Auditul PureVPN & rsquo; s: fiecare nor are o căptușeală de argint (verificări fără jurnal)

Auditul PureVPN pentru nr


PureVPN se alătură celor mai bune servicii VPN pentru a-și verifica revendicările fără jurnal, ca parte a angajamentului lor de a furniza confidențialitate și securitate puternică clienților săi din întreaga lume, în ciuda faptului că sunt incredibil de prietenoși cu buzunarul!

Firma de audit de securitate, Altius IT, a analizat PureVPN’s jurnale cu privire la interogări DNS, trafic de ieșire, site-uri web vizitate, istoric de navigare, timp de conectare, utilizator’s adresa IP de origine, IP VPN alocat, jurnalele de conexiune și activități de navigare. 

Au testat și PureVPN’s fișiere de jurnal de sistem, documente de infrastructură de rețea și configurații de sistem, după care au oferit oficial PureVPN un chit curat în revendicările lor fără jurnal.

Deoarece auditurile devin o tendință în industria VPN, am decis să vin cu o serie de întrebări tehnice, trimitându-le la diferite servicii VPN care au fost supuse unui audit.

Întrucât PureVPN a lansat recent știri despre auditul lor, au fost destul de proactivi în a răspunde la întrebările noastre, oferind răspunsuri detaliate:

1. De ce ai ales Altius IT?

Am ales Altius IT datorită evidenței lor de 25 de ani și acreditării pentru audituri de securitate (ISACA pentru CISA, CRISC & CGEIT). Acestea au sediul în California, care este bine cunoscut pentru companiile de internet de mare consum.

Au experiență cu arhitecturi de întreprinderi și consumatori la scară de internet. Și înțeleg nuanțele de confidențialitate cerute de companiile la scară de internet pentru a opera într-un cadru global.

Abordarea IT Altius a fost impresionantă. Echipa IT Altius ne-a surprins prin minuțiozitatea lor cu directorii companiei devenind utilizatori de mister, efectuând activități de audit hands-on și analize de amenințări. Unicitatea scenariilor și numărul activităților de audit au fost neașteptate.

2. Care a fost amploarea acestui audit?

A fost un final intensiv pentru a încheia Auditul. Am permis și furnizat toate accesele pentru ca aceștia să poată alege sistemele pe care le utilizează’Aș vrea după dorința lor. Au privit totul, de la serverele noastre VPN la configurații la servicii de sistem și API.

De asemenea, s-au uitat la bazele noastre de date și au urmărit fluxurile de date întregi pentru a se asigura că nicio informație de identificare a utilizatorului nu a fost stocată nicăieri. Raportul de audit complet este disponibil pentru editori la cerere și a fost pus la dispoziția tuturor utilizatorilor noștri din zona membrilor.

3. Ce pași suplimentare, dacă există, intenționați să asigurați utilizatorii cu cele mai înalte standarde de confidențialitate?

Acest audit face parte dintr-o serie de pași pe care îi facem pentru a ne consolida în continuare angajamentul față de adevărata confidențialitate. În afară de faptul că este primul care respectă GDPR și are cea mai transparentă Politică de confidențialitate până în prezent, PureVPN este primul și singurul furnizor care are un program public de remunerare pentru buguri (Bugcrowd.com/purevpn), unde 90.000+ comunitate puternică de hackeri de pălării albe. testarea continuă și consolidarea serviciului nostru. Ne străduim zi și noapte să oferim din ce în ce mai multă valoare milioane de abonați din peste 120 de țări care au încredere în securitatea și confidențialitatea lor cu noi.

Următoarea noastră mișcare, pe care o păstrăm aproape de piept deocamdată, va fi la fel de interesantă și de primă industrie pentru abonații noștri conștienți de viață.

4. Cum verificați că sunteți fără logofon, dar totuși impuneți limite conexiunilor simultane?

Nu donăm’nu aveți nevoie de jurnale pentru a urmări conexiunile simultane ale utilizatorilor. Pur și simplu ne bazăm pe starea de conexiune LIVE pentru a găsi numărul de conexiuni active, care sunt întrerupte imediat dacă depășesc limita specificată.

De exemplu, dacă unul dintre utilizatorii noștri se conectează la orice nod VPN și apoi folosește același cont pentru a stabili o altă conexiune VPN, numărul numărului trece de la 1 la 2 pe managerul nostru de sesiune centralizat (auditat de auditorii independenți). Dacă se adaugă o altă conexiune pe deasupra, aceasta devine 3.

