În ultimii ani, a fost o plimbare neplăcută pentru industria rețelei virtuale private (VPN). Au apărut știri despre VPN-urile care vând lățimea de bandă, injectează reclame, vând informații ale utilizatorilor, asigură o securitate slabă și, uneori, chiar minte despre ce criptare oferă. Aici, la ProPrivacy.com, suntem prea conștienți de probleme. De aceea examinăm cu atenție VPN-urile și informăm consumatorii despre defectele lor (precum și despre atributele lor).


Saptamana trecuta, stirile au izbucnit despre o plangere pe care grupul independent de advocacy Centrul pentru Democratie si Tehnologie (CDT) a facut-o cu privire la VPN-ul SUA, Hotspot Shield. CDT a depus o plângere de 14 pagini la Comisia Federală pentru Comerț, deoarece consideră că Hotspot Shield a încălcat Secțiunea 5 din Legea FTC a interdicției împotriva practicilor comerciale neloiale și înșelătoare.

Problema este explicată în recenzia ProPrivacy.com a Hotspot Shield. După cum afirmă CDT,

„Evaluarea ProPrivacy evidențiază exact ceea ce Hotspot Shield face greșit.”

Mi-a spus și Joseph Jerome de la CDT,

„Voi, în calitate de cineva din buruienile VPN-urilor, s-ar putea să înțelegeți ce fac, dar consumatorul mediu nu va face asta.”

Hrana pentru minte

Asta m-a gândit. CDT are dreptul să se plângă la FTC. De ce? Întrucât, în ciuda faptului că revizuirea de către ProPrivacy.com despre Hotspot Shield este disponibilă gratuit pentru oricine poate fi citită, politica de confidențialitate a Hotspot Shield este încă confuză. Consumatorii nu ar trebui să necesite recenzii precum a noastră pentru a descifra conținutul politicii de confidențialitate a unei firme VPN: ar trebui să fie explicat în engleză simplă de la început, astfel încât abonații să știe exact ce primesc.

Din păcate, consumatorii nu sunt întotdeauna conștienți de ceea ce se întâmplă sub capota unui VPN. Un raport al Organizației de Cercetare Științifică și Industrială (CSIRO) al Commonwealth-ului, la începutul acestui an, a analizat recenziile slabe (una sau două stele) ale VPN-urilor de pe Google Play Store (care au instalat mai mult de 500K și un rating general de 4 stele). A descoperit că,

„Doar mai puțin de 1% din recenziile negative se referă la probleme de securitate și confidențialitate, inclusiv utilizarea de solicitări de autorizare abuzive sau îndoielnice și activitate frauduloasă.”

Csiro 150X150

Aceasta este o statistică uimitoare. Acesta demonstrează cât de vulnerabili sunt consumatorii VPN la cererile de confidențialitate eronate formulate de VPN-uri. Mai mult, nu sunt doar politicile de confidențialitate VPN care trebuie să fie precise și oneste, ci întregul cod și infrastructura VPN care trebuie testate pentru a se asigura că acesta îndeplinește de fapt promisiunile pe care le face. Din păcate, VPN-urile nu sunt reglementate în prezent, astfel încât consumatorii sunt expuși riscului.

Acum, o firmă VPN numită TunnelBear a decis să ia chestiunile în propriile sale mâini pentru a adăuga și mai multă transparență serviciilor sale deja respectate.

Auditul VPN al părților terțe TunnelBear

TunnelBear este o firmă VPN cu sediul în Toronto, Canada, care tocmai a anunțat rezultatele unui audit al unei terțe părți. În postarea sa despre blog, TunnelBear explică faptul că, datorită creșterii preocupărilor cu privire la practicile VPN-urilor comerciale, a decis să angajeze o firmă de securitate independentă pentru a-și verifica serviciul:

„În timp ce nu putem restabili încrederea în industrie, ne-am dat seama că putem merge mai departe pentru a demonstra clienților noștri de ce pot și ar trebui să aibă încredere în TunnelBear.”

Firma pe care TunnelBear a angajat-o pentru a face acel audit se numește Cure53. În postarea sa pe blog, TunnelBear admite în mod sincer că nu toate constatările lui Cure53 au fost pozitive:

„Dacă v-ați uitat deja la rezultate, ați văzut că auditul 2016 a constatat vulnerabilități în extensia Chrome de care nu suntem mândri. Ar fi fost frumos să fim mai puternici în afara porții, dar acest lucru a întărit și înțelegerea valorii testării noastre regulate și independente. Dorim să găsim proactiv vulnerabilități înainte de a putea fi exploatate. ”

Toate vulnerabilitățile descoperite pe parcursul auditului inițial au fost repede rezolvate de echipa de dezvoltare a TunnelBear. În timpul auditului de urmărire, Cure53 a constatat că TunnelBear a reușit să conecteze toate problemele majore de securitate pe care le-a descoperit:

„Rezultatele celui de-al doilea audit subliniază clar că TunnelBear merită recunoscut pentru implementarea unui nivel mai bun de securitate atât pentru servere și infrastructură, cât și pentru clienți și extensii de browser pentru diverse platforme.”

Aceasta este o veste fantastică pentru clienții TunnelBear. Cu toate acestea, creează și alarmă cu privire la alte VPN-uri. Din propria admitere, TunnelBear sperase să „fie mai puternic din poartă”. Cu toate acestea, din păcate, ceea ce sperăm nu este întotdeauna ceea ce obținem.

