PureVPN: n auditointi: Jokaisella pilvellä on hopeavuori (kirjautumattomia)

Ei lokien PureVPN-tarkastusta


PureVPN liittyy parhaiden VPN-palveluiden joukkoon saadakseen kirjautumattomuusvaatimuksensa varmennettuaksi osana sitoutumistaan ​​tarjoamaan vahvaa yksityisyyttä ja turvallisuutta asiakkailleen ympäri maailmaa, vaikkakin se on uskomattoman taskuystävällinen!

Turvallisuustarkastusyhtiö Altius IT analysoi PureVPN: n’lokit, jotka koskevat DNS-kyselyjä, lähtevää liikennettä, käyneitä verkkosivustoja, selaushistoriaa, yhteysaikaa, käyttäjää’lähtö IP-osoite, määritetty VPN IP, yhteyslokit ja selaustoiminnot. 

He myös testasivat PureVPN: ää’s järjestelmälokitiedostot, verkkoinfrastruktuuridokumentit ja järjestelmäkokoonpanot, minkä jälkeen he antoivat PureVPN: lle virallisesti puhtaan sähkön kirjautumattomuusvaatimuksissaan.

Koska tarkastuksista on tulossa suuntaus VPN-teollisuudessa, päätin laatia teknisiä kyselyjä, jotka lähetin eri tarkastusten kohteena oleviin VPN-palveluihin..

Koska PureVPN julkaisi äskettäin uutisia tilintarkastuksestaan, he vastasivat ennakoivasti kysymyksiimme tarjoamalla yksityiskohtaisia ​​vastauksia:

1. Miksi valitsit Altius IT: n?

Valitsimme Altius IT: n heidän 25-vuotisen kokemuksensa ja turvallisuustarkastusten hyväksynnän vuoksi (ISACA CISA: lle, CRISC & CGEIT). Ne sijaitsevat Kaliforniassa, joka on tunnettu suurten kuluttaja Internet-yritysten.

Heillä on kokemusta Internet-laajuisista yritys- ja kuluttaja-arkkitehtuureista. Ja he ymmärtävät yksityisyyden vivahteet, joita Internet-laajuiset yritykset vaativat toimimaan globaalissa ympäristössä.

Altius IT -lähestymistapa oli vaikuttava. Altius-IT-tiimi yllätti meidät perusteellisuudestaan ​​siitä, että yrityksen päämiehistä tuli mysteeria käyttäviä, suorittamalla käytännön tarkastustyötä ja uhka-analyysejä. Skenaarioiden ainutlaatuisuus ja tarkastustoimien määrä olivat odottamattomia.

2. Mikä oli tämän tarkastuksen laajuus??

Tilintarkastus päättyi intensiivisesti. Annoimme ja varasimme kaikille pääsyille heidän valita, mitkä järjestelmät he ovat’d haluavat heidän tahtonsa. He tarkastelivat kaikkea VPN-palvelimistamme kokoonpanoihin järjestelmäpalveluihin ja sovellusliittymiin.

He tarkastelivat myös tietokantojamme ja jäljittivät koko tietovirran varmistaakseen, ettei käyttäjän tunnistamia tietoja ole tallennettu minnekään. Koko tarkastusraportti on saatavana julkaisijoille pyynnöstä, ja se on annettu kaikille käyttäjille jäsenalueella.

3. Mitä lisävaiheita aiotte vakuuttaa käyttäjille, joilla on korkeimmat tietosuojastandardit, jos sellaisia ​​on??

Tämä tarkastus on osa sarjaa vaiheita, joita olemme tekemässä vahvistaaksemme sitoutumistamme todelliseen yksityisyyteen. Sen lisäksi, että PureVPN on ensimmäinen, joka noudattaa GDPR: ää, ja jolla on tähän mennessä avoimin tietosuojakäytäntö, PureVPN on ensimmäinen ja ainoa tarjoaja, jolla on julkisesti maksettu bug-palkkio-ohjelma (Bugcrowd.com/purevpn), jossa yli 90 000 vahvaa valkoisten hattu-hakkereiden yhteisöä testata ja vahvistaa jatkuvasti palveluamme. Pyrimme päivä ja yö tarjoamaan yhä enemmän lisäarvoa miljoonille tilaajille yli 120 maassa, jotka luottavat turvallisuuteensa ja yksityisyyttään meihin.

Seuraava siirtymämme, jota pidämme nyt lähellä rintaansa, on yhtä mielenkiintoinen ja teollisuuden ensimmäinen yksityisyyden suojaaville tilaajillemme.

4. Kuinka voit varmistaa, että se on kirjaton, mutta asetat silti rajoituksia samanaikaisille yhteyksille?

Emme’t tarvitse lokkeja samanaikaisten käyttäjän yhteyksien tarkkailemiseksi. Luotamme vain LIVE-yhteystilaan löytääksemme aktiivisten yhteyksien määrän, jotka katkaistaan ​​heti, jos ne ylittävät määritetyn rajan.

Esimerkiksi, jos yksi käyttäjistämme muodostaa yhteyden mihin tahansa VPN-solmuun ja käyttää sitten samaa tiliä toisen VPN-yhteyden luomiseen, keskimääräisen istunnonhallintaohjelman (riippumattomien tarkastajien tarkastama) lukumäärä muuttuu välillä 1 - 2. Jos tämän lisäksi lisätään toinen yhteys, siitä tulee 3.

