Auditoría de PureVPN & rsquo; s: cada nube tiene un lado positivo (sin registros verificados)

Auditoría PureVPN sin registros

PureVPN se une a las filas de los principales servicios de VPN para verificar sus reclamos sin registros, como parte de su compromiso de brindar una fuerte privacidad y seguridad a sus clientes en todo el mundo, a pesar de ser increíblemente amigable!

La firma de auditoría de seguridad, Altius IT, analizó PureVPN’s registros sobre consultas DNS, tráfico saliente, sitios web visitados, historial de navegación, tiempo de conexión, usuario’s dirección IP de origen, IP VPN asignada, registros de conexión y actividades de navegación. 

También probaron PureVPN’Los archivos de registro del sistema, los documentos de infraestructura de red y las configuraciones del sistema, después de lo cual oficialmente le dieron a PureVPN una idea clara de sus reclamos de no registros.

A medida que las auditorías se están convirtiendo en una tendencia en la industria VPN, decidí presentar una serie de consultas técnicas, enviándolas a diferentes servicios VPN que se han sometido a una auditoría.

Dado que PureVPN solo lanzó recientemente noticias sobre su auditoría, fueron bastante proactivos en responder a nuestras preguntas, proporcionando respuestas detalladas:

1. ¿Por qué elegiste Altius IT??

Elegimos Altius IT debido a sus 25 años de trayectoria y acreditación para auditorías de seguridad (ISACA para CISA, CRISC & CGEIT). Su sede se encuentra en California, conocida por las grandes empresas de Internet de consumo..

Tienen experiencia con arquitecturas empresariales y de consumo a escala de Internet. Y entienden los matices de privacidad requeridos por las compañías de Internet para operar en un entorno global..

El enfoque de Altius IT fue impresionante. El equipo de TI de Altius nos sorprendió con su minuciosidad con los directores de la compañía convirtiéndose en usuarios misteriosos, realizando trabajos de auditoría práctica y análisis de amenazas. La singularidad de los escenarios y el número de actividades de auditoría fueron inesperados.

2. ¿Cuál fue el alcance de esta auditoría??

Fue una auditoría intensiva de extremo a extremo. Permitimos y aprovisionamos todos los accesos para que puedan recoger los sistemas que’d quiere a su voluntad. Analizaron todo, desde nuestros servidores VPN hasta configuraciones, servicios de sistemas y API.

También observaron nuestras bases de datos y rastrearon los flujos de datos completos para garantizar que no se almacenara información identificable por el usuario en ningún lugar. El informe de auditoría completo está disponible para los editores a solicitud y se ha puesto a disposición de todos nuestros usuarios dentro del Área de miembros.

3. ¿Qué pasos adicionales, si los hay, planea tranquilizar a los usuarios con los más altos estándares de privacidad??

Esta auditoría es parte de una serie de pasos que estamos tomando para consolidar aún más nuestro compromiso con la verdadera privacidad. Además de ser el primero en cumplir con GDPR y tener la Política de Privacidad más transparente hasta la fecha, PureVPN es el primer y único proveedor que tiene un programa público de recompensas por errores (Bugcrowd.com/purevpn) donde más de 90,000 hackers de sombrero blanco de la comunidad Probar y fortalecer continuamente nuestro servicio. Nos esforzamos día y noche para ofrecer cada vez más valor a millones de suscriptores en más de 120 países que confían en su seguridad y privacidad con nosotros..

Nuestro próximo movimiento, que estamos manteniendo cerca del cofre por ahora, será igualmente emocionante y primero en la industria para nuestros suscriptores conscientes de la privacidad..

4. ¿Cómo verificas que no tienes log pero impones límites a las conexiones simultáneas??

Nosotros don’No necesita registros para ver las conexiones simultáneas de los usuarios. Simplemente confiamos en el estado de conexión EN VIVO para encontrar el número de conexiones activas, que se cortan inmediatamente si exceden el límite especificado.

Por ejemplo, si uno de nuestros usuarios se conecta a cualquier nodo VPN y luego usa la misma cuenta para establecer otra conexión VPN, el número de conteo cambia de 1 a 2 en nuestro administrador de sesión centralizado (auditado por auditores independientes). Si se agrega otra conexión además de eso, se convierte en 3.

