PureVPNs tilsyn: Hver sky har sølvforing (ingen logger bekreftet)

PureVPN-tilsyn for ingen logger

PureVPN slutter seg til toppene i VPN-tjenester for å få bekreftet kravene deres uten logger, som en del av deres forpliktelse til å levere sterkt privatliv og sikkerhet til sine kunder over hele verden, til tross for at de er utrolig lommevennlige!

Sikkerhetsrevisjonsfirmaet Altius IT analyserte PureVPN’s logger angående DNS-spørsmål, utgående trafikk, besøkte nettsteder, surfehistorikk, tilkoblingstid, bruker’s opprinnelige IP-adresse, tilordnet VPN IP, tilkoblingslogger og surfeaktiviteter. 

De testet også PureVPN’s systemloggfiler, nettverksinfrastrukturdokumenter og systemkonfigurasjoner, som de offisielt ga PureVPN en ren dritt på kravene til ikke-logger..

Siden revisjoner begynner å bli en trend i VPN-bransjen, bestemte jeg meg for å komme med en serie tekniske spørsmål og sende dem til forskjellige VPN-tjenester som har gjennomgått en revisjon.

Siden PureVPN bare nylig ga ut nyheter om tilsynet sitt, var de ganske proaktive i å svare på spørsmålene våre og ga detaljerte svar:

1. Hvorfor valgte du Altius IT?

Vi valgte Altius IT på grunn av deres 25-årige track record og akkreditering for sikkerhetsrevisjoner (ISACA for CISA, CRISC & CGEIT). De er basert i California, som er kjent for storskala internettforetak for forbrukere.

De har erfaring med virksomhets- og forbrukerarkitekturer på internett. Og de forstår personvernnyansene som kreves av Internett-skala-selskaper for å operere i en global setting.

Altius IT-tilnærming var imponerende. Altius IT-teamet overrasket oss med sin grundighet med at selskapets rektorer ble mystiske brukere, gjennomførte praktisk revisjonsarbeid og trusselanalyse. Det unike i scenariene og antall tilsynsaktiviteter var uventet.

2. Hva var omfanget av denne revisjonen?

Det var en intensiv avslutning på revisjonen. Vi tillot og sørget for alle tilganger for dem å hente hvilke systemer de’Jeg vil etter deres vilje. De så på alt fra VPN-serverne våre til konfigurasjoner til systemtjenester og API-er.

De så også på databasene våre og sporet hele datastrømmene for å sikre at ingen brukeridentifiserbar informasjon ble lagret ingen steder. Full revisjonsrapport er tilgjengelig for utgivere på forespørsel og er blitt gjort tilgjengelig for alle våre brukere i medlemsområdet.

3. Hvilke ytterligere trinn, om noen, planlegger du å forsikre brukere om høyeste personvernstandarder?

Denne tilsynet er del av en serie trinn som vi tar for å ytterligere sementere vår forpliktelse til ekte personvern. Bortsett fra å være den første som overholder GDPR og har den mest gjennomsiktige personvernpolitikken til dags dato, er PureVPN den første og eneste leverandøren som har et offentlig betalt bug bounty-program (Bugcrowd.com/purevpn) der 90 000+ sterke samfunn av hvite hathacker kontinuerlig teste og styrke tjenesten vår. Vi prøver dag og natt for å levere mer og mer verdi til millioner av abonnenter i over 120 land som stoler på deres sikkerhet og personvern hos oss.

Neste trekk, som vi holder oss tett til brystet for nå, vil være like spennende og bransjevennlig for våre personvernbevisste abonnenter.

4. Hvordan verifiserer du å være logløs, men setter likevel grenser for samtidige tilkoblinger?

Vi don’t trenger logger for å se etter samtidige brukerforbindelser. Vi stoler ganske enkelt på LIVE-tilkoblingsstatusen for å finne antall aktive tilkoblinger, som øyeblikkelig blir avskåret hvis de overskrider den angitte grensen.

For eksempel, hvis en av brukerne våre kobler seg til en hvilken som helst VPN-node og deretter bruker den samme kontoen til å opprette en annen VPN-forbindelse, bytter tellenummeret fra 1 til 2 på vår sentraliserte sesjonsleder (revidert av de uavhengige revisorene). Hvis det legges til en annen tilkobling på toppen av det, blir det 3.

