PureVPN: s granskning: Varje moln har ett silverfoder (inga loggar verifierade)

PureVPN-granskning för inga loggar


PureVPN ansluter sig till de bästa VPN-tjänsterna för att verifiera sina anspråk utan loggar, som en del av deras åtagande att leverera stark integritet och säkerhet till sina kunder runt om i världen, trots att de är oerhört fickvänliga!

Säkerhetsrevisionsföretaget Altius IT analyserade PureVPN’s loggar angående DNS-frågor, utgående trafik, besökta webbplatser, surfhistorik, anslutningstid, användare’s ursprungliga IP-adress, tilldelad VPN IP, anslutningsloggar och surfaktiviteter. 

De testade också PureVPN’s systemloggfiler, nätverksinfrastrukturdokument och systemkonfigurationer, varefter de officiellt gav PureVPN en ren chit på sina krav utan loggar.

Eftersom revisioner håller på att bli en trend inom VPN-branschen, bestämde jag mig för att komma med en serie tekniska frågor, skicka dem till olika VPN-tjänster som har genomgått en revision.

Eftersom PureVPN bara nyligen släppte nyheter om sin granskning var de ganska proaktiva när de svarade på våra frågor och gav detaljerade svar:

1. Varför valde du Altius IT?

Vi valde Altius IT på grund av deras 25-åriga track record och ackreditering för säkerhetsrevisioner (ISACA för CISA, CRISC & CGEIT). De är baserade i Kalifornien, vilket är välkänt för storskaliga internetföretag inom konsumenter.

De har erfarenhet av företags- och konsumentarkitekturer på Internet. Och de förstår de sekretessnyanser som krävs av företag på Internetskala för att verka i en global miljö.

Altius IT-strategi var imponerande. Altius IT-team förvånade oss med sin grundlighet när företagets huvudmän blev mysteriumanvändare, utförde praktiskt revisionsarbete och hotanalys. Scenariernas unika och antalet granskningsaktiviteter var oväntade.

2. Vad var omfattningen av denna revision?

Det var ett intensivt slut på revisionen. Vi tillät och tillhandahöll all åtkomst för dem att hämta vilka system de’Jag vill efter deras vilja. De tittade på allt från våra VPN-servrar till konfigurationer till systemtjänster och API: er.

De tittade också på våra databaser och spårade hela dataströmmarna för att säkerställa att ingen användaridentifierbar information lagrades någonstans. Full revisionsrapport är tillgänglig för utgivare på begäran och har gjorts tillgänglig för alla våra användare inom medlemsområdet.

3. Vilka ytterligare steg, om några, planerar du att försäkra användare om högsta sekretessstandarder?

Denna granskning är en del av en serie steg som vi vidtar för att ytterligare förbättra vårt åtagande till verklig integritet. Bortsett från att vara den första som uppfyller GDPR och har hittills den mest öppna integritetspolicyn är PureVPN den första och enda leverantören som har ett offentligt betalt bounty-program (Bugcrowd.com/purevpn) där 90 000+ starka community av hatthackare testa och stärka vår service kontinuerligt. Vi strävar dag och natt för att leverera mer och mer värde till miljoner abonnenter i över 120 länder som litar på deras säkerhet och integritet hos oss.

Vårt nästa drag, att vi håller oss nära bröstet för tillfället, kommer att vara lika spännande och bransch-först för våra integritetsmedvetna prenumeranter.

4. Hur verifierar du att du är logglös men sätter fortfarande gränser för samtidiga anslutningar?

Vi don’t behöver loggar för att titta på samtidiga användaranslutningar. Vi litar helt enkelt på LIVE-anslutningstillståndet för att hitta antalet aktiva anslutningar, som omedelbart stängs av om de överskrider den angivna gränsen.

Om till exempel en av våra användare ansluter till någon VPN-nod och sedan använder samma konto för att upprätta en annan VPN-anslutning, växlar räknarnumret från 1 till 2 på vår centraliserade sessionschef (granskas av oberoende revisorer). Om en annan anslutning läggs till ovanpå det blir den 3.