Si el usuario continúa agregando más conexiones, eventualmente excediendo el recuento 5, que es nuestro límite, todas las conexiones se terminan instantáneamente (y el usuario recibirá un correo electrónico indicando que ha violado nuestro “límite de multilogins”).

5. Los nodos de terminación de VPN tienen plena posesión de una identidad de usuario y actividades. ¿Cómo se asegura de que la información se elimine después de la finalización de una sesión??

Todos los nodos de terminación de VPN se configuran a través del sistema de administración de configuración centralizada para NO registrar explícitamente la identidad y la actividad del usuario, por lo tanto, no se requiere el borrado de información.

6. Qué sucede con el archivo openvpn.log y la información presente en él al momento de la conexión / desconexión de VPN?

Todos los servicios de OpenVPN que se ejecutan en PureVPN’Los nodos de terminación no almacenan ningún registro debido a las variables de configuración establecidas inicialmente:

log / dev /nulo
estado / dev /nulo

Lo que esencialmente significa que los registros de OpenVPN, que están activados por defecto, se han deshabilitado y canalizado a través de / dev / null. Para elaborar, / dev / null es un archivo especial llamado ‘dispositivo nulo’ en sistemas Unix.

Esta parte de los sistemas UNIX se puede concluir básicamente como una ubicación donde cada bit de información se descarta inmediatamente cuando se escribe en él y solo devuelve un EOF de fin de archivo cuando se lee.

7. ¿Cómo funciona PureVPN’La API del interruptor de apagado de la aplicación detiene la grabación de las direcciones IP de los usuarios?

PureVPN’El interruptor de interrupción de Internet NO utiliza ningún servicio basado en API y tampoco registra ningún tipo de dirección IP de usuario.

8. Los proveedores de VPN utilizan equilibradores de carga para transferir la conexión al servidor de terminación de VPN. ¿Cómo se detiene la grabación de información, incluso si es momentáneamente?

PureVPN utiliza diferentes técnicas para distribuir la carga del usuario / conexión a los nodos VPN, de forma similar a cómo usamos los servidores API para encontrar los mejores servidores posibles. Por lo tanto, no utilizamos equilibradores de carga en línea y, por lo tanto, nuestros usuarios no’no quedar expuesto.

9. ¿Cómo se detiene la grabación de rutas URL en registros de API??

Los servidores API aseguran que un servidor VPN con la mejor velocidad posible esté disponible para el usuario en función de sus selecciones. No se encontró ningún tipo de registro de sistema y servicio en el servidor API, según lo verificado por auditores independientes.

10. ¿Qué es PureVPN?’s proceso para garantizar que los servidores virtualizados o en contenedores no registren datos?

Los servidores virtualizados o en contenedores no nos importan, aplicamos nuestras políticas y procesos de privacidad en todo tipo de servidores en uso. La propia empresa de auditoría seleccionó aleatoriamente diferentes servidores para probar nuestros reclamos sin registros.

Usamos libros de jugadas de configuración para implementar de manera centralizada ningún registro en todos nuestros servidores VPN, que incluye Linux, Windows y sus variantes virtuales y básicas.. 

Esta auditoría de seguridad es el resultado de un caso judicial, donde un hombre de Massachusetts fue arrestado por acoso cibernético, contra una ex compañera de cuarto y sus familiares / amigos..

Los documentos de la corte indicaron que los registros proporcionados por PureVPN del FBI ayudaron en el procesamiento. Si bien esto ayudó a terminar un año’Para la víctima, el proveedor con sede en Hong Kong fue arrastrado por el barro por la conciencia de la privacidad..

A la luz de ese evento, PureVPN renovó su política de privacidad, mencionando claramente que no mantienen información de identificación personal (PII) de sus usuarios.

Envolviendo cosas

Después de hacer estas preguntas y mirar PureVPN’En la historia reciente de las primeras iniciativas de la industria (y algunas iniciativas de igualación), estoy seguro de que el proveedor está aumentando constantemente entre las filas de los mejores jugadores en el mercado y estoy ansioso por ver cuál es su próximo movimiento.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me