Auditoria do PureVPN: todas as nuvens têm um revestimento prateado (registro sem registro)

Auditoria PureVPN para Sem Logs

O PureVPN se junta aos principais serviços de VPN para obter verificações de reivindicações de não registro, como parte de seu compromisso de oferecer forte privacidade e segurança a seus clientes em todo o mundo, apesar de ser incrivelmente fácil de usar!

A empresa de auditoria de segurança Altius IT analisou o PureVPN’s registros sobre consultas DNS, tráfego de saída, sites visitados, histórico de navegação, tempo de conexão, usuário’s endereço IP de origem, IP VPN atribuído, logs de conexão e atividades de navegação. 

Eles também testaram o PureVPN’arquivos de log do sistema, documentos de infraestrutura de rede e configurações do sistema, após os quais eles deram oficialmente ao PureVPN uma dica clara sobre suas reivindicações de não registro.

Como as auditorias estão se tornando uma tendência no setor de VPN, decidi fazer uma série de consultas técnicas, enviando-as para diferentes serviços de VPN submetidos a uma auditoria.

Como o PureVPN divulgou apenas recentemente notícias sobre sua auditoria, eles foram bastante proativos em responder às nossas perguntas, fornecendo respostas detalhadas:

1. Por que você escolheu o Altius IT?

Optamos pela Altius IT devido ao seu histórico de 25 anos e credenciamento para auditorias de segurança (ISACA for CISA, CRISC & CGEIT). Eles são baseados na Califórnia, que é bem conhecida por empresas de Internet de grande escala para consumidores.

Eles têm experiência com arquiteturas corporativas e de consumo à escala da Internet. E eles entendem as nuances de privacidade exigidas pelas empresas de escala da Internet para operar em um cenário global.

A abordagem de TI da Altius foi impressionante. A equipe de TI da Altius nos surpreendeu com sua minuciosidade com os diretores da empresa se tornando usuários misteriosos, realizando trabalhos práticos de auditoria e análise de ameaças. A singularidade dos cenários e o número de atividades de auditoria foram inesperados.

2. Qual foi a extensão desta auditoria?

Foi um intenso fim a fim da auditoria. Permitimos e provisionamos todos os acessos para eles escolherem quais sistemas eles’eu quero a vontade deles. Eles analisaram tudo, de nossos servidores VPN a configurações, serviços de sistemas e APIs.

Eles também analisaram nossos bancos de dados e rastrearam todo o fluxo de dados para garantir que nenhuma informação identificável do usuário fosse armazenada em nenhum lugar. O relatório completo de auditoria está disponível para os editores, mediante solicitação, e foi disponibilizado para todos os nossos usuários na área de membros.

3. Quais etapas adicionais, se houver, você planeja garantir aos usuários os mais altos padrões de privacidade?

Essa auditoria faz parte de uma série de etapas que estamos tomando para consolidar ainda mais nosso compromisso com a verdadeira privacidade. Além de ser o primeiro a cumprir o GDPR e ter a Política de Privacidade mais transparente até o momento, o PureVPN é o primeiro e único fornecedor a ter um programa público de recompensas por bugs pago (Bugcrowd.com/purevpn), onde mais de 90.000 comunidade forte de hackers de chapéu branco continuamente testar e fortalecer nosso serviço. Esforçamo-nos dia e noite para oferecer cada vez mais valor a milhões de assinantes em mais de 120 países que confiam sua segurança e privacidade conosco.

Nosso próximo passo, que estamos mantendo perto do peito por enquanto, será igualmente emocionante e pioneiro no setor para nossos assinantes preocupados com a privacidade.

4. Como você verifica se está desconectado, mas ainda impõe limites às conexões simultâneas?

Nós Don’não precisa de logs para observar as conexões simultâneas do usuário. Simplesmente confiamos no estado da conexão LIVE para encontrar o número de conexões ativas, que são imediatamente cortadas se excederem o limite especificado.

Por exemplo, se um de nossos usuários se conectar a qualquer nó da VPN e usar a mesma conta para estabelecer outra conexão VPN, o número da contagem mudará de 1 para 2 em nosso gerenciador de sessões centralizado (auditado pelos auditores independentes). Se outra conexão for adicionada, ela se tornará 3.

