ביקורת של PureVPN & rsquo; s: לכל ענן יש בטנה מכסף (אי-ביומנים מאומתים)

ביקורת PureVPN ללא יומנים


PureVPN מצטרף לשורות שירותי ה- VPN המובילים בכדי לאמת את טענות אי-יומני, כחלק מהמחויבות שלהם לספק פרטיות וביטחון חזקים ללקוחותיה ברחבי העולם, למרות היותם ידידותיים לכיס להפליא.!

חברת ביקורת האבטחה, Altius IT, ניתחה את PureVPN’יומני ביחס לשאילתות DNS, תנועה יוצאת, אתרי ביקור, היסטוריית גלישה, זמן חיבור, משתמש’זה שמקורו בכתובת IP, IP מוקצה ל- VPN, יומני חיבור ופעילויות גלישה. 

הם גם בדקו את PureVPN’קבצי יומן מערכות, מסמכי תשתית רשת ותצורות מערכת, שלאחריהן הם נתנו ל- PureVPN רשמית נקייה בטענות ללא היומנים שלהם..

מכיוון שביקורות הופכות למגמה בענף ה- VPN, החלטתי להעלות סדרה של שאילתות טכניות, לשלוח אותן לשירותי VPN שונים שעברו ביקורת..

מכיוון ש PureVPN רק פרסמה חדשות על ביקורתם, הם היו די פרואקטיביים בתגובה לשאלות שלנו, תוך מתן תשובות מפורטות:

1. מדוע בחרת ב- Altius IT?

בחרנו ב- Altius IT בגלל תיעוד 25 השנים וההסמכה שלהם לביקורות אבטחה (ISACA ל- CISA, CRISC & CGEIT). הם ממוקמים בקליפורניה הידועה בעיקר בחברות אינטרנט צרכניות רחבות היקף.

הם בעלי ניסיון באדריכלות ארגונית וצרכנית בהיקפים מקוונים. והם מבינים את הדקויות הפרטיות הנדרשות על ידי חברות בהיקף האינטרנט כדי לפעול במסגרת גלובלית.

גישת ה- IT של אלטיוס הייתה מרשימה. צוות ה- IT של אלטיוס הפתיע אותנו ביסודיותם כאשר מנהלי החברה הופכים למשתמשים מסתוריים, מבצעים עבודות ביקורת מעשיות וניתוח איומים. הייחודיות של התרחישים ומספר פעילויות הביקורת היו בלתי צפויים.

2. מה היקף ביקורת זו?

זה היה סוף אינטנסיבי לסיים את הביקורת. אפשרנו והקצנו עבורם את כל הגישות כדי לאסוף את המערכות שהם’אני רוצה כרצונם. הם בדקו את הכל, משרתי ה- VPN שלנו ועד לתצורות לשירותי מערכות וממשקי API.

הם גם בדקו את מאגרי המידע שלנו והתחקו אחר כל זרימת הנתונים כדי להבטיח ששום מקום שאינו ניתן לאיתור מידע המאפשר למשתמשים. דוח ביקורת מלא זמין לבעלי אתרים לפי בקשה והופך לזמין לכל המשתמשים שלנו באזור החברים.

3. אילו צעדים נוספים, אם בכלל, בכוונתך להרגיע משתמשים בסטנדרטים הגבוהים ביותר לפרטיות?

ביקורת זו הינה חלק מסדרת צעדים שאנו נוקטים בכדי להעמיק את מחויבותנו לפרטיות אמיתית. מלבד היותו הראשון שעמד אחר ה- GDPR ובעל מדיניות הפרטיות השקופה ביותר עד כה, PureVPN היא הספקית הראשונה והיחידה שיש לה תוכנית לשכר באגים בשכר ציבורי (Bugcrowd.com/purevpn) בה 90,000+ קהילה חזקה של האקרים כובעים לבנים. לבדוק ולחזק את השירות שלנו באופן רציף. אנו שואפים יום ולילה לספק ערך רב יותר ויותר למיליוני מנויים ביותר מ -120 מדינות אשר סומכים על ביטחונם ופרטיותם אתנו.

הצעד הבא שלנו, שאנחנו קרובים לחזה לעת עתה, יהיה מרגש ותעשייתי לא פחות עבור המנויים המודעים לפרטיות שלנו.

4. כיצד אתה מוודא שהוא חסר לוגני ובכל זאת מטיל גבולות על חיבורים בו זמנית?

אנחנו לא’לא צריך יומנים כדי לחפש חיבורים משתמשים בו זמנית. אנו פשוט סומכים על מצב החיבור LIVE כדי למצוא את מספר החיבורים הפעילים, שמנותקים מייד אם הם חורגים מהמגבלה שצוינה.

