Последните няколко години бяха неудобни за индустрията на виртуалната частна мрежа (VPN). Появиха се новини за VPN, които продават честотна лента, инжектират реклами, продават потребителски данни, осигуряват лоша сигурност и понякога дори лъжат какво криптиране предоставят. Тук, в ProPrivacy.com, всички сме твърде наясно с проблемите. Ето защо внимателно преглеждаме VPN и информираме потребителите за техните недостатъци (както и техните атрибути).


Само миналата седмица се появи новина относно оплакване, което независимата застъпническа група „Център за демокрация и технологии“ (CDT) направи за базирана в САЩ VPN Hotspot Shield. CDT подаде жалба до 14 страници до Федералната комисия по търговията, тъй като смята, че Hotspot Shield нарушава раздел 5 от забраната на закона за FTC срещу нелоялни и измамни търговски практики.

Проблемът е обяснен в прегледа ProPrivacy.com на Hotspot Shield. Както твърди CDT,

„Прегледът на ProPrivacy подчертава какво точно прави„ Щит на Hotspot “.“

Джоузеф Джером от CDT също ми каза,

„Вие, като някой в ​​плевелите на VPN, може да разберете какво правят, но обикновеният потребител няма да го направи.“

Храна за размисъл

Това ме накара да се замисля. CDT е правилно да се оплаче на FTC. Защо? Тъй като въпреки факта, че прегледът на ProPrivacy.com за Hotspot Shield е свободно достъпен за всеки, който може да чете, политиката за поверителност на Hotspot Shield все още е объркваща. Потребителите не трябва да изискват прегледи като нашата, за да дешифрират съдържанието на политиката за поверителност на VPN фирма: тя трябва да бъде обяснена на обикновен английски от самото начало, така че абонатите да знаят какво точно получават..

За съжаление, потребителите не винаги са наясно какво се случва под капака на VPN. Доклад на научната и индустриална изследователска организация на Commonwealth (CSIRO) от по-рано тази година анализира лоши отзиви (една или две звезди) на VPN мрежи в Google Play Store (които имаха повече от 500K инсталации и обща оценка от 4 звезди). Той откри това,

„Само по-малко от 1% от отрицателните отзиви се отнасят до проблеми със сигурността и поверителността, включително използването на злоупотреби или съмнителни искания за разрешения и измамна дейност.“

Csiro 150X150

Това е стряскаща статистика. Той демонстрира колко са уязвими потребителите на VPN към погрешните претенции за поверителност, отправени от VPN. Нещо повече, не само VPN политиките за поверителност трябва да бъдат точни и честни, а целият код и инфраструктура на VPN, които трябва да бъдат тествани, за да се установи, че той действително изпълнява обещанията, които прави. За съжаление VPN мрежите понастоящем не са регулирани, така че потребителите са изложени на риск.

Сега, VPN фирма, наречена TunnelBear, реши да вземе нещата в свои ръце, за да добави още повече прозрачност към своята вече уважавана услуга.

Одитът за VPN на трети страни на TunnelBear

TunnelBear е VPN фирма със седалище в Торонто, Канада, която току-що обяви резултатите от одит на трета страна. В своята публикация в блога за одита TunnelBear обяснява, че поради нарастване на опасенията относно практиките на търговските VPN, той реши да използва независима охранителна фирма за одит на своята услуга:

„Въпреки че не можем да възстановим доверието в бранша, разбрахме, че можем да продължим да демонстрираме пред нашите клиенти защо те могат и трябва да имат доверие в TunnelBear.“

Фирмата, която TunnelBear използва за извършване на този одит, се нарича Cure53. В своята публикация в блога TunnelBear откровено признава, че не всички констатации на Cure53 са положителни:

„Ако вече разгледахте резултатите, видяхте, че одитът за 2016 г. откри уязвимости в разширението за Chrome, с които не се гордеехме. Би било хубаво да бъдем по-силни извън портата, но това също затвърди разбирането ни за стойността на редовни, независими тестове. Искаме да намерим уязвими места преди да бъдат експлоатирани. "

Всички уязвимости, които бяха открити в хода на първоначалния одит, бяха бързо отстранени от екипа за развитие на TunnelBear. По време на последващия одит Cure53 установи, че TunnelBear е успял да включи всички основни проблеми на сигурността, които откри:

„Резултатите от втория одит ясно подчертават, че TunnelBear заслужава признание за прилагането на по-добро ниво на сигурност както за сървърите и инфраструктурата, така и за клиентите и разширенията на браузъра за различни платформи.“

Това е фантастична новина за клиентите на TunnelBear. Въпреки това, тя повдига аларми и за други VPN. По собствено признание TunnelBear се надяваше „да бъде по-силен пред портата“. За съжаление обаче това, на което се надяваме, не винаги е това, което получаваме.

