تدقيق PureVPN & rsquo؛ s: لكل سحابة بطانة فضية (لم يتم التحقق من السجلات)

PureVPN Audit for No Logs

تنضم PureVPN إلى صفوف أفضل خدمات VPN للتحقق من صحة مطالباتهم بدون سجلات ، كجزء من التزامهم بتوفير خصوصية وأمان قويين لعملائها في جميع أنحاء العالم ، على الرغم من كونهم صديقين بشكل لا يصدق!

قامت شركة التدقيق الأمني ​​Altius IT بتحليل PureVPN’سجلات بخصوص استعلامات DNS ، وحركة المرور الصادرة ، ومواقع الويب التي تمت زيارتها ، وسجل التصفح ، ووقت الاتصال ، والمستخدم’s عنوان IP الأصلي ، VPN المخصص ، سجلات الاتصال ، وأنشطة التصفح. 

كما اختبروا PureVPN’s ملفات سجل النظام ، ومستندات البنية الأساسية للشبكة ، وتكوينات النظام ، وبعد ذلك أعطوا PureVPN رسميًا شيتًا نظيفًا في مطالباتهم بعدم وجود سجلات.

نظرًا لأن عمليات التدقيق أصبحت اتجاهًا في صناعة VPN ، فقد قررت الخروج بمجموعة من الاستعلامات الفنية ، وإرسالها إلى خدمات VPN مختلفة خضعت للتدقيق.

نظرًا لأن PureVPN أصدرت مؤخرًا أخبارًا عن تدقيقها ، فقد كانت فعالة جدًا في الرد على أسئلتنا ، حيث قدمت إجابات مفصلة:

1. لماذا اخترت Altius IT?

لقد اخترنا Altius IT بسبب سجل حافل من 25 عامًا واعتماد لمراجعات الأمان (ISACA لـ CISA ، CRISC & CGEIT). وهي تقع في ولاية كاليفورنيا التي تشتهر شركات الإنترنت المستهلك على نطاق واسع.

لديهم خبرة مع المؤسسات على نطاق الإنترنت والبنى الاستهلاكية. وهم يفهمون الفروق الدقيقة في الخصوصية التي تتطلبها شركات الإنترنت لتعمل في بيئة عالمية.

كان أسلوب Altius IT مثيرًا للإعجاب. لقد فاجأنا فريق Altius IT بتكامله مع أن يصبح مديرو الشركة مستخدمين للغموض ، حيث يقومون بعمل تدقيق عملي وتحليل تهديدات. تفرد السيناريوهات وعدد أنشطة التدقيق لم يكن متوقعًا.

2. ما هو مدى هذا التدقيق?

لقد كانت نهاية مكثفة لتدقيق الحسابات. سمحنا وتوفير جميع الوصول لهم لالتقاط النظم التي هم’د تريد في إرادتهم. نظروا إلى كل شيء من خوادم VPN الخاصة بنا إلى التكوينات إلى خدمات الأنظمة وواجهات برمجة التطبيقات.

نظروا أيضًا في قواعد البيانات الخاصة بنا وتتبعوا تدفق البيانات بالكامل لضمان عدم تخزين معلومات تعريف المستخدم في أي مكان. يتوفر تقرير التدقيق الكامل للناشرين عند الطلب وتم توفيره لجميع مستخدمينا داخل منطقة الأعضاء.

3. ما هي الخطوات الإضافية ، إن وجدت ، التي تخطط لتطمين المستخدمين بأعلى معايير الخصوصية?

هذه المراجعة جزء من سلسلة من الخطوات التي نتخذها لتعزيز التزامنا بالخصوصية الحقيقية. بصرف النظر عن كونها أول من امتثل لـ GDPR ولديها سياسة الخصوصية الأكثر شفافية حتى الآن ، فإن PureVPN هي المزود الأول والوحيد الذي لديه برنامج مكافآت الأخطاء العامة المدفوعة (Bugcrowd.com/purevpn) حيث يوجد أكثر من 90.000 مجتمع قوي من المتسللين ذوي القبعة البيضاء اختبار مستمر وتعزيز خدمتنا. نسعى جاهدين ليلا ونهارا لتقديم المزيد والمزيد من القيمة لملايين المشتركين في أكثر من 120 دولة يثقون في أمنهم وخصوصيتهم معنا.

خطوتنا التالية ، التي نحتفظ بها على مقربة من الصندوق في الوقت الحالي ، ستكون مثيرة على قدم المساواة والصناعة الأولى لمشتركينا الواعيين بالخصوصية.

4. كيف يمكنك التحقق من عدم وجود سجل ولكن لا تزال تفرض قيودًا على الاتصالات المتزامنة?

لقد انتهينا’ر بحاجة إلى سجلات لمشاهدة اتصالات المستخدم في وقت واحد. نحن ببساطة نعتمد على حالة الاتصال المباشر للعثور على عدد الاتصالات النشطة ، التي يتم قطعها على الفور إذا تجاوزت الحد المحدد.

على سبيل المثال ، إذا قام أحد مستخدمينا بالاتصال بأي عقدة VPN ثم استخدم نفس الحساب لإنشاء اتصال VPN آخر ، فإن رقم الحساب ينتقل من 1 إلى 2 في مدير الجلسة المركزي (الذي يتم تدقيقه بواسطة مدققي الحسابات المستقلين). إذا تم إضافة اتصال آخر علاوة على ذلك ، يصبح 3.

