Audit PureVPN: Κάθε σύννεφο έχει μια ασημένια επένδυση (δεν έχει επαληθευτεί)

Έλεγχος PureVPN για κανένα αρχείο καταγραφής

Η PureVPN εντάσσεται στις τάξεις των κορυφαίων υπηρεσιών VPN για να εξακριβώσει τους ισχυρισμούς τους για μη καταχωρημένους λογαριασμούς, ως μέρος της δέσμευσής τους να παράσχουν ισχυρή προστασία της ιδιωτικής ζωής και της ασφάλειας στους πελάτες της σε όλο τον κόσμο, παρά το γεγονός ότι είναι απίστευτα φιλική προς τις τσέπες!

Η εταιρεία ελέγχου ασφάλειας, Altius IT, ανέλυσε το PureVPN’s σχετικά με τα ερωτήματα DNS, την εξερχόμενη κυκλοφορία, τους ιστότοπους επισκέψεων, το ιστορικό περιήγησης, το χρόνο σύνδεσης, τον χρήστη’(IP) VPN, καταγραφές σύνδεσης και δραστηριότητες περιήγησης. 

Δοκίμασαν επίσης το PureVPN’τα αρχεία καταγραφής συστήματος του συστήματος, τα έγγραφα υποδομής δικτύου και τις διαμορφώσεις του συστήματος, μετά την οποία έδωσαν επίσημα στο PureVPN ένα καθαρό chit για τους ισχυρισμούς τους.

Καθώς οι έλεγχοι γίνονται μια τάση στον κλάδο VPN, αποφάσισα να έχω μια σειρά από τεχνικά ερωτήματα, στέλνοντάς τα σε διαφορετικές υπηρεσίες VPN που έχουν υποβληθεί σε έλεγχο.

Από τη στιγμή που μόλις το PureVPN κυκλοφόρησε πρόσφατα νέα σχετικά με τον έλεγχό τους, ήταν αρκετά ενεργά απαντώντας στις ερωτήσεις μας, παρέχοντας λεπτομερείς απαντήσεις:

1. Γιατί επιλέξατε Altius IT?

Επιλέξαμε τον Altius IT λόγω του 25ετούς ιστορικού και της διαπίστευσης για ελέγχους ασφαλείας (ISACA για CISA, CRISC & CGEIT). Έχουν έδρα την Καλιφόρνια, η οποία είναι γνωστή για μεγάλες εταιρείες καταναλωτών Διαδικτύου.

Έχουν εμπειρία σε αρχιτεκτονικές επιχειρήσεων και καταναλωτών κλίμακας Internet. Και κατανοούν τις αποχρώσεις της ιδιωτικής ζωής που απαιτούν οι εταιρείες κλίμακας Διαδικτύου να λειτουργούν σε παγκόσμιο επίπεδο.

Η προσέγγιση IT της Altius ήταν εντυπωσιακή. Η ομάδα πληροφορικής της Altius μας εξέπληξε με την πληρότητα, με τους διευθυντές της εταιρείας να γίνονται χρήστες μυστηρίου, να εκτελούν πρακτικές εργασίες ελέγχου και ανάλυση απειλών. Η μοναδικότητα των σεναρίων και ο αριθμός των ελεγκτικών δραστηριοτήτων ήταν απροσδόκητες.

2. Ποια ήταν η έκταση αυτού του Έλεγχου?

Ήταν ένα εντατικό τέλος στο τέλος του ελέγχου. Επιτρέψαμε και προβλέψαμε όλες τις προσπελάσεις για να πάρουν τα συστήματα’θέλουν με τη θέλησή τους. Κοίλαν τα πάντα από τους διακομιστές VPN έως τις διαμορφώσεις σε υπηρεσίες συστημάτων και API.

Επίσης, εξέτασαν τις βάσεις δεδομένων μας και ανίχνευσαν ολόκληρη τη ροή δεδομένων για να διασφαλίσουν ότι κανένας χρήστης δεν διέθετε καμία πληροφορία που να μπορεί να ταυτοποιηθεί. Η πλήρης έκθεση ελέγχου είναι διαθέσιμη για τους εκδότες κατόπιν αιτήματος και έχει τεθεί στη διάθεση όλων των χρηστών μας μέσα στην περιοχή μελών.

3. Ποιά πρόσθετα βήματα, αν υπάρχουν, σχεδιάζετε να καθησυχάσετε τους χρήστες των υψηλότερων προτύπων προστασίας προσωπικών δεδομένων?

