Аудит PureVPN: каждое облако имеет серебряную подкладку (без проверки журналов)

PureVPN Аудит без логов

PureVPN входит в число лучших VPN-сервисов, чтобы подтвердить свои претензии без регистрации, что является частью их обязательств по обеспечению надежной конфиденциальности и безопасности для своих клиентов по всему миру, несмотря на то, что они невероятно удобны в кармане!

Аудиторская фирма Altius IT проанализировала PureVPN’s журналы, касающиеся DNS-запросов, исходящего трафика, посещенных веб-сайтов, истории просмотров, времени подключения, пользователя’s исходный IP-адрес, назначенный VPN-IP, журналы подключений и операции просмотра. 

Они также проверили PureVPN’Системные журнальные файлы, документы сетевой инфраструктуры и конфигурации системы, после чего они официально предоставили PureVPN чистую подсказку о своих претензиях без регистрации.

Поскольку аудиты становятся тенденцией в индустрии VPN, я решил предложить ряд технических запросов, отправив их различным службам VPN, прошедшим аудит..

Поскольку PureVPN только недавно выпустили новости об их аудите, они довольно активно ответили на наши вопросы, предоставив подробные ответы:

1. Почему вы выбрали Altius IT?

Мы выбрали Altius IT из-за их 25-летнего опыта и аккредитации для аудита безопасности (ISACA для CISA, CRISC & CGEIT). Они базируются в Калифорнии, которая известна крупными потребительскими интернет-компаниями..

У них есть опыт работы с корпоративными и потребительскими архитектурами. И они понимают нюансы конфиденциальности, необходимые компаниям интернет-масштаба для работы в глобальных условиях..

Подход Altius IT был впечатляющим. ИТ-команда Altius удивила нас своей тщательностью: руководители компании стали загадочными пользователями, проводили практический аудит и анализ угроз. Уникальность сценариев и количество аудиторских действий были неожиданными.

2. Какова была степень этого аудита?

Это был интенсивный сквозной аудит. Мы разрешили и предоставили им доступ, чтобы подобрать, какие системы они’хочу по их желанию. Они рассмотрели все, от наших VPN-серверов до конфигураций, системных служб и API-интерфейсов..

Они также просмотрели наши базы данных и проследили все потоки данных, чтобы убедиться, что информация, идентифицирующая пользователя, нигде не хранилась. Полный аудиторский отчет доступен для издателей по запросу и был доступен для всех наших пользователей в Личном кабинете..

3. Какие дополнительные шаги, если таковые имеются, вы планируете успокоить пользователей по самым высоким стандартам конфиденциальности?

Этот аудит является частью серии шагов, которые мы предпринимаем для дальнейшего укрепления нашей приверженности истинной конфиденциальности. Помимо того, что PureVPN является первым, кто соблюдает GDPR и имеет самую прозрачную на сегодняшний день политику конфиденциальности, он является первым и единственным провайдером, запустившим публичную платную программу за вознаграждение за ошибку (Bugcrowd.com/purevpn), в которой более 90 000 членов сообщества белых хакеров. постоянно проверять и укреплять наш сервис. Мы стремимся днем ​​и ночью предоставлять все большую ценность миллионам подписчиков в более чем 120 странах, которые доверяют нам свою безопасность и конфиденциальность..

Наш следующий шаг, который мы пока держим близко к груди, будет одинаково захватывающим и первым в отрасли для наших подписчиков, заботящихся о конфиденциальности..

4. Как вы проверяете отсутствие регистрации, но по-прежнему накладывает ограничения на одновременные подключения?

Мы надеваем’Для просмотра одновременных пользовательских подключений нужны журналы. Мы просто полагаемся на состояние соединения LIVE, чтобы найти количество активных соединений, которые немедленно отключаются, если они превышают указанный предел.

