Tehnografi.com - Технологические новости, обзоры и советы

Есть что скрывать? Почему ваш провайдер VPN должен пройти аудит

Об авторе

Себастьян является основателем hide.me VPN и более десяти лет работает в индустрии интернет-безопасности. Он начал Hide.me VPN, 6 лет назад, чтобы сделать интернет-безопасность и конфиденциальность доступными для всех.

VPN-сервисы, которым доверяют миллионы искателей свободы по всему миру, стремятся предложить своим пользователям максимальную конфиденциальность, а также максимальную безопасность. Исходя из этого, вы должны справедливо надеяться, что выбранный вами провайдер VPN сможет пройти проверку с помощью какого-либо аудита информационных систем. Действительно, кажется, что все больше и больше провайдеров VPN объявляют результаты таких проверок, чтобы доказать всему миру, что им нечего скрывать и что все на высоте.

В индустрии VPN аудиты, безусловно, становятся тенденцией, так как провайдеры стремятся узаконить свои претензии и продвигать на рынок свою продукцию. За последние пару лет независимый аудит оказался эффективным способом для провайдеров VPN-услуг проверить свои функции безопасности, а также предоставить своим клиентам больше, чем просто обещания. Благодаря таким организациям, как ISACA, и глобальным компаниям, предоставляющим профессиональные услуги, таким как PricewaterhouseCoopers, которые предлагают свои экспертные знания, этот тип аудита, безусловно, набирает обороты и получает понимание в более широком мире.

(Изображение предоставлено: Startup Stock Photos / Pixabay)

Что ваш провайдер VPN не должен записывать

Итак, какую информацию потенциально может иметь провайдер VPN, если вы решите подписаться на такую ​​услугу? Здесь может быть легче выделить то, что они не должны делать; в частности, VPN не должны вести учет следующих действий;

  • Ваши действия по просмотру
  • Ваши журналы подключения
  • Записи назначенных вам IP-адресов VPN
  • Ваши оригинальные IP
  • Ваше время соединения
  • История вашего просмотра
  • Сайты, которые вы посетили
  • Ваш исходящий трафик
  • Содержание или данные, к которым вы обращались
  • Сгенерированные вами DNS-запросы

Любая VPN должна быть привержена онлайн-конфиденциальности и безопасности своих пользователей, и как часть этого обязательства, для пользователей должно быть разумным ожидать, что любая VPN выполнит аудит безопасности как своих систем, так и своей политики отсутствия регистрации. VPN-провайдеры сделали несколько заявлений о пересмотре своих политик конфиденциальности, чтобы с гордостью носить их: «Сейчас мы VPN-компания с нулевым входом». Все провайдеры VPN, в том числе Tunnelbear, NordVPN и ExpressVPN, объявили результаты таких проверок и теперь требуют политики нулевого журнала и не регистрируют активность своих пользователей в Интернете. На самом деле наш аудит был проведен почти 4 года назад, и у нас возникает вопрос: почему другие компании так долго догоняют?

Использование VPN без регистрации должно означать, что ваш провайдер не собирает и не регистрирует вашу деятельность в сети. То есть он не собирает и не хранит информацию, передаваемую через VPN. Это означает, что просмотр на 100% анонимный, как и должно быть, если вы используете VPN. Но существует множество хорошо известных VPN, которые ведут журналы ваших сеансов просмотра, а это означает, что вы не совсем безопасны или приватны. Для спокойствия (и максимальной конфиденциальности) разумно выбрать VPN-провайдера без регистрации.

Независимые аудиты как функция

Возможность указывать на результаты аудита должна справедливо быть в той же скобке, что и такие вещи, как скорость, цена, количество серверов и т. Д., Когда люди выбирают услугу VPN. На самом деле, это, пожалуй, самый важный фактор для рассмотрения. В конце концов, если VPN не может доказать вам, что они не записывают ваши действия по просмотру страниц, историю посещенных страниц или даже ваш исходящий трафик, то с какой стати кто-то подписался бы на такую ​​услугу?

Мы также должны рассмотреть полномочия любой такой компании, проводящей эти аудиты, и то, насколько надежной является их отчетность. Любая надежная сертификация должна ставить VPN-провайдеров как в безопасность пользователей, так и в конфиденциальность их данных. Каждая категория должна иметь набор критериев, по которым эти поставщики могут быть оценены. В идеале, должны быть сертифицированы только те поставщики, которые могли бы выполнить все критерии. Тестирование безопасности должно определить, что уровни безопасности веб-приложений высоки и что уязвимости с высоким или средним уровнем риска не обнаружено. Анализ безопасности исходного кода также важен для определения того, что при разработке приложений используются наилучшие методы обеспечения безопасности наряду с правильно реализованными мерами безопасности.

Это должно быть частью любой миссии VPN – защищать конфиденциальность пользователей. На этом основании попросите просмотреть отчет о прозрачности, в котором должно быть подробно указано количество запросов на раскрытие полученных личных данных отдельных пользователей. Если VPN не может ответить на все эти запросы, заявив: «Мы не можем и не храним никаких журналов и, следовательно, мы не сможем предоставить вам дополнительную информацию по этому вопросу», то, возможно, вам следует спросить себя, почему…

Тем не менее, стоит также сказать несколько слов предостережения: независимый аудит не является «серебряной пулей», и некоторые объявления, касающиеся проверок VPN, должны приниматься с долей соли. В конце концов, PureVPN были пойманы с поличным, раздавая информацию о пользователях ФБР – так много за то, что они не вели журналы. Спустя всего несколько недель после этого скандала, PureVPN обновил свою политику конфиденциальности, чтобы показать (прозрачным образом), насколько они заботятся о конфиденциальности своих пользователей. Пусть покупатель будет бдителен! Кроме того, ничто не может остановить VPN, чтобы начать регистрировать активность пользователя ПОСЛЕ проверки. Любой аудит – это импульсная картина, фиксирующая само время аудита – в конечном счете, вам все равно нужно доверять поставщику. Стоит также отметить, что многие провайдеры VPN раскрывают, как они обрабатывают личную информацию (PII), и есть некоторые, которые обрабатывают больше данных, чем требуется для предоставления учетной записи VPN и подключения.

Поскольку многие крупные провайдеры VPN проверяют свои услуги на наличие потенциальных уязвимостей, независимые аудиты выглядят как эффективный способ поддержать заявления о безопасности и конфиденциальности, которые делают такие провайдеры. А в связи с тем, что некоторые случаи ведения журналов с высокой репутацией разрушаются, что негативно влияет на доверие пользователей (например, PureVPN и IPVanish), как никогда важно убедиться, что претензии вашей VPN действительно верны. Поскольку число поставщиков VPN растет день ото дня, эти аудиты вполне могут стать стандартом потребителей для выбора лучшего поставщика.

Себастьян Шауб, генеральный директор спрячь меня

  • Мы также выделили лучшие VPN-сервисы 2019 года