Αυτός ο έλεγχος αποτελεί μέρος μιας σειράς βημάτων που λαμβάνουμε για να ενισχύσουμε περαιτέρω τη δέσμευσή μας για αληθινή προστασία της ιδιωτικής ζωής. Εκτός από το γεγονός ότι είναι ο πρώτος που συμμορφώνεται με το GDPR και έχει την πιο διαφανή Πολιτική Προστασίας Προσωπικών Δεδομένων μέχρι σήμερα, το PureVPN είναι ο πρώτος και μοναδικός πάροχος που έχει ένα δημόσιο πρόγραμμα με επιδοτήσεις (Bugcrowd.com/purevpn) όπου 90.000+ ισχυρές κοινότητες λευκών hacker καπέλων συνεχώς δοκιμάζουμε και ενισχύουμε την υπηρεσία μας. Αγωνιζόμαστε μέρα και νύχτα για να προσφέρουμε ολοένα και περισσότερη αξία σε εκατομμύρια συνδρομητές σε περισσότερες από 120 χώρες που εμπιστεύονται την ασφάλεια και την ιδιωτικότητά τους.

Η επόμενη κίνηση μας, που διατηρούμε κοντά στο στήθος για τώρα, θα είναι εξίσου συναρπαστική και η βιομηχανία - πρώτα για τους συνδρομητές που έχουν συνείδηση ​​της ιδιωτικής ζωής.

4. Πώς επαληθεύετε ότι είστε άγρυπνοι, αλλά εξακολουθείτε να επιβάλλετε όρια στις ταυτόχρονες συνδέσεις?

Εμείς δεν’t χρειάζονται αρχεία καταγραφής για να παρακολουθήσουν ταυτόχρονες συνδέσεις χρηστών. Απλά βασίζεστε στην κατάσταση σύνδεσης LIVE για να βρείτε τον αριθμό των ενεργών συνδέσεων, οι οποίες διακόπτονται αμέσως εάν υπερβούν το καθορισμένο όριο.

Για παράδειγμα, εάν κάποιος από τους χρήστες μας συνδέεται με οποιονδήποτε κόμβο VPN και στη συνέχεια χρησιμοποιεί τον ίδιο λογαριασμό για να δημιουργήσει μια άλλη σύνδεση VPN, ο αριθμός μέτρησης μεταβαίνει από 1 σε 2 στον κεντρικό διαχειριστή συνεδριάσεων μας (ελέγχονται από τους ανεξάρτητους ελεγκτές). Αν προστεθεί άλλη σύνδεση πάνω από αυτό, γίνεται 3.

Εάν ο χρήστης εξακολουθεί να προσθέτει περισσότερες συνδέσεις, υπερβαίνοντας τελικά τον αριθμό 5, που είναι το όριο μας - όλες οι συνδέσεις τερματίζονται αμέσως (και ο χρήστης θα λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που θα δηλώνει ότι παραβίασε “πολυγλωσσών”).

5. Οι κόμβοι τερματισμού VPN έχουν πλήρη κατοχή ταυτότητας χρήστη και δραστηριότητες. Πώς διασφαλίζετε ότι οι πληροφορίες διαγράφονται μετά τη λήξη μιας περιόδου σύνδεσης?

Όλοι οι κόμβοι τερματισμού VPN ρυθμίζονται μέσω κεντρικού συστήματος διαχείρισης διαμόρφωσης ώστε να μην καταγράφονται ρητά η ταυτότητα και η δραστηριότητα του χρήστη, επομένως δεν απαιτείται διαγραφή πληροφοριών.

6. Τι συμβαίνει με το αρχείο openvpn.log και τις πληροφορίες που υπάρχουν σε αυτό κατά τη σύνδεση VPN / αποσύνδεση?

Όλες οι υπηρεσίες OpenVPN που εκτελούνται στο PureVPN’Οι κόμβοι τερματισμού δεν αποθηκεύουν κανένα αρχείο καταγραφής εξαιτίας των αρχικά οριζόμενων μεταβλητών διαμόρφωσης:

log / dev /μηδενικό
κατάσταση / dev /μηδενικό

Αυτό σημαίνει ουσιαστικά ότι τα αρχεία καταγραφής από το OpenVPN, τα οποία είναι ενεργοποιημένα από προεπιλογή, έχουν απενεργοποιηθεί και διοχετεύονται μέσω του / dev / null. Για να επεξεργαστείτε, το / dev / null είναι ένα ειδικό αρχείο που ονομάζεται ‘μηδενική συσκευή’ σε συστήματα Unix.

