ไม่กี่ปีที่ผ่านมาการเติบโตอย่างรวดเร็วของอุตสาหกรรมเครือข่ายส่วนตัวเสมือนจริง (VPN) ข่าวเกิดขึ้นเกี่ยวกับ VPN ที่ขายแบนด์วิดธ์, การฉีดโฆษณา, การขายข้อมูลผู้ใช้, การรักษาความปลอดภัยที่ไม่ดีและบางครั้งก็โกหกเกี่ยวกับการเข้ารหัสที่พวกเขาให้ ที่ ProPrivacy.com เราทุกคนต่างก็ตระหนักถึงปัญหานี้เช่นกัน นั่นเป็นเหตุผลที่เราตรวจสอบ VPN อย่างระมัดระวังและแจ้งให้ผู้บริโภคทราบถึงข้อบกพร่อง (รวมถึงคุณลักษณะของพวกเขา).


เมื่อสัปดาห์ที่แล้วมีข่าวเกี่ยวกับการร้องเรียนว่าศูนย์ผู้สนับสนุนอิสระเพื่อประชาธิปไตยและเทคโนโลยี (CDT) ได้ทำเรื่อง Hotspot Shield VPN ในสหรัฐอเมริกา CDT ได้ยื่นเรื่องร้องเรียน 14 หน้ากับ Federal Trade Commission เพราะรู้สึกว่า Hotspot Shield ได้ละเมิดมาตรา 5 ของข้อห้ามของ FTC Act ต่อการปฏิบัติทางการค้าที่ไม่เป็นธรรมและหลอกลวง.

ปัญหานี้อธิบายไว้ในการทบทวน ProPrivacy.com ของ Hotspot Shield ตามที่ CDT ระบุ,

“ การตรวจสอบของ ProPrivacy เน้นถึงสิ่งที่ Hotspot Shield ทำผิด”

โจเซฟเจอโรมจาก CDT ก็บอกฉันเช่นกัน,

“ คุณในฐานะที่เป็นคนในวัชพืชบน VPN อาจเข้าใจว่าพวกเขากำลังทำอะไร แต่ผู้บริโภคโดยเฉลี่ยจะไม่”

อาหารสมอง

นั่นทำให้ฉันคิด CDT มีสิทธิที่จะร้องเรียนกับ FTC ทำไม? เนื่องจากแม้ว่าข้อเท็จจริงที่ว่า ProPrivacy.com การตรวจทาน Hotspot Shield มีให้บริการอย่างอิสระสำหรับทุกคนที่อ่านนโยบายความเป็นส่วนตัวของ Hotspot Shield ยังคงสับสน ผู้บริโภคไม่ควรต้องการความเห็นเช่นเราในการถอดรหัสเนื้อหาของนโยบายความเป็นส่วนตัวของ บริษัท VPN: ควรอธิบายเป็นภาษาอังกฤษล้วนตั้งแต่ต้นเพื่อให้สมาชิกทราบว่าพวกเขาได้รับอะไร.

น่าเสียดายที่ผู้บริโภคไม่ได้ตระหนักถึงสิ่งที่เกิดขึ้นภายใต้การดูแลของ VPN รายงานองค์กรวิจัยวิทยาศาสตร์และอุตสาหกรรมเครือจักรภพ (CSIRO) เมื่อต้นปีที่ผ่านมาวิเคราะห์ความคิดเห็นที่ไม่ดี (หนึ่งหรือสองดาว) ของ VPN บน Google Play Store (ที่มีการติดตั้งมากกว่า 500K และคะแนนโดยรวม 4 ดาว) พบว่า,

“ มีความคิดเห็นเชิงลบน้อยกว่า 1% เท่านั้นที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวรวมถึงการใช้คำขออนุญาตที่ไม่เหมาะสมหรือน่าสงสัยและกิจกรรมที่เป็นการฉ้อโกง”

Csiro 150X150

นั่นคือสถิติที่น่าตกใจ มันแสดงให้เห็นว่าผู้ใช้ VPN ที่มีช่องโหว่ต่อการอ้างสิทธิ์ความเป็นส่วนตัวที่ผิดพลาดที่ทำโดย VPNs อย่างไร ยิ่งไปกว่านั้นมันไม่ได้เป็นเพียงแค่นโยบายความเป็นส่วนตัว VPN ที่ต้องแม่นยำและซื่อสัตย์ แต่รหัสทั้งหมดของ VPN และโครงสร้างพื้นฐานที่จะต้องทดสอบเพื่อให้แน่ใจว่าเป็นจริงที่ส่งมอบสัญญาที่ทำ น่าเศร้าที่ปัจจุบัน VPN ไม่ได้รับการควบคุมดังนั้นผู้บริโภคจึงมีความเสี่ยง.

