Pēdējie pāris gadi virtuālā privātā tīkla (VPN) nozarei ir bijuši sarežģīti. Ir parādījušās ziņas par VPN, kas pārdod joslas platumu, iepludina sludinājumus, pārdod lietotāju datus, nodrošina sliktu drošību un reizēm pat melo par to, kādu šifrēšanu tie nodrošina. Vietnē ProPrivacy.com mēs pārāk labi zinām problēmas. Tāpēc mēs rūpīgi pārskatām VPN un informējam patērētājus par viņu trūkumiem (kā arī atribūtiem).


Tikko pagājušajā nedēļā izplatījās ziņas par sūdzību, kuru neatkarīgā aizstāvības grupa Demokrātijas un tehnoloģijas centrs (CDT) ir iesniegusi par ASV bāzēto VPN Hotspot Shield. CDT ir iesniedzis 14 lappušu sūdzību Federālajā tirdzniecības komisijā, jo tā uzskata, ka Hotspot Shield pārkāpj FTC likuma 5. iedaļas aizliegumu attiecībā uz negodīgu un maldinošu tirdzniecības praksi.

Problēma ir izskaidrota ProPrivacy.com pārskatā par Hotspot Shield. Kā apgalvo CDT,

“ProPrivacy pārskats izceļ tieši to, ko Hotspot Shield dara nepareizi.”

Man stāstīja arī Džozefs Džeroms no CDT,

"Jūs kā VPN nezāļu cilvēks varētu saprast, ko viņi dara, bet vidusmēra patērētājs to nedarīs."

Viela pārdomām

Tas man lika aizdomāties. CDT ir tiesības iesniegt sūdzību FTC. Kāpēc? Neskatoties uz to, ka ProPrivacy.com pārskats par Hotspot Shield ir brīvi pieejams ikvienam, Hotspot Shield konfidencialitātes politika joprojām ir mulsinoša. Patērētājiem nevajadzētu pieprasīt tādas pārskatīšanas kā mūsējā, lai atšifrētu VPN firmas privātuma politikas saturu: tā jau pašā sākumā būtu jāskaidro vienkāršā angļu valodā, lai abonenti precīzi zinātu, ko viņi saņem..

Diemžēl patērētāji ne vienmēr zina, kas notiek zem VPN pārsega. Sadraudzības zinātniskās un rūpnieciskās pētniecības organizācijas (CSIRO) ziņojumā no šī gada sākuma tika analizēti vāji VPN pārskati (viena vai divas zvaigznes) Google Play veikalā (kuriem bija vairāk nekā 500 tūkstoši instalāciju un kopējais vērtējums bija 4 zvaigznes). Tā to konstatēja,

"Tikai mazāk nekā 1% no negatīvajiem pārskatiem attiecas uz drošības un privātuma problēmām, tostarp ļaunprātīgu vai apšaubāmu atļauju pieprasījumu izmantošanu un krāpnieciskām darbībām."

Csiro 150X150

Tā ir satriecoša statistika. Tas parāda, cik neaizsargāti ir VPN patērētāji attiecībā uz kļūdainajiem privātuma apgalvojumiem, ko izvirzījuši VPN. Turklāt precīzai un godīgai ir jābūt ne tikai VPN privātuma politikai, bet arī visam VPN kodam un infrastruktūrai, kas jāpārbauda, ​​lai pārliecinātos, ka tas tiešām pilda solījumus, ko tas sniedz. Diemžēl VPN pašlaik netiek regulēti, tāpēc patērētāji ir pakļauti riskam.

Tagad VPN firma, kuras nosaukums ir TunnelBear, ir nolēmusi pārņemt lietas savās rokās, lai pievienotu vēl lielāku caurspīdīgumu tā jau ievērotajam pakalpojumam.

TunnelBear trešās puses VPN audits

TunnelBear ir VPN firma, kas atrodas Toronto, Kanādā, un tikko paziņoja par trešās puses audita rezultātiem. Emuāra ierakstā par revīziju TunnelBear skaidro, ka, ņemot vērā pieaugošās bažas par komerciālo VPN praksi, tā nolēma nodarbināt neatkarīgu drošības firmu sava pakalpojuma revīzijai:

"Kaut arī mēs nevaram atjaunot uzticēšanos nozarei, mēs sapratām, ka varam iet tālāk, parādot klientiem, kāpēc viņi var uzticēties TunnelBear."

