno širino, vbrizgajo oglase, prodajo uporabniških podatkov, zagotavljajo slabo varnost in včasih lažejo tudi o tem, kakšno šifriranje ponujajo. Tu na ProPrivacy.com se vsi preveč zavedamo težav. Zato natančno pregledujemo VPN-je in potrošnike obveščamo o njihovih pomanjkljivostih (pa tudi o njihovih lastnostih).


Samo prejšnji teden se je pojavila novica o pritožbi, ki jo je neodvisna zagovorniška skupina Center za demokracijo in tehnologijo (CDT) vložila glede ameriškega VPN-ja Hotspot Shield. CDT je ​​na Zvezno komisijo za trgovino vložil 14 strani pritožbe, ker meni, da je Hotspot Shield kršil oddelek 5 prepovedi nepoštenih in zavajajočih trgovinskih praks.

Vprašanje je razloženo v pregledu ProPrivacy.com za Hotspot Shield. Kot navaja CDT,

"Pregled storitve ProPrivacy kaže, kaj narobe ščit Hotspot."

Tudi Jožef Jerome iz CDT mi je povedal,

"Kot nekdo v plevelu na VPN boste morda razumeli, kaj počnejo, a povprečen potrošnik ne bo."

Hrana za misli

Zaradi tega sem razmišljal. CDT je ​​prav, da se pritoži na FTC. Zakaj? Ker je pregled Hotspot Shield-a, ki ga ProPrivacy.com ponuja, lahko na voljo vsem, ki jih lahko bere, je politika zasebnosti Hotspot Shield še vedno zmedena. Potrošniki ne bi smeli zahtevati pregledov, kot je naš, da bi razširili vsebino politike zasebnosti podjetja VPN: to bi bilo treba od začetka razlagati v preprosti angleščini, tako da lahko naročniki natančno vedo, kaj dobijo.

Na žalost potrošniki niso vedno seznanjeni, kaj se dogaja pod pokrovom VPN. Poročilo organizacije Commonwealth Scientific and Industrial Research Organisation (CSIRO) iz prejšnjega leta je analiziralo slabe ocene (eno ali dve zvezdici) VPN-jev v trgovini Google Play (ki so imele več kot 500K namestitev in skupno oceno 4-zvezde). Ugotovilo je, da,

"Le manj kot 1% negativnih ocen se nanaša na pomisleke glede varnosti in zasebnosti, vključno z uporabo zlorabnih ali dvomljivih zahtev za dovoljenja in goljufivimi dejavnostmi."

Csiro 150X150

To je presenetljiva statistika. Dokazuje, kako ranljivi so potrošniki VPN, do napačnih trditev o zasebnosti, ki jih vlagajo VPN. Še več, niso samo pravilniki zasebnosti VPN tisti, ki morajo biti natančni in pošteni, temveč je treba preskusiti celotno kodo in infrastrukturo VPN, da se ugotovi, ali dejansko izpolnjuje obljube. Na žalost VPN-ji trenutno niso urejeni, zato so potrošniki ogroženi.

Zdaj se je podjetje VPN, imenovano TunnelBear, odločilo, da bo prevzelo zadeve v svoje roke, da bi še bolj zagotovilo preglednost svoji že spoštovani storitvi.

Revizija VPN tretje osebe TunnelBear

TunnelBear je podjetje VPN s sedežem v Torontu v Kanadi, ki je pravkar objavilo rezultate revizije tretjih oseb. TunnelBear v svojem postu o reviziji pojasnjuje, da se je zaradi naraščanja pomislekov glede prakse komercialnih VPN odločil, da bo za revizijo svoje službe zaposlil neodvisno varnostno podjetje:

"Čeprav ne moremo obnoviti zaupanja v panogo, smo ugotovili, da lahko še bolj pokažemo svojim strankam, zakaj lahko v TunnelBear zaupajo in morajo."

Podjetje, ki ga je TunnelBear zaposlila za to revizijo, se imenuje Cure53. TunnelBear v svoji objavi na blogu odkrito priznava, da niso bile vse ugotovitve Cure53 pozitivne:

»Če ste že pogledali rezultate, ste videli, da je revizija leta 2016 v razširitvi za Chrome našla ranljivosti, na katere nismo bili ponosni. Lepo bi bilo biti močnejši zunaj vrat, vendar je to tudi okrepilo naše razumevanje vrednosti rednih, neodvisnih testiranj. Želimo proaktivno najti ranljivosti, preden jih bomo lahko izkoristili. "

Vse ranljivosti, ki so bile odkrite med prvotno revizijo, je razvojna ekipa TunnelBear hitro odpravila. Med nadaljnjo revizijo je Cure53 ugotovil, da je TunnelBear uspel vključiti vse glavne varnostne težave, ki jih je odkril:

"Rezultati druge revizije jasno poudarjajo, da si TunnelBear zasluži priznanje za izvajanje boljše ravni varnosti tako za strežnike in infrastrukturo kot tudi za stranke in razširitve brskalnikov za različne platforme."

To je fantastična novica za stranke TunnelBear-a. Vendar pa sproža tudi alarme glede drugih VPN-jev. TunnelBear je po lastnem priznanju upal, da bo "močnejši pred vrati." Na žalost pa tisto, na kar upamo, ni vedno tisto, kar dobimo.

