Автор: Содержание:
Даже эксперты не всегда могут сказать, какому сервису VPN стоит доверять, не говоря уже об обычных пользователях. Может ли аудит безопасности помочь разъяснить ситуацию? Возможно, но только если вы знаете, как его интерпретировать.
Раньше, когда пользователи выбирали для себя надежного VPN-провайдера, им приходилось полагаться только на репутацию и доверие. Но в последнее время VPN-сервисы стали проходить независимые аудиты безопасности, которые позволяли подкрепить обещания о конфиденциальности и безопасности не только модными маркетинговыми словами, но и конкретными показателями.
«Аудит безопасности – это один из инструментов, который демонстрирует здоровье проекта в целом», — говорит Харло Холмс, директор по цифровой безопасности Фонда поддержки свободы прессы. Джон Каллас, старший технический сотрудник ACLU, описывает аудит безопасности как «второй комплект глаз». Аудиторские фирмы определяют, соответствуют ли услуги конкретного VPN-сервиса своим целям и критериям качества. Но стоит помнить, что аудиты VPN – это не всегда надежный источник информации, и не все они проходят одинаково. Вопрос в том, что же показывает аудит VPN, и как пользователи могут судить о ценности каждого пройденного аудита?
Опубликованный или неопубликованный
VPN часто продвигают свои собственные аудиты чтобы зародить (или восстановить) доверие со стороны своих пользователей. NordVPN, например, после новости о хакерской атаке на их сервер объявил о начале нового аудита.
Однако не все компании предоставляют общественности доступ к результатам этих проверок. Саймон Мильяно, руководитель отдела исследований PrivacyCo. (материнская компания Top10VPN) говорит, что все VPN-сервисы должны публиковать аудиты в интернете без ограничений, чтобы «стимулировать других проводить такие проверки», а не просто давать пустые обещания. «Я не думаю, что сообщение в блоге: «Эй, мы провели аудит», будет иметь какую-то ценность для пользователей. Лучше процитируйте один-два абзаца предполагаемых выводов, а затем скажите: «Теперь вы можете нам доверять», — сказал он.
Не всегда можно сказать, какие аудиторские фирмы заслуживают доверия, но у многих есть веб-сайты, на которых перечислены аудиторы, их полномочия и опыт работы в отрасли, что однозначно прибавляет доверия к компании. Также преимущество имеют те компании, которые самостоятельно публикуют свои выводы. PricewaterhouseCoopers – это хорошо известное имя, эта фирма внушает некоторую уверенность в проведенных ею аудитах. Еще одним популярным аудитором является Cure53. Он менее известен за пределами отрасли, зато более специализирован на кибербезопасности.
«Если [аудит] был выпущен самой PR-командой VPN-сервиса, а независимый аудитор не дал им разрешения использовать свое имя, и он сам не опубликовал результат аудита, то это, на мой взгляд, поднимает некоторые вопросы о том, насколько законным и насколько интенсивным был этот аудит, насколько хорошими были его результаты, и были ли вообще исправлены найденные недочеты», — сказал Джон Камфилд, директор глобальной технологической стратегии в Internews.
Типы аудитов
Два наиболее распространенных аудита VPN – это аудит конфиденциальности (который сосредоточен на проверке методов ведения журнала организаций) и более полный аудит безопасности (который более широко рассматривает компанию и ее методы безопасности). Со слов NordVPN, они всегда проходят более полный аудит.
«Иногда некоторые не совсем чистые на руку поставщики услуг преднамеренно «мутят воду», когда сообщают пользователям о проделанной работе», — сказал Мильяно. «Появилась определенная тенденция, когда термин «независимый аудит безопасности» используется как ловушка для пользователей. И в этом нет ничего хорошего».
Хотя проверка соответствия политики ведения журнала VPN его практике очень важна со слов Мильяно, он считает, что этого недостаточно. Компании должны позволить аудиторам смотреть на «полный спектр клиентов и приложений, а также серверную инфраструктуру и основные услуги», сказал он.
Что насчет открытого исходного кода?
Некоторые VPN-сервисы, у которых нет собственных независимых аудитов безопасности от сторонних компаний, утверждают, что они им не нужны, поскольку их продукты используют проверенные инструменты и библиотеки с открытым исходным кодом. Но эксперты говорят, что этого недостаточно. «Что не ясно, так это то, какую связь они видят между этими двумя вещами?» — сказал Камфилд. «Они настраивали свои инструменты в соответствии с лучшими отраслевыми или, может, даже с лучшими криптографическими практиками? Именно это и позволяет определить аудит, он в таком случае просто необходим».
Инструменты, построенные на уже проаудированных инструментах и инструментах с открытым исходным кодом, могут неправильно взаимодействовать с вашей системой, они могут быть неправильно реализованными, иметь неверно настроенный код, или неправильно регистрировать или хранить данные учетных записей. Слишком много нюансов, которые попросту можно не учесть» – сказал Камфилд.
Сфера деятельности аудиторской фирмы
Аудит, как правило, имеет свою сферу деятельности, которая затрагивает то, что именно проверяется, какие при этом используются методы и насколько всеобъемлющим является процесс, а также сколько людей проводит аудит приложения и как долго они это делают. «Если кто-то хочет пойти нечестным путем, то у него это получится. Достаточно просто провести аудит в тех сферах, в которых он уверен», — сказал Каллас.
Аудит может, например, охватывать только мобильные приложения или расширения браузера, а не полную версию VPN, которой вы планируете пользоваться. Иногда, для того чтобы понять сферу деятельности аудита, приходится читать между строк. «Аудит может сбить толку, и ввести пользователей в заблуждение. На самом же деле действительно важные вещи могут оказаться не проверенными», — сказал Холмс. «Например, если вам провели аудит графический интерфейс, то означает ли это, что аудировали также базовый протокол, или выборку протоколов, или протоколы шифрования и то, как они настроены? Это на самом деле имеет огромное значение».
Аудит с ограниченной сферой деятельности вообще ничего не расскажет вам о конфиденциальности и безопасности VPN. Например, сфера деятельности может позволить аудиторам только просматривать исходный код, а не копаться в системах VPN и копиях производственных серверов (или даже в самих серверах). «С вашим кодом может быть все в полном порядке, но если ваши backend-серверы не были включены в аудит, он уже не будет целостным или полезным для конечного потребителя», — сказал Камфилд.
При оценке аудиторских отчетов и их сферы деятельности Холмс дополнительно ищет, проверяют ли аудиторы то, насколько загружаемые и устанавливаемые программы и инструменты соответствуют тому, что на самом деле было задумано разработчиком».
Подводя итоги
Аудиторские отчеты — это технические документы, в которых излагаются уязвимости, обнаруженные в сервисах VPN. Аудит, который показывает, что в работе VPN-сервиса выявили некоторые ошибки – это на самом деле отличный отчет.
«Любые аудиты и ошибки, которые находятся в ходе их проведения – это возможность для компании улучшить качество своих услуг. Это также показывает, как они справляются с проблемами, и как быстро они это делают, и пытаются ли они вообще избавиться от найденной проблемы», — сказал Каллас.
«Аудиторские отчеты должны включать информацию об исправлениях, которые были обнаружены во время последующей проверки. Поскольку аудит безопасности отражает только состояние сервиса в определенный момент времени, он должен периодически повторяться. Однократного прохождения аудита однозначно недостаточно» — сказал Холмс.