ตอนนี้ บริษัท VPN ที่ชื่อว่า TunnelBear ได้ตัดสินใจที่จะจัดการเรื่องของตัวเองเพื่อเพิ่มความโปร่งใสให้กับบริการที่ได้รับความเคารพ.

การตรวจสอบ VPN ของ TunnelBear บุคคลที่สาม

TunnelBear เป็น บริษัท VPN ที่ตั้งอยู่ในเมืองโตรอนโตประเทศแคนาดาซึ่งเพิ่งประกาศผลการตรวจสอบบุคคลที่สาม ในบล็อกโพสต์เกี่ยวกับการตรวจสอบ TunnelBear อธิบายว่าเนื่องจากความกังวลเกี่ยวกับแนวปฏิบัติของ VPN เชิงพาณิชย์ที่เพิ่มขึ้นจึงตัดสินใจว่าจ้าง บริษัท รักษาความปลอดภัยอิสระเพื่อตรวจสอบบริการ:

“ แม้ว่าเราจะไม่สามารถกู้คืนความไว้วางใจในอุตสาหกรรมได้ แต่เราตระหนักว่าเราสามารถดำเนินการต่อไปเพื่อแสดงให้ลูกค้าเห็นว่าทำไมพวกเขาถึงทำได้และควรไว้วางใจใน TunnelBear”

บริษัท ที่ TunnelBear ใช้ทำการตรวจสอบนั้นเรียกว่า Cure53 ในบล็อกโพสต์ TunnelBear ยอมรับอย่างตรงไปตรงมาว่าการค้นพบของ Cure53 ไม่ได้ทั้งหมดนั้นเป็นไปในเชิงบวก:

“ หากคุณได้ดูผลลัพธ์แล้วคุณจะเห็นว่าการตรวจสอบประจำปี 2559 พบช่องโหว่ในส่วนขยายของ Chrome ที่เราไม่ได้ภาคภูมิใจ คงจะดีกว่าที่จะแข็งแกร่งออกไปจากประตู แต่นี่ก็เป็นการเสริมความเข้าใจของเราเกี่ยวกับคุณค่าของการมีการทดสอบที่เป็นอิสระและสม่ำเสมอ เราต้องการหาช่องโหว่เชิงรุกก่อนที่จะถูกโจมตี”

ช่องโหว่ทั้งหมดที่ค้นพบระหว่างการตรวจสอบเบื้องต้นได้รับการแก้ไขอย่างรวดเร็วโดยทีมพัฒนาของ TunnelBear ในระหว่างการตรวจสอบติดตาม Cure53 พบว่า TunnelBear สามารถจัดการปัญหาด้านความปลอดภัยที่สำคัญทั้งหมดที่ค้นพบ:

“ ผลลัพธ์ของการตรวจสอบครั้งที่สองอย่างชัดเจนเน้นว่า TunnelBear สมควรได้รับการยอมรับสำหรับการใช้ระดับความปลอดภัยที่ดีขึ้นสำหรับทั้งเซิร์ฟเวอร์และโครงสร้างพื้นฐานรวมถึงลูกค้าและส่วนขยายเบราว์เซอร์สำหรับแพลตฟอร์มต่าง ๆ ”

นี่เป็นข่าวที่น่าอัศจรรย์สำหรับลูกค้าของ TunnelBear อย่างไรก็ตามมันยังเพิ่มสัญญาณเตือนเกี่ยวกับ VPN อื่น ๆ ด้วยการรับเข้าของตัวเอง TunnelBear หวังที่จะ“ แข็งแกร่งขึ้นจากประตู” อย่างไรก็ตามน่าเสียดายที่สิ่งที่เราหวังว่าจะไม่ได้รับในสิ่งที่เราได้รับเสมอ.

