ВПН плаћа ревизију треће стране: Да ли је ово будућност?

Последњих неколико година су напорне вожње индустрије виртуалне приватне мреже (ВПН). Појавиле су се вести о ВПН-овима који продају пропусну ширину, убризгавају огласе, продају корисничких података, пружају лошу сигурност, а понекад чак и лажу о томе какву енкрипцију дају. Овде на ПроПриваци.цом, сви смо превише свесни проблема. Зато пажљиво прегледавамо ВПН и информишемо потрошаче о њиховим манама (као и њиховим атрибутима).


Само прошле недеље, вести су се прошириле због жалбе коју је независна заговарачка група Центар за демократију и технологију (ЦДТ) поднела о ВПН-у са седиштем у Хотспот Схиелд-у. ЦДТ је поднео жалбу Савезној комисији за трговину на 14 страница јер осећа да Хотспот Схиелд крши одељак 5 забране Закона о ФТЦ-у против непоштених и обмањујућих трговинских пракси.

Проблем је објашњен у ПроПриваци.цом прегледу Хотспот Схиелда. Како ЦДТ наводи,

„Преглед ПроПриваци-а истиче управо оно што Хотспот Схиелд погрешно ради.“

Јосепх Јероме из ЦДТ-а ми је такође рекао,

„Ви као неко коров на ВПН-у можда разумете шта раде, али просечан потрошач неће.“

Дајем динар за то што мислиш

Због тога сам размишљао. ЦДТ је у праву жалити ФТЦ. Зашто? Иако је унаточ чињеници да је ПроПриваци.цом преглед Хотспот Схиел-а бесплатно доступан за свакога ко га чита, политика приватности Хотспот Схиелд-а и даље је збуњујућа. Потрошачи не би требали захтевати критике попут наше да би дешифровали политику приватности ВПН фирме: требало би да буде објашњено на енглеском језику од почетка како би претплатници тачно знали шта добијају..

Нажалост, потрошачи нису увек свесни шта се догађа под хаубом ВПН-а. Извештај организације Цоммонвеалтх Сциентифиц анд Индустриал Ресеарцх Органисатион (ЦСИРО) из раније ове године анализирао је лоше прегледе (једну или две звездице) ВПН-ова на Гоогле Плаи Сторе-у (који су имали више од 500К инсталација и укупну оцену 4 звездице). То је утврдио,

„Само мање од 1% негативних критика односи се на питања безбедности и приватности, укључујући употребу злоупотребних или сумњивих захтева за дозволом и лажних активности.“

Цсиро 150Кс150

То је запањујућа статистика. То показује колико су рањиви ВПН потрошачи на погрешним тврдњама о приватности које су поставили ВПН. Шта више, не морају само ВПН политике приватности бити прецизне и искрене, већ цео ВПН код и инфраструктура који се морају тестирати да би се утврдило да заправо испуњава своја обећања. Нажалост, ВПН-ови тренутно нису регулисани па су потрошачи у ризику.

Сада је ВПН фирма под називом ТуннелБеар одлучила да преузме ствари у своје руке како би додала још више транспарентности својој већ поштованој услузи.

Ревизија ВПН треће стране ТуннелБеар

ТуннелБеар је ВПН фирма са седиштем у Торонту у Канади, која је управо објавила резултате ревизије треће стране. У свом посту на блогу о ревизији, ТуннелБеар објашњава да је због пораста забринутости због праксе комерцијалних ВПН-ова, одлучио да запосли независну заштитарску фирму за ревизију своје услуге:

„Иако не можемо да вратимо поверење у индустрију, схватили смо да можемо ићи даље показујући нашим купцима зашто могу и треба да имају поверење у ТуннелБеар.“

Фирма коју је ТуннелБеар запослила да ради ту ревизију назива се Цуре53. У свом посту на блогу ТуннелБеар отворено признаје да нису сва открића Цуре53 била позитивна:

„Ако сте већ погледали резултате, видели сте да је ревизија за 2016. пронашла рањивости у проширењу за Цхроме на које нисмо били поносни. Било би лијепо бити јачи изван капија, али то је такође ојачало наше разумијевање вриједности редовних, независних тестирања. Желимо проактивно пронаћи рањивости пре него што их можемо искористити. "

Све рањивости које су откривене током почетне ревизије брзо је поправио ТуннелБеар-ов развојни тим. Током накнадне ревизије, Цуре53 је установио да је ТуннелБеар успео да повеже све главне безбедносне проблеме које је открио:

„Резултати друге ревизије јасно подвлаче да ТуннелБеар заслужује признање за примену бољег нивоа сигурности како за сервере и инфраструктуру, тако и за клијенте и проширења прегледача за разне платформе.“

Ово је фантастична вест за кориснике ТуннелБеар-а. Међутим, такође подиже аларме у вези са другим ВПН-овима. По сопственом признању, ТуннелБеар се надао да ће „бити јачи на капији.“ Нажалост, оно чему се надамо није увек оно што добијемо.

