PureVPN & rsquo; s Audit: Elke cloud heeft een zilveren voering (geen logbestanden geverifieerd)

PureVPN-audit voor geen logboeken


PureVPN sluit zich aan bij de top van VPN-services om hun no-log claims te laten verifiëren, als onderdeel van hun toewijding aan het bieden van sterke privacy en veiligheid aan haar klanten over de hele wereld, ondanks het feit dat ze ongelooflijk pocketvriendelijk zijn!

Het beveiligingsauditkantoor Altius IT analyseerde PureVPN’s logboeken met betrekking tot DNS-vragen, uitgaand verkeer, bezochte websites, browsegeschiedenis, verbindingstijd, gebruiker’s oorspronkelijk IP-adres, toegewezen VPN IP, verbindingslogboeken en browse-activiteiten. 

Ze hebben ook PureVPN getest’s systeemlogbestanden, netwerkinfrastructuurdocumenten en systeemconfiguraties, waarna ze PureVPN officieel een schone lei gaven voor hun no-logs claims.

Omdat audits een trend worden in de VPN-industrie, besloot ik een aantal technische vragen te stellen en deze naar verschillende VPN-services te sturen die een audit hebben ondergaan.

Aangezien PureVPN pas recent nieuws over hun audit heeft vrijgegeven, reageerden ze behoorlijk proactief op onze vragen en gaven gedetailleerde antwoorden:

1. Waarom hebt u voor Altius IT gekozen?

We hebben gekozen voor Altius IT vanwege hun 25-jarige staat van dienst en accreditatie voor beveiligingsaudits (ISACA voor CISA, CRISC & CGEIT). Ze zijn gevestigd in Californië, dat bekend staat om grootschalige internetbedrijven voor consumenten.

Ze hebben ervaring met enterprise-schaal- en consumentenarchitecturen op internet. En ze begrijpen de privacynuances die bedrijven op internetschaal nodig hebben om in een wereldwijde omgeving te werken.

De Altius IT-aanpak was indrukwekkend. Het Altius IT-team verraste ons met hun grondigheid, waarbij de bedrijfsleiders mystery users werden en praktische auditwerkzaamheden en dreigingsanalyses uitvoerden. Het unieke van de scenario's en het aantal auditactiviteiten waren onverwacht.

2. Wat was de omvang van deze audit??

Het was een intensieve end-to-end audit. We hebben alle toegangen toegestaan ​​en beschikbaar gesteld voor hen om te bepalen welke systemen ze hebben’willen naar hun wil. Ze keken naar alles, van onze VPN-servers tot configuraties tot systeemservices en API's.

Ze hebben ook onze databases bekeken en de volledige gegevensstromen getraceerd om ervoor te zorgen dat geen door de gebruiker identificeerbare informatie nergens is opgeslagen. Volledig auditrapport is op verzoek beschikbaar voor uitgevers en is beschikbaar gesteld voor al onze gebruikers binnen Members Area.

3. Welke aanvullende stappen, indien van toepassing, bent u van plan om gebruikers van de hoogste privacynormen te verzekeren?

Deze audit maakt deel uit van een reeks stappen die we nemen om onze toewijding aan echte privacy verder te versterken. Behalve dat het de eerste is die voldoet aan de AVG en het meest transparante privacybeleid tot nu toe heeft, is PureVPN de eerste en enige aanbieder met een openbaar betaald bug bounty-programma (Bugcrowd.com/purevpn) waar 90.000+ sterke community van white hat hackers onze service continu testen en versterken. We streven er dag en nacht naar om meer en meer waarde te leveren aan miljoenen abonnees in meer dan 120 landen die hun veiligheid en privacy bij ons vertrouwen.

Onze volgende stap, die we voorlopig dicht bij de borst houden, zal voor onze privacybewuste abonnees even opwindend en toonaangevend in de industrie zijn.

4. Hoe verifieer je dat je logloos bent, maar toch beperkingen oplegt voor gelijktijdige verbindingen?

We don’Er zijn logboeken nodig om te letten op gelijktijdige gebruikersverbindingen. We vertrouwen eenvoudigweg op de LIVE-verbindingsstatus om het aantal actieve verbindingen te vinden, die onmiddellijk worden verbroken als ze de opgegeven limiet overschrijden.

Als een van onze gebruikers bijvoorbeeld verbinding maakt met een VPN-knooppunt en vervolgens hetzelfde account gebruikt om een ​​andere VPN-verbinding tot stand te brengen, schakelt het telnummer van 1 naar 2 op onze gecentraliseerde sessiebeheerder (gecontroleerd door de onafhankelijke auditors). Als er nog een verbinding wordt toegevoegd, wordt deze 3.