Se o usuário continuar a adicionar mais conexões, eventualmente excedendo a contagem 5, que é o nosso limite - todas as conexões serão instantaneamente encerradas (e o usuário receberá um email informando que violou nossa “limite de multilogins”).

5. Os nós de Terminação da VPN possuem total posse de uma identidade e atividades do usuário. Como garantir que as informações sejam excluídas após o término de uma sessão?

Todos os nós de Terminação da VPN são configurados através do sistema de gerenciamento de configuração centralizada para NÃO registrar explicitamente a identidade e a atividade do usuário, portanto, nenhuma exclusão de informações é necessária.

6. O que acontece com o arquivo openvpn.log e as informações presentes na conexão / desconexão da VPN?

Todos os serviços OpenVPN em execução no PureVPN’Os nós de terminação s não armazenam nenhum registro devido às variáveis ​​de configuração definidas inicialmente:

log / dev /nulo
status / dev /nulo

O que significa essencialmente que os logs do OpenVPN, que são ativados por padrão, foram desativados e transmitidos por meio de / dev / null. Para elaborar, / dev / null é um arquivo especial chamado ‘dispositivo nulo’ em sistemas Unix.

Essa parte dos sistemas UNIX pode ser basicamente concluída como um local onde todas as informações são imediatamente descartadas quando gravadas nela e retornam apenas um EOF de final de arquivo quando lidas..

7. Como o PureVPN’A API do switch de interrupção de aplicativos s interrompe a gravação dos endereços IP do usuário?

PureVPN’O switch de interrupção da Internet NÃO usa nenhum serviço baseado em API e também não grava nenhum tipo de endereço IP de usuário.

8. Os balanceadores de carga são usados ​​pelos provedores de VPN para entregar a conexão ao servidor de Terminação da VPN. Como você o impede de gravar informações, mesmo que momentaneamente?

O PureVPN usa técnicas diferentes para distribuir a carga do usuário / conexão aos nós da VPN, semelhante à maneira como usamos os servidores de API para encontrar os melhores servidores possíveis. Portanto, não usamos balanceadores de carga em linha e, portanto, nossos usuários não’não fique exposto.

9. Como você interrompe a gravação de caminhos de URL nos logs da API?

Os servidores de API garantem que um servidor VPN com a melhor velocidade possível seja disponibilizado ao usuário com base em suas seleções. Qualquer tipo de registro de sistema e serviço não foi encontrado no servidor da API, conforme verificado pelos auditores independentes.

10. O que é PureVPN’s processo para garantir que servidores virtualizados ou em contêineres não registrem dados?

Servidores virtualizados ou em contêineres não fazem diferença para nós, aplicamos nossas políticas e processos de privacidade em todos os tipos de servidores em uso. A própria empresa de auditoria selecionou aleatoriamente diferentes servidores para testar nossas reivindicações de não registro.

Usamos manuais de configuração para implementar centralmente nenhum log em todos os nossos servidores VPN, incluindo Linux, Windows e suas variantes virtuais e bare metal. 

Essa auditoria de segurança é o resultado de um processo judicial, em que um homem de Massachusetts foi preso sob acusação de cyberstalking, contra uma ex-colega de quarto e seus familiares / amigos.

Os documentos do tribunal indicaram que os logs fornecidos pelo PureVPN pelo FBI ajudaram na acusação. Embora isso tenha ajudado a terminar um ano’pena de miséria para a vítima, o provedor de Hong Kong foi arrastado pela lama pelos cidadãos preocupados com a privacidade.

À luz desse evento, a PureVPN reformulou sua política de privacidade, mencionando claramente que não mantém Informações de Identificação Pessoal (PII) de seus usuários.

Envolvendo as Coisas

Depois de fazer essas perguntas e examinar o PureVPN’s história recente de iniciativas pioneiras do setor (e algumas de equalização), sinto-me confiante de que o fornecedor está constantemente subindo entre as fileiras dos principais players do mercado e continuo ansioso para ver qual será o próximo passo.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me