Iets om weg te steek? Waarom moet u VPN-aanbieder geoudit word?

Nadele van korporatiewe VPN wat deur hackers gebruik word
Oor die skrywer

Sebastian is die stigter van hid.me VPN en werk al meer as ‘n dekade in die internetveiligheidsbedryf. Hy het 6 jaar gelede met VP.N.N.N.NN begin om almal se veiligheid en privaatheid op die internet te verseker.

Vertrou deur miljoene mense wat wêreldwyd vryheid soek, streef VPN-dienste daarna om hul gebruikers die grootste privaatheid, maar ook maksimum sekuriteit te bied. Op grond hiervan moet u met reg hoop dat die VPN-verskaffer wat u kies, deur een of ander soort IT-stelsel-oudit versamelings kan ondergaan. Dit lyk inderdaad asof al hoe meer VPN-verskaffers die resultate van sulke oudits bekend maak om aan die wêreld te bewys dat hulle niks het om weg te steek nie en dat alles op die top is.

In die VPN-bedryf word oudits sekerlik ‘n tendens omdat verskaffers hul eise probeer legitimeer en hul produkte meer verkoop as u. Onafhanklike oudits het die afgelope paar jaar bewys dat dit ‘n effektiewe manier is vir VPN-diensverskaffers om hul sekuriteitsfunksies te toets en meer as net beloftes aan hul kliënte te bied. Danksy organisasies soos ISACA, deur wêreldwye ondernemings wat professionele dienste lewer, soos PricewaterhouseCoopers, wat hulle kundigheid aanbied, is hierdie soort oudit beslis besig om vinniger te word en bewustheid oor die hele wêreld te kry.

(Beeldkrediet: opstartfoto’s / Pixabay)

Wat u VPN-aanbieder nie moet opneem nie

Watter inligting kan ‘n VPN-aanbieder hê as u besluit om by so ‘n diens te registreer? Hier kan dit makliker wees om te beklemtoon wat hulle nie moet doen nie; in die besonder moet VPN’s NIE rekords hou van die volgende nie;

  • U blaai-aktiwiteite
  • U oproep logs
  • Rekords van die VPN IP-adresse wat aan u toegewys is
  • U oorspronklike IP-adresse
  • U verbindingstyd
  • Blaaigeskiedenis
  • Webwerwe wat u besoek het
  • U uitgaande verkeer
  • Toegang tot inhoud of data
  • DNS-navrae deur u gegenereer

Daar moet van elke VPN verwag word om die privaatheid en aanlyn sekuriteit van sy gebruikers te handhaaf, en as deel van hierdie verbintenis, moet gebruikers die regverdiging hê dat elke VPN ‘n veiligheidsoudit van beide sy stelsels en die gebrek aan logboekbeleid sal uitvoer. VPN’s het verskeie wysigings aan hul privaatheidsbeleid aangekondig om trots daarop te wees: “Ons is nou ‘n VPN met geen aanmelding nie.” VPN-verskaffers, waaronder Tunnelbear, NordVPN en ExpressVPN, het die uitslae van sulke oudits aangekondig en eis nou ‘n nul-logboek en geen aanlynaktiwiteitsregistrasie nie. Ons oudit is byna vier jaar gelede uitgevoer, wat die vraag laat ontstaan: hoekom het dit so lank geduur vir ander maatskappye?

As u ‘n VPN-diens sonder ‘n logboek gebruik, sou dit beteken dat u aanbieder nie u aanlynaktiwiteite versamel of opneem nie. Dit beteken dat dit geen inligting versamel wat via VPN gestuur word nie. Dit beteken dat u 100% anoniem blaai soos u moet as u ‘n VPN gebruik. Daar is egter baie bekende VPN’s wat blaai-sessielogboeke stoor – wat beteken dat u nie heeltemal veilig of privaat is nie. Kies ‘n VPN-verskaffer sonder logs vir gemoedsrus (en maksimum privaatheid).