Када се ради о исправној ревизији стотина линија кода које чине ВПН - посебно зато што је укључена криптографија - мало је људи који могу правилно обавити посао. Штавише, финансирање ревизије попут оне коју је ТуннелБеар плаћао (из сопственог џепа) је далеко од јефтиног.

Биг Билл

Знак ствари које тек долазе?

Добра вест је да се друге ревизије већ дешавају. У мају су резултати ревизије ОпенВПН шифрирања показали да је водећи ВПН протокол безбедан. Извештај је објавио Фонд за унапређење технологије са отвореним кодом (ОСТИФ). Платили су га доприноси многих појединаца и фирми унутар ВПН индустрије (укључујући ПроПриваци.цом).

Извештај ОСТИФ доказао је валидност ОпенВПН-а као облика шифрирања. Показала је да ВПН-ови који имплементирају ОпенВПН (према најновијим стандардима) својим корисницима пружају јаку приватност и сигурност. Међутим, оно што ова ревизија није могла да уради је потврђивање примене прилагођених клијената ВПН-а треће стране или инфраструктура и безбедност на страни клијента. То је нешто што сваки ВПН мора да учини за себе - ако жели да докаже да је сваки део кода без рањивости.

Прошла ревизија Впн

Не радим довољно

АирВПН, добро познати и поуздан ВПН провајдер, рекао ми је да запошљава хакере за бели шешир да би редовно тестирао његову инфраструктуру:

"Наша услуга се заснива на ОпенВПН. О ОпенВПН-у смо суфинансирали опсежну ревизију, поред уобичајених рецензија од стране стручњака за безбедност и заједнице на бесплатни и отворени софтвер.

"Наш софтверски клијент, ОпенВПН омотач и сучеље, такође је бесплатан и софтвер отвореног кода (објављен под ГПЛв3). Изворни код је доступан у ГитХуб-у.

"Не ослобађамо ниједан блоатваре, тако да су преостали делови инфраструктуре који захтевају тестове стреса и напада на нашој страни. Нашу инфраструктуру често нападају професионалне и овлашћене особе (квалификовани хакери) у потрази за рањивостима и, наравно, особље Аир-а пажљиво анализира извештаје о тим нападима. Ову активност не рекламирамо или не сматрамо маркетиншким алатом, јер је то обично и нормално понашање у ИТ индустрији, посебно када је излагање услуга на јавној мрежи."

Цуре53 тестови продора

Међутим, Марио Хеидерицх из Цуре53 рекао ми је да је за ВПН-ове који не оглашавају тестирање које су направили контраинтутивно:

"ВПН провајдери би требали бити гласни о томе, треба да нуде транспарентност, треба да објављују извештаје и доказују својим корисницима да имају најбоље у виду за њих."

Поред тога, Хеидерицх ми је то рекао "ако им код клијента на Гитхуб-у или слично може помоћи - ипак много софтвера има критичне грешке упркос томе што је опен соурце, тако да нема гаранције било које врсте." Та важна тачка указује на значај ове врсте ревизије. На крају, постоји разлика између отвореног кода ВПН и отвореног кода који је темељно независно верификован.

Добро ... Одлично ... Боље

Немојте ме погрешно схватити, што се тиче транспарентности, АирВПН прескаче потезе испред велике већине ВПН-ова на тржишту. Међутим, оно што је ТуннелБеар урадио дефинитивно иде корак даље. То показује необично одлучан приступ истицању поузданости услуге.

Добро боље

Овде на ПроПриваци.цом, поздрављамо ТуннелБеар јер је направио скок да плати сопствену дубинску и јавну ревизију. ТуннелБеар сада може да се поуздано хвали са нивоима своје безбедности него било који други ВПН. Ово је став који други ВПН-ови без сумње желе да опонашају. Што се нас тиче, то би требало да желе све врхунске ВПН.

ВПН-ови би требали бити потпуно искрени и транспарентни у сваком дијелу њихове услуге. ТуннелБеар је прешао додатну миљу и доказао да постоји начин да се побољша углед ВПН индустрије. Надамо се да ће се више ВПН-ова одлучити следити овај одличан пример.

Закон о потрошачима мора да буде!

Цуре53 ме обавјештава да 38 дана (колико траје ТуннелБеар, да су јој потребне двије ревизије) ревизије кошта око 45 000 УСД. Као такво, чини се мало вероватним да ће већина комерцијалних ВПН-а наставити и следити свој пример.

Шта више, све док потрошачи не почну да слушају упозорења попут оних које овде изнемо на ПроПриваци.цом, и даље ће им приватност бити угрожена од стране ВПН-а са намером да направе брзу зараду. Потрошачи морају да предузму мере скрећући се са ВПН-а са лошим правилима о приватности и држећи се подаље од ВПН-а који постављају лажне тврдње на својим веб локацијама. Вријеме је да корисници испадну лажни ВПН-ови у корист поузданих и препоручених услуга!

Мишљења су писца сопствена.

Кредитна слика наслова: Почетна страница ТуннелБеар

Кредити за слике: хвостик / Схуттерстоцк.цом, Стуарт Милес / Схуттерстоцк.цом, мстанлеи / Схуттерстоцк.цом

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

75 + = 76

map