Hvis brukeren fortsetter å legge til flere tilkoblinger, til slutt overskrider telleren 5, som er vår grense - alle tilkoblinger avsluttes øyeblikkelig (og brukeren vil motta en e-post om at de har brutt vår “multilogins begrense”).

5. VPN-termineringskoder har full besittelse av en brukeridentitet og aktiviteter. Hvordan sikrer du at informasjon blir slettet etter avsluttet økt?

Alle VPN-termineringskoder er konfigurert via sentralt konfigurasjonsstyringssystem for eksplisitt IKKE å logge brukeridentiteten og aktiviteten, derfor er det ikke nødvendig å slette informasjon.

6. Hva skjer med openvpn.log-filen og informasjonen som er i den ved VPN-tilkobling / frakobling?

Alle kjører OpenVPN-tjenester på PureVPN’s termineringsnoder lagrer ikke noen logger på grunn av de opprinnelig angitte konfigurasjonsvariablene:

log / dev /null
status / dev /null

Noe som egentlig betyr at loggene fra OpenVPN, som er slått på som standard, har blitt deaktivert og sendt gjennom / dev / null. For å utdype, / dev / null er en spesiell fil som heter ‘null enhet’ i Unix-systemer.

Denne delen av UNIX-systemer kan i utgangspunktet konkluderes som et sted der hver bit av informasjon umiddelbart blir forkastet når den skrives til den og bare returnerer en EOF-fil som er slutten når den leses.

7. Hvordan fungerer PureVPN’s app kill switch API stoppe innspillingen av brukerens IP-adresser?

PureVPN’Internett-drepebryteren bruker IKKE noen API-basert tjeneste, og registrerer heller IKKE noen type bruker-IP-adresser.

8. Lastbalanserer brukes av VPN-leverandører for å dele forbindelsen til VPN Termination-serveren. Hvordan kan du stoppe den fra å spille inn informasjon, selv om den er øyeblikkelig??

PureVPN bruker forskjellige teknikker for å distribuere bruker- / tilkoblingsbelastningen til VPN-noder, i likhet med hvordan vi bruker API-servere for å finne best mulig servere. Derfor bruker vi ikke inline load balancers og dermed brukerne våre ikke’t bli utsatt.

9. Hvordan stopper du innspillingen av URL-stier i API-logger?

API-servere sørger for at en VPN-server med best mulig hastighet blir gjort tilgjengelig for brukeren basert på deres valg. Noen type system- og tjenestelogging ble ikke funnet på API-serveren, slik det ble bekreftet av de uavhengige revisorene.

10. Hva er PureVPN’s prosess for å sikre at virtualiserte eller containeriserte servere ikke logger data?

Virtualiserte eller containereiserte servere gjør ingen forskjell for oss, vi håndhever våre personvernregler og prosesser på alle typer servere som er i bruk. Revisjonsselskapet selv valgte tilfeldig forskjellige servere for å teste kravene våre uten logger.

Vi bruker konfigurasjonsspillbøker for å sentralt implementere ingen logging på alle VPN-serverne våre, som inkluderer Linux, Windows og deres virtuelle og nakne metallvarianter. 

Denne sikkerhetsrevisjonen er resultatet av en rettssak, der en mann i Massachusetts ble arrestert på siktelse av nettstikking, mot en tidligere kvinnelig romkamerat og hennes familiemedlemmer / venner.

Rettsdokumenter indikerte at logger levert av PureVPN fra FBI, hjalp i påtalemyndigheten. Mens dette hjalp til med å avslutte et år’verdt av elendighet for offeret, ble den Hong Kong-baserte leverandøren dratt gjennom gjørmen av den personvernbevisste.

I lys av den hendelsen oppdaterte PureVPN sin personvernpolicy og nevnte tydelig at de ikke har noen personlig identifiserbar informasjon (PII) fra brukerne..

Pakk inn ting

Etter å ha stilt disse spørsmålene og sett på PureVPN’den siste tiden med bransjens første (og noen utjevnende) initiativer, føler jeg meg trygg på at leverandøren stadig øker blant de beste aktørene i markedet og er ivrig etter å se hva deres neste trekk er!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me