Audyt PureVPN: każda chmura ma srebrną podszewkę (bez weryfikacji logów)

Audyt PureVPN bez dzienników


PureVPN dołącza do grona najlepszych usług VPN, aby zweryfikować swoje roszczenia dotyczące braku logów, jako część ich zobowiązania do zapewnienia silnej prywatności i bezpieczeństwa swoim klientom na całym świecie, pomimo tego, że jest niezwykle przyjazny dla kieszeni!

Firma audytorska bezpieczeństwa Altius IT przeanalizowała PureVPN’s logi dotyczące zapytań DNS, ruchu wychodzącego, odwiedzanych stron, historii przeglądania, czasu połączenia, użytkownika’s początkowy adres IP, przypisany adres IP VPN, dzienniki połączeń i czynności związane z przeglądaniem. 

Przetestowali także PureVPN’systemowe pliki dziennika, dokumenty infrastruktury sieciowej i konfiguracje systemu, po których oficjalnie przekazali PureVPN czystą karteczkę dotyczącą roszczeń dotyczących braku logów.

Ponieważ audyty stają się trendem w branży VPN, postanowiłem przedstawić szereg zapytań technicznych, wysyłając je do różnych usług VPN, które zostały poddane audytowi.

Ponieważ PureVPN dopiero niedawno opublikował informacje o swoim audycie, byli dość proaktywni, odpowiadając na nasze pytania, udzielając szczegółowych odpowiedzi:

1. Dlaczego wybrałeś Altius IT??

Wybraliśmy Altius IT ze względu na 25-letnie doświadczenie i akredytację do audytów bezpieczeństwa (ISACA dla CISA, CRISC & CGEIT). Mają siedzibę w Kalifornii, która jest znana z dużych internetowych firm konsumenckich.

Mają doświadczenie w architekturze przedsiębiorstw i konsumenckich na skalę internetową. I rozumieją niuanse prywatności wymagane przez firmy działające na skalę internetową do działania w otoczeniu globalnym.

Podejście IT Altius było imponujące. Zespół IT Altius zaskoczył nas swoją dokładnością, gdy dyrektorzy firmy stali się tajemniczymi użytkownikami, prowadząc praktyczne audyty i analizy zagrożeń. Wyjątkowość scenariuszy i liczba działań kontrolnych były nieoczekiwane.

2. Jaki był zakres tego audytu?

To był intensywny audyt od końca do końca. Zezwoliliśmy im i zapewniliśmy im dostęp do wybranych systemów’chcę z ich woli. Sprawdzili wszystko, od naszych serwerów VPN, przez konfiguracje, po usługi systemowe i interfejsy API.

Przyjrzeli się również naszym bazom danych i prześledzili cały przepływ danych, aby upewnić się, że nigdzie nie są przechowywane żadne dane identyfikujące użytkownika. Pełny raport z audytu jest dostępny dla wydawców na żądanie i został udostępniony wszystkim naszym użytkownikom w strefie członkowskiej.

3. Jakie dodatkowe kroki, jeśli w ogóle, planujesz uspokoić użytkowników o najwyższych standardach prywatności?

Audyt jest częścią szeregu kroków, które podejmujemy w celu dalszego umocnienia naszego zobowiązania do prawdziwej prywatności. Oprócz tego, że jako pierwszy przestrzega RODO i ma najbardziej przejrzystą do tej pory Politykę prywatności, PureVPN jest pierwszym i jedynym dostawcą, który ma publiczny płatny program premiowy za błędy (Bugcrowd.com/purevpn), w którym ponad 90 000 silnych społeczności hakerów białych kapeluszy stale testuj i wzmacniaj nasze usługi. Dokładamy wszelkich starań, aby dzień i noc dostarczać coraz więcej wartości milionom subskrybentów w ponad 120 krajach, którzy ufają nam z bezpieczeństwem i prywatnością.

Nasz następny ruch, który na razie trzymamy blisko skrzyni, będzie równie ekscytujący i po raz pierwszy w branży dla naszych świadomych prywatności subskrybentów.

4. W jaki sposób sprawdzasz, czy jesteś bez logów, ale nadal nakładasz ograniczenia na jednoczesne połączenia?

My don’t potrzebuję logów, aby obserwować jednoczesne połączenia użytkownika. Po prostu polegamy na stanie połączenia LIVE, aby znaleźć liczbę aktywnych połączeń, które są natychmiast odcinane, jeśli przekroczą określony limit.

Na przykład, jeśli jeden z naszych użytkowników łączy się z dowolnym węzłem VPN, a następnie używa tego samego konta do ustanowienia innego połączenia VPN, liczba zliczeń zmienia się z 1 na 2 w naszym scentralizowanym menedżerze sesji (kontrolowanym przez niezależnych audytorów). Jeśli do tego zostanie dodane inne połączenie, staje się 3.