Firmu, kuru TunnelBear izmantoja šī audita veikšanai, sauc par Cure53. TunnelBear savā bloga ierakstā atklāti atzīst, ka ne visi Cure53 atklājumi bija pozitīvi:

“Ja jūs jau esat apskatījis rezultātus, jūs esat redzējis, ka 2016. gada audits atklāja ievainojamības Chrome paplašinājumā, par ko mēs nevarējām lepoties. Būtu bijis jauki, ja tiktu ārā spēcīgāk, bet tas arī stiprināja mūsu izpratni par regulāras, neatkarīgas pārbaudes nozīmi. Mēs vēlamies proaktīvi atrast ievainojamības, pirms tās var izmantot. ”

Visas ievainojamības, kas tika atklātas sākotnējā audita laikā, ātri noteica TunnelBear izstrādes komanda. Pēcpārbaudes revīzijas laikā Cure53 atklāja, ka TunnelBear ir izdevies novērst visas galvenās atklātās drošības problēmas:

"Otrās revīzijas rezultāti skaidri uzsver, ka TunnelBear ir pelnījis atzinību par labāka drošības līmeņa ieviešanu gan serveriem, gan infrastruktūrai, kā arī dažādu platformu klientiem un pārlūku paplašinājumiem."

Šīs ir fantastiskas ziņas TunnelBear klientiem. Tomēr tas rada trauksmi arī par citiem VPN. Pēc pašas atzīšanas, TunnelBear cerēja “būt spēcīgāks ārpus vārtiem”. Diemžēl diemžēl tas, uz ko mēs ceram, ne vienmēr ir tas, ko iegūstam.

Kad pienācīgi jāpārbauda simtiem koda rindu, kas veido VPN, jo īpaši tāpēc, ka ir iesaistīta kriptogrāfija, ir maz cilvēku, kas var pareizi veikt šo darbu. Turklāt tāda audita finansēšana, par kuru samaksāja uzņēmums TunnelBear (no savas kabatas), nebūt nav lēts..

Lielais rēķins

Paziņojums par gaidāmajām lietām?

Labā ziņa ir tā, ka citi auditi jau notiek. Maijā OpenVPN šifrēšanas audita rezultāti pierādīja, ka vadošais VPN protokols ir drošs. Šo ziņojumu publicēja Atklātā pirmkoda tehnoloģiju uzlabošanas fonds (OSTIF). Tas tika apmaksāts no daudzu privātpersonu un firmu ieguldījumiem VPN nozarē (ieskaitot ProPrivacy.com).

OSTIF ziņojums pierādīja OpenVPN kā šifrēšanas formas derīgumu. Tas parādīja, ka VPN, kas ievieš OpenVPN (atbilstoši jaunākajiem standartiem), nodrošina lietotājiem spēcīgu privātumu un drošību. Tomēr audits nevarēja pārbaudīt trešo personu VPN pielāgoto klientu ieviešanu vai klienta puses infrastruktūru un drošību. Tas ir kaut kas, kas katram VPN jācenšas darīt pašam - ja tas vēlas pierādīt, ka katrā tā koda daļā nav ievainojamību.

Nokārtots revīzijas VPN

Neveicas pietiekami

AirVPN, labi pazīstams un ļoti uzticams VPN sniedzējs, man teica, ka tas nodarbina balto cepuru hakerus, lai regulāri pārbaudītu savu infrastruktūru:

"Mūsu pakalpojumu pamatā ir OpenVPN. Par OpenVPN mēs līdzfinansējām plašu revīziju, papildus parastajiem drošības ekspertu un sabiedrības salīdzinošajiem pārskatiem par bezmaksas un atvērtā pirmkoda programmatūru..

"Mūsu programmatūras klients, OpenVPN iesaiņojums un frontend, ir arī bezmaksas un atvērtā koda programmatūra (izlaista saskaņā ar GPLv3). Pirmkods ir pieejams vietnē GitHub.

