Audit PureVPN: Každý mrak má striebornú podšívku (neovládané protokoly)

Audit PureVPN bez protokolov

PureVPN sa pripojil k radom špičkových služieb VPN, aby si overil svoje nároky bez prihlásenia v rámci svojho záväzku poskytovať svojim zákazníkom po celom svete silné súkromie a bezpečnosť, napriek tomu, že je neuveriteľne vreckový!

Bezpečnostná audítorská spoločnosť Altius IT analyzovala PureVPN’s protokoly týkajúce sa DNS otázok, odchádzajúcej prevádzky, navštívených webových stránok, histórie prehliadania, času pripojenia, používateľa’s pôvodná IP adresa, pridelená VPN IP, protokoly pripojení a aktivity prehľadávania. 

Testovali tiež PureVPN’Súbory systémových protokolov, dokumenty sieťovej infraštruktúry a konfigurácie systému, na základe čoho oficiálne dali spoločnosti PureVPN čisté správy o ich nárokoch bez prihlásenia.

Keďže audity sa v sektore VPN stávajú trendom, rozhodol som sa prísť s radom technických otázok a odoslať ich do rôznych služieb VPN, ktoré prešli auditom..

Keďže spoločnosť PureVPN len nedávno vydala správy o svojom audite, boli dosť aktívni v odpovedi na naše otázky a poskytli podrobné odpovede:

1. Prečo ste si vybrali Altius IT??

Vybrali sme si Altius IT kvôli ich 25-ročnej histórii a akreditácii pre bezpečnostné audity (ISACA pre CISA, CRISC & CGEIT). Sídlia v Kalifornii, ktorá je dobre známa pre veľké spotrebiteľské internetové spoločnosti.

Majú skúsenosti s podnikovými a spotrebiteľskými architektúrami v internetovom meradle. A rozumejú nuanciám súkromia, ktoré spoločnosti na internete potrebujú, aby fungovali v globálnom prostredí.

Prístup spoločnosti Altius IT bol pôsobivý. Tím spoločnosti Altius IT nás prekvapil svojou dôkladnosťou, keď sa riaditelia spoločnosti stali používateľmi záhad, vykonávali praktické audity a analyzovali hrozby. Jedinečnosť scenárov a počet audítorských činností boli neočakávané.

2. Aký bol rozsah tohto auditu?

Bol to intenzívny audit. Povolili sme a zabezpečili sme im všetky prístupy na výber, ktoré systémy používajú’chcem podľa ich vôle. Pozreli sa na všetko od našich serverov VPN až po konfigurácie, systémové služby a rozhrania API.

Preskúmali aj naše databázy a sledovali celé toky údajov, aby zabezpečili, že nikde nebudú uložené žiadne informácie umožňujúce identifikáciu používateľa. Úplná správa o audite je vydavateľom k dispozícii na požiadanie a bola sprístupnená všetkým našim používateľom v oblasti členov.

3. Aké ďalšie kroky, ak nejaké existujú, plánujete ubezpečiť používateľov, aby dodržiavali najvyššie štandardy ochrany osobných údajov?

Tento audit je súčasťou radu krokov, ktoré prijímame na ďalšie posilnenie nášho záväzku v oblasti skutočného súkromia. Okrem toho, že PureVPN je prvý, kto dodržiava GDPR a má doteraz najtransparentnejšie zásady ochrany osobných údajov, je prvým a jediným poskytovateľom verejne plateného programu odmeňovania bugov (Bugcrowd.com/purevpn), kde je viac ako 90 000+ komunity hackerov v oblasti bielych klobúk neustále testovať a posilňovať naše služby. Usilujeme sa o deň a noc, aby sme poskytli stále väčšiu hodnotu miliónom predplatiteľom vo viac ako 120 krajinách, ktorí s nami dôverujú svojej bezpečnosti a súkromiu..

Náš ďalší krok, ktorým sa zatiaľ držíme blízko hrudníka, bude rovnako vzrušujúci a ako prvý na trhu pre našich predplatiteľov s ochranou súkromia..

4. Ako si overíte, že ste prihlásení, ale stále ukladáte obmedzenia pre súčasné pripojenia?

Nemáme’Nepotrebujete protokoly na sledovanie súčasných používateľských pripojení. Jednoducho sa spoliehame na stav pripojenia LIVE, aby sme našli počet aktívnych pripojení, ktoré sa okamžite prerušia, ak prekročia stanovený limit.

Napríklad, ak sa jeden z našich používateľov pripojí k akémukoľvek uzlu VPN a potom na vytvorenie ďalšieho pripojenia VPN použije ten istý účet, počet sa v našom centralizovanom správcovi relácií prepíše z 1 na 2 (skontrolované nezávislými audítormi). Ak sa k tomu pridá ďalšie pripojenie, stáva sa 3.

