چند سال گذشته یک صنعت پرتحرک برای صنعت شبکه خصوصی مجازی (VPN) بوده است. اخباری درباره فروش پهنای باند VPN ، تزریق تبلیغات ، فروش داده های کاربر ، ارائه امنیت ضعیف و در بعضی مواقع حتی دروغ گفتن در مورد رمزگذاری آنها ارائه شده است. در اینجا در ProPrivacy.com ، همه ما بیش از حد از مشکلات آگاه هستیم. به همین دلیل ما به دقت VPN ها را بررسی می کنیم و مصرف کنندگان را در مورد نقص آنها (و همچنین ویژگی های آنها) آگاه می کنیم..


هفته گذشته ، اخبار مربوط به شکایتی مبنی بر شکایت که گروه مستقل وکالتی مرکز دموکراسی و فناوری (CDT) درباره VPN ، Hotspot Shield مستقر در ایالات متحده اعلام کرد ، شکسته شد. CDT شکایت 14 صفحه ای را به کمیسیون تجارت فدرال ارائه کرده است زیرا احساس می کند Hotspot Shield به نقض بند 5 ممنوعیت قانون FTC در برابر اقدامات ناعادلانه و فریبکارانه تجارت پرداخته است.

موضوع در بررسی ProPrivacy.com از Hotspot Shield توضیح داده شده است. همانطور که CDT بیان می کند,

"بررسی ProPrivacy دقیقاً مواردی را نشان می دهد که Hotspot Shield اشتباه می کند."

جوزف جروم از CDT نیز به من گفت,

"شما ، به عنوان کسی که در علفهای هرز در VPNs وجود دارد ، ممکن است درک کنید که آنها چه کاری انجام می دهند ، اما مصرف کننده متوسط ​​این کار را نمی کند."

غذا برای فکر

این باعث شد من فکر کنم CDT حق دارد از FTC شکایت کند. چرا؟ از آنجا که با وجود این واقعیت که بررسی ProPrivacy.com از Hotspot Shield برای همه قابل خواندن است ، سیاست حفظ حریم خصوصی Hotspot Shield هنوز گیج کننده است. برای رمز گشایی در محتوای سیاست حفظ حریم خصوصی یک شرکت VPN ، مصرف کنندگان نیازی به بررسی هایی مانند ما ندارند: باید از ابتدا به زبان انگلیسی ساده توضیح داده شود تا مشترکان دقیقاً بدانند که چه چیزی بدست می آورند.

متأسفانه ، مصرف کنندگان همیشه از آنچه اتفاق می افتد در زیر کلاه VPN آگاه نیستند. گزارش سازمان تحقیقات علمی و صنعتی مشترک المنافع (CSIRO) از اوایل سال جاری ، بررسی های ضعیف (یک یا دو ستاره) از VPN در فروشگاه Google Play (که دارای بیش از 500K نصب و رتبه بندی کلی 4 ستاره) بود را مورد تجزیه و تحلیل قرار داد. فهمید که,

"فقط کمتر از 1٪ از نظرات منفی مربوط به نگرانی های مربوط به امنیت و حریم خصوصی ، از جمله استفاده از درخواست های مجاز سوء استفاده یا مشکوک و فعالیت های کلاهبرداری است."

Csiro 150X150

این یک آمار خیره کننده است. این نشان می دهد که مصرف کنندگان VPN چقدر آسیب پذیر نسبت به ادعاهای نادرست حریم خصوصی توسط VPNs هستند. علاوه بر این ، فقط سیاست های حفظ حریم خصوصی VPN نیست که باید دقیق و صادقانه باشند ، بلکه کل کد و زیرساخت های VPN است که باید آزمایش شود تا مشخص شود که در واقع وعده هایی را که می دهد ارائه می دهد. متأسفانه ، VPN ها در حال حاضر تنظیم نشده اند ، بنابراین مصرف کنندگان در معرض خطر هستند.

اکنون ، یک شرکت VPN به نام TunnelBear تصمیم گرفته است تا امور را به دست خود بگیرد تا شفافیت بیشتری به خدمات قبلاً محترم خود بیفزاید..

حسابرسی VPN TunnelBear 3rd Party

TunnelBear یک شرکت VPN مستقر در تورنتو ، کانادا است که به تازگی نتایج ممیزی شخص ثالث را اعلام کرده است. TunnelBear در پست وبلاگ خود درباره ممیزی توضیح می دهد که به دلیل افزایش نگرانی در مورد عملکرد VPN های تجاری ، تصمیم گرفته است که یک شرکت امنیتی مستقل را برای ممیزی خدمات خود به کار بگیرد:

"در حالی که ما نمی توانیم اعتماد به صنعت را بازیابی کنیم ، فهمیدیم که می توانیم بیشتر به مشتریان خود نشان دهیم که چرا آنها می توانند و باید اعتماد به TunnelBear داشته باشند."