"Mēs neatbrīvojam no bloatware, tāpēc pārējās infrastruktūras daļas, kurām nepieciešama stresa un uzbrukuma pārbaude, atrodas mūsu pusē. Mūsu infrastruktūrai bieži uzbrūk profesionālas un pilnvarotas personas (kvalificēti hakeri), meklējot ievainojamības, un, protams, Gaisa telpas darbinieki rūpīgi analizē ziņojumus par šādiem uzbrukumiem. Mēs nepreklamējam šo darbību un neuzskatām to par mārketinga instrumentu, jo tā ir parasta un normāla rīcība IT nozarē, it īpaši, pakļaujot pakalpojumus publiskam tīklam."

Cure53 iespiešanās testi

Tomēr Mario Heiderich no Cure53 man teica, ka, lai VPN nepreklamētu viņu veiktās pārbaudes ir pretintuitīva:

"VPN pakalpojumu sniedzējiem par to vajadzētu skaļi izteikties, jāpiedāvā caurskatāmība, jāpublicē pārskati un jāpierāda lietotājiem, ka viņi viņiem to vislabāk domā.."

Turklāt Heiderihs man to teica "varētu palīdzēt klienta koda ievietošana Github vai tamlīdzīgās lietās - tomēr daudzām programmatūrām ir kritiskas kļūdas, neskatoties uz to, ka tās ir atvērtas, tāpēc nekādas garantijas nav." Šis svarīgais punkts uzsver šāda veida revīzijas nozīmīgumu. Galu galā pastāv atšķirība starp atvērtā koda VPN kodu un atvērtā koda kodu, kas ir pilnībā neatkarīgi pārbaudīts.

Labi ... Lieliski ... Labāk

Nekļūdieties man pārredzamības ziņā AirVPN, salīdzinot ar lielāko daļu tirgū esošo VPN, ir ļoti straujš. Tomēr tas, ko TunnelBear ir paveicis, noteikti iet soli tālāk. Tas demonstrē neparasti apņēmīgu pieeju pakalpojuma uzticamības izcelšanai.

Labi, Labāk

Vietnē ProPrivacy.com mēs atzinīgi vērtējam TunnelBear par to, ka tā veica lēcienu, lai samaksātu par savu padziļināto un publisko revīziju. Tagad TunnelBear var pārliecināties par saviem drošības līmeņiem daudz drošāk nekā par jebkuru citu VPN. Šī ir pozīcija, kuru citi VPN, bez šaubām, vēlēsies līdzināties. Ciktāl mēs uztraucamies, tas ir kaut kas, ko vajadzētu darīt visiem augstākā līmeņa VPN.

VPN jābūt pilnīgi godīgiem un caurspīdīgiem attiecībā uz katru viņu pakalpojumu daļu. TunnelBear ir paveicis šo papildu jūdžu un pierādījis, ka ir veids, kā uzlabot VPN nozares reputāciju. Mēs ceram, ka vairāk VPN nolems sekot šim lieliskajam piemēram.

Patērētājiem ir jārīkojas!

Cure53 informē mani, ka 38 dienu laikā (cik ilgi TunnelBear saka, ka bija jāveic divi auditi) audits maksā apmēram 45 000 USD. Kā tāds šķiet maz ticams, ka vairums komerciālo VPN iet uz priekšu un sekos šim piemēram.

Vēl vairāk, kamēr klienti nesāk ievērot brīdinājumus, piemēram, tos, kurus mēs izsakām šeit ProPrivacy.com, viņi turpina savu privāto dzīvi apdraudēt VPN nolūkā ātri rīkoties. Patērētājiem ir jārīkojas, novēršoties no VPN ar sliktu privātuma politiku un neļaujot tiem VPN, kas savās vietnēs izvirza nepatiesas norādes. Ir pienācis laiks lietotājiem izvadīt drausmīgos VPN par labu uzticamiem un ieteiktiem pakalpojumiem!

Atzinumi ir rakstnieka paša ziņā.

Nosaukuma attēla kredīts: TunnelBear mājas lapa

Attēlu kredīti: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me