Например, если один из наших пользователей подключается к какому-либо узлу VPN, а затем использует ту же учетную запись для установки другого соединения VPN, число счетчиков переключается с 1 на 2 в нашем централизованном диспетчере сеансов (проверяется независимыми аудиторами). Если к этому добавляется другое соединение, оно становится 3.

Если пользователь продолжает добавлять больше подключений, в конечном счете превышая количество 5, которое является нашим пределом - все подключения немедленно прекращаются (и пользователь получит электронное письмо с сообщением о том, что они нарушили наш “лимит мультилогинов”).

5. Узлы терминации VPN полностью владеют личностью пользователя и его действиями. Как вы гарантируете, что информация удаляется после завершения сеанса?

Все узлы терминации VPN настроены через централизованную систему управления конфигурацией, чтобы явно НЕ регистрировать личность пользователя и активность, поэтому удаление информации не требуется.

6. Что происходит с файлом openvpn.log и информацией, содержащейся в нем при подключении / отключении VPN?

Все запущенные сервисы OpenVPN на PureVPN’Узлы завершения не хранят никаких журналов из-за изначально установленных переменных конфигурации:

Журнал / DEV /значение NULL
status / dev /значение NULL

Что по сути означает, что журналы из OpenVPN, которые включены по умолчанию, были отключены и переданы через / dev / null. Для уточнения, / dev / null - это специальный файл, называемый ‘нулевое устройство’ в системах Unix.

Эта часть систем UNIX может быть в основном заключена как место, где каждый бит информации сразу отбрасывается при записи в него и возвращает только EOF в конце файла при чтении.

7. Как работает PureVPN’s app kill switch API останавливает запись IP-адресов пользователей?

PureVPN’Переключатель уничтожения интернета НЕ использует службу на основе API, а также НЕ записывает IP-адреса пользователей любого типа..

8. Балансировщики нагрузки используются провайдерами VPN для передачи соединения с сервером терминации VPN. Как вы останавливаете его от записи информации, даже если это на мгновение?

PureVPN использует различные методы для распределения нагрузки пользователя / соединения на узлы VPN, аналогично тому, как мы используем серверы API для поиска наилучших серверов. Поэтому мы не используем встроенные балансировщики нагрузки и поэтому наши пользователи не’T разоблачить.

9. Как остановить запись URL-путей в логах API?

Серверы API гарантируют, что VPN-сервер с максимально возможной скоростью будет доступен для пользователя на основе их выбора. На сервере API не было обнаружено ни одного типа регистрации системы и службы, что было подтверждено независимыми аудиторами..

10. Что такое PureVPN’Процесс обеспечения того, чтобы виртуализированные или контейнерные серверы не регистрировали данные?

Виртуализированные или контейнерные серверы для нас не имеют значения, мы применяем наши политики конфиденциальности и процессы на всех типах используемых серверов. Сама аудиторская компания случайным образом выбрала разные серверы для проверки наших претензий без регистрации.

Мы используем конфигурационные сборники, чтобы централизованно реализовывать отсутствие регистрации на всех наших VPN-серверах, включая Linux, Windows и их виртуальные и голые версии. 

Этот аудит безопасности является результатом судебного разбирательства, в ходе которого мужчина из Массачусетса был арестован по обвинению в кибер-преследовании в отношении бывшей соседки по комнате и членов ее семьи / друзей..

Судебные документы указывали, что журналы, предоставленные PureVPN из ФБР, помогли обвинению. Хотя это помогло закончить год’Из-за неприкосновенности частной жизни провайдер из Гонконга потащил себя через грязь.

В свете этого события PureVPN пересмотрела свою политику конфиденциальности, четко упомянув, что не хранит личную информацию своих пользователей (PII)..

Завершение дела

Задав эти вопросы и посмотрев на PureVPN’Благодаря недавней истории первых в отрасли (и некоторых уравнивающих) инициатив, я уверен, что провайдер неуклонно растет в ряду ведущих игроков на рынке и по-прежнему стремится увидеть, каким будет их следующий шаг.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me