Expertul nostru de confidențialitate digitală rezidențial, Doug Crawford, s-a așezat cu Harold Li, vicepreședintele ExpressVPN pentru a discuta despre cum rămân relevanți, de încredere și transparență într-o industrie în continuă evoluție.


ExpressVPNs Harold Li

Ne place faptul că audituri, cum ar fi auditul dvs. de extensie de browser Cure53, ajută la transparența industriei VPN. De ce crezi că acest lucru este atât de important?

Când utilizatorii aleg o VPN, ei au încredere în acest serviciu cu confidențialitatea și securitatea lor online. Ne asumăm încrederea și responsabilitatea în mod incredibil de serios și sperăm că toți ceilalți din industria VPN o fac la fel de bine. Transparența este o modalitate de a ajuta utilizatorii să stabilească în cine pot avea încredere, permițându-le să vadă singuri dacă un serviciu își îndeplinește promisiunile. Considerăm că orice lucru care îi ajută pe utilizatorii de internet să ia decizii mai informate atunci când aleg o VPN face ca internetul să fie mai privat și mai sigur pentru toți.

Sunteți mulțumit de rezultatele auditurilor?

Da, ne bucurăm că am primit o validare independentă a faptului că extensia browserului nostru oferă protecții de securitate și confidențialitate puternice - după cum notează rapoartele Cure53, constatările lor au fost „un indicator de securitate bun”. În plus, suntem întotdeauna recunoscători pentru a primi feedback despre locul în care am putea îmbunătăți și suntem încântați că am putut colabora cu Cure53 pentru a aborda prompt problemele pe care le-au identificat.

Planificați audituri tehnice pentru principalii dvs. clienți VPN? Înțelegem că acest lucru ar putea fi costisitor, deoarece, probabil, fiecare platformă ar trebui să fie auditată independent?

Da, de fapt, efectuăm periodic audituri și teste de penetrare pentru a valida și consolida protecțiile de securitate și confidențialitate. Acest audit este primul pe care l-am publicat și intenționăm să publicăm mai multe audituri independente în viitorul apropiat.

În opinia noastră, jurnalele pe care le păstrează o companie VPN prezintă o amenințare mult mai mare la confidențialitatea utilizatorilor decât orice defecte teoretice în securitatea tehnică. Sunteți de acord și ExpressVPN are vreun plan pentru verificarea practicilor sale de înregistrare în viitor?

O VPN scurgeră este, probabil, o amenințare mai mare decât o VPN care se înregistrează, deoarece scurgerile afectează fiecare utilizator (care presupune că altfel datele lor de rețea sunt sigure) și le expun la o gamă largă de amenințări, în timp ce colectarea jurnalelor afectează în primul rând doar acei utilizatori ai căror informațiile sunt solicitate în baza unei ordonanțe judecătorești. La ExpressVPN, nu colectăm jurnalele de activitate sau jurnalele de conectare, iar acest lucru a fost validat de fapt în lumea reală prin incidente, cum ar fi atunci când autoritățile turce au confiscat un server VPN închiriat de ExpressVPN într-un caz cu profil înalt, dar nu au putut găsi niciun jurnal de server care le-ar permite să identifice un vinovat. Avem în plan planuri de validare suplimentară independentă în viitor - rămâneți la curent!

Îmi puteți explica de ce este atât de importantă aprovizionarea deschisă a codului dvs.?

După cum am menționat în postarea noastră de anunțuri, un motiv esențial pentru care am făcut acest lucru provine din modul în care funcționează extensiile. Setul extins de permisiuni necesare unei extensii de operare poate părea alarmant la solicitarea browserului. (De exemplu, o permisiune avertizează că extensia poate citi și modifica toate datele dvs. pe site-urile web pe care le vizitați.) Aceste permisiuni sunt necesare pentru a livra toate funcțiile de confidențialitate și securitate ale unui VPN, precum și beneficii suplimentare, cum ar fi protecția împotriva malware. Prin deschiderea deschisă a extensiei noastre, invităm pe oricine să se uite sub capotă și confirmăm că folosim aceste permisiuni în mod responsabil și numai din motivele pe care le-am oferit.

Aveți de gând să deschideți sursa tot codul dvs. în viitor?

După cum am menționat mai sus, există motive specifice pentru care a fost deosebit de relevant pentru extinderea noastră. Este posibil să deschidem alte părți ale codului nostru (nu se limitează la aplicații și extensii, ci și la serverele VPN) în anumite domenii în care considerăm că este relevant și benefic.

Suntem foarte mari fani ai codului open source, în general, dar când vine vorba de VPN-uri, este oarecum neclară valoarea lui. La urma urmei, un furnizor VPN poate monitoriza întotdeauna comportamentul utilizatorilor pe internet în timp real când folosește serviciul său. Așadar, ar mai avea vreun rost să adăugați un cod sursă închis rău intenționat într-o extensie client sau browser, deoarece pot vedea totul, oricum? Deci, de ce credeți că există o valoare în aprovizionarea deschisă a extensiei?

Pentru extindere, au existat beneficii specifice, după cum am evidențiat mai sus. Este absolut adevărat că transparența în orice domeniu nu este un panaceu atunci când vine vorba de a avea încredere într-un furnizor VPN, dar poate ajuta la validarea securității și protecției vieții private a unei anumite părți a serviciului, precum și la furnizarea unui indicator pozitiv pentru încredere a unui serviciu în general.

Vă aplaudăm că lucrați cu Centrul pentru Democrație și Tehnologie pentru ridicarea standardelor pentru toate VPN-urile din întreaga industrie. Ne puteți spune mai multe despre această inițiativă?

Da, Centrul pentru Democrație și Tehnologie (CDT) este o organizație independentă non-profit, care susține libertățile civile online și drepturile omului din întreaga lume. Am colaborat cu aceștia pentru a lansa o inițiativă intersectorială pentru ridicarea standardelor în întreaga industrie și pentru a permite utilizatorilor să ia decizii mai informate atunci când aleg un VPN. Aceasta a luat forma unei liste de întrebări la care serviciile VPN ar trebui să poată răspunde pentru a semnala încrederea lor. Aceste întrebări, împreună cu îndrumările CDT, îi ajută pe utilizatori să evalueze furnizorii VPN pe baza modelelor lor de afaceri, practicilor de colectare a datelor, protocoalelor de securitate și multe altele.

Îmi place să mă gândesc la aceasta ca la o etichetă nutrițională pentru VPN-uri, care oferă un set de date de fapte pe care le poți compara între diverse servicii. Și la fel cum o etichetă nutrițională vă poate ajuta să determinați ce gustare etichetată „sănătos” este cu adevărat mai bună pentru dvs., aceste întrebări și răspunsuri vă permit să evaluați mai bine dacă un serviciu VPN care se mândrește cu „securitate lider în industrie” merită cu adevărat acea etichetă.

Cum a fost răspunsul la acest lucru din restul industriei VPN?

Am avut multe feedback-uri pozitive din partea observatorilor din industrie, precum jurnaliști și recenzori, precum și din partea utilizatorilor. Nu am auzit de la alți furnizori, dar sperăm cu siguranță că se vor alătura nouă în eforturile noastre de creștere a încrederii și transparenței în industrie!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me