Jarenlang vertrouwden gebruikers op niets anders dan reputatie en vertrouwen als het ging om het beoordelen van claims van VPN-providers.
Maar recenter hebben VPN's onafhankelijke beveiligingsaudits gekregen om hun privacy- en beveiligingsbeloften te ondersteunen met iets anders dan marketing-modewoorden.
"Een beveiligingsaudit is een hulpmiddel dat de gezondheid van een project in het algemeen aantoont", zegt Harlo Holmes, directeur Digitale beveiliging bij Freedom of the Press Foundation.
Jon Callas, senior technology fellow voor de ACLU, beschrijft beveiligingsaudits als een tweede paar ogen.
Accountantsorganisaties kunnen zien of een VPN zijn bedoeling al dan niet waarmaakt.
Maar VPN-audits zijn niet waterdicht en ze zijn niet allemaal hetzelfde.
De vraag is: wat bewijst een VPN-audit en hoe kunnen gebruikers de waarde van een bepaalde audit beoordelen?
Gepubliceerd of niet gepubliceerd
VPN's promoten vaak hun eigen audits als een manier om vertrouwen van hun gebruikers te wekken (of te herwinnen).
NordVPN kondigde bijvoorbeeld aan dat het een nieuwe audit zou laten uitvoeren kort nadat het nieuws over inbreuken in 2018 onlangs openbaar was gemaakt.
Niet alle bedrijven geven het publiek echter toegang tot de resultaten van deze audits.
Simon Migliano, hoofd onderzoek bij PrivacyCo.
(het moederbedrijf van Top10VPN) zegt dat VPN's de audits zonder beperking online moeten publiceren om "de geest van het uitvoeren van deze audits te omarmen" in plaats van door wat hij ziet als een leeg gebaar.
"Ik denk niet dat het voor gebruikers veel waarde toevoegt als ze een blogpost publiceren met de tekst: 'Hé, we hebben een audit gedaan door een bedrijf', een of twee alinea's met veronderstelde bevindingen citeren en dan zeggen: 'Oh, nu kun je ons vertrouwen' ', zei hij.
Het is niet altijd gemakkelijk om te bepalen welke accountantskantoren zelf betrouwbaar zijn, maar veel hebben websites waarop hun accountants, hun referenties en hoelang ze al in de branche zijn vermeld, wat een goed startpunt kan zijn.
Zoek ook naar audits door bedrijven die hun bevindingen onafhankelijk publiceren.
PricewaterhouseCoopers is een bekende naam, en dat kan enig vertrouwen wekken bij een audit.
Cure53, een andere naam die naar voren komt in verband met beveiligingsaudits, is misschien minder bekend buiten de branche, maar is meer gespecialiseerd in cybersecurity.
"Als [an audit] werd alleen vrijgegeven door het PR-team van de VPN, en de onafhankelijke auditor gaf hen geen toestemming om hun naam te gebruiken, en ze publiceerden het niet onafhankelijk, wat naar mijn mening enkele vragen zou oproepen over hoe legitiem en hoe intensief die audit is was, of hoe slecht waren de bevindingen, en welke zijn niet opgelost ”, aldus Jon Camfield, directeur Global Technology Strategy bij Internews.
Soorten audits
De twee meest voorkomende VPN-audits zijn privacyaudits (die zijn gericht op het verifiëren van de logboekregistratie van de organisatie) en meer uitgebreide beveiligingsaudits (die een bredere blik werpen op het bedrijf en zijn beveiligingspraktijken).
Dit laatste is het type audit dat NordVPN zegt te ondernemen.
"Soms wordt het water opzettelijk vertroebeld door de iets minder ethische aanbieders over wat ze hebben gedaan als ze met hun gebruikers communiceren", aldus Migliano.
"Er lijkt een tendens te zijn om de term 'onafhankelijke beveiligingsaudit' te gebruiken als een catchall voor 'hé, nu kun je ons vertrouwen', wat volgens mij geen goede zaak is."
Hoewel het belangrijk is om te kijken of het logboekbeleid van een VPN overeenkomt met zijn praktijken, vindt Migliano het als onvolledig.
Bedrijven moeten auditors toestaan ??te kijken naar "het volledige spectrum van klanten en applicaties, back-endinfrastructuur en kerndiensten", zei hij.
Hoe zit het met open source?
Sommige VPN's die geen eigen onafhankelijke beveiligingsaudits van derden hebben gehad, beweren dat ze niet nodig zijn omdat hun producten gecontroleerde open-sourcehulpmiddelen en bibliotheken gebruiken.
Maar experts zeggen dat dat niet genoeg is.
'Wat niet open is, is hoe ze ze precies aan elkaar knopen,' zei Camfield.
"Hebben ze ze geconfigureerd volgens de best practices uit de branche, of zelfs de best practices op het gebied van cryptografie? Dat is erg handig voor de audit om naar te kijken."