Ko gre za pravilno revizijo na stotine vrstic kode, ki sestavljajo VPN - zlasti ker gre za kriptografijo - je malo ljudi, ki lahko pravilno opravijo nalogo. Še več, financiranje revizije, kot je tista, ki jo je plačeval TunnelBear (iz lastnega žepa), še zdaleč ni poceni.

Veliki račun

Znak stvari, ki prihajajo?

Dobra novica je, da se druge revizije že dogajajo. Maja so rezultati revizije šifriranja OpenVPN dokazali, da je vodilni protokol VPN varen. To poročilo je objavil Odprti sklad za izboljšanje tehnologije (OSTIF). Plačali so ga s prispevki številnih posameznikov in podjetij v panogi VPN (vključno s ProPrivacy.com).

Poročilo OSTIF je dokazalo veljavnost OpenVPN kot oblike šifriranja. Dokazal je, da VPN-ji, ki izvajajo OpenVPN (po najnovejših standardih), svojim uporabnikom zagotavljajo močno zasebnost in varnost. Vendar pa ta revizija ni mogla storiti preverjanja implementacije strankinih VPN-jev po meri ali infrastrukture in varnosti na strani odjemalca. To si mora vsak VPN prizadevati zase - če želi dokazati, da je vsak del kode brez ranljivosti.

Izdal revizijo Vpn

Ne delam dovolj

AirVPN, dobro znan in zelo zaupanja vreden ponudnik VPN-ja, mi je povedal, da uporablja hekerje za beli klobuk za redno testiranje njegove infrastrukture:

"Naša storitev temelji na OpenVPN. Glede OpenVPN smo sofinancirali obsežno revizijo, poleg običajnih strokovnih pregledov varnostnih strokovnjakov in skupnosti na brezplačno in odprtokodno programsko opremo.

"Naš odjemalec programske opreme, OpenVPN ovoj in sprednja stran, je tudi brezplačna in odprtokodna programska oprema (objavljena pod GPLv3). Izvorna koda je na voljo v GitHubu.

"Ne sprostimo nobene protipoplavne programske opreme, zato so preostali deli infrastrukture, ki potrebujejo stresne in napadne teste, na naši strani. Našo infrastrukturo pogosto iščejo profesionalne in pooblaščene osebe (kvalificirani hekerji) v iskanju ranljivosti, seveda pa tudi osebje Air skrbno analizira poročila o takih napadih. Te dejavnosti ne oglašujemo ali ne smatramo za tržno orodje, ker je to običajno in normalno vedenje v IT industriji, zlasti pri izpostavljanju storitev v javnem omrežju."

Cure53 preizkusi penetracije

Vendar mi je Mario Heiderich iz podjetja Cure53 dejal, da VPN-ji, ki ne smejo oglaševati svojih preizkusov, so kontraintutivni:

"Ponudniki VPN morajo biti glasni glede tega, ponujati morajo preglednost, objavljati poročila in dokazovati svojim uporabnikom, da imajo v mislih najboljše zanje."

Poleg tega mi je Heiderich to povedal "imetje kode odjemalca na Github-u ali podobno bi lahko pomagalo - kljub temu pa ima veliko programske opreme kritične napake, čeprav je open source, zato ni nobenega jamstva." Ta pomembna točka poudarja pomen tovrstne revizije. Navsezadnje obstaja razlika med odprtokodno kodo VPN in odprtokodno kodo, ki je temeljito neodvisno preverjena.

Dobro ... Super ... bolje

Ne razumite me narobe, kar zadeva preglednost, AirVPN preskakuje veliko večino VPN-jev na trgu. Vendar pa je to, kar je TunnelBear naredil, zagotovo še korak dlje. Dokazuje nenavadno določen pristop k poudarjanju zanesljivosti storitve.

Dobro bolje

Tu na ProPrivacy.com pozdravljamo TunnelBear, ker je naredil skok za plačilo lastne poglobljene in javne revizije. TunnelBear se zdaj lahko bolj samozavestno hvali z varnostnimi stopnjami kot pri kateri koli drugi VPN. To je stališče, ki ga drugi VPN-ji nedvomno želijo posnemati. Kar se nas tiče, bi to morali storiti vsi vrhunski VPN-ji.

VPN-ji morajo biti popolnoma pošteni in pregledni glede vsakega dela svoje storitve. TunnelBear je presegel to veliko miljo in dokazal, da obstaja način za izboljšanje ugleda industrije VPN. Upamo, da se bo več odličnih VPN odločilo, da bodo sledile temu odličnemu zgledu.

Zakon o varstvu potrošnikov!

Cure53 mi sporoča, da 38 dni (čas, za katerega TunnelBear pravi, da sta trajali dve reviziji) revizije stane približno 45 000 USD. Tako se zdi malo verjetno, da bo večina komercialnih VPN-jev nadaljevala in sledila temu.

Še več, dokler potrošniki ne začnejo opozarjati na opozorila, kot so tista, ki jih navedemo na spletnem mestu ProPrivacy.com, bodo svojo zasebnost še naprej ogrožali VPN-ji, ki nameravajo hitro doplačati. Potrošniki morajo ukrepati tako, da se usmerijo stran od VPN-jev s slabimi politikami zasebnosti in se izogibajo VPN-jem, ki na svojih spletnih mestih navajajo napačne trditve. Čas je, da se uporabniki odklopijo zlomljivi VPN-ji v prid zaupanja vrednim in priporočenim storitvam!

Mnenja so pisatelja lastna.

Kreditna slika naslova: Domača stran TunnelBear

Število slik: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me