PureVPN audits: katram mākonim ir sudraba odere (nav reģistrētu verifikāciju)

PureVPN audits bez žurnāliem

PureVPN pievienojas galveno VPN pakalpojumu klāstam, lai pārbaudītu viņu pieteikumus par reģistrēšanos bez žurnāla kā daļu no viņu apņemšanās nodrošināt spēcīgu privātumu un drošību klientiem visā pasaulē, neskatoties uz to, ka tas ir neticami draudzīgs kabatai.!

Drošības audita firma Altius IT analizēja PureVPN’Žurnāli par DNS vaicājumiem, izejošo trafiku, apmeklētajām vietnēm, pārlūkošanas vēsturi, savienojuma laiku, lietotāju’s izcelsmes IP adrese, piešķirtais VPN IP, savienojuma žurnāli un pārlūkošanas darbības. 

Viņi arī pārbaudīja PureVPN’Sistēmas žurnālfailus, tīkla infrastruktūras dokumentus un sistēmas konfigurācijas, pēc kurām viņi oficiāli sniedza PureVPN tīru dokumentu par viņu pieteikumiem par žurnālu neesamību..

Tā kā auditi kļūst par tendenci VPN nozarē, es nolēmu nākt klajā ar virkni tehnisku vaicājumu, nosūtot tos uz dažādiem VPN pakalpojumiem, kuriem ir veikts audits.

Tā kā PureVPN tikai nesen izlaida ziņas par savu revīziju, viņi diezgan aktīvi reaģēja uz mūsu jautājumiem, sniedzot detalizētas atbildes:

1. Kāpēc jūs izvēlējāties Altius IT??

Mēs izvēlējāmies Altius IT sakarā ar viņu 25 gadu pieredzi un drošības auditu akreditāciju (ISACA CISA, CRISC & CGEIT). Tie atrodas Kalifornijā, kas ir labi pazīstama plaša patēriņa interneta uzņēmumiem.

Viņiem ir pieredze ar interneta mēroga uzņēmumu un patērētāju arhitektūru. Viņi saprot privātuma nianses, kas interneta mēroga uzņēmumiem nepieciešami, lai darbotos globālā vidē.

Altius IT pieeja bija iespaidīga. Altius IT komanda mūs pārsteidza ar rūpīgumu, uzņēmuma vadītājiem kļūstot par noslēpumu lietotājiem, veicot praktisku revīzijas darbu un draudu analīzi. Scenāriju unikalitāte un revīzijas darbību skaits bija negaidīts.

2. Cik liels bija šis audits?

Tas bija intensīvs audita izbeigšana. Mēs viņiem ļāvām un nodrošinājām piekļuves tiesības, lai izvēlētos, kuras sistēmas viņi izmanto’Es gribu pēc viņu gribas. Viņi apskatīja visu, sākot no mūsu VPN serveriem līdz konfigurācijām un beidzot ar sistēmas pakalpojumiem un API.

Viņi arī apskatīja mūsu datu bāzes un izsekoja visas datu plūsmas, lai pārliecinātos, ka nekur netiek glabāta lietotāja identificējama informācija. Pilns audita ziņojums ir pieejams izdevējiem pēc pieprasījuma, un tas ir pieejams visiem mūsu lietotājiem deputātu zonā.

3. Kādus papildu pasākumus plānojat, lai pārliecinātu lietotājus par augstākajiem privātuma standartiem, ja tādi tiek veikti?

Šis audits ir daļa no darbību sērijas, ko mēs veicam, lai vēl vairāk nostiprinātu mūsu saistības ar patiesu privātumu. Papildus tam, ka PureVPN ir pirmais, kurš ievēro GDPR un līdz šim ir pārredzamākā privātuma politika, tas ir pirmais un vienīgais pakalpojumu sniedzējs, kam ir publiski apmaksāta kļūdu aplaupīšanas programma (Bugcrowd.com/purevpn), kurā ir 90 000+ spēcīgu balto cepuru hakeru kopienu. nepārtraukti pārbaudiet un stipriniet mūsu pakalpojumus. Mēs cenšamies dienu un nakti sniegt arvien lielāku vērtību miljoniem abonentu vairāk nekā 120 valstīs, kuri uzticas mūsu drošībai un privātumam ar mums.

Nākamais mūsu solis, ko mēs tagad pieturam pie krūtīm, būs vienlīdz aizraujošs un pirmais nozares elements mūsu abonentiem, kuri apzinās privātumu.

4. Kā jūs varat pārliecināties, ka esat bez žurnāla, bet tomēr uzliekat ierobežojumus vienlaicīgiem savienojumiem?

Mēs don’Lai skatītu vienlaicīgus lietotāju savienojumus, nav nepieciešami žurnāli. Mēs vienkārši paļaujamies uz LIVE savienojuma stāvokli, lai atrastu aktīvo savienojumu skaitu, kuri nekavējoties tiek pārtraukti, ja tie pārsniedz noteikto robežu.

Piemēram, ja kāds no mūsu lietotājiem izveido savienojumu ar jebkuru VPN mezglu un pēc tam izmanto to pašu kontu, lai izveidotu citu VPN savienojumu, mūsu centralizētajā sesiju pārvaldniekā (ko pārbauda neatkarīgi auditori) skaita skaitli no 1 līdz 2. Ja papildus tam pievieno vēl vienu savienojumu, tas kļūst par 3.

