VPN-teenuse pakkujate väidete hindamisel ei kasutanud kasutajad aastaid peale maine ja usalduse.
Kuid viimasel ajal on VPN-id korraldanud sõltumatuid turvaauditeid, et varundada oma privaatsus- ja turvalisusealaseid lubadusi millegi muu kui moesõnade turundamisega.
"Turvaaudit on üks vahend, mis demonstreerib projekti tervislikkust," ütles SA Freedom of Press digitaalse turvalisuse direktor Harlo Holmes.
ACLU vanemteadur Jon Callas kirjeldab turvaauditit teise silmana.
Audiitorfirmad näevad, kas VPN täidab oma kavatsusi või mitte.
Kuid VPN-auditid pole lollikindlad ja need pole kõik ühesugused.
Küsimus on selles, mida tõendab VPN-audit ja kuidas saavad kasutajad hinnata iga antud auditi väärtust?
Avaldatud või avaldamata
VPN-id reklaamivad sageli omaenda auditeid kui viisi, kuidas tekitada (või taastada) kasutajate usaldus.
Näiteks teatas NordVPN, et tellib uue auditi kohe pärast seda, kui hiljuti avaldati uudised 2018.
aasta rikkumistest.
Kuid mitte kõik ettevõtted ei luba avalikkusel juurdepääsu nende auditite tulemustele.
Simon Migliano, PrivacyCo uurimisjuht.
(Top10VPNi emaettevõte) ütleb, et VPN-id peavad auditi auditid veebis piiranguteta avaldama, et "omaks võtta nende auditite teostamise vaimu", selle asemel, et läbi elada tema arvates sisuliselt tühi žest.
"Ma ei usu, et see lisab kasutajatele palju väärtust, kui nad panevad ajaveebipostituse välja, öeldes:" Hei, me oleme ettevõtte auditi teinud ", tsiteerides ühte või kahte lõiku oletatavatest leidudest ja olles siis nagu "Oh, nüüd saate meid usaldada," ütles ta.
Alati pole lihtne öelda, millised audiitorfirmad ise on usaldusväärsed, kuid paljudel on veebisaidid, kus on kirjas nende audiitorid, volikirjad ja kui kaua nad selles valdkonnas tegutsevad, mis võib olla hea lähtepunkt.
Samuti otsige auditeid ettevõtetelt, kes avaldavad oma järeldused iseseisvalt.
PricewaterhouseCoopers on tuntud nimi ja see võib tekitada auditis teatud usaldust.
Cure53, teine ??nimi, mis turvaaudititega seoses välja tuleb, võib olla väljaspool seda tööstust vähem tuntud, kuid see on rohkem spetsialiseerunud küberturvalisusele.
"Kui [an audit] avaldas ainult VPN-i suhtekorraldusmeeskond ja sõltumatu audiitor ei andnud neile luba oma nime kasutada ja nad ei avaldanud seda ka iseseisvalt, see tekitaks minu arvates mõningaid küsimusi selle kohta, kui õigustatud ja kui intensiivne see audit oli oli või kui halvad olid leiud ja milliseid ei parandatud, "ütles Internewsi globaalse tehnoloogiastrateegia direktor Jon Camfield.
Auditite tüübid
Kaks levinumat VPN-auditit on privaatsusauditid (mis keskenduvad organisatsiooni logimispraktikate kontrollimisele) ja põhjalikumad turvaauditid (mis käsitlevad laiemalt ettevõtet ja selle turvatavasid).
Viimane on seda tüüpi audit, mida NordVPN ütleb enda jaoks ette võtvat.
"Veidi vähem eetiliste teenusepakkujate vahel toimub mõnikord tahtlik vee pudistamine selle kohta, mida nad on teinud, kui nad oma kasutajatega suhtlevad," ütles Migliano.
"Tundub, et kiputakse kasutama terminit" sõltumatu turvaaudit "" hei, nüüd saate meid usaldada ", mis pole minu arvates hea asi.
Kuigi on oluline uurida, kas VPN-i logimispoliitika vastab tema tavadele, peab Migliano tema sõnul seda puudulikuks.
Ettevõtted peavad lubama audiitoritel vaadata ka "klientide ja rakenduste kogu spektrit ning infrastruktuuri ja põhiteenuste taustaprogrammi", ütles ta.
Kuidas on lood avatud lähtekoodiga?
Mõned VPN-id, kellel pole olnud oma sõltumatuid kolmanda osapoole turvaauditeid, väidavad, et need pole vajalikud, kuna nende tooted kasutavad auditeeritud avatud lähtekoodiga tööriistu ja teeke.
Kuid eksperdid ütlevad, et sellest ei piisa.
"Mis pole lahtine, on see, kuidas nad neid täpselt kokku seovad," ütles Camfield.
"Kas nad konfigureerisid need vastavalt tööstuse parimatele tavadele või isegi krüptograafiliste parimatele tavadele? See on midagi, mis on auditi jaoks ülimalt kasulik vaatamiseks."
