PureVPNs Audit: Jede Wolke hat einen Silberstreifen (keine Protokolle verifiziert)

PureVPN-Audit für keine Protokolle


PureVPN gehört zu den Top-VPN-Diensten, deren No-Logs-Behauptungen überprüft werden. Dies ist Teil ihres Engagements, seinen Kunden auf der ganzen Welt eine hohe Vertraulichkeit und Sicherheit zu bieten, obwohl sie unglaublich taschenfreundlich sind!

Das Sicherheitsprüfungsunternehmen Altius IT analysierte PureVPN’s Protokolle zu DNS-Abfragen, ausgehendem Datenverkehr, besuchten Websites, Browserverlauf, Verbindungszeit und Benutzern’s Ursprungs-IP-Adresse, zugewiesene VPN-IP, Verbindungsprotokolle und Browsing-Aktivitäten. 

Sie haben auch PureVPN getestet’s Systemprotokolldateien, Netzwerkinfrastrukturdokumente und Systemkonfigurationen, nach denen sie PureVPN offiziell eine saubere Prüfung ihrer No-Logs-Behauptungen gegeben haben.

Da Audits zu einem Trend in der VPN-Branche werden, habe ich mich dazu entschlossen, eine Reihe von technischen Fragen zu stellen und diese an verschiedene VPN-Dienste zu senden, die einem Audit unterzogen wurden.

Da PureVPN erst kürzlich Nachrichten über ihre Prüfung veröffentlichte, beantworteten sie unsere Fragen recht proaktiv und gaben detaillierte Antworten:

1. Warum haben Sie sich für Altius IT entschieden??

Wir haben Altius IT aufgrund seiner 25-jährigen Erfahrung und Akkreditierung für Sicherheitsaudits (ISACA for CISA, CRISC) ausgewählt & CGEIT). Sie haben ihren Sitz in Kalifornien, das für große Internet-Unternehmen bekannt ist.

Sie haben Erfahrung mit Unternehmens- und Konsumentenarchitekturen im Internet. Und sie verstehen die Datenschutznuancen, die Unternehmen im Internet benötigen, um in einem globalen Umfeld zu agieren.

Der IT-Ansatz von Altius war beeindruckend. Das IT-Team von Altius überraschte uns mit der Gründlichkeit, dass die Firmenchefs zu mysteriösen Benutzern wurden und praktische Überprüfungen und Bedrohungsanalysen durchführten. Die Einzigartigkeit der Szenarien und die Anzahl der Prüfungstätigkeiten waren unerwartet.

2. Wie war der Umfang dieser Prüfung??

Es war eine intensive End-to-End-Prüfung. Alle Zugriffe wurden zugelassen und bereitgestellt, damit sie die von ihnen verwendeten Systeme abrufen können’Ich möchte nach ihrem Willen. Sie untersuchten alles von unseren VPN-Servern über Konfigurationen bis hin zu Systemdiensten und APIs.

Sie untersuchten auch unsere Datenbanken und verfolgten den gesamten Datenfluss, um sicherzustellen, dass keine vom Benutzer identifizierbaren Informationen nirgendwo gespeichert wurden. Der vollständige Prüfungsbericht ist auf Anfrage für Herausgeber erhältlich und wurde allen unseren Benutzern im Mitgliederbereich zur Verfügung gestellt.

3. Welche zusätzlichen Schritte planen Sie, um Benutzer mit höchsten Datenschutzstandards zu versichern??

Diese Prüfung ist Teil einer Reihe von Schritten, die wir unternehmen, um unser Engagement für echte Privatsphäre weiter zu festigen. PureVPN ist nicht nur der erste, der die GDPR einhält und die bisher transparentesten Datenschutzrichtlinien hat, sondern auch der erste und einzige Anbieter, der ein öffentlich bezahltes Bug-Bounty-Programm (Bugcrowd.com/purevpn) mit über 90.000 White-Hat-Hackern anbietet Testen und stärken Sie unseren Service kontinuierlich. Wir bemühen uns Tag und Nacht, Millionen von Abonnenten in über 120 Ländern, die uns ihre Sicherheit und Privatsphäre anvertrauen, einen immer höheren Mehrwert zu bieten.

Unser nächster Schritt, den wir vorerst in der Nähe der Brust halten, wird für unsere datenschutzbewussten Abonnenten ebenso aufregend und branchenführend sein.

4. Wie können Sie überprüfen, ob Sie nicht protokolliert wurden, ohne gleichzeitige Verbindungen zu beschränken??

Wir ziehen an’Es sind keine Protokolle erforderlich, um auf gleichzeitige Benutzerverbindungen zu achten. Wir verlassen uns einfach auf den LIVE-Verbindungsstatus, um die Anzahl der aktiven Verbindungen zu ermitteln, die sofort getrennt werden, wenn sie das angegebene Limit überschreiten.

Wenn beispielsweise einer unserer Benutzer eine Verbindung zu einem VPN-Knoten herstellt und dann dasselbe Konto zum Herstellen einer anderen VPN-Verbindung verwendet, wechselt die Zählnummer in unserem zentralen Sitzungsmanager (von den unabhängigen Prüfern geprüft) von 1 auf 2. Wenn eine weitere Verbindung hinzugefügt wird, wird diese zu 3.