เมื่อพูดถึงการตรวจสอบโค้ดหลายร้อยบรรทัดที่ประกอบเป็น VPN อย่างถูกต้องโดยเฉพาะอย่างยิ่งเพราะการเข้ารหัสมีส่วนเกี่ยวข้องมีคนไม่กี่คนที่สามารถทำงานได้อย่างเหมาะสม ยิ่งไปกว่านั้นการให้เงินสนับสนุนการตรวจสอบเช่นเดียวกับที่ TunnelBear จ่ายให้ (จากกระเป๋าของตัวเอง) นั้นอยู่ไกลจากราคาถูก.

บิ๊กบิล

สัญลักษณ์ของสิ่งต่าง ๆ ที่จะมาถึง?

ข่าวดีก็คือการตรวจสอบอื่น ๆ เกิดขึ้นแล้ว ในเดือนพฤษภาคมผลการตรวจสอบการเข้ารหัส OpenVPN พิสูจน์ว่าโปรโตคอล VPN ชั้นนำนั้นปลอดภัย รายงานดังกล่าวเผยแพร่โดยกองทุนพัฒนาเทคโนโลยีโอเพนซอร์ซ (OSTIF) มันจ่ายโดยการมีส่วนร่วมจากบุคคลและ บริษัท จำนวนมากในอุตสาหกรรม VPN (รวมถึง ProPrivacy.com).

รายงาน OSTIF พิสูจน์ความถูกต้องของ OpenVPN ว่าเป็นรูปแบบการเข้ารหัส มันแสดงให้เห็นว่า VPNs ที่ใช้ OpenVPN (มาตรฐานล่าสุด) กำลังให้ความปลอดภัยและความเป็นส่วนตัวแก่ผู้ใช้ อย่างไรก็ตามสิ่งที่การตรวจสอบไม่สามารถทำได้คือการตรวจสอบการใช้งานไคลเอนต์ที่กำหนดเองของบุคคลที่สาม VPN หรือโครงสร้างพื้นฐานด้านความปลอดภัยและด้านลูกค้า นั่นคือสิ่งที่แต่ละ VPN ต้องพยายามทำด้วยตัวเอง - หากต้องการพิสูจน์ว่าทุกส่วนของโค้ดไม่มีช่องโหว่.

ผ่านการตรวจสอบ Vpn

ไม่ทำมากพอ

AirVPN ผู้ให้บริการ VPN ที่เป็นที่รู้จักและเชื่อถือได้สูงบอกกับฉันว่ามีพนักงานแฮกเกอร์สีขาวเพื่อทดสอบโครงสร้างพื้นฐานเป็นประจำ:

"บริการของเราใช้ OpenVPN เกี่ยวกับ OpenVPN เราร่วมสนับสนุนการตรวจสอบอย่างละเอียดนอกเหนือจากการทบทวนโดยผู้เชี่ยวชาญด้านความปลอดภัยและชุมชนโดยใช้ซอฟต์แวร์ฟรีและโอเพ่นซอร์ส.

"ไคลเอ็นต์ซอฟต์แวร์ของเราตัวห่อหุ้ม OpenVPN และส่วนหน้าเป็นซอฟต์แวร์เสรีและโอเพ่นซอร์สด้วย (วางจำหน่ายภายใต้ GPLv3) ซอร์สโค้ดมีอยู่ใน GitHub.

"เราไม่ปล่อย bloatware ใด ๆ ดังนั้นส่วนที่เหลือของโครงสร้างพื้นฐานที่จำเป็นต้องมีการทดสอบความเครียดและการโจมตีอยู่ด้านข้างของเรา โครงสร้างพื้นฐานของเราถูกโจมตีบ่อยครั้งโดยผู้ที่มีความเชี่ยวชาญและผู้มีอำนาจ (แฮกเกอร์ที่มีทักษะ) เพื่อค้นหาช่องโหว่และแน่นอนว่าเจ้าหน้าที่ของ Air จะวิเคราะห์รายงานการโจมตีดังกล่าวอย่างรอบคอบ เราไม่โฆษณากิจกรรมนี้หรือพิจารณาว่าเป็นเครื่องมือทางการตลาดเพราะนี่เป็นพฤติกรรมปกติและปกติในอุตสาหกรรมไอทีโดยเฉพาะอย่างยิ่งเมื่อเปิดเผยบริการบนเครือข่ายสาธารณะ."