Onafhanklike oudits as funksie

Die vermoë om ouditresultate aan te dui, moet met reg binne dieselfde tydsinterval wees as spoed, prys, aantal bedieners, ens., Wanneer mense die VPN-diens kies. In werklikheid is dit waarskynlik die belangrikste faktor wat u moet oorweeg. Per slot van rekening, as die VPN nie kan bewys dat dit nie u blaaieraktiwiteite, blaaigeskiedenis en selfs uitgaande verkeer aanteken nie, waarom op aarde sou iemand dan vir so ‘n diens aanmeld?

Ons moet ook kyk na die verwysings van elke onderneming wat hierdie oudits uitvoer en hoe betroubaar hul verslagdoening is. Enige soliede sertifisering moet VPN-verskaffers beoordeel ten opsigte van die veiligheid en privaatheid van gebruikersdata. Elke kategorie moet dan ‘n stel kriteria hê om hierdie verskaffers te evalueer. Die ideaal is dat slegs verskaffers wat aan alle kriteria kon voldoen, gesertifiseer moet word. Veiligheidstoetse moet bepaal dat die veiligheidsvlakke van webtoepassings hoog is en dat geen kwesbaarhede met ‘n hoë of medium risiko opgespoor word nie. Hier is dit ook belangrik om die sekuriteit van die bronkode te ontleed om te bepaal of die beste sekuriteitspraktyke gebruik word om die toepassing te skep, tesame met behoorlik geïmplementeerde veiligheidsmaatreëls.

Dit moet deel wees van elke VPN-missie – om die privaatheid van gebruikers te beskerm. Op grond hiervan, vra ‘n deursigtigheidsverslag waarin die aantal versoeke vir die openbaarmaking van persoonlike gegewens wat deur individuele gebruikers ontvang is, moet uiteengesit word. As die Skynprivaatnetwerk nie op al hierdie versoeke kan reageer nie, met die volgende woorde: “Ons kan nie, en ons hou geen logboeke nie, en daarom sal ons geen verdere inligting oor hierdie aangeleentheid kan verskaf nie, moet u miskien wonder waarom …

Dit is egter die moeite werd om met omsigtigheid te klink – ‘n onafhanklike oudit is nie ‘n silwer kol nie, en sommige aankondigings rakende VPN-oudits moet met ‘n knippie sout afgeneem word. Uiteindelik is PureVPN met die oorhand gevang deur inligting oor die FBI-gebruikers te verstrek – behalwe dat geen logboeke gehou is nie. Slegs ‘n paar weke na die skandaal het PureVPN sy privaatheidsbeleid bygewerk om (deursigtig) te onthul hoeveel hulle omgee vir die gebruikers van hul gebruikers. Bespreking leeg! Niks verhinder die VPN om gebruikersaktiwiteit na die oudit op te neem nie. Elke oudit is ‘n prentjie van momentum wat die tyd van die oudit self sal vaslê – u moet immers steeds die verskaffer vertrou. Dit is ook opmerklik dat baie VPN-verskaffers onthul hoe hulle persoonlike data (PII) verwerk, en daar is ‘n paar wat meer data verwerk as wat nodig is om ‘n VPN-rekening en -verbinding te verskaf.

Aangesien baie groot VPN-verskaffers hul dienste na moontlike kwesbaarhede kyk, blyk onafhanklike oudits ‘n effektiewe manier te wees om sekuriteit- en privaatheidseise te rugsteun. Aangesien sommige hoëprofielregistrasiesake uitgewis word, wat ‘n negatiewe impak op die vertroue van gebruikers het (bv. PureVPN en IPVanish), is dit belangriker as ooit om te kyk of VPN-eise regtig waar is. Namate die aantal VPN-verskaffers elke dag toeneem, kan hierdie oudits ‘n de facto-standaard vir verbruikers word by die keuse van die beste verskaffer.

Sebastian Schaub, uitvoerende hoof van die maatskappy Steek my weg

  • Ons het ook die beste VPN-dienste vanaf 2019 uitgelig