Wenn der Benutzer weiterhin weitere Verbindungen hinzufügt und schließlich die Anzahl 5 überschreitet, die unser Limit ist, werden alle Verbindungen sofort beendet (und der Benutzer erhält eine E-Mail mit der Meldung, dass sie gegen unsere Regeln verstoßen haben “Multilogins begrenzen”).

5. VPN-Terminierungsknoten verfügen über die vollständige Identität und Aktivität eines Benutzers. Wie stellen Sie sicher, dass Informationen nach Beendigung einer Sitzung gelöscht werden??

Alle VPN-Terminierungsknoten werden über ein zentrales Konfigurationsmanagementsystem so konfiguriert, dass die Benutzeridentität und -aktivität NICHT explizit protokolliert werden. Daher ist keine Löschung von Informationen erforderlich.

6. Was passiert mit der Datei openvpn.log und den darin enthaltenen Informationen beim Herstellen / Trennen einer VPN-Verbindung??

Alle laufenden OpenVPN-Dienste auf PureVPN’s Abschlussknoten speichern aufgrund der ursprünglich festgelegten Konfigurationsvariablen keine Protokolle:

log / dev /Null
status / dev /Null

Dies bedeutet im Wesentlichen, dass die standardmäßig aktivierten Protokolle von OpenVPN deaktiviert und über / dev / null weitergeleitet wurden. / Dev / null ist eine spezielle Datei mit dem Namen ‘null Gerät’ in Unix-Systemen.

Dieser Teil von UNIX-Systemen kann im Grunde genommen als ein Ort betrachtet werden, an dem jedes Informationsbit beim Schreiben sofort verworfen wird und nur beim Lesen ein Dateiende-EOF zurückgibt.

7. Wie funktioniert PureVPN?’Die App-Kill-Switch-API stoppt die Aufzeichnung von Benutzer-IP-Adressen?

PureVPN’s Internet-Kill-Switches verwenden KEINE API-basierten Dienste und zeichnen auch KEINE Benutzer-IP-Adressen auf.

8. Load Balancer werden von VPN-Anbietern verwendet, um die Verbindung an den VPN-Terminierungsserver weiterzuleiten. Wie können Sie verhindern, dass Informationen aufgezeichnet werden, auch wenn dies momentan der Fall ist??

PureVPN verwendet verschiedene Techniken, um die Benutzer- / Verbindungslast auf VPN-Knoten zu verteilen, ähnlich wie wir API-Server verwenden, um die bestmöglichen Server zu finden. Aus diesem Grund verwenden wir keine Inline-Load-Balancer und daher ziehen unsere Benutzer diese an’nicht ausgesetzt werden.

9. Wie kann die Aufzeichnung von URL-Pfaden in API-Protokollen gestoppt werden??

API-Server stellen sicher, dass dem Benutzer basierend auf seiner Auswahl ein VPN-Server mit der bestmöglichen Geschwindigkeit zur Verfügung gestellt wird. Auf dem API-Server wurde keine Art von System- und Dienstprotokollierung gefunden, wie von den unabhängigen Prüfern bestätigt.

10. Was ist PureVPN?’Der Prozess, mit dem sichergestellt wird, dass virtualisierte oder containerisierte Server keine Daten protokollieren?

Virtualisierte oder containerisierte Server machen für uns keinen Unterschied. Wir erzwingen unsere Datenschutzrichtlinien und -prozesse auf allen verwendeten Servertypen. Die Prüfungsgesellschaft selbst hat nach dem Zufallsprinzip verschiedene Server ausgewählt, um unsere Ansprüche bezüglich fehlender Protokolle zu testen.

Wir verwenden Konfigurations-Playbooks, um zentral auf allen unseren VPN-Servern, einschließlich Linux, Windows und deren virtuellen und Bare-Metal-Varianten, keine Protokollierung zu implementieren. 

Diese Sicherheitsüberprüfung ist das Ergebnis eines Gerichtsverfahrens, in dem ein Mann aus Massachusetts wegen Cyberstalking gegen eine ehemalige Mitbewohnerin und ihre Familienangehörigen / Freunde festgenommen wurde.

Gerichtsdokumente wiesen darauf hin, dass Protokolle, die PureVPN vom FBI zur Verfügung stellte, bei der Strafverfolgung hilfreich waren. Während dies dazu beitrug, ein Jahr zu beenden’Der in Hongkong ansässige Anbieter, der für das Opfer eine Qual war, wurde von den Datenschutzbewussten durch den Dreck gezogen.

In Anbetracht dieses Ereignisses hat PureVPN seine Datenschutzrichtlinien überarbeitet und ausdrücklich darauf hingewiesen, dass keine personenbezogenen Daten (PII) seiner Benutzer gespeichert werden.

Dinge einpacken

Nachdem Sie diese Fragen gestellt und PureVPN angesehen haben’Ich bin zuversichtlich, dass der Anbieter in der jüngsten Vergangenheit von branchenweit ersten (und einigen Ausgleichs-) Initiativen stetig zu den Top-Playern auf dem Markt aufsteigt, und bin weiterhin gespannt, wie der nächste Schritt aussehen wird!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me