PureVPN & rsquo; revizija: svaki oblak ima srebrnu podlogu (ovjera bez zapisa)

Revizija PureVPN-a bez zapisa

PureVPN se pridružio redovima vrhunskih VPN usluga kako bi provjerili njihove zahtjeve bez dnevnika, kao dio njihove obveze pružanja snažne privatnosti i sigurnosti svojim klijentima širom svijeta, unatoč nevjerojatnim džepovima!

Tvrtka za reviziju sigurnosti, Altius IT, analizirala je PureVPN’evidencije u vezi DNS upita, odlaznog prometa, posjećenih web stranica, povijesti pregledavanja, vremena veze, korisnika’s podrijetla IP adrese, dodijeljenog VPN IP-a, dnevnika veza i aktivnosti pregledavanja. 

Također su testirali PureVPN’s sistemskim datotekama dnevnika, dokumentima mrežne infrastrukture i konfiguracijama sustava, nakon čega su službeno PureVPN-u dali čistu molbu za svoje zahtjeve bez dnevnika.

Kako revizije postaju trend u VPN industriji, odlučio sam pronaći niz tehničkih upita, šaljući ih različitim VPN uslugama koje su prošle reviziju.

Budući da je PureVPN nedavno objavio vijesti o svojoj reviziji, bili su prilično proaktivni u odgovaranju na naša pitanja pružajući detaljne odgovore:

1. Zašto ste izabrali Altius IT?

Izabrali smo Altius IT zbog 25-godišnjeg iskustva i akreditacije za sigurnosne revizije (ISACA za CISA, CRISC & CGEIT). Sjedište im je u Kaliforniji, a to je dobro poznato velikim Internet tvrtkama za široku potrošnju.

Imaju iskustva s arhitekturama poduzeća i potrošača na Internetu. I razumiju nijanse privatnosti koje su potrebne od internetskih tvrtki da djeluju u globalnom okruženju.

Altiusov IT pristup bio je impresivan. Altiusov IT tim iznenadio nas je svojom temeljitošću s obzirom da su direktori tvrtki postali korisnici misterija, provodeći praktični revizorski rad i analizu prijetnji. Jedinstvenost scenarija i broj revizijskih aktivnosti bili su neočekivani.

2. Koliki je bio opseg ove Revizije?

Bilo je to intenzivno okončanje revizije. Dozvolili smo i omogućili im sve pristupe da pokupe koje sustave imaju’d želim po njihovoj volji. Pregledali su sve, od naših VPN poslužitelja do konfiguracija do sistemskih usluga i API-ja.

Također su pregledali naše baze podataka i pratili cjelokupni protok podataka kako bi osigurali da nijedna pohranjena informacija koju je moguće identificirati korisnik. Potpuno izvješće o reviziji dostupno je izdavačima na zahtjev i dostupno je svim našim korisnicima unutar članova područja.

3. Koje dodatne korake, ako ih ima, planirate uvjeriti korisnike u najviše standarde privatnosti?

Ova revizija dio je niza koraka koje poduzimamo da dodatno cementiramo svoju opredijeljenost prema istinskoj privatnosti. Osim što je prvi ispunio GDPR i koji je do sada imao najtransparentniju Pravila o privatnosti, PureVPN je prvi i jedini davatelj programa koji je javno plaćen program za bugove (Bugcrowd.com/purevpn) gdje 90.000+ jaka zajednica hakera na bijele šešire kontinuirano testirati i ojačati našu uslugu. Nastojimo danju i noću pružiti sve veću vrijednost milijunima pretplatnika u preko 120 zemalja koji vjeruju u našu sigurnost i privatnost..

Naš sljedeći potez, kojeg zasad držimo blizu grudi, bit će jednako uzbudljiv i kao industrija za naše pretplatnike koji brinu o privatnosti..

4. Kako potvrđujete da nemate značajku, ali i dalje namećete ograničenja za istovremeno povezivanje?

Mi ne’ne trebaju vam dnevnici za istovremeno gledanje korisničkih veza. Jednostavno se oslanjamo na stanje LIVE veze kako bismo pronašli broj aktivnih veza koji se odmah prekidaju ako pređu navedenu granicu.

Na primjer, ako se jedan od naših korisnika poveže s bilo kojim VPN čvorom, a zatim koristi isti račun za uspostavljanje druge VPN veze, broj računa se prebacuje s 1 na 2 u našem centraliziranom upravitelju sesija (revidirao ga neovisni revizor). Ako se povrh toga doda još jedna veza, ona postaje 3.