לדוגמה, אם אחד מהמשתמשים שלנו מתחבר לצומת VPN כלשהו ואז משתמש באותו חשבון כדי ליצור חיבור VPN אחר, מספר הספירה עובר מ- 1 לשני במנהל ההפעלה המרכזי שלנו (מבוקר על ידי מבקרי החשבון העצמאיים). אם נוסף על כך חיבור אחר, הוא יהפוך ל -3.

אם המשתמש ימשיך להוסיף עוד חיבורים, בסופו של דבר יעלה על הספירה 5 שהיא הגבול שלנו - כל החיבורים מסתיימים באופן מיידי (והמשתמש יקבל דוא"ל לפיו הוא הפר את שלנו “גבול רב-משתנים”).

5. לצומת סיום VPN יש מלא זהות משתמש ופעילויות. כיצד תוכלו להבטיח שנמחק מידע לאחר סיום הפגישה?

כל צמתי סיום ה- VPN מוגדרים באמצעות מערכת ניהול תצורה מרכזית כך שלא מפורשים במפורש זהות המשתמש ופעילותם, ולכן אין צורך למחוק מידע..

6. מה קורה לקובץ openvpn.log והמידע הקיים בו לאחר חיבור / ניתוק VPN?

כל הפעלת שירותי OpenVPN ב- PureVPN’צמתים לסיום אינם מאחסנים יומנים בגלל משתני התצורה שהוגדרו בתחילה:

יומן / dev /ריק
סטטוס / dev /ריק

מה שאומר בעצם שהיומנים מ- OpenVPN, המופעלים כברירת מחדל, הושבתו והועברו דרך / dev / null. להרחבה, / dev / null הוא קובץ מיוחד שנקרא ‘מכשיר null’ במערכות יוניקס.

למעשה ניתן להסיק את החלק הזה של מערכות UNIX כמיקום בו כל פיסת מידע מושלכת מייד כאשר נכתבים אליו ומחזירה רק EOF מקצה הקובץ בעת קריאה.

7. כיצד PureVPN’מתג API להרוג היישום עצור הקלטת כתובות IP של משתמשים?

PureVPN’מתג הרוג האינטרנט לא משתמש בשירות מבוסס API וגם לא מקליט אף סוג של כתובות IP של משתמשים.

8. מאזני עומס משמשים ספקי VPN כדי למסור את החיבור לשרת סיום VPN. איך אתה מונע ממנו להקליט מידע, גם אם זה לרגע?

PureVPN משתמש בטכניקות שונות כדי להפיץ את עומס המשתמש / חיבור לצמתי VPN, בדומה לאופן בו אנו משתמשים בשרתי API כדי למצוא את השרתים הטובים ביותר. לכן איננו משתמשים במאזני עומס מקוונים וכך המשתמשים שלנו לא עושים זאת’לא להיחשף.

9. כיצד מפסיקים את הקלטת נתיבי URL ביומני API?

שרתי API מבטיחים ששרת VPN בעל המהירות הטובה ביותר שניתן יהיה זמין למשתמש בהתבסס על בחירותיו. כל סוג של רישום מערכת ושירותים לא נמצא בשרת API, כפי שאומת על ידי רואי החשבון העצמאיים.

10. מה זה PureVPN’תהליך להבטיח שרתי וירטואליזציה או מכולות לא רושמים נתונים?

שרתי וירטואליזציה או מיכלים אינם משנה לנו, אנו אוכפים את מדיניות הפרטיות והתהליכים שלנו על כל סוג השרתים הנמצאים בשימוש. חברת הביקורת עצמה בחרה באופן אקראי בשרתים שונים לבדיקת טענות ללא יומני שלנו.

אנו משתמשים בספרי השמעה של תצורה כדי ליישם ללא התחברות רישום בכל שרתי ה- VPN שלנו, הכוללים לינוקס, Windows ואת גרסאות המתכת הווירטואליות והחשופות שלהם.. 

ביקורת ביטחונית זו היא תוצאה של מקרה בית משפט, בו נעצר גבר במסצ'וסטס באשמת מעשי סייבר, נגד שותפה לשעבר לחדר ובני משפחתה / חבריה.

מסמכי בית המשפט הצביעו כי יומנים שסיפק PureVPN מה- FBI סייעו בתביעה. ואילו זה סייע לסיים שנה’כשאומללות של הקורבן, ספק הונג קונג נגרר דרך הבוץ על ידי מודע הפרטיות.

לאור אירוע זה, PureVPN שידרה את מדיניות הפרטיות שלהם, תוך שהיא מציינת בבירור כי הם לא מחזיקים במידע המשתמשים המאפשרים זיהוי אישי (PII)..

עטוף דברים

לאחר ששאלת את השאלות הללו והסתכל על PureVPN’עם ההיסטוריה האחרונה של יוזמות ראשונות (וכמה משווקות) בתעשייה, אני מרגיש בטוח שהספק עולה בהתמדה בשורות השחקנים המובילים בשוק ונשאר להוט לראות מה הצעד הבא שלהם!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 1 = 1

map