Когато става въпрос за правилния одит на стотиците редове от код, които съставляват VPN - особено защото става въпрос за криптография - има малко хора, които могат правилно да си свършат работата. Нещо повече, финансирането на одит като този, който TunnelBear плати (от собствения си джоб) далеч не е евтино.

Голям Бил

Знак на предстоящите неща?

Добрата новина е, че други одити вече се случват. През май резултатите от одит на криптиране на OpenVPN доказаха, че водещият VPN протокол е защитен. Този доклад беше публикуван от Фонда за подобряване на технологиите с отворен код (OSTIF). Тя беше платена чрез вноски от много физически лица и фирми от VPN индустрията (включително ProPrivacy.com).

Докладът OSTIF доказа валидността на OpenVPN като форма на криптиране. Той демонстрира, че VPN, които прилагат OpenVPN (по най-новите стандарти), осигуряват на потребителите си силна поверителност и сигурност. Това, което този одит не би могъл да направи, е да провери внедряването на потребителски клиенти на VPN на трети страни или инфраструктурата и сигурността на страната. Това е нещо, което всеки VPN трябва да се стреми да направи за себе си - ако иска да докаже, че всяка отделна част от кода му е без уязвимости.

Мина одит Vpn

Не се прави достатъчно

AirVPN, добре известен и надежден доставчик на VPN, ми каза, че използва хакери с бяла шапка, за да тества редовно инфраструктурата си:

"Услугата ни се базира на OpenVPN. За OpenVPN съфинансирахме обширен одит, в допълнение към нормалните партньорски проверки от експерти по сигурността и общността за безплатен и отворен код на софтуер.

"Нашият софтуерен клиент, OpenVPN обвивка и фронт, също е безплатен и софтуер с отворен код (пуснат под GPLv3). Изходният код е наличен в GitHub.

"Ние не пускаме никаква защита, така че останалите части от инфраструктурата, нуждаещи се от стрес и тестове за атака, са на наша страна. Инфраструктурата ни често е атакувана от професионални и упълномощени лица (квалифицирани хакери) в търсене на уязвимости и, разбира се, служителите на Air внимателно анализират докладите за подобни атаки. Ние не рекламираме тази дейност или не я считаме за маркетингов инструмент, защото това е обичайното и нормално поведение в ИТ индустрията, особено при излагане на услуги в обществена мрежа."

Тестовете за проникване на Cure53

Марио Хайдерих от Cure53 обаче ми каза, че за VPN-ите да не рекламират тестовете, които са направили, са противоположни:

"VPN доставчиците трябва да са силни за това, да предлагат прозрачност, да публикуват отчети и да доказват на своите потребители, че имат най-доброто съзнание за тях."

Освен това Хайдерих ми каза това "наличието на техния клиентски код в Github или други подобни може да помогне - въпреки това много софтуер има критични грешки, въпреки че е с отворен код, така че няма никаква гаранция." Този важен момент подчертава значението на този вид одит. В края на краищата има разлика между наличието на VPN код с отворен код и наличието на отворен код, който е напълно независимо проверен.

Добре ... Страхотно ... По-добре

Не ме разбирайте погрешно, що се отнася до прозрачността, AirVPN е скокове и граници пред огромното мнозинство VPN мрежи на пазара. Това, което TunnelBear направи, определено отива крачка напред. Той демонстрира необичайно определен подход за подчертаване на надеждността на услугата.

Добър по-добър

Тук, в ProPrivacy.com, аплодираме TunnelBear за това, че направи скока, за да плати за собствения си задълбочен и публичен одит. TunnelBear вече може да се похвали по-уверено за своите нива на сигурност, отколкото просто за всеки друг VPN. Това е позиция, която другите VPN без съмнение биха желали да подражават. Що се отнася до нас, това е нещо, което всички първокласни VPN трябва да искат да направят.

VPN мрежите трябва да бъдат напълно честни и прозрачни по отношение на всяка част от тяхната услуга. TunnelBear измина тази допълнителна миля и доказа, че има начин да подобри репутацията на VPN индустрията. Надяваме се повече VPN да решат да следват този отличен пример.

Закон за потребителите трябва!

Cure53 ме информира, че 38 дни (продължителността на времето, за което TunnelBear казва, че са извършени двата й одити) на одит струва приблизително 45 000 долара. По този начин изглежда много малко вероятно повечето от търговските VPN да продължат и да следват примера си.

Нещо повече, докато потребителите не започнат да се вслушват в предупреждения като тези, които правим тук в ProPrivacy.com, те ще продължат да бъдат компрометирани с поверителността си от VPN, които имат намерение да правят бърз долар. Потребителите трябва да предприемат действия, като се отклоняват от VPN мрежи с лоши политики за поверителност и се пазят от VPN, които отправят неверни твърдения на своите уебсайтове. Време е потребителите да се откажат от отвратителните VPN в полза на надеждни и препоръчани услуги!

Мненията са собствени на писателя.

Кредитно изображение за заглавие: Начална страница на TunnelBear

Образни кредити: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me