Ja lietotājs turpina pievienot vairāk savienojumu, galu galā pārsniedzot skaitli 5, kas ir mūsu ierobežojums, visi savienojumi tiek nekavējoties pārtraukti (un lietotājs saņems e-pastu ar paziņojumu, ka ir pārkāpis mūsu “multilogins limits”).

5. VPN savienojuma pabeigšanas mezgliem ir pilnīga lietotāja identitāte un darbības. Kā jūs nodrošināt, ka informācija tiek izdzēsta pēc sesijas pārtraukšanas??

Visi VPN savienojuma pabeigšanas mezgli tiek konfigurēti, izmantojot centralizētu konfigurācijas pārvaldības sistēmu, lai NEVAJADZĒTU reģistrēt lietotāja identitāti un aktivitātes, tāpēc informācijas dzēšana nav nepieciešama.

6. Kas notiek ar failu openvpn.log un tajā esošo informāciju pēc VPN savienojuma / atvienošanas?

Visi PureVPN palaistie OpenVPN pakalpojumi’Sākuma iestatīto konfigurācijas mainīgo dēļ s izbeigšanas mezgli neuzglabā nevienu žurnālu:

žurnāls / dev /nulle
statuss / dev /nulle

Kas būtībā nozīmē, ka OpenVPN žurnāli, kas pēc noklusējuma ir ieslēgti, ir atspējoti un ievietoti caur / dev / null. Lai izstrādātu, / dev / null ir īpašs fails ar nosaukumu ‘nulles ierīce’ Unix sistēmās.

Šo UNIX sistēmu daļu pamatā var secināt kā vietu, kur katrs informācijas bits tiek nekavējoties izmests, kad tai uzrakstīts, un atgriež tikai faila beigu EOF, kad tas ir lasīts..

7. Kā darbojas PureVPN’Lietotnes nogalināšanas slēdža API pārtrauc lietotāja IP adrešu ierakstīšanu?

PureVPN’Interneta nogalināšanas slēdzis NELIETOJIET nekādus uz API balstītus pakalpojumus, kā arī NAV ierakstiet jebkura veida lietotāja IP adreses.

8. Slodzes līdzsvarotājus VPN pakalpojumu sniedzēji izmanto, lai nodibinātu savienojumu ar VPN pārtraukšanas serveri. Kā jūs pārtraucat informācijas ierakstīšanu, pat ja tā ir īslaicīga?

PureVPN izmanto dažādas metodes, lai sadalītu lietotāja / savienojuma slodzi VPN mezglos, līdzīgi kā tas, kā mēs izmantojam API serverus, lai atrastu labākos iespējamos serverus. Tāpēc mēs neizmantojam ievietotus slodzes līdzsvarotājus, tāpēc mūsu lietotāji to nedara’t netiek pakļauti.

9. Kā jūs pārtraucat URL ceļu ierakstīšanu API žurnālos?

API serveri nodrošina, ka VPN serveris ar vislabāko iespējamo ātrumu tiek darīts pieejams lietotājam, pamatojoties uz viņu izvēli. Jebkura veida sistēmu un pakalpojumu reģistrēšana API serverī netika atrasta, kā to ir pārbaudījuši neatkarīgi auditori.

10. Kas ir PureVPN?’Process, kas nodrošina virtualizētu vai konteinerizētu serveru reģistrāciju?

Virtualizētie vai konteinerizētie serveri mums neko nemaina, mēs visu savu serveru veidu izmantojam privātuma politikas un procesus. Revīzijas uzņēmums pats nejauši izvēlējās dažādus serverus, lai pārbaudītu mūsu prasības par žurnālu neesamību.

Mēs izmantojam konfigurācijas tabulas, lai centralizēti neveicētu reģistrēšanu visos mūsu VPN serveros, kas ietver Linux, Windows un to virtuālos un tukša metāla variantus.. 

Šis drošības audits ir rezultāts tiesas lietai, kurā Masačūsetsas vīrietis tika arestēts apsūdzībā par kiberuzdevumu izdarīšanu pret bijušo istabas biedri un viņas ģimenes locekļiem / draugiem.

Tiesas dokumentos tika norādīts, ka žurnāli, ko PureVPN sniedza no FBI, palīdzēja kriminālvajāšanā. Kaut arī tas palīdzēja gadu beigt’Tā kā ciešanas upurim bija ciešanas vērts, konfidencialitātes nodrošinātājs Honkongā esošo pakalpojumu sniedzēju vilka cauri dubļiem.

Ņemot vērā šo notikumu, PureVPN pārskatīja viņu privātuma politiku, skaidri norādot, ka viņiem nav lietotāju identificējamas informācijas (PII)..

Lietu iesaiņošana

Pēc šo jautājumu uzdošanas un PureVPN apskatīšanas’Nesenā rūpniecības pirmo (un dažu izlīdzinošo) iniciatīvu vēsturē es jūtos pārliecināts, ka pakalpojumu sniedzējs pastāvīgi pieaug starp labākajiem tirgus spēlētājiem un joprojām vēlas redzēt, kāds ir viņu nākamais solis.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me