Când vine vorba de verificarea corectă a sutelor de linii de cod care alcătuiesc o VPN - mai ales că este implicată criptografia - există puține persoane care pot face treaba corect. Ba mai mult, finanțarea unui audit precum cel pe care TunnelBear a plătit-o (din buzunarul propriu) este departe de a fi ieftin.

Big Bill

Un semn al lucrurilor viitoare?

Vestea bună este că alte audituri se întâmplă deja. În mai, rezultatele unui audit al criptării OpenVPN au dovedit că protocolul VPN de lider a fost sigur. Raportul a fost publicat de Fondul pentru îmbunătățirea tehnologiei Open Source (OSTIF). A fost plătită prin contribuții de la mai multe persoane fizice și firme din industria VPN (inclusiv ProPrivacy.com).

Raportul OSTIF a dovedit validitatea OpenVPN ca formă de criptare. Acesta a demonstrat că VPN-urile care implementează OpenVPN (la cele mai recente standarde) oferă utilizatorilor lor confidențialitate și securitate puternică. Totuși, ceea ce nu a putut face acest audit a fost verificarea implementării clienților personalizate a VPN-urilor terțe sau a infrastructurii și securității din partea clientului. Este ceva ce fiecare VPN trebuie să încerce să facă pentru sine - dacă dorește să demonstreze că fiecare parte a codului său este lipsită de vulnerabilități.

Auditul Vpn trecut

Nu face suficient

AirVPN, un furnizor VPN foarte cunoscut și de mare încredere, mi-a spus că angajează hackeri de pălării albe pentru a-și testa infrastructura în mod regulat:

"Serviciul nostru se bazează pe OpenVPN. Despre OpenVPN am cofinanțat un audit extensiv, pe lângă recenziile normale de la experți de către experți în securitate și comunitate pe software gratuit și open source.

"Clientul nostru de software, un înveliș și un frontend OpenVPN, este și software liber și open source (lansat sub GPLv3). Codul sursă este disponibil în GitHub.

"Nu eliberam niciun fel de software, astfel încât părțile rămase ale infrastructurii care necesită teste de stres și atac sunt de partea noastră. Infrastructura noastră este atacată frecvent de persoane profesioniste și autorizate (hackeri calificați) în căutarea vulnerabilităților și, desigur, personalul aerian analizează cu atenție rapoartele unor astfel de atacuri. Nu facem reclamă acestei activități și nu o considerăm un instrument de marketing, deoarece acesta este un comportament obișnuit și normal în industria IT, în special atunci când expunem servicii pe o rețea publică."

Cure53 Teste de penetrare

Cu toate acestea, Mario Heiderich de la Cure53 mi-a spus că, pentru VPN-urile de a nu face publicitate testării pe care le-au făcut este contraincetiv:

"Furnizorii VPN ar trebui să spună asta, ar trebui să ofere transparență, ar trebui să publice rapoarte și să le demonstreze utilizatorilor lor că au cel mai bine minte pentru ei."

În plus, Heiderich mi-a spus asta "faptul că codul lor de client pe Github sau altele asemenea ar putea ajuta - totuși o mulțime de software are bug-uri critice, în ciuda faptului că sunt open source, deci nu există nicio garanție de niciun fel." Acest punct important evidențiază importanța acestui tip de audit. La urma urmei, există o diferență între a avea cod VPN Open Source și a codului sursă deschisă care a fost verificat în mod independent.

Bun ... Grozav ... Mai bine

Nu mă înțelegeți greșit, din punct de vedere al transparenței, AirVPN este în pas înainte de marea majoritate a VPN-urilor de pe piață. Totuși, ceea ce a făcut TunnelBear, cu siguranță, face un pas mai departe. Demonstrează o abordare neobișnuit determinată pentru evidențierea încrederii serviciului.

Bine mai bine

Aici, la ProPrivacy.com, aplaudăm TunnelBear pentru că a făcut saltul pentru a plăti propriul său audit în profunzime și public. TunnelBear se poate lăuda acum mai încrezător cu privire la nivelurile sale de securitate decât la orice alt VPN. Aceasta este o poziție pe care alte VPN-uri vor dori să o imite. În ceea ce ne privește, acest lucru ar trebui să facă toate VPN-urile de top.

VPN-urile ar trebui să fie complet oneste și transparent cu privire la fiecare parte a serviciului lor. TunnelBear a parcurs acel kilometru în plus și a demonstrat că există o modalitate de a îmbunătăți reputația industriei VPN. Sperăm că mai mulți VPN decid să urmeze acest excelent exemplu.

Consumatorii trebuie să acționeze!

Cure53 mă informează că 38 de zile (durata în care TunnelBear spune că cele două audituri ale sale au luat) costurile de audit sunt de aproximativ 45.000 USD. Ca atare, pare extrem de puțin probabil ca majoritatea VPN-urilor comerciale să meargă înainte și să-și urmeze exemplul.

Mai mult decât atât, până când consumatorii vor începe să avertizeze avertismente, cum ar fi cele pe care le facem aici la ProPrivacy.com, vor continua să își păstreze confidențialitatea prin intenția VPN-urilor de a face rapid. Consumatorii trebuie să ia măsuri, îndepărtându-se de VPN-uri cu politici de confidențialitate deficitare și păstrându-se la distanță VPN-urile care fac afirmații false pe site-urile lor web. Este timpul ca utilizatorii să renunțe la VPN-uri rele în favoarea serviciilor de încredere și recomandate!

Opiniile sunt proprii scriitorului.

Titlu credit imagine: TunnelBear home page

Credite imagine: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me