Pastaruosius kelerius metus virtualaus privataus tinklo (VPN) pramonė patyrė nesąžiningai. Pasklido naujienų apie tai, kad VPT parduoda pralaidumą, įterpia skelbimus, parduoda vartotojų duomenis, teikia prastą apsaugą ir kartais net meluoja apie tai, kokį šifravimą jie teikia. Čia, ProPrivacy.com, mes visi per daug suprantame problemas. Štai kodėl mes atidžiai peržiūrime VPT ir informuojame vartotojus apie jų trūkumus (taip pat ir jų atributus).

Praėjusią savaitę pasirodė žinia apie skundą, kurį nepriklausoma advokatų grupė „Demokratijos ir technologijos centras“ (CDT) pateikė apie JAV įsikūrusį VPT „Hotspot Shield“. CDT pateikė 14 puslapių skundą Federalinei prekybos komisijai, nes mano, kad „Hotspot Shield“ pažeidė FPK įstatymo 5 skyriaus draudimą dėl nesąžiningos ir apgaulingos prekybos praktikos.

Ši problema paaiškinta „ProPrivacy.com“ apžvalgoje „Hotspot Shield“. Kaip teigia CDT,

„„ ProPrivacy “apžvalgoje pabrėžiama, ką neteisingai daro„ Hotspot Shield “.“

Man taip pat pasakojo Josephas Jerome'as iš CDT,


„Jūs, kaip kažkas piktžolių VPN, galėtumėte suprasti, ką jie daro, bet paprastas vartotojas to nepadarys“.

Maistas mintims

Tai privertė susimąstyti. CDT turi teisę skųstis FPK. Kodėl? Nepaisant to, kad „ProPrivacy.com“ apžvalgą apie „Hotspot Shield“ gali laisvai skaityti visi, „Hotspot Shield“ privatumo politika vis dar kelia painiavą. Vartotojai neturėtų reikalauti tokių apžvalgų, kaip mūsų, kad iššifruotų VPN firmos privatumo politiką: ji turėtų būti nuo pat pradžių aiškinama anglų kalba, kad abonentai tiksliai žinotų, ko gauna.

Deja, vartotojai ne visada žino, kas vyksta po VPN gaubtu. Ankstesnių šių metų Sandraugos mokslo ir pramonės tyrimų organizacijos (CSIRO) ataskaitoje buvo analizuojamos prastos VPN apžvalgos (viena ar dvi žvaigždės) „Google Play“ parduotuvėje (kuriose buvo daugiau nei 500 tūkst. Įdiegimų ir bendras 4 žvaigždučių įvertinimas). Tai nustatė,

„Tik mažiau nei 1% neigiamų atsiliepimų yra susiję su saugumo ir privatumo problemomis, įskaitant piktnaudžiavimo ar abejotino leidimo užklausų naudojimą ir apgaulingą veiklą.“

„Csiro 150X150“

Tai stulbinanti statistika. Tai parodo, kiek pažeidžiami VPT vartotojai dėl klaidingų VPT pateiktų teiginių apie privatumą. Dar daugiau, ne tik VPN privatumo politika turi būti tiksli ir sąžininga, bet ir visas VPN kodas ir infrastruktūra, kurie turi būti išbandyti, norint įsitikinti, ar jis iš tikrųjų vykdo duotus pažadus. Deja, VPT šiuo metu nėra reglamentuojami, todėl vartotojai rizikuoja.

Dabar VPN įmonė „TunnelBear“ nusprendė paimti reikalus į savo rankas, kad dar labiau padidintų savo jau gerbiamos paslaugos skaidrumą..