شرکتی که TunnelBear برای انجام آن حسابرسی به کار گرفته است ، Cure53 نام دارد. TunnelBear در پست وبلاگ خود صریحاً تصدیق می کند که همه یافته های Cure53 مثبت نبودند:

"اگر قبلاً نتایج را جستجو کرده باشید ، مشاهده کرده اید که ممیزی 2016 آسیب پذیری هایی را در پسوند Chrome پیدا کرده است که ما به آنها افتخار نمی کردیم. خوب می بود که از دروازه قوی تر باشیم ، اما این درک ما را در مورد ارزش داشتن آزمایش منظم و مستقل تقویت کرد. ما می خواهیم پیش از بهره برداری آسیب پذیری ها را پیدا کنیم. "

همه آسیب پذیری هایی که در طول ممیزی اولیه کشف شد توسط تیم توسعه دهنده TunnelBear به سرعت برطرف شد. در طی ممیزی پیگیری ، Cure53 فهمید که TunnelBear توانسته است همه مسائل امنیتی اصلی کشف شده را به آن وصل کند:

"نتایج ممیزی دوم به وضوح تأکید می کند که TunnelBear برای اجرای سطح امنیتی بهتر برای سرورها و زیرساخت ها و همچنین مشتری ها و برنامه های افزودنی مرورگر برای سیستم عامل های مختلف شایسته است به رسمیت شناخته شود."

این یک خبر خارق العاده برای مشتریان TunnelBear است. با این حال ، همچنین درباره سایر VPN هشدار می دهد. TunnelBear با اعتراف خود امیدوار بود که "از دروازه قوی تر شود." متاسفانه ، با این حال ، متأسفانه ، آنچه که ما به آن امیدوار هستیم همیشه آن چیزی نیست که می گیریم.

وقتی می توان صدها خط کد را که VPN تشکیل می دهند ، به طور صحیح حسابرسی کنید - به خصوص به دلیل اینکه رمزنگاری در آن دخیل است - تعداد کمی از افراد وجود دارد که می توانند کار را به درستی انجام دهند. علاوه بر این ، تأمین بودجه ممیزی مانند موردی که TunnelBear برای آن پرداخت کرده است (از جیب خودش) بسیار ارزان است.

بیل بزرگ

نشانه چیزهایی که باید بیایند?

خبر خوب این است که سایر ممیزی ها قبلاً اتفاق می افتد. در ماه مه ، نتایج حاصل از ممیزی رمزگذاری OpenVPN ثابت کرد که پروتکل پیشرو VPN ایمن است. این گزارش توسط صندوق بهبود فناوری منبع باز (OSTIF) منتشر شده است. این کار با کمک های بسیاری از افراد و بنگاه های صنعت VPN (از جمله ProPrivacy.com) پرداخت شده است..

گزارش OSTIF اعتبار OpenVPN را به عنوان نوعی رمزگذاری ثابت کرد. این نشان داد كه VPN هایی كه OpenVPN را پیاده سازی می كنند (با آخرین استاندارد ها) حریم خصوصی و امنیت قوی در اختیار کاربران خود قرار می دهند. با این حال ، آنچه که این حسابرسی نمی تواند انجام دهد ، تأیید صحت اجرای مشتری های سفارشی VPN ها یا زیرساخت ها و امنیت طرف مشتری است. این چیزی است که هر VPN باید به دنبال انجام خود برای خود باشد - اگر بخواهد اثبات کند که تک تک قسمتهای کد آن عاری از آسیب پذیری است.

حسابرسی Vpn گذشت

کافی نیست

AirVPN ، ارائه دهنده مشهور و بسیار معتبر VPN ، به من گفت که از هکرهای کلاه سفید برای آزمایش زیرساخت های خود به طور منظم استفاده می کند:

"خدمات ما مبتنی بر OpenVPN است. درباره OpenVPN ، ما علاوه بر بررسی های همتای عادی توسط کارشناسان امنیتی و جامعه در مورد نرم افزار رایگان و منبع آزاد ، ممیزی گسترده را هم تأمین کردیم..

"مشتری نرم افزار ما ، بسته بندی و Frontend OpenVPN ، نرم افزاری رایگان و منبع باز نیز هست (تحت GPLv3). کد منبع در GitHub موجود است.

