Audit di PureVPN: ogni cloud ha un rivestimento d’argento (nessun registro verificato)
PureVPN si unisce ai ranghi dei migliori servizi VPN per ottenere la verifica delle richieste di risarcimento senza log, come parte del loro impegno nel fornire una forte privacy e sicurezza ai suoi clienti in tutto il mondo, nonostante sia incredibilmente facile da usare!
La società di revisione della sicurezza, Altius IT, ha analizzato PureVPN’registri relativi a query DNS, traffico in uscita, siti Web visitati, cronologia di navigazione, tempo di connessione, utente’s indirizzo IP di origine, IP VPN assegnato, registri di connessione e attività di navigazione.
Hanno anche testato PureVPN’s file di registro di sistema, documenti di infrastruttura di rete e configurazioni di sistema, in seguito ai quali hanno ufficialmente dato a PureVPN un punto pulito sui loro reclami senza log.
Poiché gli audit stanno diventando una tendenza nel settore VPN, ho deciso di presentare una serie di query tecniche, inviandole a diversi servizi VPN che hanno subito un audit.
Dato che PureVPN ha pubblicato di recente solo notizie sulla loro verifica, sono stati piuttosto proattivi nel rispondere alle nostre domande, fornendo risposte dettagliate:
1. Perché hai scelto Altius IT?
Abbiamo scelto Altius IT per i suoi 25 anni di esperienza e accreditamento per gli audit di sicurezza (ISACA per CISA, CRISC & CGEIT). Hanno sede in California, che è ben nota per le società Internet di largo consumo.
Hanno esperienza con architetture aziendali e di consumo su scala Internet. E comprendono le sfumature della privacy richieste dalle società su scala Internet per operare in un contesto globale.
L’approccio IT di Altius è stato impressionante. Il team IT di Altius ci ha sorpreso per la loro completezza con i responsabili dell’azienda che diventano utenti misteriosi, conducendo lavori di audit pratici e analisi delle minacce. L’unicità degli scenari e il numero di attività di audit erano inaspettati.
2. Qual è stata l’estensione di questo audit?
È stata una fine intensa per terminare l’Audit. Abbiamo permesso e fornito loro tutti gli accessi per raccogliere quali sistemi essi stessi’Vorrei a loro piacimento. Hanno esaminato tutto, dai nostri server VPN alle configurazioni, ai servizi di sistema e alle API.
Hanno anche esaminato i nostri database e tracciato l’intero flusso di dati per garantire che nessuna informazione identificabile dall’utente fosse archiviata da nessuna parte. Il rapporto di audit completo è disponibile per gli editori su richiesta ed è stato reso disponibile per tutti i nostri utenti all’interno dell’Area membri.
3. Quali ulteriori passaggi stai pianificando di rassicurare gli utenti sui più elevati standard di privacy?
Questo audit fa parte di una serie di passaggi che stiamo intraprendendo per consolidare ulteriormente il nostro impegno per la vera privacy. Oltre ad essere il primo a conformarsi al GDPR e ad avere l’informativa sulla privacy più trasparente fino ad oggi, PureVPN è il primo e unico fornitore ad avere un programma di ricompensa di bug a pagamento pubblico (Bugcrowd.com/purevpn) dove più di 90.000 community di hacker con cappello bianco testare e rafforzare continuamente il nostro servizio. Ci impegniamo giorno e notte per offrire sempre più valore a milioni di abbonati in oltre 120 paesi che si fidano della loro sicurezza e privacy con noi.
La nostra prossima mossa, che per ora stiamo tenendo vicino al petto, sarà altrettanto entusiasmante e prima di tutto per i nostri abbonati attenti alla privacy.
4. In che modo si verifica la mancanza di log ma si impongono ancora limiti alle connessioni simultanee?
Noi don’Sono necessari i registri per controllare le connessioni utente simultanee. Facciamo semplicemente affidamento sullo stato della connessione LIVE per trovare il numero di connessioni attive, che vengono immediatamente interrotte se superano il limite specificato.
Ad esempio, se uno dei nostri utenti si connette a qualsiasi nodo VPN e quindi utilizza lo stesso account per stabilire un’altra connessione VPN, il numero di conteggio passa da 1 a 2 sul nostro gestore sessioni centralizzato (controllato da revisori indipendenti). Se viene aggiunta un’altra connessione, diventa 3.
Se l’utente continua ad aggiungere più connessioni, superando eventualmente il conteggio 5, che è il nostro limite – tutte le connessioni vengono immediatamente interrotte (e l’utente riceverà un’e-mail in cui si afferma che ha violato il nostro “limite di multilogine”).