„TunnelBear“ trečiosios šalies VPN auditas

„TunnelBear“ yra VPN įmonė, įsikūrusi Toronte, Kanadoje, ką tik paskelbusi trečiosios šalies audito rezultatus. Savo tinklaraščio įraše apie auditą „TunnelBear“ aiškina, kad dėl didėjančio nerimo dėl komercinių VPT praktikos ji nusprendė pasitelkti nepriklausomą apsaugos firmą, kad patikrintų savo paslaugą:

„Nors mes negalime atkurti pasitikėjimo šia pramonės šaka, supratome, kad galime žengti toliau, parodydami savo klientams, kodėl jie gali ir turėtų pasitikėti„ TunnelBear “.“

Firma, kurią „TunnelBear“ įdarbino šiam auditui atlikti, vadinama „Cure53“. Savo tinklaraščio įraše „TunnelBear“ nuoširdžiai pripažįsta, kad ne visi „Cure53“ radiniai buvo teigiami:

„Jei jau pažiūrėjote į rezultatus, matėte, kad 2016 m. Auditas aptiko„ Chrome “plėtinio pažeidžiamumų, kuriais mes negalėjome didžiuotis. Būtų buvę puiku būti stipresniems už vartų ribų, tačiau tai taip pat sustiprino mūsų supratimą apie reguliaraus, nepriklausomo testavimo vertę. Mes norime proaktyviai rasti pažeidžiamumus, kol jie nebus išnaudoti. “

Visus pažeidimus, kurie buvo nustatyti pradinio audito metu, greitai pašalino „TunnelBear“ kūrimo komanda. Tolesnio audito metu „Cure53“ nustatė, kad „TunnelBear“ pavyko pašalinti visas svarbiausias aptiktas saugumo problemas:

„Antrojo audito rezultatai aiškiai pabrėžia, kad„ TunnelBear “nusipelno pripažinimo už aukštesnio lygio serverių ir infrastruktūros, taip pat įvairių platformų klientų ir naršyklių plėtinių įdiegimą.“

Tai yra fantastiška žinia „TunnelBear“ klientams. Tačiau tai taip pat kelia nerimą dėl kitų VPT. Savo iniciatyva „TunnelBear“ tikėjosi „būti stipresnis už vartų“. Deja, tačiau tai, ko mes tikimės, ne visada yra tai, ko gauname.

Tinkamai atliekant šimtų kodų eilučių, sudarančių VPN, auditą - ypač dėl to, kad naudojama kriptografija - yra nedaug žmonių, kurie galėtų tinkamai atlikti šį darbą. Be to, finansuoti tokį auditą, kokį sumokėjo „TunnelBear“ (iš savo kišenės), yra toli gražu ne pigu..

Big Bill

Būsimų dalykų ženklas?

Geros žinios yra tai, kad kiti auditai jau vyksta. Gegužės mėn. „OpenVPN“ šifravimo audito rezultatai patvirtino, kad pagrindinis VPN protokolas yra saugus. Šią ataskaitą paskelbė Atvirojo kodo technologijų tobulinimo fondas (OSTIF). Ją sumokėjo iš daugelio privačių ir privačių privačių tinklų pramonės įmonių (įskaitant ProPrivacy.com) įmokų..

OSTIF ataskaita įrodė „OpenVPN“ kaip šifravimo formos pagrįstumą. Tai parodė, kad VPT, diegiantys „OpenVPN“ (pagal naujausius standartus), teikia savo vartotojams stiprų privatumą ir saugumą. Tačiau to audito nepavyko patikrinti - ar tai trečiųjų šalių VPN tinkintų klientų įdiegimas, ar kliento pusės infrastruktūra ir sauga. Tai turi kažkas, ko kiekvienas VPT turi siekti pats - jei nori įrodyti, kad kiekvienoje jo kodo dalyje nėra pažeidžiamumų.

Išlaikytas Vpn auditas

Nepakanka

„AirVPN“, gerai žinomas ir labai patikimas VPT teikėjas, pasakojo, kad įdarbina baltųjų skrybėlių įsilaužėlius, kad galėtų reguliariai tikrinti savo infrastruktūrą:

"Mūsų paslauga pagrįsta „OpenVPN“. Apie „OpenVPN“ mes bendrai finansavome išsamų auditą, be įprastų saugumo ekspertų ir bendruomenės vykdomų nemokamos ir atvirojo kodo programinės įrangos apžvalgų..

"Mūsų programinės įrangos klientas, „OpenVPN wrapper“ ir „frontend“, taip pat yra nemokama ir atvirojo kodo programinė įranga (išleista naudojant GPLv3). Šaltinio kodą galima rasti „GitHub“.