Cure53 การทดสอบการเจาะ

อย่างไรก็ตาม Mario Heiderich จาก Cure53 บอกฉันว่าสำหรับ VPN ที่จะไม่โฆษณาการทดสอบที่พวกเขาทำนั้นเป็นสิ่งที่ต่อต้านได้ง่าย:

"ผู้ให้บริการ VPN ควรมีชื่อเสียงดังกล่าวควรเสนอความโปร่งใสควรเผยแพร่รายงานและพิสูจน์ให้ผู้ใช้ทราบว่าพวกเขามีความคิดที่ดีที่สุดสำหรับพวกเขา."

นอกจากนี้ Heiderich ยังบอกฉันด้วยว่า "การมีรหัสลูกค้าใน Github หรือสิ่งที่คล้ายกันอาจช่วยได้ แต่ซอฟต์แวร์จำนวนมากมีข้อบกพร่องที่สำคัญแม้จะเป็นโอเพนซอร์สดังนั้นจึงไม่มีการรับประกันใด ๆ." จุดสำคัญนั้นเน้นความสำคัญของการตรวจสอบประเภทนี้ ท้ายที่สุดมีความแตกต่างระหว่างการมีรหัสโอเพ่นซอร์ส VPN และการมีโอเพนซอร์สที่ได้รับการตรวจสอบอย่างละเอียดโดยอิสระ.

ดี ... ดี ... ดีกว่า

อย่าเข้าใจฉันผิดในแง่ของความโปร่งใส AirVPN นั้นก้าวกระโดดและก้าวล้ำนำหน้า VPN ส่วนใหญ่ในตลาด อย่างไรก็ตามสิ่งที่ TunnelBear ได้ทำไปนั้นเป็นอีกขั้นหนึ่ง มันแสดงให้เห็นถึงวิธีการที่กำหนดผิดปกติเพื่อเน้นความน่าเชื่อถือของการบริการ.

ดีกว่า

ที่ ProPrivacy.com เราปรบมือให้ TunnelBear เพราะทำให้การก้าวกระโดดจ่ายสำหรับการตรวจสอบเชิงลึกและสาธารณะ TunnelBear สามารถพูดคุยเกี่ยวกับระดับความปลอดภัยได้อย่างมั่นใจมากกว่า VPN อื่น ๆ นี่เป็นสถานะที่ VPN อื่น ๆ จะไม่สงสัยเลยว่าต้องการเลียนแบบ เท่าที่เรามีความกังวลนี่เป็นสิ่งที่ VPN ระดับบนสุดควรทำ.

VPN ควรมีความซื่อสัตย์และโปร่งใสอย่างสมบูรณ์เกี่ยวกับบริการทุกส่วนของพวกเขา TunnelBear ได้รับการพิสูจน์แล้วว่ามีวิธีในการปรับปรุงชื่อเสียงของอุตสาหกรรม VPN เราหวังว่า VPNs จำนวนมากตัดสินใจที่จะทำตามตัวอย่างที่ยอดเยี่ยมนี้.

ผู้บริโภคจะต้องปฏิบัติตาม!

Cure53 แจ้งให้ฉันทราบว่า 38 วัน (ระยะเวลาที่ TunnelBear บอกว่าใช้การตรวจสอบสองครั้ง) ในการตรวจสอบมีค่าใช้จ่ายประมาณ $ 45,000 ดังนั้นจึงไม่น่าเป็นไปได้อย่างยิ่งที่ VPN เชิงพาณิชย์ส่วนใหญ่จะดำเนินต่อไปและดำเนินการตามความเหมาะสม.

ยิ่งกว่านั้นจนกว่าผู้บริโภคจะเริ่มฟังคำเตือนเช่นที่เราทำไว้ที่ ProPrivacy.com พวกเขาจะยังคงความเป็นส่วนตัวของพวกเขาต่อไปโดยความตั้งใจของ VPN ในการสร้างความรวดเร็ว ผู้บริโภคจำเป็นต้องดำเนินการโดยหลีกเลี่ยง VPN ที่มีนโยบายความเป็นส่วนตัวที่ไม่ดีและยังคงรักษาความปลอดภัยของ VPN ที่อ้างสิทธิ์เท็จบนเว็บไซต์ของตน ถึงเวลาที่ผู้ใช้จะทิ้ง VPN ที่ไม่ดีเพื่อบริการที่เชื่อถือได้และแนะนำ!

ความคิดเห็นเป็นของผู้เขียนเอง.

เครดิตรูปภาพชื่อ: TunnelBear หน้าแรก

เครดิตรูปภาพ: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me