Audit PureVPN: Každý mrak má stříbrnou podšívku (neověřené protokoly)

Audit PureVPN pro žádné protokoly

PureVPN se připojuje k řadám špičkových služeb VPN, aby si ověřil jejich nelogové nároky, jako součást jejich závazku poskytovat silné soukromí a bezpečnost svým zákazníkům po celém světě, přestože je neuvěřitelně přátelský!

Bezpečnostní auditová společnost Altius IT analyzovala PureVPN’s protokoly týkající se DNS dotazů, odchozího provozu, navštěvovaných webů, historie prohlížení, času připojení, uživatele’s původní IP adresa, přiřazená VPN IP, protokoly připojení a procházení. 

Také testovali PureVPN’Soubory systémových logů, dokumenty síťové infrastruktury a systémové konfigurace, po kterých oficiálně dali PureVPN čistý průkaz jejich požadavkům bez protokolování.

Protože se audity stávají trendem v odvětví VPN, rozhodl jsem se přijít s řadou technických dotazů a poslat je na různé služby VPN, které prošly auditem..

Jelikož PureVPN teprve nedávno zveřejnila zprávy o svém auditu, byly proaktivní v odpovědi na naše otázky a poskytovaly podrobné odpovědi:

1. Proč jste si vybrali Altius IT??

Vybrali jsme si Altius IT kvůli jejich 25letým zkušenostem a akreditaci pro bezpečnostní audity (ISACA pro CISA, CRISC & CGEIT). Sídlí v Kalifornii, která je dobře známa velkým spotřebitelským internetovým společnostem.

Mají zkušenosti s podnikovými a spotřebitelskými architekturami v internetovém měřítku. A rozumí pochopení nuancí v soukromí, které společnosti na internetu vyžadují, aby fungovaly v globálním prostředí.

Přístup společnosti Altius IT byl působivý. Tým Altius IT nás překvapil svou důkladností, kdy se ředitelé společnosti stali uživateli záhad, prováděli praktickou auditní práci a analýzu hrozeb. Jedinečnost scénářů a počet auditorských činností byly neočekávané.

2. Jaký byl rozsah tohoto auditu?

Byl to intenzivní audit. Povolili jsme a zajistili jim všechny přístupy k vyzvednutí, které systémy’chci podle své vůle. Dívali se na všechno od našich serverů VPN až po konfigurace, systémové služby a API.

Také se podívali na naše databáze a sledovali celý tok dat, aby zajistili, že nikde nebudou uloženy žádné identifikovatelné informace o uživateli. Úplná zpráva o auditu je vydavatelům k dispozici na vyžádání a byla zpřístupněna všem našim uživatelům v oblasti členů.

3. Jaké další kroky, pokud existují, plánujete ujistit uživatele o nejvyšších standardech ochrany osobních údajů?

Tento audit je součástí řady kroků, které podnikáme k dalšímu posílení našeho závazku ke skutečnému soukromí. Kromě toho, že je PureVPN první, kdo dodržuje GDPR a má dosud nejtransparentnější zásady ochrany osobních údajů, je prvním a jediným poskytovatelem veřejně placeného programu odměn za chyby (Bugcrowd.com/purevpn), kde je více než 90 000+ komunit hackerů s bílým kloboukem neustále testovat a posilovat naše služby. Snažíme se ve dne i v noci poskytovat stále větší hodnotu milionům předplatitelů ve více než 120 zemích, kteří s námi věří v jejich bezpečnost a soukromí.

Náš další krok, který zatím držíme blízko hrudníku, bude stejně vzrušující a jako první na trhu pro naše předplatitele ochrany soukromí.

4. Jak si můžete ověřit, že jste přihlášeni, ale stále ukládáte limity pro simultánní připojení?

My ne’Nepotřebujete protokoly pro sledování současných uživatelských připojení. Jednoduše spoléháme na stav připojení LIVE, abychom našli počet aktivních připojení, která jsou okamžitě přerušena, pokud překročí stanovený limit.

Pokud se například jeden z našich uživatelů připojí k libovolnému uzlu VPN a poté použije stejný účet k navázání dalšího připojení VPN, počet přepnutí se v našem centralizovaném správci relací přepne z 1 na 2 (auditováno nezávislými auditory). Pokud je navíc přidáno další připojení, stává se 3.