Ako korisnik nastavi dodavati više veza, što na kraju premašuje broj 5, što je i naša granica - sve se veze odmah prekidaju (a korisnik će dobiti e-poštu u kojoj stoji da je prekršio našu “ograničenje multilogina”).

5. VPN raskidni čvorovi u potpunosti posjeduju identitet i aktivnosti korisnika. Kako osiguravate brisanje podataka nakon prestanka sesije?

Svi VPN prekidni čvorovi konfigurirani su putem sustava za centralno upravljanje konfiguracijom da izrijekom NE evidentiraju identitet i aktivnost korisnika, stoga nije potrebno brisanje podataka.

6. Što se događa s datotekom openvpn.log i podacima koji se nalaze u njoj nakon VPN veze / prekida?

Sve pokrenute OpenVPN usluge na PureVPN’s završni čvorovi ne pohranjuju nikakve zapisnike zbog početno postavljenih varijabli konfiguracije:

log / dev /nula
status / dev /nula

Što u biti znači da su zapisnici s OpenVPN-a, koji su zadani po zadanom uključeni, onemogućeni i provedeni kroz / dev / null. Za razradu, / dev / null je posebna datoteka koja se zove ‘nulti uređaj’ u Unix sustavima.

Ovaj se dio UNIX sustava u osnovi može zaključiti kao mjesto na kojem se svaki zalogaj informacija odmah odbacuje kada se u njega upiše i vraća tek EOF na kraju datoteke nakon čitanja.

7. Kako funkcionira PureVPN’s API prekidača za zaustavljanje aplikacije zaustavlja snimanje korisničkih IP adresa?

PureVPN’Prekidač za Internet kill NE koristi bilo koju uslugu temeljenu na API-ju i također NE bilježi bilo koju vrstu korisničkih IP adresa.

8. Balansi opterećenja koriste davatelji VPN-a za predaju veze na VPN poslužitelju raskida. Kako ćete spriječiti da snima informacije, čak i ako je to trenutačno?

PureVPN koristi različite tehnike za raspodjelu opterećenja korisnika / veze na VPN čvorove, slično kao što koristimo API poslužitelje da pronađemo najbolje moguće poslužitelje. Stoga ne koristimo ugrađene ravnoteže opterećenja, a time ni naši korisnici ne’ne izlažite se.

9. Kako zaustaviti snimanje URL staza u API zapisima?

API poslužitelji osiguravaju da će VPN poslužitelj s najboljom mogućom brzinom biti dostupan korisniku na temelju njihovih odabira. Na API poslužitelju nije pronađena nijedna vrsta zapisnika sustava i usluga, što su potvrdili neovisni revizori.

10. Što je PureVPN’Proces osiguravanja virtualiziranih ili spremnika poslužitelja ne bilježe podatke?

Virtualizirani ili sadržani poslužitelji ne čine nam nikakvu razliku, provodimo naša pravila o privatnosti i procese na svim vrstama poslužitelja koji se koriste. Sama revizorska kuća nasumično je odabrala različite poslužitelje kako bi testirala naše zahtjeve bez zapisnika.

Konfiguracijske slikovnice koristimo za središnju implementaciju beleženja na svim našim VPN poslužiteljima, što uključuje Linux, Windows i njihove virtualne i gole metalne inačice. 

Ova revizija sigurnosti rezultat je sudskog spora u kojem je muškarac iz Massachusettsa uhićen pod optužbom za cyberstaking, protiv bivše cimerice i članova njezine obitelji / prijatelja.

Sudski dokumenti govore da su zapisnici koje je PureVPN dostavio od FBI-ja pomogli u progonu. Iako je ovo pomoglo da se završi godinu dana’Vrijedno je jada za žrtvu, dobavljač iz Hong Konga provukao se kroz blato svjesno privatnosti.

U svjetlu tog događaja, PureVPN je obnovio svoju politiku privatnosti, jasno spominjući da ne čuvaju nikakve osobne podatke (PII) svojih korisnika..

Zamotavanje stvari

Nakon postavljanja ovih pitanja i pogleda PureVPN’S nedavnom poviješću prvih (i nekih izjednačujućih) inicijativa, osjećam se pouzdano da se ovaj pružatelj neprestano diže među redovima najboljih igrača na tržištu i ostajem željan vidjeti kakav je njihov sljedeći korak!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me