PureVPN & rsquo; s-revision: Hver sky har en sølvfor (bekræftet ingen logfiler)

PureVPN-revision til ingen logfiler


PureVPN slutter sig til rækken af ​​top VPN-tjenester for at få deres no-logs-krav verificeret, som en del af deres forpligtelse til at levere stærkt privatliv og sikkerhed til sine kunder over hele verden, på trods af at de er utroligt lommevennlige!

Sikkerhedsrevisionsfirmaet Altius IT analyserede PureVPN’s logfiler vedrørende DNS-forespørgsler, udgående trafik, besøgte websteder, browserhistorik, forbindelsestid, bruger’s med oprindelses-IP-adresse, tildelt VPN IP, forbindelseslogfiler og browseraktiviteter. 

De testede også PureVPN’s systemlogfiler, netværksinfrastrukturdokumenter og systemkonfigurationer, hvorefter de officielt gav PureVPN en ren chit på deres krav uden logs.

Da revisioner er ved at blive en tendens i VPN-branchen, besluttede jeg at komme med en række tekniske forespørgsler og sende dem til forskellige VPN-tjenester, der har gennemgået en revision.

Da PureVPN kun for nylig frigav nyheder om deres revision, var de ret proaktive med at besvare vores spørgsmål og give detaljerede svar:

1. Hvorfor valgte du Altius IT?

Vi valgte Altius IT på grund af deres 25-årige track record og akkreditering til sikkerhedsrevisioner (ISACA for CISA, CRISC & CGEIT). De er baseret i Californien, som er kendt for store internetforretninger inden for forbrugere.

De har erfaring med internet-skala virksomheder og forbrugerarkitekturer. Og de forstår de personlige nuancer, som virksomheder, der kræver internetskala, skal operere i en global ramme.

Altius it-tilgang var imponerende. Altius IT-team overraskede os med deres grundighed med, at virksomhedens hovedpersoner blev mysteriumbrugere, foretog praktisk revision og trusselanalyse. Scenariernes unikke karakter og antallet af revisionsaktiviteter var uventet.

2. Hvad var omfanget af denne revision?

Det var en intensiv ende til at afslutte revisionen. Vi tilladte og leverede alle adganger for dem til at hente hvilke systemer de’Jeg vil efter deres vilje. De kiggede på alt fra vores VPN-servere til konfigurationer til systemservices og API'er.

De kiggede også på vores databaser og spores hele datastrømmene for at sikre, at ingen brugeridentificerbare oplysninger blev gemt intetsteds. Fuld revisionsrapport er tilgængelig for udgivere efter anmodning og er gjort tilgængelig for alle vores brugere i medlemsområdet.

3. Hvilke yderligere trin, hvis nogen, planlægger du at forsikre brugerne om de højeste privatlivsstandarder?

Denne revision er del af en række trin, som vi tager for at cementere vores forpligtelse til ægte privatliv. Bortset fra at være den første til at overholde GDPR og have den mest gennemsigtige privatlivspolitik til dato, er PureVPN den første og eneste udbyder, der har et offentligt betalt bug-bounty-program (Bugcrowd.com/purevpn), hvor 90.000+ stærkt samfund af hvide hathacker kontinuerligt teste og styrke vores service. Vi stræber dag og nat for at levere mere og mere værdi til millioner af abonnenter i over 120 lande, der har tillid til deres sikkerhed og privatliv hos os.

Vores næste træk, at vi holder os tæt på brystet i øjeblikket, vil være lige så spændende og industri-først for vores privatlivsbevidste abonnenter.

4. Hvordan kontrollerer du, at du er logløs, men indstiller stadig grænser for samtidige forbindelser?

Vi don’t har brug for logfiler for at se efter samtidige brugerforbindelser. Vi er bare afhængige af LIVE-forbindelsestilstand for at finde antallet af aktive forbindelser, der øjeblikkeligt afbrydes, hvis de overskrider den specificerede grænse.

For eksempel, hvis en af ​​vores brugere opretter forbindelse til en hvilken som helst VPN-knude og derefter bruger den samme konto til at etablere en anden VPN-forbindelse, skifter tællenummeret fra 1 til 2 på vores centraliserede session manager (revideret af de uafhængige revisorer). Hvis der tilføjes en anden forbindelse ovenpå, bliver den 3.

