Vad visar en VPN-sÀkerhetsrevision verkligen?

Vad visar en VPN-sÀkerhetsrevision verkligen?

I flera Är litade anvÀndarna pÄ inget annat Àn anseende och förtroende nÀr det gÀller att utvÀrdera ansprÄk frÄn VPN-leverantörer. Men pÄ senare tid har VPN: er fÄtt oberoende sÀkerhetsrevisioner för att sÀkerhetskopiera sina integritets- och sÀkerhetslöften med nÄgot annat Àn marknadsföringsord.

”En sĂ€kerhetsrevision Ă€r ett verktyg som visar hĂ€lsan i ett projekt övergripande”, sĂ€ger Harlo Holmes, chef för digital sĂ€kerhet vid Freedom of the Press Foundation. Jon Callas, senior tekniker för ACLU, beskriver sĂ€kerhetsrevisioner som en andra uppsĂ€ttning ögon. Revisionsföretag kan se om en VPN lever upp till sin avsikt eller inte. Men VPN-revisioner Ă€r inte idiotsĂ€kra och de Ă€r inte desamma. FrĂ„gan Ă€r, vad visar en VPN-granskning och hur kan anvĂ€ndare bedöma vĂ€rdet av en viss granskning?

Publicerad eller opublicerad

VPN frÀmjar ofta sina egna granskningar som ett sÀtt att skapa (eller ÄterfÄ) förtroende frÄn sina anvÀndare. NordVPN meddelade till exempel att de bestÀllde en ny granskning strax efter att nyheter om 2018-övertrÀdelser nyligen offentliggjordes.

Inte alla företag tillĂ„ter dock allmĂ€nheten att fĂ„ tillgĂ„ng till resultaten av dessa granskningar. Simon Migliano, forskningschef pĂ„ PrivacyCo. (moderbolaget till Top10VPN) sĂ€ger att VPN mĂ„ste publicera revisionerna online utan begrĂ€nsning för att “omfamna andan att göra dessa revisioner” snarare Ă€n att gĂ„ igenom vad han ser som i huvudsak en tom gest. “Jag tror inte att det tillför mycket vĂ€rde för anvĂ€ndarna för dem att lĂ€gga ut ett blogginlĂ€gg och sĂ€ga ‘Hej, vi har gjort en granskning av ett företag’, citera ett eller tvĂ„ stycken av förmodade resultat och sedan vara som, “Åh, nu kan du lita pĂ„ oss”, sa han.

Det Àr inte alltid lÀtt att sÀga vilka revisionsföretag sjÀlva som Àr trovÀrdiga, men mÄnga har webbplatser som visar sina revisorer, deras uppgifter och hur lÀnge de har varit i branschen, vilket kan vara en bra utgÄngspunkt. Leta ocksÄ efter granskningar av företag som oberoende publicerar sina resultat. PricewaterhouseCoopers Àr ett vÀlkÀnt namn och det kan inspirera till lite förtroende för en revision. Cure53, ett annat namn som kommer upp i samband med sÀkerhetsrevisioner kan vara mindre kÀnt utanför branschen, men det Àr mer specialiserat pÄ cybersÀkerhet.

“Om [an audit] slĂ€pptes bara av VPN: s PR-team, och den oberoende revisorn gav dem inte tillstĂ„nd att anvĂ€nda sitt namn, och de publicerade det inte sjĂ€lvstĂ€ndigt, som enligt min mening skulle vĂ€cka nĂ„gra frĂ„gor om hur legitim och hur intensiv den revisionen var var, eller hur dĂ„liga resultaten var, och vilka som inte fixades, sĂ€ger Jon Camfield, chef för Global Technology Strategy pĂ„ Internews.

Typer av revisioner

De tvÄ vanligaste VPN-granskningarna Àr sekretessgranskningar (som handlar om att verifiera organisationernas loggningsmetoder) och mer omfattande sÀkerhetsgranskningar (som tar en bredare titt pÄ företaget och dess sÀkerhetsmetoder). Den senare Àr den typ av granskning som NordVPN sÀger att den gör.

“Det sker ibland en avsiktlig muddring av vattnet frĂ„n de lite mindre etiska leverantörerna om vad de har gjort nĂ€r de kommunicerar till sina anvĂ€ndare”, sĂ€ger Migliano. “Det verkar finnas en tendens att anvĂ€nda termen” oberoende sĂ€kerhetsrevision “som en samlingspunkt för” hej, nu kan du lita pĂ„ oss “, vilket jag inte tycker Ă€r bra.”

Även om det Ă€r viktigt att se pĂ„ huruvida en VPN-loggningspolicy överensstĂ€mmer med dess praxis, sĂ€ger Migliano att han ser det som ofullstĂ€ndigt. Företagen mĂ„ste tillĂ„ta revisorer att titta pĂ„ “hela spektrumet av kunder och applikationer och backend-infrastruktur och kĂ€rntjĂ€nster”, sa han.

Vad sÀgs om öppen kÀllkod?

Vissa VPN-enheter som inte har haft egna oberoende sĂ€kerhetsgranskningar frĂ„n tredje part hĂ€vdar att de Ă€r onödiga eftersom deras produkter anvĂ€nder granskade open source-verktyg och bibliotek. Men experter sĂ€ger att det inte rĂ€cker. “Det som inte Ă€r öppet Ă€r hur exakt de knyter ihop dem”, sa Camfield. “Konfigurerade de dem enligt branschens bĂ€sta praxis eller till och med kryptografisk bĂ€sta praxis? Det Ă€r nĂ„got som Ă€r mycket anvĂ€ndbart för granskningen att gĂ„ in och titta pĂ„.”