Auditeeritud ja avatud lähtekoodiga tööriistadele ehitatud tööriistad võivad teie süsteemiga ebaturvaliselt liituda, neid saab valesti rakendada, valesti seadistatud koodiga või valesti logida või salvestada kontosid.
"Seal on palju muud kui lihtsalt:" Oh, me kasutame neid avatud raamatukogusid.
" Noh, kas kasutasite neid õigesti? " Ütles Camfield.
Auditi ulatus
Audititel on tavaliselt ulatus, mis puudutab seda, mida täpselt auditeeritakse, kasutatud meetodeid ja seotuse ulatuslikkust, samuti seda, kui palju inimesi rakendust auditeerib ja kui kaua neil on.
"Kui keegi tahab asju mängida, võiks ta seda kindlasti mängida, vähendades auditit asjadele, mille kohta nad teavad, et need läbivad," ütles Callas.
Audit võib hõlmata näiteks ainult mobiilirakendusi või brauserilaiendeid, mitte täielikku VPN-i, mida kavatsete kasutada.
Mõnikord võib ulatuse mõistmine vajada natuke lugemist ridade vahel.
"Audit võib segadusse ajada asjaolu, et olulisi asju pole tegelikult auditeeritud," ütles Holmes.
"Näiteks kui teil on keegi GUI-d auditeerinud, kas see sisaldab tegelikult selle aluseks olevat protokolli või protokollide valikut või milliseid krüpteerimisprotokolle pakutakse ja kui konfigureeritav see on? Sellel on tegelikult tohutu erinevus."
Piiratud ulatusega hõõguv audit ei räägi teile üldse VPN-i privaatsusest ja turvalisusest.
Näiteks võib piiratud ulatus audiitoritel lubada ainult lähtekoodi vaatamist, mitte VPN-süsteemide ja (või isegi reaalsete) tootmisserverite koopiate uurimist.
"Teie kood võib olla hämmastav, kuid kui teie taustservereid ei kaasatud auditisse, pole see tegelikult terviklik ega kasulik mitte mingil kujul ega moel," ütles Camfield.
Auditiaruannete ja nende ulatuse hindamisel otsib Holmes lisaks sellele, kas audiitorid rakendavad reprodutseeritavaid ehitusprotokolle, "et nad saaksid suuremal määral tõestada, et see, mida te tegelikult alla laadite ja installite, vastab arendajate tegelikule kavatsusele".
Soovitasid meie toimetajad
Teata järeldustest
Auditiaruanded on tehnilised dokumendid, mis sätestavad, millised haavatavused on hinnatud VPN-is leitud.
Audit, mis näitab, et VPN-il olid mõned vead, pole tingimata halb asi.
Tegelikult on see tegelikult hea uudis, kui audiitorid leiavad probleeme, mis parandatakse.
"Minu arvamus igasuguste vigade ja aruandluse kohta on see, et hea ettevõtte märk on see, kuidas nad probleemidega tegelevad, mis hõlmab ka seda, kui kiiresti nad neid parandavad ja kas nad üritavad sellest probleemi tekitada.
, "Ütles Callas.
Auditiaruanded peaksid sisaldama teavet paranduste kohta järelkontrolli ajal, kui audiitorid uuesti sisse logisid.
Kuna turvaauditid kajastavad ainult ajahetke, peaksid need olema asjad, millesse ettevõte perioodiliselt investeerib.
"Teil ei peaks olema kord auditit ja siis ei peaks seda enam kunagi tegema," ütles Holmes.
VPN-e värskendatakse üsna tihti ja turvavigu avastatakse pidevalt, nii et sagedamini pole auditeeritud tööriist, mida kasutate.
"Ideaalne on hea vaenlane," ütles Camfield.
"Mõnes idealiseeritud täiuslikus maailmas oleks kogu kood avatud, järkud oleksid taasesitatavad (mis tähendab, et saate kontrollida, kas kõigile avatud avatud lähtekood on see, mis lõi tööriista, mida te oma seadmes tegelikult kasutate) ja iga uut versiooni auditeeritakse iseseisvalt.
"
"Üldkulud ja tööriistade väljatöötamisele seatud piirangud pole vähetähtsad," ütles Camfield.
"Nii et ma näen seda tõesti nii, et vähemalt midagi teeksin.
Muidugi, see on ajaline ülevaade, kuid ma eelistaksin palju näha, et kõik läbiksid iga-aastase või kaks korda aastas toimuva auditi kui mitte midagi."
Mitte iga potentsiaalne VPN-i kasutaja ei viitsi enne tellimist auditeid kontrollida.
Mõnikord soovite lihtsalt Netflixi blokeerida.
Aga kui ütleme näiteks, et otsite VPN-i, mis hoiab teid ebasõbralikus keskkonnas turvaliselt ja privaatselt, on tõenäoliselt väärt sellist asja tõsiselt võtta.
Pole tähtis, milline VPN-i tarbija te olete, parem informeeritus ei saa kunagi haiget teha.