Jeśli użytkownik nadal dodaje więcej połączeń, ostatecznie przekraczając liczbę 5, co stanowi nasz limit - wszystkie połączenia są natychmiast przerywane (a użytkownik otrzyma wiadomość e-mail z informacją, że naruszył nasze “limit multiloginów”).

5. Węzły zakańczania połączeń VPN posiadają pełną tożsamość użytkownika i działania. Jak upewnić się, że informacje są usuwane po zakończeniu sesji?

Wszystkie węzły zakańczające połączenia VPN są skonfigurowane za pomocą centralnego systemu zarządzania konfiguracją, aby jawnie NIE rejestrować tożsamości użytkownika i aktywności, dlatego nie jest wymagane usuwanie informacji.

6. Co stanie się z plikiem openvpn.log i zawartymi w nim informacjami po połączeniu / rozłączeniu VPN?

Wszystkie działające usługi OpenVPN w PureVPN’Węzły zakończeniowe nie przechowują żadnych dzienników z powodu wstępnie ustawionych zmiennych konfiguracyjnych:

log / dev /zero
status / dev /zero

Co w zasadzie oznacza, że ​​dzienniki z OpenVPN, które są domyślnie włączone, zostały wyłączone i przesyłane strumieniowo przez / dev / null. Aby rozwinąć, / dev / null to specjalny plik o nazwie ‘zerowe urządzenie’ w systemach uniksowych.

Tę część systemów UNIX można zasadniczo uznać za lokalizację, w której każda część informacji jest natychmiast odrzucana po zapisaniu w niej i zwraca tylko EOF końca pliku podczas odczytu.

7. Jak działa PureVPN’Interfejs API wyłącznika zabijania aplikacji zatrzymuje rejestrowanie adresów IP użytkowników?

PureVPN’Przełącznik zabijania Internetu NIE korzysta z żadnej usługi opartej na interfejsie API, a także NIE rejestruje żadnych adresów IP użytkowników.

8. Dostawcy usługi VPN wykorzystują usługi równoważenia obciążenia w celu przekazania połączenia do serwera zakończenia VPN. Jak zatrzymać rejestrowanie informacji, nawet jeśli są chwilowe?

PureVPN wykorzystuje różne techniki do dystrybucji obciążenia użytkownika / połączenia do węzłów VPN, podobnie jak w przypadku serwerów API w celu znalezienia najlepszych możliwych serwerów. Dlatego nie używamy wbudowanych modułów równoważących obciążenie, dlatego nasi użytkownicy nie’zostać narażonym.

9. Jak zatrzymać rejestrowanie ścieżek URL w logach API?

Serwery API zapewniają, że serwer VPN o najlepszej możliwej prędkości jest udostępniany użytkownikowi na podstawie jego wyborów. Nie znaleziono żadnego typu rejestrowania systemu i usługi na serwerze API, co zostało zweryfikowane przez niezależnych audytorów.

10. Co to jest PureVPN’Proces zapewniający, że zwirtualizowane lub konteneryzowane serwery nie rejestrują danych?

Serwery zwirtualizowane lub konteneryzowane nie mają dla nas znaczenia, egzekwujemy naszą politykę prywatności i procesy na wszystkich typach używanych serwerów. Sama firma audytorska losowo wybrała różne serwery, aby przetestować nasze oświadczenia o braku dzienników.

Korzystamy z podręczników konfiguracji, aby centralnie wdrażać brak logowania na wszystkich naszych serwerach VPN, w tym Linux, Windows i ich wariantach wirtualnych i bez systemu operacyjnego. 

Ten audyt bezpieczeństwa jest wynikiem postępowania sądowego, w którym mężczyzna z Massachusetts został aresztowany pod zarzutem cyberstalkingu przeciwko byłej współlokatorkom i członkom jej rodziny / przyjaciołom.

Dokumenty sądowe wskazywały, że dzienniki dostarczone przez PureVPN z FBI pomogły w ściganiu. Chociaż pomogło to w zakończeniu roku’nieszczęście dla ofiary, dostawca z Hongkongu został wciągnięty w błoto przez osoby dbające o prywatność.

W świetle tego wydarzenia PureVPN odnowił swoją politykę prywatności, wyraźnie zaznaczając, że nie przechowuje żadnych danych osobowych (PII) swoich użytkowników.

Podsumowanie

Po zadaniu tych pytań i spojrzeniu na PureVPN’W najnowszej historii pierwszych w branży (i niektórych wyrównywających) inicjatyw jestem pewien, że dostawca stale rośnie w gronie czołowych graczy na rynku i nie mogę się doczekać, aby zobaczyć, jaki będzie ich następny ruch!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me