Tools die zijn gebouwd op gecontroleerde en open source-tools kunnen op een onveilige manier met uw systeem communiceren, onjuist worden geïmplementeerd, verkeerd geconfigureerde code bevatten of accounts onjuist registreren of opslaan.
"Er is veel meer dan alleen: 'Oh, we gebruiken deze open bibliotheken.' Nou, heb je ze correct gebruikt? ' Zei Camfield.
De reikwijdte van een audit
Audits hebben doorgaans een bereik dat raakt aan wat er precies wordt gecontroleerd, de gebruikte methoden en hoe uitgebreid de opdracht is, evenals hoeveel mensen de app controleren en hoe lang ze hebben.
"Als iemand dingen wil spelen, kunnen ze het zeker spelen door de audit te beperken tot dingen waarvan ze weten dat ze zullen slagen", zei Callas.
Een audit kan bijvoorbeeld alleen betrekking hebben op mobiele apps of browserextensies in plaats van op de volledige VPN die u van plan bent te gebruiken.
Soms kan het nodig zijn om tussen de regels door wat te lezen om de reikwijdte te begrijpen.
"Een audit zou het feit kunnen verdoezelen dat belangrijke dingen niet echt zijn gecontroleerd", zei Holmes.
"Als je bijvoorbeeld iemand de GUI laat auditen, bevat deze dan eigenlijk het onderliggende protocol, of de selectie van protocollen of welke encryptieprotocollen er worden aangeboden en hoe configureerbaar dat is? Dat maakt eigenlijk een enorm verschil."
Een gloeiende audit met een beperkte reikwijdte zegt helemaal niet veel over de privacy en veiligheid van een VPN.
Een beperkt bereik kan bijvoorbeeld alleen auditors toestaan ??om naar de broncode te kijken in plaats van door VPN-systemen en kopieën van (of zelfs echte) productieservers te graven.
"Je code zou geweldig kunnen zijn, maar als je backend-servers niet in de audit waren opgenomen, is het niet echt holistisch of bruikbaar in welke vorm dan ook", aldus Camfield.
Bij het evalueren van auditrapporten en hun reikwijdte, kijkt Holmes bovendien of auditors reproduceerbare bouwprotocollen implementeren, "zodat ze in hogere mate kunnen bewijzen dat wat je daadwerkelijk downloadt en installeert overeenkomt met wat de ontwikkelaars werkelijk bedoeld hadden."
Aanbevolen door onze redacteuren
Rapporteer bevindingen
Auditrapporten zijn technische documenten die aangeven welke kwetsbaarheden zijn gevonden in de VPN die is geëvalueerd.
Een audit die aantoont dat een VPN enkele bugs heeft, is niet per se slecht.
In feite is het eigenlijk goed nieuws wanneer auditors problemen ontdekken die worden verholpen.
"Mijn mening over elk soort bugs en rapportage is dat het kenmerk van wat een goed bedrijf maakt, is hoe ze met de problemen omgaan, waaronder hoe snel ze ze oplossen en of ze proberen er al dan niet uit te komen dat het een probleem is.
, 'Zei Callas.
Auditrapporten moeten informatie bevatten over fixes tijdens een vervolgopdracht wanneer de auditors weer inchecken.
Omdat beveiligingsaudits slechts een moment in de tijd weergeven, moeten ze iets zijn waar een bedrijf periodiek in investeert.
"Het is niet de bedoeling dat je een keer een audit krijgt en daarna nooit meer", zei Holmes.
VPN's worden vrij vaak bijgewerkt en er worden voortdurend beveiligingsbugs ontdekt, dus vaker wel dan niet is de audit niet de tool die u gebruikt.
'Het perfecte is de vijand van het goede', zei Camfield.
"In een geïdealiseerde perfecte wereld zou alle code open zijn, zouden de builds reproduceerbaar zijn (wat betekent dat je kunt verifiëren dat de open source die iedereen kan zien, precies is wat de tool heeft gegenereerd die je daadwerkelijk op je apparaat gebruikt) en elke nieuwe release zou onafhankelijk worden gecontroleerd.
"
"De overhead en de beperkingen die zouden gelden voor de ontwikkeling van gereedschappen zijn niet onbelangrijk", aldus Camfield.
"Dus ik zie het echt als iets doen.
Zeker, het is een momentopname, maar ik zou liever zien dat iedereen een jaarlijkse audit of tweejaarlijkse audit doorloopt dan niets."
Niet elke potentiële VPN-gebruiker zal de moeite nemen om audits onder de loep te nemen voordat hij zich abonneert.
Soms wil je Netflix gewoon deblokkeren.
Maar als u bijvoorbeeld op zoek bent naar een VPN om u veilig en privé te houden in een onvriendelijke omgeving, is het waarschijnlijk de moeite waard om dit soort dingen serieus te nemen.
En wat voor soort VPN-gebruiker u ook bent, het kan nooit kwaad om beter geïnformeerd te zijn.