Jos käyttäjä jatkaa uusien yhteyksien lisäämistä, ylittäen lopulta lukema 5, joka on rajamme - kaikki yhteydet katkaistaan ​​heti (ja käyttäjä saa sähköpostin, jossa ilmoitetaan rikkoneen “monilokkien raja”).

5. VPN-päätesolmuilla on täysi hallussaan käyttäjän identiteetti ja toiminnot. Kuinka varmistat, että tiedot poistetaan istunnon päättymisen jälkeen?

Kaikki VPN-lopetussolmut määritetään keskitetysti kokoonpanohallintajärjestelmän kautta siten, että käyttäjän identiteettiä ja toimintaa ei nimenomaisesti kirjata lokiin, joten tietojen poistamista ei tarvita.

6. Mitä tapahtuu openvpn.log-tiedostolle ja siinä oleville tiedoille VPN-yhteyden muodostamisen / katkaisun yhteydessä?

Kaikki käynnissä olevat OpenVPN-palvelut PureVPN: ssä’lopetussolmut eivät tallenna mitään lokia alun perin asetettujen konfiguraatiomuuttujien takia:

log / dev /tyhjä
tila / dev /tyhjä

Mikä tarkoittaa käytännössä sitä, että OpenVPN: n lokit, jotka on oletuksena kytketty päälle, on poistettu käytöstä ja siirretty hakemistoon / dev / null. Tarkentaaksesi / dev / null on erityinen tiedosto nimeltään ‘nolla laite’ Unix-järjestelmissä.

Tämä osa UNIX-järjestelmistä voidaan periaatteessa päättää paikasta, josta jokainen informaation bitti heitetään heti pois kirjoitettuaan siihen ja palauttaa vain tiedoston lopun EOF: n luettaessa.

7. Kuinka PureVPN toimii?’App kill switch API lopettaa käyttäjän IP-osoitteiden tallentamisen?

PureVPN’Internet kill -kytkin EI käytä mitään API-pohjaista palvelua ja ÄLÄ myöskään tallenna minkään tyyppisiä käyttäjän IP-osoitteita.

8. VPN-palveluntarjoajat käyttävät kuormitustasapainoja yhteyden muodostamiseen VPN-lopetuspalvelimeen. Kuinka voit estää sitä tallentamasta tietoja, vaikka se olisi hetkellinen?

PureVPN käyttää erilaisia ​​tekniikoita käyttäjän / yhteyskuorman jakamiseen VPN-solmuihin, samoin kuin miten käytämme API-palvelimia parhaiden mahdollisten palvelimien löytämiseen. Siksi emme käytä inline-kuormatasapainoja, joten käyttäjät eivät’t alttiiksi.

9. Kuinka lopettaa URL-polkujen tallentamisen API-lokiin?

API-palvelimet varmistavat, että parhaan mahdollisen nopeuden VPN-palvelin saatetaan käyttäjän saataville heidän valintojensa perusteella. Minkä tahansa tyyppistä järjestelmän ja palvelun kirjaamista ei löydy API-palvelimelta, kuten riippumattomat tarkastajat ovat todenneet.

10. Mikä on PureVPN’Prosessi varmistaa, että virtualisoidut tai säilötyt palvelimet eivät kirjaa tietoja?

Virtualisoiduilla tai säilötyillä palvelimilla ei ole meille merkitystä, me panemme täytäntöön tietosuojakäytäntömme ja prosessimme kaikentyyppisissä palvelimissa. Tilintarkastusyhtiö itse valitsi satunnaisesti eri palvelimet testataksemme lokittomia vaatimuksiamme.

Käytämme kokoonpanopöytäkirjoja keskitetysti ottamatta käyttöön lokitiedostoja kaikissa VPN-palvelimissamme, joihin sisältyy Linux, Windows ja niiden virtuaali- ja paljametallivariantit. 

Tämä turvatarkastus on seurausta oikeudenkäynnistä, jossa Massachusettsin mies pidätettiin syytöksestä syytettyinä entistä naispuolista kämppijaa ja hänen perheenjäseniään / ystäviään vastaan.

Tuomioistuimen asiakirjat osoittivat, että PureVPN: n FBI: n toimittamat lokit auttoivat syytteessä. Vaikka tämä auttoi vuoden päättämisessä’Hyödyllisyyden uhrin vuoksi Hongkongissa toimiva palveluntarjoaja veti mudan läpi yksityisyyden takaa.

Tämän tapahtuman valossa PureVPN uudisti heidän tietosuojakäytäntöjään mainitsemalla selvästi, että heillä ei ole käyttäjien henkilökohtaisia ​​tietoja (PII)..

Asioiden kääriminen

Kun olet kysynyt nämä kysymykset ja katsonut PureVPN: tä’Teollisuuden ensimmäisten (ja joidenkin tasoittavien) aloitteiden lähihistoriasta, olen vakuuttunut siitä, että palveluntarjoaja nousee tasaisesti markkinoiden parhaiden pelaajien joukkoon ja pysyn innokkaana nähdäkseen, mikä heidän seuraava siirto on!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me