Dacă utilizatorul continuă să adauge mai multe conexiuni, depășind în cele din urmă numărul 5, care este limita noastră - toate conexiunile sunt terminate instantaneu (iar utilizatorul va primi un e-mail în care a declarat că au încălcat “multilogine limita”).

5. Nodurile de terminare VPN au posesia deplină a identității și activităților utilizatorului. Cum vă asigurați că informațiile sunt șterse după încheierea unei sesiuni?

Toate nodurile de terminare VPN sunt configurate prin intermediul sistemului de gestionare a configurațiilor centralizate pentru a NU loga în mod explicit identitatea și activitatea utilizatorului, prin urmare nu este necesară ștergerea informațiilor.

6. Ce se întâmplă cu fișierul openvpn.log și informațiile prezente în acesta la conectarea / deconectarea VPN?

Toate rulează serviciile OpenVPN pe PureVPN’s nodurile de terminare nu stochează niciun jurnal din cauza variabilelor de configurare setate inițial:

log / dev /nul
stare / dev /nul

Ceea ce înseamnă în esență că jurnalele de la OpenVPN, care sunt activate în mod implicit, au fost dezactivate și conectate / dev / null. Pentru a elabora, / dev / null este un fișier special numit ‘dispozitiv nul’ în sistemele Unix.

Această parte a sistemelor UNIX poate fi încheiată practic ca o locație în care fiecare bit de informație este imediat aruncat atunci când este scrisă și returnează doar un EOF final de fișier atunci când este citit.

7. Cum face PureVPN’s API app switch switch oprește înregistrarea adreselor IP ale utilizatorului?

PureVPN’Comutatorul de ucid internet NU utilizează niciun serviciu bazat pe API și NU înregistrează niciun tip de adrese IP ale utilizatorului.

8. Echilibratorii de încărcare sunt folosiți de furnizorii VPN pentru a transmite conexiunea la serverul de terminare VPN. Cum o oprești de la înregistrarea informațiilor, chiar dacă momentan?

PureVPN utilizează diferite tehnici pentru a distribui încărcarea utilizatorului / conexiunii la nodurile VPN, similar cu modul în care folosim serverele API pentru a găsi cele mai bune servere posibile. Prin urmare, nu utilizăm echilibrele de încărcare în linie și astfel utilizatorii noștri’nu mă expun.

9. Cum opriți înregistrarea căilor URL în jurnalele API?

Serverele API se asigură că un server VPN cu cea mai bună viteză posibilă este pus la dispoziția utilizatorului pe baza selecțiilor sale. Nu a fost găsit niciun tip de sistem și de înregistrare a serviciului pe serverul API, verificat de auditorii independenți.

10. Ce este PureVPN’Procesul de asigurare a serverelor virtualizate sau containerizate nu înregistrează datele?

Serverele virtualizate sau containerizate nu fac nicio diferență pentru noi, aplicăm politicile și procesele noastre de confidențialitate pe toate tipurile de servere utilizate. Compania de audit însăși a selectat la întâmplare diferite servere pentru a testa revendicările noastre fără jurnal.

Folosim jurnale de configurare pentru a implementa central niciun fel de logare pe toate serverele noastre VPN, care include Linux, Windows și variantele lor virtuale și metalele goale. 

Acest audit de securitate este rezultatul unui dosar judecătoresc, în care un bărbat din Massachusetts a fost arestat sub acuzația de control informatic, împotriva unei foste colegi de cameră și a membrilor / prietenilor familiei sale.

Documentele judecătorești indicau că jurnalele furnizate de PureVPN de la FBI, au ajutat la urmărirea penală. În timp ce acest lucru a ajutat să se încheie un an’în valoare de mizerie pentru victimă, furnizorul din Hong Kong a fost târât prin noroi de conștiența de confidențialitate.

Având în vedere acel eveniment, PureVPN și-a revăzut politica de confidențialitate, menționând clar că nu păstrează nicio informație de identificare personală (PII) a utilizatorilor săi.

Înfășurarea lucrurilor

După ce a pus aceste întrebări și a privit PureVPN’istoria recentă a inițiativelor inițiale (și unele egalizatoare) din industrie, mă simt încrezător că furnizorul crește constant printre rândurile jucătorilor de top din piață și rămâne nerăbdător să vadă care este următoarea lor mișcare.!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me