Verktyg byggda pĂ„ granskade och öppen kĂ€llkodsverktyg kan grĂ€nssnitt med ditt system pĂ„ ett osĂ€kert sĂ€tt, implementeras felaktigt, har felkonfigurerad kod eller felaktigt logga eller lagra konton. “Det finns mycket mer Ă€n bara,” Åh, vi anvĂ€nder dessa öppna bibliotek. ” Tja, anvĂ€nde du dem korrekt? ” Sa Camfield.

Omfattningen av en revision

Revisioner har vanligtvis ett omfĂ„ng som berör vad som granskas exakt, vilka metoder som anvĂ€nds och hur omfattande engagemanget Ă€r, liksom hur mĂ„nga som granskar appen och hur lĂ€nge de har. “Om nĂ„gon vill spela saker, kan de sĂ€kert spela det genom att granska granskningen till saker som de vet att de kommer att klara”, sĂ€ger Callas.

En granskning kan till exempel endast omfatta mobilappar eller webblĂ€sartillĂ€gg snarare Ă€n hela VPN du planerar att anvĂ€nda. Ibland kan det krĂ€va lite lĂ€sning mellan raderna för att förstĂ„ omfattningen. “En revision kan fördunkla det faktum att viktiga saker inte har granskats”, sĂ€ger Holmes. “Om du till exempel har nĂ„gon som granskar GUI: t, innehĂ„ller det faktiskt det underliggande protokollet, eller valet av protokoll eller vilka krypteringsprotokoll som erbjuds och hur konfigurerbart det Ă€r? Det gör faktiskt en enorm skillnad.”

En glödande granskning med ett begrĂ€nsat omfĂ„ng berĂ€ttar inte alls om VPN: s integritet och sĂ€kerhet. Till exempel kan ett begrĂ€nsat omfĂ„ng endast tillĂ„ta revisorer att titta pĂ„ kĂ€llkoden snarare Ă€n att grĂ€va igenom VPN-system och kopior av (eller till och med riktiga) produktionsservrar. “Din kod kan vara fantastisk, men om dina backend-servrar inte ingick i granskningen, Ă€r den faktiskt inte holistisk eller anvĂ€ndbar i nĂ„gon form eller pĂ„ nĂ„got sĂ€tt”, sĂ€ger Camfield.

NĂ€r Holmes utvĂ€rderar granskningsrapporter och deras omfattning letar det dessutom efter om revisorer implementerar reproducerbara byggprotokoll, “sĂ„ att de i högre grad kan bevisa att det du faktiskt laddar ner och installerar matchar vad utvecklarna egentligen tĂ€nkt.”

Rapportera resultat

Revisionsrapporter Àr tekniska dokument som visar vilka sÄrbarheter som har hittats i VPN som utvÀrderades. En granskning som visar att en VPN hade nÄgra buggar Àr inte nödvÀndigtvis en dÄlig sak. I sjÀlva verket Àr det faktiskt goda nyheter nÀr revisorer hittar problem som korrigeras.

“Min Ă„sikt om alla typer av buggar och rapportering Ă€r att kĂ€nnetecknet för det som gör ett bra företag Ă€r hur de hanterar problemen, vilket inkluderar hur snabbt de fixar dem, och huruvida de försöker slĂ€ppa ut frĂ„n att det Ă€r ett problem , ”Sa Callas.

Revisionsrapporter bör innehĂ„lla information om korrigeringar under ett uppföljningsuppdrag nĂ€r revisorerna checkar in igen. Eftersom sĂ€kerhetsrevisioner bara Ă„terspeglar ett ögonblick bör de vara nĂ„got ett företag investerar i regelbundet. “Du ska inte göra en granskning en gĂ„ng och sedan aldrig göra en igen”, sade Holmes.

VPN uppdateras ganska ofta och sĂ€kerhetsfel upptĂ€cks hela tiden, sĂ„ oftare Ă€n vad som har granskats Ă€r inte verktyget du anvĂ€nder. “Det perfekta Ă€r det godas fiende”, sa Camfield. “I nĂ„gon idealiserad perfekt vĂ€rld skulle all kod vara öppen, byggningarna skulle kunna reproduceras (vilket innebĂ€r att du kan verifiera att den öppna kĂ€llkoden som alla kan se Ă€r exakt vad som genererade verktyget som du faktiskt anvĂ€nder pĂ„ din enhet) och varje ny release skulle granskas oberoende. “

“De allmĂ€nna kostnaderna och de begrĂ€nsningar som skulle sĂ€tta pĂ„ verktygsutveckling Ă€r inte obetydliga”, sĂ€ger Camfield. “SĂ„ jag ser det verkligen som, Ă„tminstone gör nĂ„got. Visst, det Ă€r en ögonblicksbild i tid, men jag skulle mycket hellre vilja se alla gĂ„ igenom en Ă„rlig granskning eller halvĂ„rsvis granskning Ă€n ingenting.”

Inte alla potentiella VPN-anvÀndare kommer att bry sig om att granska granskningar innan de prenumererar. Ibland vill du bara avblockera Netflix. Men om, sÀg, du letar efter en VPN för att hÄlla dig sÀker och privat i en ovÀnlig miljö, Àr det förmodligen vÀrt att ta den hÀr typen av saker pÄ allvar. Oavsett vilken typ av VPN-konsument du Àr kan det aldrig skada att bli bÀttre informerad.