多年来,在评估VPN提供商的索赔时,用户只依赖于声誉和信任。但最近,vpn一直在进行独立的安全审计,以支持他们的隐私和安全承诺,而不是用营销流行语。
新闻自由基金会数字安全主任哈洛·霍姆斯说:“安全审计是一个展示项目总体健康状况的工具。”美国公民自由联盟的高级技术研究员乔恩•卡拉斯将安全审计描述为第二双眼睛。审计公司可以看到VPN是否符合其意图。但是VPN审计并不是万无一失的,它们也不完全一样。问题是,VPN审计能证明什么,用户如何判断任何给定审计的价值?
VPN是如何工作的发表或未发表的
vpn经常宣传他们自己的审计作为产生(或重获)用户信任的一种方式。例如,NordVPN宣布,它正在委托进行新的审计2018年违反最近被公开了。
然而,并不是所有的公司都允许公众访问这些审计的结果。PrivacyCo的研究主管西蒙•米格里亚诺说。(Top10VPN的母公司)表示,vpn需要不受限制地在网上发布审计,以“拥抱审计的精神”,而不是通过他认为本质上是一个空洞的姿态。他说:“我认为,如果用户在博客上发表一篇文章说,‘嘿,我们接受了一家公司的审计’,然后引用一两段所谓的调查结果,然后说,‘哦,现在你可以信任我们了’,这对用户来说没有多大价值。”
要判断哪些审计公司本身是值得信任的并不总是那么容易,但许多审计公司都有自己的网站,上面列出了它们的审计师、他们的资质以及他们在这个行业的从业时间,这可能是一个很好的起点。此外,寻找那些独立发布审计结果的公司的审计。普华永道是一个众所周知的名字,这可能会在审计中激发一些信心。另一个与安全审计相关的名字Cure53在行业外可能不太为人所知,但它更专门于网络安全。
Internews全球技术战略总监乔恩•坎菲尔德表示:“如果(一份审计报告)只由VPN的公关团队发布,而独立审计人员没有允许他们使用他们的名字,他们也没有独立发布,在我看来,这会引发一些问题,比如审计的合法性和强度,或者调查结果有多糟糕,以及哪些问题没有解决。”
类型的审计
最常见的两种VPN审计是隐私审计(以验证组织的日志记录实践为中心)和更全面的安全审计(更广泛地观察公司及其安全实践)。后者是的类型NordVPN审计公司表示正在进行调查.
米格里亚诺说:“在与用户沟通时,道德略差的供应商有时会故意混淆视听。”“现在似乎有一种趋势,就是用‘独立安全审计’这个词来概括‘嘿,现在你可以信任我们了’,我认为这不是一件好事。”
Migliano说,尽管观察VPN的日志记录策略是否与其实践相匹配很重要,但他认为这是不完整的。他表示,企业还需要允许审计机构查看“客户、应用程序、后端基础设施和核心服务的全部范围”。
开源怎么样?
一些没有独立第三方安全审计的vpn认为没有必要,因为他们的产品使用经过审计的开源工具和库。但专家表示,这还不够。坎菲尔德说:“尚不明确的是,他们是如何将这些因素联系在一起的。”“他们是否根据行业最佳实践,甚至加密最佳实践来配置它们?”这对审计人员来说是非常有用的。”
构建在审计和开源工具上的工具可能以不安全的方式与系统交互,实现不正确,代码配置错误,或者记录或存储帐户不正确。“不仅仅是‘哦,我们使用这些开放图书馆’。那么,你用对了吗?”Camfield说。
审计的范围
审计通常有一个范围,涉及到被审计的具体内容、使用的方法、参与的全面程度,以及有多少人在审计应用,他们有多长时间。卡拉斯说:“如果有人想要耍花招,他们当然可以把审核范围缩小到他们知道自己会通过的东西。”
例如,审计可能只覆盖移动应用程序或浏览器扩展,而不是你计划使用的完整VPN。有时候,理解范围可能需要一点字里行间的理解。“审计可能会混淆一个事实,即重要的事情没有真正被审计,”霍姆斯说。“例如,如果你让人审计GUI,它是否真的包括底层协议、协议的选择、提供哪种加密协议以及如何进行配置?这实际上产生了巨大的影响。”
一份范围有限的审计报告并不能告诉你VPN的隐私和安全问题。例如,有限的范围可能只允许审核员查看源代码,而不能深入研究VPN系统和(甚至是真实的)生产服务器的副本。Camfield说:“你的代码可能很棒,但如果你的后端服务器不包括在审计中,它实际上就不是整体的或在任何形式或时尚中有用的。”
在评估审计报告及其范围时,Holmes还会查看审计人员是否执行了可重复的构建协议,“这样他们就可以在更高程度上证明您实际下载和安装的内容与开发人员的实际意图相匹配。”
报告发现
审计报告是一种技术文档,它列出了在被评估的VPN中发现了哪些漏洞。审计显示VPN有一些bug并不一定是坏事。事实上,当审计人员发现问题并得到纠正时,这实际上是一个好消息。
卡拉斯说:“我对任何类型的漏洞和报告的看法是,一个好公司的标志是他们如何处理问题,包括他们修复问题的速度,以及他们是否试图逃避问题。”
审计报告应该包括当审计员返回时在后续审计业务中修复的信息。因为安全审计只反映了某一时刻的情况,所以它们应该是公司定期进行投资的项目。“你不应该做一次审计,然后就再也不做了,”霍姆斯说。
vpn的更新非常频繁,安全漏洞总是会被发现,所以通常情况下,被审计的不是你正在使用的工具。“完美是好的敌人,”坎菲尔德说。“在一些理想的完美世界中,所有的代码都是开放的,构建是可复制的(这意味着你可以验证每个人都能看到的开源正是你在设备上实际使用的工具生成的),每个新发布的版本都将被独立审计。”
Camfield说:“工具开发的开销和限制不是微不足道的。”“所以我真的认为,至少要做点什么。当然,这只是时间快照,但我更愿意看到每个人都接受年度审计或两年一次的审计,而不是什么都不做。”
并不是每个潜在的VPN用户都会在订阅之前费心仔细审查审计。有时候你只是想疏通Netflix.但如果,比如说,你在寻找VPN可以在不友好的环境中保护你的安全和隐私那么,认真对待这类事情可能是值得的。无论你是哪种类型的VPN消费者,它永远不会伤害到更好的信息。