Ak používateľ pokračuje v pridávaní ďalších pripojení, prípadne prekračujúcich počet 5, čo je náš limit - všetky pripojenia sú okamžite ukončené (a používateľ dostane e-mail s oznámením, že porušil naše “limit pre viacnásobné prihlásenia”).

5. Uzly ukončenia VPN majú úplnú držbu identity užívateľa a aktivít. Ako zabezpečíte odstránenie informácií po ukončení relácie?

Všetky uzly ukončenia VPN sú nakonfigurované prostredníctvom centrálne riadeného systému riadenia konfigurácie tak, aby explicitne NEZaznamenávali totožnosť a aktivitu používateľa, preto nie je potrebné žiadne výmaz informácií..

6. Čo sa stane so súborom openvpn.log a informáciami, ktoré sa v ňom nachádzajú po pripojení / odpojení VPN?

Všetky prevádzkované služby OpenVPN na PureVPN’Terminačné uzly neukladajú žiadne protokoly kvôli pôvodne nastaveným konfiguračným premenným:

log / dev /nulový
status / dev /nulový

Čo v podstate znamená, že protokoly z OpenVPN, ktoré sú v predvolenom nastavení zapnuté, boli zakázané a smerované cez / dev / null. Na vypracovanie je / dev / null špeciálny súbor s názvom ‘nulové zariadenie’ v systémoch Unix.

Táto časť systémov UNIX sa dá v podstate uzavrieť ako miesto, kde sa každý bit informácií pri zápise okamžite zahodí a po prečítaní vráti EOF súboru na konci..

7. Ako sa PureVPN’s app kill kill switch API zastaví zaznamenávanie IP adries užívateľa?

PureVPN’s Internet kill switch NEPOUŽÍVAJTE žiadnu službu založenú na API a tiež NEZAPÍNAJTE žiadny typ IP adries užívateľa.

8. Poskytovatelia VPN používajú vyrovnávače zaťaženia na odovzdanie pripojenia k serveru ukončenia VPN. Ako ho zastavíte v zaznamenávaní informácií, aj keď je to len na okamih?

PureVPN používa rôzne techniky na distribúciu zaťaženia používateľa / pripojenia do uzlov VPN, podobne ako pri používaní serverov API nájdeme najlepšie možné servery. Preto nepoužívame inline vyvažovače záťaže, a preto naši používatelia nie’nechcem sa vystaviť.

9. Ako zastavíte zaznamenávanie ciest URL v protokoloch API?

Servery API zabezpečujú, aby bol server VPN s najlepšou možnou rýchlosťou sprístupnený používateľovi na základe jeho výberu. Na serveri API sa nenašiel žiadny typ protokolovania systémov a služieb, čo potvrdili nezávislí audítori.

10. Čo je PureVPN’Proces na zabezpečenie virtualizovaných alebo kontajnerových serverov nezaznamenáva údaje?

Virtualizované alebo kontajnerové servery nás nijako nezmenia, presadzujeme naše zásady ochrany osobných údajov a procesy na všetkých používaných serveroch. Samotná audítorská spoločnosť náhodne vybrala rôzne servery, aby otestovala naše nároky bez prihlásenia.

Konfiguračné knižky používame na centrálnu implementáciu bez protokolovania na všetkých našich serveroch VPN, ktoré zahŕňajú Linux, Windows a ich virtuálne a holé kovové varianty. 

Tento bezpečnostný audit je výsledkom súdneho sporu, v ktorom bol muž Massachusetts zatknutý na základe obvinenia z kybernetického útoku proti bývalej spolubývajúcej žene a jej rodinným príslušníkom / priateľom.

Súdne dokumenty naznačujú, že protokoly, ktoré poskytol PureVPN od FBI, pomohli pri stíhaní. Aj keď to pomohlo na konci roka’Keďže obete utrpeli utrpenie, bol poskytovateľ v Hongkongu vtiahnutý do bahna zo strany súkromia.

Na základe tejto udalosti PureVPN prepracovala svoje zásady ochrany osobných údajov a jasne uviedla, že neuchovávajú žiadne informácie umožňujúce identifikáciu osôb (PII) svojich používateľov..

Zabalenie vecí

Po položení týchto otázok a pri pohľade na PureVPN’Vzhľadom na nedávnu históriu iniciatív zameraných na prvé miesto v priemysle (a niektoré vyrovnávacie), som presvedčený, že poskytovateľ neustále rastie medzi radmi najlepších hráčov na trhu a stále sa teší na to, aký bude ďalší krok.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me