إذا استمر المستخدم في إضافة المزيد من الاتصالات ، في النهاية تجاوز العدد 5 ، وهو الحد المسموح به لدينا - يتم إنهاء جميع الاتصالات على الفور (وسيتلقى المستخدم رسالة بريد إلكتروني تفيد بأنه انتهك موقعنا “multilogins الحد”).

5. تمتلك عقد VPN إنهاء الملكية الكاملة لهوية المستخدم والأنشطة. كيف يمكنك التأكد من حذف المعلومات بعد انتهاء الجلسة?

يتم تكوين جميع عقد إنهاء VPN عبر نظام إدارة التكوين المركزي بشكل صريح لعدم تسجيل هوية المستخدم ونشاطه ، وبالتالي لا يلزم مسح المعلومات.

6. ماذا يحدث لملف openvpn.log والمعلومات الموجودة فيه عند اتصال / قطع اتصال VPN?

جميع خدمات OpenVPN قيد التشغيل على PureVPN’لا تقوم عقد إنهاء العقد بتخزين أي سجلات بسبب متغيرات التكوين المحددة في البداية:

سجل / ديف /لا شيء
الحالة / ديف /لا شيء

مما يعني بشكل أساسي أن السجلات من OpenVPN ، والتي يتم تشغيلها بشكل افتراضي ، قد تم تعطيلها وأنابيب من خلال / dev / null. لوضع ، / dev / null هو ملف خاص يسمى ‘جهاز فارغ’ في أنظمة يونيكس.

يمكن اختتام هذا الجزء من أنظمة UNIX بشكل أساسي كموقع حيث يتم تجاهل كل جزء من المعلومات فورًا عند كتابتها إليه وإرجاع EOF في نهاية الملف فقط عند القراءة.

7. كيف PureVPN’ق التطبيق قتل التبديل API إيقاف تسجيل عناوين IP للمستخدم?

PureVPN’لا يستخدم مفتاح قتل الإنترنت أي خدمة قائمة على API وأيضًا لا يسجل أي نوع من عناوين IP الخاصة بالمستخدم.

8. يتم استخدام موازنات التحميل بواسطة مزودي VPN لتسليم الاتصال بخادم VPN Termination. كيف يمكنك منعها من تسجيل المعلومات ، حتى لو كانت مؤقتة?

تستخدم PureVPN تقنيات مختلفة لتوزيع حمل المستخدم / الاتصال على عقد VPN ، على غرار الطريقة التي نستخدم بها خوادم API للعثور على أفضل الخوادم الممكنة. لذلك ، لا نستخدم موازنات التحميل المضمّنة ، وبالتالي لا نستخدمها’ر تتعرض.

9. كيف يمكنك إيقاف تسجيل مسارات URL في سجلات واجهة برمجة التطبيقات?

تضمن خوادم واجهة برمجة التطبيقات (API) أن خادم VPN الذي يتمتع بأفضل سرعة ممكنة متاح للمستخدم بناءً على اختياراته. لم يتم العثور على أي نوع من نظام وتسجيل الخدمة على خادم API ، كما تم التحقق منها من قبل المدققين المستقلين.

10. ما هو PureVPN’ق عملية لضمان خوادم افتراضية أو حاويات لا تسجل البيانات?

لا تشكل الخوادم الافتراضية أو الحاوية أي اختلاف بالنسبة لنا ، فنحن نفرض سياساتنا وعملياتنا على جميع أنواع الخوادم المستخدمة. اختارت شركة التدقيق نفسها خوادم مختلفة بشكل عشوائي لاختبار مطالباتنا بعدم وجود سجلات.

نحن نستخدم قواعد تشغيل التكوين للتنفيذ المركزي لعدم تسجيل الدخول على جميع خوادم VPN لدينا ، والتي تشمل Linux و Windows ومتغيراتها الافتراضية والعارية. 

هذا التدقيق الأمني ​​هو نتيجة لقضية في المحكمة ، حيث تم القبض على رجل من ولاية ماساتشوستس بتهمة الملاحقة الإلكترونية ، ضد زميلة سابقة في الغرفة وأفراد أسرتها / أصدقائها.

أشارت وثائق المحكمة إلى أن السجلات التي قدمتها PureVPN من مكتب التحقيقات الفيدرالي ، ساعدت في الملاحقة القضائية. في حين أن هذا ساعد في نهاية العام’بسبب البؤس الذي لحق بالضحية ، تم سحب مقدم الخدمة الذي يتخذ من هونغ كونغ مقراً له من خلال الوصي.

في ضوء هذا الحدث ، جددت PureVPN سياسة الخصوصية الخاصة بها ، مع الإشارة بوضوح إلى أنها لا تحتفظ بمعلومات التعريف الشخصية (PII) لمستخدميها.

التفاف الامور

بعد طرح هذه الأسئلة والنظر في PureVPN’التاريخ الحديث لمبادرات الصناعة الأولى (وبعض المعادلات) ، أشعر بالثقة من أن المزود يزداد بثبات بين صفوف أفضل اللاعبين في السوق ويبقى حريصًا على معرفة ماهية الخطوة التالية.!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me