"ما هیچگونه نرم افزار خبری منتشر نمی کنیم ، بنابراین قسمت های باقیمانده زیرساخت که به استرس و آزمایش حمله نیاز دارند ، در کنار ما است. زیرساخت های ما غالباً در جستجوی آسیب پذیری توسط افراد حرفه ای و مجاز (هکرهای ماهر) مورد حمله قرار می گیرد و البته کارکنان ایر گزارش های اینگونه حملات را به دقت مورد تجزیه و تحلیل قرار می دهند. ما این فعالیت را تبلیغ نمی کنیم یا آن را ابزاری برای بازاریابی نمی دانیم ، زیرا این یک رفتار معمولی و عادی در صنعت فناوری اطلاعات است ، خصوصاً هنگام افشای خدمات در یک شبکه عمومی.."

تست نفوذ Cure53

با این حال ، ماریو هایدریچ از Cure53 به من گفت که ، برای اینکه VPN ها آزمایشی که انجام داده اند را تبلیغ نکنند ، خلاف واقع است:

"ارائه دهندگان VPN باید در مورد آن با صدای بلند صحبت کنند ، باید شفافیت ارائه دهند ، باید گزارش هایی را منتشر کنند و به کاربران خود ثابت کنند که بهترین ها را در نظر دارند."

بعلاوه ، هایدریچ به من گفت "داشتن کد سرویس گیرنده خود در Github یا موارد مشابه ممکن است کمک کند - با این وجود تعداد زیادی نرم افزار با وجود منبع آزاد دارای اشکالات مهم است ، بنابراین هیچ گونه ضمانتی وجود ندارد." این نکته مهم اهمیت این نوع حسابرسی را برجسته می کند. از این گذشته ، بین داشتن کد منبع VPN با کد منبع باز و کاملاً مستقل تأیید شده ، تفاوت وجود دارد.

خوب ... عالی ... بهتر

اشتباه نکنید ، از نظر شفافیت ، AirVPN از اکثر قریب به اتفاق VPN ها در بازار جهش و مرز دارد. با این حال ، آنچه TunnelBear انجام داده است قطعاً یک قدم فراتر می رود. این یک روش غیر منتظره مصمم برای برجسته کردن اعتبار خدمات را نشان می دهد.

خوب بهتر

در اینجا در ProPrivacy.com ، ما TunnelBear را بخاطر اینکه جهشی برای پرداخت ممیزی عمیق و عمومی خود پرداخت کرده است ، تحسین می کنیم. TunnelBear اکنون می توانید با اطمینان بیشتری در مورد سطح امنیتی خود از هر نوع VPN دیگر لاف بزنید. این موقعیتی است که بدون شک سایر VPN ها مایل به تقلید آن هستند. تا آنجا که ما نگران هستیم ، این کاری است که همه VPN های سطح بالا باید بخواهند انجام دهند.

VPN ها باید کاملاً صادقانه و شفاف در مورد هر بخشی از خدماتشان باشند. TunnelBear آن مایل اضافی را پشت سر گذاشته و ثابت کرده است که راهی برای بهبود شهرت صنعت VPN وجود دارد. امیدواریم تعداد بیشتری VPN تصمیم بگیرند از این مثال عالی پیروی کنند.

مصرف کنندگان باید عمل کنند!

Cure53 به من اطلاع می دهد که 38 روز (مدت زمانی که TunnelBear می گوید دو ممیزی از آن گرفته شده است) حسابرسی حدود 45000 دلار هزینه دارد. به همین ترتیب ، بعید به نظر می رسد که اکثر VPN های تجاری پیش بروند و از این پرونده پیروی کنند.

علاوه بر این ، تا زمانی که مصرف کنندگان شروع به توجه به هشدارهایی از قبیل مواردی که در ProPrivacy.com می کنیم ، آنها با استفاده از VPN ها با هدف ایجاد سریع سرقت حریم خصوصی خود را به خطر نمی اندازند ، بگیرند. مصرف کنندگان باید با دوری از VPN ها با سیاستهای ضعیف در حفظ حریم خصوصی و دور ماندن از VPN هایی که ادعاهای دروغین در وب سایت های خود انجام می دهند ، اقدام کنند. زمان آن رسیده است که کاربران به لطف خدمات قابل اعتماد و توصیه شده VPN های شیطانی را خنجر بزنند!

عقاید خود نویسنده است.

اعتبار تصویر عنوان: صفحه اصلی TunnelBear

اعتبارات تصویر: hvostik / Shutterstock.com ، استوارت مایلز / Shutterstock.com ، mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me