ExpressVPN publikuje externý bezpečnostný audit a rozšírenie prehliadača s otvorenými zdrojmi

Ilustrácia zámku s lupou nad ním. Šošovka na lupe odhaľuje vnútorné fungovanie zámku. Ako keby lupa bola nejakým magickým röntgenovým strojom, možno z budúcnosti.

Z vonkajšej strany väčšina zámkov vyzerá rovnako. Niektorí môžu odolať vychystávaniu alebo nárazu, iní môžu byť posilnení proti vŕtačkám, ale nikdy by ste to nepoznali len pozeraním. Ak chcete rozpoznať najsilnejší zámok, musíte ho skúsiť vybrať sami, požiadať zámočníka, aby ho otestoval, alebo ho možno dokonca rozobral, aby preskúmal návrh.

VPN sú trochu také. Takže sme si istí, že ExpressVPN poskytuje špičkové zabezpečenie a ochranu súkromia, vieme však, že nemusí byť ľahké povedať zvonku..

Chceme však, aby ste si boli rovnako istí, ako sme my, a preto sme odhodlaní vybaviť vás informáciami, ktoré potrebujete pre seba. Z tohto dôvodu sme uverejnili nástroje na testovanie únikov z otvoreného zdroja - trochu podobné poskytovaniu sady lockpick - a podrobne sme načrtli naše bezpečnostné postupy v minulom roku..

Dnes oznamujeme dve nové iniciatívy zamerané na dôveru a transparentnosť, ktoré ďalej umožňujú každému overiť si, či dodržujeme naše sľuby: nezávislý, verejne zverejnený bezpečnostný audit a otvorený zdroj rozšírenia prehliadača ExpressVPN..

Cure53 testoval bezpečnostné požiadavky ExpressVPN

Nezávislé testovanie treťou stranou je kľúčovým prvkom prístupu ExpressVPN k bezpečnosti. Pravidelne angažujeme bezpečnostných audítorov a penetračných testerov. V minulosti sme tieto audity využívali na posilnenie bezpečnosti našich služieb, ale s vývojom odvetvia VPN sme tiež videli význam zverejňovania výsledkov v rámci nášho záväzku dôvery a transparentnosti. Z tohto dôvodu dnes zverejňujeme náš prvý nezávislý audit verejnej bezpečnosti - prvý z mnohých nasledujúcich.

V rámci tohto auditu sme pozvali uznávanú kybernetickú spoločnosť Cure53, aby vykonala dôkladnú bezpečnostnú kontrolu nášho rozšírenia prehľadávača a poskytla svojim odborníkom úplný prístup k zdrojovému kódu a zostaveniu. Tím štyroch testerov Cure53 posúdil bezpečnosť a ochranu súkromia predĺženia počas siedmich dní v októbri 2018, potom v polovici novembra nadviazal na potvrdenie, že všetky zistené problémy boli odstránené..

Podľa nezávislej správy Cure53, ktorá je verejne dostupná na webových stránkach spoločnosti, „výsledky tohto hodnotenia Cure53 týkajúceho sa rozšírenia prehliadača ExpressVPN pre prehliadač Chrome sú pozitívne a proces overenia opráv v polovici novembra 2018 to potvrdzuje.“

Vo svojom vyšetrovaní Cure53 identifikovala osem problémov, z ktorých žiaden nezískal úroveň závažnosti vyššiu ako „stredná“. Cure53 uvádza, že „celkom jasne, je to dobrý bezpečnostný ukazovateľ."

Z týchto troch otázok boli tri označené ako „stredné“, dve „nízke“ a tri „informačné“. Inžiniersky tím ExpressVPN tieto zistenia urýchlene vyriešil a Cure53 to v rámci auditu overil. Cure53 ďalej poznamenáva, že „treba zdôrazniť, že neboli objavené žiadne problémy s bezpečnosťou, ktoré by [útočníkom] umožnili ovplyvniť stav pripojenia VPN prostredníctvom škodlivej webovej stránky alebo podobného problému.“ Inými slovami, nezistilo sa, že by zásadne ovplyvnilo základnú bezpečnosť a súkromie ochrana, ktorú poskytuje ExpressVPN.

Sme radi, že tento audit opätovne potvrdzuje a posilňuje bezpečnosť nášho rozšírenia prehľadávača a tešíme sa na zdieľanie ďalších nezávislých recenzií v blízkej budúcnosti..

Open-sourcing umožňuje komukoľvek skontrolovať náš kód

Okrem auditu zverejňujeme aj zdrojový kód rozšírenia prehliadača ExpressVPN pod licenciou open source (GNU General Public License, verzia 2). Toto umožňuje vám alebo akejkoľvek tretej strane vykonať rovnaký typ hodnotenia, aké vykonala Cure53.

Jedným z dôvodov, prečo sme to urobili, je spôsob fungovania rozšírení. Rozšírenie vyžaduje na prevádzku rozsiahlu sadu povolení, z ktorých niektoré sa môžu na žiadosť prehliadača javiť ako alarmujúce. (Napríklad jedno povolenie varuje, že rozšírenie môže „čítať a meniť všetky vaše údaje na navštívených webových stránkach.“)

Tieto povolenia sú potrebné na zabezpečenie všetkých funkcií ochrany osobných údajov a zabezpečenia VPN a na pridanie ďalších výhod, napríklad ochrany pred škodlivým softvérom. Otvorením nášho rozšírenia pozývame každého, aby sa pozrel pod kapotu a potvrdil, že tieto povolenia využívame zodpovedne a iba z dôvodov, ktoré sme uviedli.

Ak chcete zobraziť zdrojový kód najnovšej verzie rozšírenia prehliadača ExpressVPN, pozrite si našu stránku GitHub.

Náš záväzok k dôvere a transparentnosti v odvetví VPN

To, čo sme dnes oznámili, sú dva z posledných krokov v našej snahe nielen demonštrovať náš záväzok k bezpečnosti a ochrane súkromia, ale tiež pomôcť nastaviť latku dôvery a transparentnosti v priemysle VPN..

Ako sme si všimli minulý rok, keď sme s Centrom pre demokraciu a technológiu začali medziodvetvovú iniciatívu na zvýšenie štandardov pre všetky siete VPN, veríme, že všetko, čo používateľom internetu umožňuje robiť informovanejšie rozhodnutia pri výbere siete VPN, robí internet v konečnom dôsledku súkromným a bezpečné pre všetkých.

Keď neustále vyvíjame nové a lepšie spôsoby ochrany súkromia a zabezpečenia online, tešíme sa na zverejnenie ďalších auditov, nástrojov a prehľadov, ktoré vám umožnia vidieť a rozhodnúť sa, ktorá sieť VPN poskytuje ochranu, ktorú potrebujete..

Poznámka redaktorov: 2. augusta 2019
V súlade s naším záväzkom pokračovať vo vydávaní nezávislých auditov sme nedávno pozvali spoločnosť PwC, aby overila, či naše servery VPN dodržiavajú naše zásady ochrany osobných údajov a auditujú našu technológiu TrustedServer. Ak sa chcete dozvedieť viac a prečítať si úplnú audítorskú správu spoločnosti PwC, prečítajte si náš úplný blogový príspevok o oznámení.

ExpressVPN publikuje externý bezpečnostný audit a rozšírenie prehliadača s otvorenými zdrojmi
admin Author
Sorry! The Author has not filled his profile.