5. I nodi di terminazione VPN hanno il pieno possesso dell’identità e delle attività dell’utente. Come garantire che le informazioni vengano eliminate dopo la fine di una sessione?
Tutti i nodi di terminazione VPN sono configurati tramite il sistema di gestione della configurazione centralizzata per NON registrare esplicitamente l’identità e l’attività dell’utente, pertanto non è richiesta la cancellazione delle informazioni.
6. Cosa succede al file openvpn.log e alle informazioni presenti in esso al momento della connessione / disconnessione VPN?
Tutti i servizi OpenVPN in esecuzione su PureVPN’I nodi di terminazione s non memorizzano alcun registro a causa delle variabili di configurazione inizialmente impostate:
log / dev /nullo
status / dev /nullo
Ciò significa essenzialmente che i log di OpenVPN, attivati per impostazione predefinita, sono stati disabilitati e inviati tramite / dev / null. Per elaborare, / dev / null è un file speciale chiamato ‘dispositivo nullo’ nei sistemi Unix.
Questa parte dei sistemi UNIX può essere sostanzialmente conclusa come una posizione in cui ogni bit di informazione viene immediatamente scartato quando scritto su di esso e restituisce solo un EOF di fine file quando letto.
7. Come funziona PureVPN’s API kill switch switch interrompe la registrazione degli indirizzi IP dell’utente?
PureVPN’s il kill switch di Internet NON utilizza alcun servizio basato su API e NON registra alcun tipo di indirizzo IP dell’utente.
8. I servizi di bilanciamento del carico vengono utilizzati dai provider VPN per trasferire la connessione al server di terminazione VPN. Come si fa a impedire la registrazione delle informazioni, anche se momentaneamente?
PureVPN utilizza diverse tecniche per distribuire il carico utente / connessione ai nodi VPN, in modo simile al modo in cui utilizziamo i server API per trovare i migliori server possibili. Pertanto, non utilizziamo i sistemi di bilanciamento del carico in linea e pertanto i nostri utenti non lo fanno’essere esposto.
9. Come si interrompe la registrazione dei percorsi URL nei registri API?
I server API assicurano che un server VPN con la migliore velocità possibile sia reso disponibile all’utente in base alle loro selezioni. Non è stato trovato alcun tipo di registrazione del sistema e del servizio sul server API, come verificato dai revisori indipendenti.
10. Che cos’è PureVPN’s processo per garantire che i server virtualizzati o containerizzati non registrino i dati?
I server virtualizzati o containerizzati non fanno alcuna differenza per noi, applichiamo le nostre politiche e processi sulla privacy su tutti i tipi di server in uso. La stessa società di revisione ha selezionato casualmente server diversi per testare i nostri reclami senza registrazione.
Utilizziamo i playbook di configurazione per implementare centralmente nessuna registrazione su tutti i nostri server VPN, che include Linux, Windows e le loro varianti di metallo nudo e virtuale.
Questo audit di sicurezza è il risultato di un procedimento giudiziario, in cui un uomo del Massachusetts è stato arrestato con l’accusa di cyberstalking, contro un’ex coinquilina e i suoi familiari / amici.
I documenti del tribunale hanno indicato che i registri forniti da PureVPN dall’FBI hanno contribuito all’accusa. Mentre questo ha contribuito a finire un anno’Per quanto riguarda la sofferenza per la vittima, il fornitore con sede a Hong Kong è stato trascinato nel fango dalla persona attenta alla privacy.
Alla luce di quell’evento, PureVPN ha rinnovato la sua politica sulla privacy, menzionando chiaramente che non conserva informazioni personali identificabili (PII) dei suoi utenti.
Avvolgere le cose
Dopo aver posto queste domande e guardando PureVPN’Nella storia recente delle prime iniziative del settore (e alcune in pareggio), sono fiducioso che il fornitore stia costantemente salendo tra i ranghi dei migliori attori del mercato e rimango impaziente di vedere quale sarà la loro prossima mossa!
James
17.04.2023 @ 03:54
esso account per connettersi a un altro nodo VPN, la connessione precedente verrà automaticamente interrotta. Questo ci consente di garantire che i nostri utenti rispettino i limiti di connessione simultanea specificati nel loro abbonamento, senza dover registrare alcuna informazione sullattività di navigazione o di connessione. In questo modo, possiamo fornire un servizio VPN sicuro e privato ai nostri clienti in tutto il mondo, senza compromettere la loro privacy o la loro sicurezza online. Siamo orgogliosi di essere stati riconosciuti come uno dei migliori servizi VPN per la verifica delle richieste di risarcimento senza log, e continueremo a lavorare duramente per mantenere questo standard elevato e fornire un servizio VPN di alta qualità ai nostri clienti.