Pokud uživatel pokračuje v přidávání dalších připojení, případně přesáhne počet 5, což je náš limit - všechna připojení jsou okamžitě ukončena (a uživatel obdrží e-mail s oznámením, že porušil naše “multilogins limit”).

5. Uzly ukončení VPN mají úplnou kontrolu nad totožností uživatele a činnostmi. Jak zajistíte odstranění informací po ukončení relace?

Všechny uzly zakončení VPN jsou konfigurovány prostřednictvím centrálně spravovaného systému správy konfigurace, aby explicitně NE protokolovaly identitu a aktivitu uživatele, proto není nutné mazat informace.

6. Co se stane se souborem openvpn.log a informacemi v něm přítomnými po připojení / odpojení VPN?

Všechny spuštěné služby OpenVPN na PureVPN’Terminační uzly neukládají žádné protokoly kvůli původně nastaveným konfiguračním proměnným:

log / dev /nula
status / dev /nula

Což v podstatě znamená, že protokoly z OpenVPN, které jsou ve výchozím nastavení zapnuty, byly deaktivovány a byly přeneseny přes / dev / null. Pro vypracování je / dev / null speciální soubor nazvaný ‘nulové zařízení’ v unixových systémech.

Tato část systémů UNIX může být v podstatě uzavřena jako místo, kde je každý bit informací při zápisu okamžitě zahozen, a při čtení vrací pouze konec EOF souboru..

7. Jak PureVPN’s app kill kill switch API zastaví nahrávání uživatelských IP adres?

PureVPN’s Internet kill switch NEPOUŽÍVEJTE žádnou službu založenou na API a NEZNAMENUJTE žádný typ IP adres uživatele.

8. Poskytovatelé VPN používají vyrovnávače zatížení k předání připojení k terminačnímu serveru VPN. Jak to zastavíte v zaznamenávání informací, i když je to na okamžik?

PureVPN používá různé techniky k distribuci zatížení uživatele / připojení do uzlů VPN, podobně jako používáme servery API k nalezení nejlepších možných serverů. Proto nepoužíváme inline vyvažovače zatížení, a proto naši uživatelé nevyužívají’nechápu.

9. Jak zastavíte zaznamenávání cest URL v protokolech API?

Servery API zajišťují, aby byl server VPN s nejlepší možnou rychlostí zpřístupněn uživateli na základě jeho výběru. Na serveru API nebyl nalezen žádný typ protokolování systému a služeb, což ověřili nezávislí auditoři.

10. Co je PureVPN’Proces zajištění virtualizovaných nebo kontejnerových serverů nezaznamenává data?

Virtualizované nebo kontejnerové servery nás nijak nezmění, prosazujeme zásady ochrany osobních údajů a procesy na všech používaných serverech. Samotná auditorská společnost náhodně vybrala různé servery, aby otestovala naše tvrzení bez záznamů.

Používáme konfigurační knížky k centrální implementaci bez protokolování na všech našich serverech VPN, které zahrnují Linux, Windows a jejich virtuální a holé kovové varianty. 

Tento bezpečnostní audit je výsledkem soudního případu, kdy byl muž Massachusetts zatčen na základě obvinění z kybernetického útoku proti bývalé spolubydlící ženě a jejím rodinným příslušníkům / přátelům.

Soudní dokumenty naznačily, že protokoly poskytnuté PureVPN od FBI pomohly při stíhání. I když to pomohlo na konci roku’Vzhledem k tomu, že oběť utrpěla utrpení, byl poskytovatel v Hongkongu zatažen blátem, které si uvědomilo soukromí.

Na základě této události PureVPN přepracoval své zásady ochrany osobních údajů a jasně uvedl, že neuchovávají žádné informace umožňující identifikaci osob (PII) svých uživatelů..

Zabalení věcí

Po položení těchto otázek a pohledu na PureVPN’s nedávnou historií prvních průmyslových (a některých vyrovnávacích) iniciativ, jsem si jistý, že poskytovatel neustále roste mezi řadami nejlepších hráčů na trhu a zůstane dychtivý vidět, jaký je jejich další krok!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me