Om användaren fortsätter att lägga till fler anslutningar, så småningom överskrider antalet 5, vilket är vår gräns - alla anslutningar avslutas omedelbart (och användaren kommer att få ett e-postmeddelande om att de har kränkt vår “multilogins gräns”).

5. VPN-avslutningsnoder har fullständig innehav av en användaridentitet och aktiviteter. Hur ser du till att information tas bort efter avslutad session?

Alla VPN-avslutningsnoder konfigureras via centralt konfigurationshanteringssystem för att uttryckligen INTE logga in användaridentiteten och aktiviteten, därför krävs ingen radering av information.

6. Vad händer med filen openvpn.log och den information som finns i den vid VPN-anslutning / koppling?

Alla som kör OpenVPN-tjänster på PureVPN’s avslutningsnoder lagrar inga loggar på grund av de ursprungligen inställda konfigurationsvariablerna:

log / dev /null
status / dev /null

Vilket innebär i huvudsak att loggarna från OpenVPN, som är aktiverade som standard har inaktiverats och rörts genom / dev / null. För att utarbeta är / dev / null en speciell fil som heter ‘null-enhet’ i Unix-system.

Denna del av UNIX-system kan i princip avslutas som en plats där varje bit av information omedelbart kastas när den skrivs till den och endast returnerar en EOF-fil i slutet när den läses.

7. Hur fungerar PureVPN’s app kill switch API stoppa inspelningen av användarens IP-adresser?

PureVPN’s Internet kill switch använder INTE någon API-baserad tjänst och registrerar INTE någon typ av IP-användare av användare.

8. Lastbalanserare används av VPN-leverantörer för att lämna anslutningen till VPN Termination-servern. Hur kan du hindra den från att spela in information, även om den är tillfälligt?

PureVPN använder olika tekniker för att distribuera användaren / anslutningsbelastningen till VPN-noder, liknande hur vi använder API-servrar för att hitta bästa möjliga servrar. Därför använder vi inte inline lastbalancers och därmed gör våra användare inte’t bli utsatt.

9. Hur stoppar du inspelningen av URL-sökvägar i API-loggar?

API-servrar ser till att en VPN-server med bästa möjliga hastighet görs tillgänglig för användaren baserat på deras val. Någon typ av system- och tjänstloggning hittades inte på API-servern, vilket verifierats av de oberoende revisorerna.

10. Vad är PureVPN’s process för att säkerställa virtualiserade eller containeriserade servrar loggar inte in data?

Virtualiserade eller containrariserade servrar gör ingen skillnad för oss, vi verkställer våra sekretesspolicyer och processer på alla typer av servrar som används. Revisionsföretaget själv valde slumpmässigt olika servrar för att testa våra krav på loggar.

Vi använder konfigurationsspelböcker för att centralt implementera ingen loggning på alla våra VPN-servrar, som inkluderar Linux, Windows och deras virtuella och nakna metallvarianter. 

Denna säkerhetsrevision är resultatet av en domstol där en man i Massachusetts arresterades på anklagelser om cyberstalking, mot en tidigare kvinnlig rumskamrat och hennes familjemedlemmar / vänner.

Domstolens handlingar visade att loggar från PureVPN från FBI hjälpte till med åtalet. Medan detta hjälpte till att avsluta ett år’det är värt elände för offret, den Hong Kong-baserade leverantören drogs genom leran av den integritetsmedvetna.

Mot bakgrund av denna händelse har PureVPN renoverat sin integritetspolicy och tydligt nämnde att de inte har någon personlig identifierbar information (PII) för dess användare.

Inpackning av saker

Efter att ha ställt dessa frågor och tittat på PureVPN’s senaste historia av bransch-först (och några utjämnande) initiativ, jag känner mig säker på att leverantören ständigt stiger bland de bästa aktörerna på marknaden och förblir ivriga att se vad deras nästa drag är!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me