Αυτό το τμήμα των συστημάτων UNIX μπορεί βασικά να συμπέσει ως μια θέση όπου κάθε πληροφορία απορρίπτεται αμέσως όταν γράφεται σε αυτήν και επιστρέφει μόνο ένα end-of-file EOF όταν διαβάζεται.

7. Πώς λειτουργεί το PureVPN’s API σβήνει το API διακοπής της καταγραφής των διευθύνσεων IP του χρήστη?

PureVPN’s διακόπτης διαδικτυακής θανάτωσης ΔΕΝ χρησιμοποιείτε καμία υπηρεσία που βασίζεται σε API και επίσης ΔΕΝ εγγράφετε κανέναν τύπο διευθύνσεων IP χρηστών.

8. Οι εξισωτές φορτίου χρησιμοποιούνται από τους παρόχους VPN για να παραδώσουν τη σύνδεση στο διακομιστή τερματισμού VPN. Πώς θα το σταματήσετε από την καταγραφή πληροφοριών, ακόμα κι αν είναι στιγμιαία?

Το PureVPN χρησιμοποιεί διαφορετικές τεχνικές για τη διανομή του φορτίου χρήστη / σύνδεσης σε κόμβους VPN, παρόμοιο με τον τρόπο που χρησιμοποιούμε τους διακομιστές API για να βρούμε τους καλύτερους δυνατούς εξυπηρετητές. Επομένως, δεν χρησιμοποιούμε συμψηφιστικά φορτία και συνεπώς οι χρήστες μας δεν είναι’t να εκτεθεί.

9. Πώς σταματάτε την καταγραφή των διαδρομών URL στα αρχεία καταγραφής API?

Οι διακομιστές API εξασφαλίζουν ότι ένας διακομιστής VPN με την καλύτερη δυνατή ταχύτητα τίθεται στη διάθεση του χρήστη βάσει των επιλογών του. Οποιοσδήποτε τύπος καταγραφής συστημάτων και υπηρεσιών δεν βρέθηκε στον διακομιστή API, όπως επαληθεύτηκε από τους ανεξάρτητους ελεγκτές.

10. Τι είναι το PureVPN’ώστε να διασφαλιστεί ότι οι διακομιστές με virtualized ή containerized δεν καταγράφουν δεδομένα?

Οι διακομιστές με εικονικοποίηση ή τους Containerized δεν μας διαφέρουν, εφαρμόζουμε τις πολιτικές απορρήτου και τις διαδικασίες μας σε όλους τους τύπους διακομιστών που χρησιμοποιούνται. Η ίδια η ελεγκτική εταιρεία επέλεξε τυχαία διαφορετικούς διακομιστές για να ελέγξει τους ισχυρισμούς μας χωρίς καταγραφές.

Χρησιμοποιούμε playbooks για την κεντρική υλοποίηση μη καταγραφής σε όλους τους διακομιστές VPN μας, ο οποίος περιλαμβάνει το Linux, τα Windows και τις εικονικές και γυμνές μεταλλικές παραλλαγές τους. 

Αυτός ο έλεγχος ασφάλειας είναι το αποτέλεσμα μιας δικαστικής διαδικασίας, κατά την οποία ένας άνδρας της Μασαχουσέτης συνελήφθη με την κατηγορία του cyberstalking, εναντίον ενός πρώην συγκάτοικου και των μελών της οικογένειας / φίλων της.

Τα έγγραφα του δικαστηρίου ανέφεραν ότι τα αρχεία καταγραφής που παρείχε το PureVPN από το FBI βοήθησαν στην δίωξη. Ενώ αυτό βοήθησε στο τέλος ενός έτους’η αξία της δυστυχίας για το θύμα, ο πάροχος με έδρα το Χονγκ Κονγκ μεταφέρθηκε μέσα από τη λάσπη από τη συνείδηση ​​της ιδιωτικότητας.

Υπό το πρίσμα αυτού του γεγονότος, το PureVPN αναθεώρησε την πολιτική απορρήτου τους, αναφέροντας σαφώς ότι δεν διατηρούν προσωπικές πληροφορίες ταυτότητας (PII) των χρηστών του.

Τυλίξτε τα πράγματα

Αφού ρωτήσετε αυτές τις ερωτήσεις και κοιτάζοντας το PureVPN’η πρόσφατη ιστορία της πρωτοβουλίας Industry-first (και κάποιες εξισωτικές) πρωτοβουλίες, αισθάνομαι βέβαιος ότι ο πάροχος αυξάνεται σταθερά ανάμεσα στις τάξεις των κορυφαίων παικτών στην αγορά και παραμένει ανυπόμονος να δει ποια είναι η επόμενη κίνηση τους!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me