"Mes neišleidžiame jokios programinės įrangos, todėl likusios infrastruktūros dalys, kurioms reikia streso ir atakų bandymų, yra mūsų pusėje. Mūsų infrastruktūrą dažnai puola profesionalūs ir įgalioti asmenys (kvalifikuoti įsilaužėliai), ieškodami pažeidžiamumų, ir, be abejo, „Air“ personalas atidžiai analizuoja tokių išpuolių pranešimus. Mes šios veiklos nereklamuojame ir nelaikome rinkodaros įrankiu, nes tai yra įprastas ir normalus elgesys IT pramonėje, ypač kai teikiamos paslaugos viešajame tinkle."

„Cure53“ įsiskverbimo testai

Tačiau Mario Heiderich iš „Cure53“ man pasakė, kad VPT nereklamuoja jų atliktų bandymų, yra nekontuzityvu:

"VPT teikėjai turėtų apie tai garsiai kalbėti, turėtų pasiūlyti skaidrumą, skelbti ataskaitas ir įrodyti savo vartotojams, kad jiems tai geriausia.."

Be to, Heiderichas man tai pasakė "gali padėti jų kliento kodas „Github“ ar panašiai - vis dėlto daugybė programinės įrangos turi kritinių klaidų, nepaisant atviro kodo, todėl jokios garantijos nėra." Šis svarbus punktas pabrėžia tokio pobūdžio audito svarbą. Galų gale, yra skirtumas tarp atvirojo kodo VPN kodo ir atvirojo kodo, kuris yra kruopščiai nepriklausomai patikrintas.

Gerai ... Puiku ... Geriau

Nesupraskite manęs neteisingai, kalbant apie skaidrumą, „AirVPN“ greitai lenkia daugumą rinkoje esančių VPN. Tačiau tai, ką „TunnelBear“ nuveikė, tikrai eina žingsniu toliau. Tai rodo neįprastai ryžtingą požiūrį į paslaugų patikimumo pabrėžimą.

Gerai geriau

Čia, ProPrivacy.com, mes sveikiname „TunnelBear“ už tai, kad padarė šuolį sumokėti už savo nuodugnų ir viešą auditą. Dabar „TunnelBear“ gali drąsiau girtis dėl savo saugumo lygių nei apie bet kurį kitą VPN. Tai pozicija, kurios neabejotinai norės rungtyniauti kiti VPT. Mūsų manymu, tai yra kažkas, ko turėtų norėti visi aukščiausio lygio VPT.

VPT turėtų būti visiškai sąžiningi ir skaidrūs apie kiekvieną savo paslaugos dalį. „TunnelBear“ įveikė šią papildomą mylią ir įrodė, kad yra būdas pagerinti VPN pramonės reputaciją. Tikimės, kad daugiau VPT nuspręs sekti šiuo puikiu pavyzdžiu.

Vartotojai privalo veikti!

„Cure53“ informuoja mane, kad 38 dienos (kiek laiko užtruko „TunnelBear“ jos du auditai) auditas kainuoja maždaug 45 000 USD. Iš esmės labai mažai tikėtina, kad dauguma komercinių VPT eis į priekį ir laikysis pavyzdžių.

Dar daugiau: kol vartotojai nepradės reaguoti į tokius įspėjimus, kokius mes pateikiame čia „ProPrivacy.com“, jie ir toliau turės pavojų savo privatumui, kad VPT ketina greitai atsisakyti. Vartotojai turi imtis veiksmų vengdami VPT, turinčių prastą privatumo politiką, ir vengdami VPT, kurie savo svetainėse pateikia melagingus teiginius. Laikas vartotojams nugrimzti į nepalankius VPT už patikimas ir rekomenduojamas paslaugas!

Nuomonės yra pačios rašytojos.

Pavadinimo atvaizdo kreditas: „TunnelBear“ pagrindinis puslapis

Vaizdo kreditai: „hvostik“ / „Shutterstock.com“, „Stuart Miles“ / „Shutterstock.com“, „mstanley“ / „Shutterstock.com“

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me