Als de gebruiker meer verbindingen blijft toevoegen en uiteindelijk het aantal 5 overschrijdt, wat onze limiet is, worden alle verbindingen onmiddellijk verbroken (en de gebruiker ontvangt een e-mail waarin staat dat ze onze “multilogins limiet”).

5. VPN-beëindigingsknooppunten hebben het volledige bezit van een gebruikersidentiteit en activiteiten. Hoe zorg je ervoor dat informatie wordt verwijderd na het beëindigen van een sessie?

Alle VPN Termination-knooppunten worden geconfigureerd via een centraal configuratiebeheersysteem om expliciet de gebruikersidentiteit en -activiteit NIET te registreren, daarom is het wissen van informatie niet vereist.

6. Wat gebeurt er met het openvpn.log-bestand en de daarin aanwezige informatie bij een VPN-verbinding / -verbinding?

Alle actieve OpenVPN-services op PureVPN’s beëindigingsknooppunten slaan geen logboeken op vanwege de aanvankelijk ingestelde configuratievariabelen:

log / dev /nul
status / dev /nul

Wat in wezen betekent dat de logboeken van OpenVPN, die standaard zijn ingeschakeld, zijn uitgeschakeld en doorgestuurd via / dev / null. Om uit te werken is / dev / null een speciaal bestand met de naam ‘nul apparaat’ in Unix-systemen.

Dit deel van UNIX-systemen kan in principe worden beschouwd als een locatie waar elk stukje informatie onmiddellijk wordt weggegooid wanneer er naar wordt geschreven en alleen een einde-van-bestand EOF retourneert wanneer het wordt gelezen.

7. Hoe werkt PureVPN’s API voor app-kill-schakelaar stopt het opnemen van IP-adressen van gebruikers?

PureVPN’s Internet-kill-schakelaar gebruikt GEEN API-gebaseerde service en registreert ook GEEN IP-adressen van gebruikers.

8. Load balancers worden door VPN-providers gebruikt om de verbinding door te geven aan de VPN Termination-server. Hoe stop je het van het opnemen van info, zelfs als het tijdelijk is?

PureVPN gebruikt verschillende technieken om de gebruikers- / verbindingsbelasting naar VPN-knooppunten te verdelen, vergelijkbaar met hoe we API-servers gebruiken om de best mogelijke servers te vinden. Daarom gebruiken we geen inline load balancers en dus doen onze gebruikers dat niet’t wordt blootgesteld.

9. Hoe stop je de opname van URL-paden in API-logboeken?

API-servers zorgen ervoor dat een VPN-server met de best mogelijke snelheid beschikbaar wordt gesteld aan de gebruiker op basis van hun selecties. Elk type systeem- en servicelogboekregistratie is niet gevonden op de API-server, zoals geverifieerd door de onafhankelijke auditors.

10. Wat is PureVPN’s proces om ervoor te zorgen dat gevirtualiseerde of gecontaineriseerde servers geen gegevens loggen?

Gevirtualiseerde of gecontaineriseerde servers maken voor ons geen verschil, wij handhaven ons privacybeleid en -processen op alle gebruikte servers. Het auditbedrijf heeft zelf willekeurig verschillende servers gekozen om onze no logs claims te testen.

We gebruiken configuratiespeelboeken om centraal geen logboekregistratie op al onze VPN-servers te implementeren, inclusief Linux, Windows en hun virtuele en bare metal-varianten. 

Deze beveiligingsaudit is het resultaat van een rechtszaak, waarbij een man uit Massachusetts werd gearresteerd op beschuldiging van cyberstalking, tegen een voormalige vrouwelijke huisgenoot en haar familieleden / vrienden.

Gerechtelijke documenten gaven aan dat logboeken die door PureVPN van de FBI waren verstrekt, hielpen bij de vervolging. Terwijl dit hielp bij het beëindigen van een jaar’ter waarde van ellende voor het slachtoffer, werd de aanbieder uit Hong Kong door privacy door de modder gesleept.

In het licht van dat evenement heeft PureVPN hun privacybeleid vernieuwd en duidelijk vermeld dat ze geen persoonlijk identificeerbare informatie (PII) van zijn gebruikers bewaren.

Dingen inpakken

Na het stellen van deze vragen en kijken naar PureVPN’Door de recente geschiedenis van industrie-eerste (en enkele gelijkmakende) initiatieven, heb ik er vertrouwen in dat de aanbieder gestaag toeneemt onder de top van de marktspelers en blijf kijken wat hun volgende stap is!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 2 = 5

map