PureVPN’の監査:すべてのクラウドにはシルバーライニングがあります(ログなしの検証済み)

ログなしのPureVPN監査

PureVPNは、信じられないほどポケットに優しいにもかかわらず、世界中の顧客に強力なプライバシーとセキュリティを提供するというコミットメントの一環として、ログなしのクレームを検証するためにトップVPNサービスのランクに加わりました!

セキュリティ監査会社Altius ITがPureVPNを分析しました’DNSクエリ、送信トラフィック、訪問したWebサイト、閲覧履歴、接続時間、ユーザーに関するログ’発信元IPアドレス、割り当てられたVPN IP、接続ログ、および閲覧アクティビティ. 

また、PureVPNをテストしました’sシステムログファイル、ネットワークインフラストラクチャドキュメント、およびシステム構成。これにより、PureVPNにログなしクレームに関する明確な情報を提供しました。.

VPN業界では監査がトレンドになりつつあるため、監査を受けたさまざまなVPNサービスに送信する一連の技術的なクエリを作成することにしました.

PureVPNは最近監査についてのニュースをリリースしたばかりであるため、詳細な回答を提供し、私たちの質問に非常に積極的に対応していました。

1. Altius ITを選んだ理由?

Altius ITを選択したのは、25年の実績とセキュリティ監査の認定(ISACA for CISA、CRISC & CGEIT)。彼らは大規模な消費者インターネット会社でよく知られているカリフォルニアに拠点を置いています.

彼らは、インターネット規模のエンタープライズおよびコンシューマーアーキテクチャの経験があります。また、インターネット規模の企業がグローバルな環境で運用するために必要なプライバシーの微妙な違いを理解しています。.

Altius ITのアプローチは印象的でした。 Altius ITチームは、会社のプリンシパルがミステリーユーザーになり、実践的な監査作業と脅威分析を実施していることに驚かされました。シナリオの一意性と監査アクティビティの数は予想外でした.

2.この監査の範囲はどのくらいでしたか?

集中的なエンドツーエンドの監査でした。すべてのアクセスを許可およびプロビジョニングして、どのシステムを取得するかを決定しました’d自分の意志で欲しい。彼らは私たちのVPNサーバーからシステムサービスやAPIまでの構成に至るまですべてを見ました.

また、データベースを調べ、データフロー全体をトレースして、ユーザーを特定できる情報がどこにも保存されないようにしました。パブリッシャーはリクエストに応じて完全な監査レポートを利用でき、メンバーエリア内のすべてのユーザーが利用できます。.

3.プライバシー基準が最も高いユーザーを安心させるために、追加の手順があれば、どのような手順を計画していますか?

この監査は、真のプライバシーへのコミットメントをさらに強化するために行っている一連の手順の一部です。 GDPRに最初に準拠し、これまでで最も透明なプライバシーポリシーを持っていることは別として、PureVPNは、90,000人以上の強力なホワイトハットハッカーのコミュニティである、有料のバグバウンティプログラム(Bugcrowd.com/purevpn)を持つ最初で唯一のプロバイダーですサービスを継続的にテストおよび強化します。私たちは、120か国以上の何百万人もの加入者に、より多くの価値を提供し、彼らのセキュリティとプライバシーを信頼するように日々努力しています。.

私たちの次の動きは、今のところ胸に近づいていますが、プライバシーを意識した加入者にとっても同様に刺激的で業界初です。.

4.ログレスであることをどのように確認しますが、それでも同時接続に制限を課しますか?

私たちはドン’同時ユーザー接続を監視するログが必要です。 LIVE接続状態に基づいて、アクティブな接続の数を見つけるだけです。アクティブな接続は、指定された制限を超えるとすぐに切断されます.

たとえば、ユーザーの1人が任意のVPNノードに接続し、同じアカウントを使用して別のVPN接続を確立すると、集中セッションマネージャー(独立監査人が監査)でカウント数が1から2に切り替わります。その上に別の接続が追加されると、3になります.

ユーザーがさらに接続を追加し続け、最終的にカウント5を超えた場合、これは制限です。すべての接続は即座に終了します(ユーザーは、違反していることを示すメールを受け取ります “マルチログイン制限”).

5. VPN終了ノードは、ユーザーIDとアクティビティを完全に所有しています。セッション終了後に情報が確実に削除されるようにする方法?

すべてのVPNターミネーションノードは、中央の構成管理システムを介して構成され、ユーザーのIDとアクティビティを明示的に記録しないため、情報を消去する必要はありません。.

6. openvpn.logファイルと、VPN接続/切断時にそこに存在する情報はどうなりますか?

PureVPNで実行中のすべてのOpenVPNサービス’s初期設定された構成変数のため、終端ノードはログを保存しません。

log / dev /ヌル
ステータス/ dev /ヌル

これは基本的に、デフォルトで有効になっているOpenVPNからのログが無効化され、/ dev / nullを介してパイプされたことを意味します。詳しく説明すると、/ dev / nullは、 ‘ヌルデバイス’ Unixシステム.

UNIXシステムのこの部分は、基本的に、書き込まれたときに情報のすべてのビットが即座に破棄され、読み取り時にファイルの終わりのEOFのみを返す場所として結論付けることができます.

7. PureVPNの仕組み’s app kill switch APIはユーザーIPアドレスの記録を停止します?

PureVPN’sインターネットキルスイッチは、APIベースのサービスを使用せず、ユーザーIPアドレスも記録しません。.

8. VPNプロバイダーは、ロードバランサーを使用して、接続をVPN終了サーバーに渡します。一時的に情報が記録されないようにするにはどうすればよいですか?

PureVPNは、APIサーバーを使用して最適なサーバーを見つける方法と同様に、さまざまな手法を使用してユーザー/接続の負荷をVPNノードに分散します。したがって、インラインロードバランサーは使用しないため、ユーザーは’露出される.

9. APIログのURLパスの記録を停止するにはどうすればよいですか?

APIサーバーは、ユーザーの選択に基づいて、可能な限り最高の速度のVPNサーバーをユーザーが使用できるようにします。独立監査人によって検証されたように、APIサーバーでシステムおよびサービスのログ記録の種類は見つかりませんでした.

10. PureVPNとは’仮想化またはコンテナ化されたサーバーがデータを記録しないようにするプロセス?

仮想化またはコンテナ化されたサーバーは私たちに違いをもたらしません。使用中のすべてのタイプのサーバーにプライバシーポリシーとプロセスを適用します。監査会社自体が、ログなしのクレームをテストするために異なるサーバーをランダムに選択しました.

構成プレイブックを使用して、Linux、Windows、およびそれらの仮想およびベアメタルバリアントを含むすべてのVPNサーバーでログ記録を一元的に実装します. 

このセキュリティ監査は、マサチューセッツ州の男性がサイバーストーキングの容疑で逮捕され、元女性のルームメイトと彼女の家族/友人に対する裁判の結果です.

裁判所の文書は、FBIからPureVPNによって提供されたログが訴追に役立ったことを示しました。これは1年を終わらせるのに役立ちましたが’被害者にとって苦痛の価値がある、香港を本拠地とするプロバイダーは、プライバシーを意識した.

その出来事に照らして、PureVPNはプライバシーポリシーを改訂し、ユーザーの個人情報(PII)を保持しないことを明確に述べました。.

物事をまとめる

これらの質問をし、PureVPNを見た後’業界初の(そしていくつかのイコライジング)イニシアチブの最近の歴史、私はプロバイダーが市場のトッププレイヤーのランクの中で着実に上昇していると確信し、彼らの次の動きが何であるかを見て熱望し続けます!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me