Hvis brugeren fortsætter med at tilføje flere forbindelser, eventuelt overskrider tællingen 5, hvilket er vores grænse - alle forbindelser afsluttes øjeblikkeligt (og brugeren vil modtage en e-mail om, at de har overtrådt vores “multilogins grænse”).

5. VPN-afslutningsnoder har fuld besiddelse af en brugeridentitet og aktiviteter. Hvordan sikrer du, at oplysninger slettes efter afslutningen af ​​en session?

Alle VPN-termineringskoder er konfigureret via centralt konfigurationsstyringssystem til eksplicit IKKE at logge brugeridentitet og aktivitet, derfor kræves der ikke sletning af information.

6. Hvad sker der med openvpn.log-filen og de oplysninger, der findes i den ved VPN-forbindelse / frakobling?

Alle kører OpenVPN-tjenester på PureVPN’s termineringsnoder gemmer ikke nogen logfiler på grund af de oprindeligt indstillede konfigurationsvariabler:

log / dev /nul
status / dev /nul

Hvilket væsentligt betyder, at logfilerne fra OpenVPN, som som standard er tændt, er blevet deaktiveret og ført gennem / dev / null. For at uddybe, er / dev / null en speciel fil kaldet ‘nul enhed’ i Unix-systemer.

Denne del af UNIX-systemer kan grundlæggende konkluderes som et sted, hvor enhver bit af information øjeblikkeligt kasseres, når den skrives til den og kun returnerer en EOF-fil, når den læses.

7. Hvordan fungerer PureVPN’s app kill-switch API stopper optagelsen af ​​brugerens IP-adresser?

PureVPN’s internet-kill-switch bruger IKKE nogen API-baseret tjeneste og registrerer heller IKKE nogen form for bruger-IP-adresser.

8. Lastbalancere bruges af VPN-udbydere til at aflevere forbindelsen til VPN Termination-serveren. Hvordan forhindrer du det i at optage info, selvom det er et øjeblik?

PureVPN bruger forskellige teknikker til at distribuere bruger- / forbindelsesbelastningen til VPN-noder, svarende til hvordan vi bruger API-servere til at finde de bedst mulige servere. Derfor bruger vi ikke inline belastningsbalancere og dermed bruger vores brugere ikke’t blive udsat.

9. Hvordan stopper du optagelsen af ​​URL-stier i API-logfiler?

API-servere sikrer, at en VPN-server med den bedst mulige hastighed stilles til rådighed for brugeren baseret på deres valg. Enhver type system- og servicelogging blev ikke fundet på API-serveren, som verificeret af de uafhængige revisorer.

10. Hvad er PureVPN’s proces til at sikre, at virtualiserede eller containeriserede servere ikke logger data?

Virtualiserede eller containerbaserede servere gør ingen forskel for os, vi håndhæver vores privatlivspolitikker og processer på alle typer servere, der er i brug. Revisionsfirmaet valgte selv tilfældigt forskellige servere til at teste vores krav om ikke-logfiler.

Vi bruger konfigurationsspilbøger til centralt at implementere ingen logning på alle vores VPN-servere, der inkluderer Linux, Windows og deres virtuelle og bare metalvarianter. 

Denne sikkerhedsrevision er resultatet af en retssag, hvor en mand i Massachusetts blev arresteret på anklager om cyberstalking, mod en tidligere kvindelig værelseskammerat og hendes familiemedlemmer / venner.

Rettens dokumenter anførte, at logfiler leveret af PureVPN fra FBI, hjalp med i retsforfølgningen. Mens dette hjalp med at afslutte et år’Det er værd at være elendigt for offeret, den Hong Kong-baserede udbyder blev trukket gennem mudderet af den privatlivsbevidste.

I lyset af denne begivenhed fornyede PureVPN deres privatlivspolitik, idet de tydeligt nævnte, at de ikke opbevarer nogen personligt identificerbar information (PII) for dens brugere.

Indpakning af ting

Efter at have stillet disse spørgsmål og set på PureVPN’s nylige historie med førstegangsindustri (og nogle udjævnende) initiativer, jeg føler mig overbevist om, at udbyderen støt stiger blandt de bedste aktører på markedet og forbliver ivrig efter at se, hvad deres næste træk er!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me