Per anni, gli utenti non hanno fatto affidamento su nient'altro che sulla reputazione e sulla fiducia quando si trattava di valutare le affermazioni fatte dai provider VPN.
Ma più recentemente, le VPN hanno ottenuto controlli di sicurezza indipendenti per sostenere le loro promesse di privacy e sicurezza con qualcosa di diverso dalle parole d'ordine del marketing.
"Un audit di sicurezza è uno strumento che dimostra lo stato di salute di un progetto nel suo complesso", ha affermato Harlo Holmes, Direttore della sicurezza digitale presso la Freedom of the Press Foundation.
Jon Callas, senior technology fellow per l'ACLU, descrive gli audit di sicurezza come un secondo paio di occhi.
Le società di revisione possono vedere se una VPN è all'altezza del suo intento.
Ma gli audit VPN non sono infallibili e non sono tutti uguali.
La domanda è: cosa prova un audit VPN e come possono gli utenti giudicare il valore di un determinato audit?
Pubblicato o non pubblicato
Le VPN spesso promuovono i propri audit come un modo per generare (o riguadagnare) la fiducia dei propri utenti.
NordVPN, ad esempio, ha annunciato che stava commissionando un nuovo audit subito dopo che la notizia delle violazioni del 2018 è stata recentemente resa pubblica.
Tuttavia, non tutte le aziende consentono al pubblico di accedere ai risultati di questi audit.
Simon Migliano, Responsabile della ricerca PrivacyCo.
(la società madre di Top10VPN) afferma che le VPN devono pubblicare gli audit online senza restrizioni per "abbracciare lo spirito di fare questi audit" piuttosto che passare attraverso quello che considera essenzialmente un gesto vuoto.
"Non credo che aggiunga molto valore agli utenti che pubblichino un post sul blog dicendo:" Ehi, abbiamo fatto un audit da parte di un'azienda ", cita uno o due paragrafi di presunti risultati e poi dice, "Oh, ora puoi fidarti di noi" ", ha detto.
Non è sempre facile stabilire quali società di revisione siano affidabili, ma molti hanno siti Web che elencano i loro revisori, le loro credenziali e da quanto tempo sono nel settore, il che può essere un buon punto di partenza.
Inoltre, cerca audit da parte di aziende che pubblicano in modo indipendente i loro risultati.
PricewaterhouseCoopers è un nome noto e questo può ispirare un po 'di fiducia in un audit.
Cure53, un altro nome che viene fuori in relazione agli audit di sicurezza potrebbe essere meno conosciuto al di fuori del settore, ma è più specializzato nella sicurezza informatica.
"Se [an audit] è stato rilasciato solo dal team PR della VPN e il revisore indipendente non ha dato loro il permesso di usare il loro nome e non lo hanno pubblicato in modo indipendente, il che, a mio avviso, avrebbe sollevato alcune domande su quanto legittimo e quanto intenso fosse quell'audit o quanto erano negativi i risultati e quali non sono stati risolti ", ha affermato Jon Camfield, Direttore della strategia tecnologica globale di Internews.
Tipi di audit
I due audit VPN più comuni sono gli audit sulla privacy (incentrati sulla verifica delle pratiche di registrazione delle organizzazioni) e sugli audit di sicurezza più completi (che danno uno sguardo più ampio all'azienda e alle sue pratiche di sicurezza).
Quest'ultimo è il tipo di audit che NordVPN afferma di intraprendere.
"A volte c'è un deliberato intorbidamento dell'acqua da parte dei fornitori leggermente meno etici su ciò che hanno fatto quando comunicano ai loro utenti", ha detto Migliano.
"Sembra esserci una tendenza a usare il termine 'audit di sicurezza indipendente' come un accenno a 'hey, ora puoi fidarti di noi', il che non penso sia una buona cosa."
Sebbene esaminare se la politica di registrazione di una VPN corrisponda alle sue pratiche è importante, ha detto Migliano, la vede come incompleta.
Le aziende devono consentire ai revisori di controllare "l'intera gamma di client e applicazioni, nonché l'infrastruttura di backend e i servizi principali", ha affermato.
Che dire dell'open source?
Alcune VPN che non hanno avuto i propri controlli di sicurezza di terze parti indipendenti affermano che non sono necessari perché i loro prodotti utilizzano strumenti e librerie open source controllati.
Ma gli esperti dicono che non è abbastanza.
"Quello che non è aperto è come esattamente li legano insieme", ha detto Camfield.
"Li hanno configurati in base alle best practice del settore o persino alle best practice crittografiche? È qualcosa di estremamente utile da esaminare e analizzare per l'audit".
Gli strumenti basati su strumenti controllati e open source potrebbero interfacciarsi con il sistema in modo insicuro, essere implementati in modo errato, avere un codice configurato in modo errato o registrare o archiviare account in modo errato.
"C'è molto di più del semplice" Oh, usiamo queste librerie aperte ".
Bene, li hai usati correttamente? " Ha detto Camfield.
Lo scopo di un audit
Gli audit in genere hanno un ambito, che tocca ciò che viene verificato esattamente, i metodi utilizzati e quanto è completo il coinvolgimento, nonché quante persone stanno controllando l'app e quanto tempo hanno a disposizione.
"Se qualcuno vuole giocare con le cose, potrebbe certamente giocarci limitando l'audit a cose che sanno che passeranno", ha detto Callas.
Un audit può, ad esempio, coprire solo le app mobili o le estensioni del browser piuttosto che la VPN completa che stai pianificando di utilizzare.
A volte, la comprensione dell'ambito potrebbe richiedere un po 'di lettura tra le righe.
"Un audit potrebbe offuscare il fatto che le cose importanti non sono state realmente verificate", ha detto Holmes.
"Ad esempio, se qualcuno controlla la GUI, include effettivamente il protocollo sottostante, o la selezione dei protocolli o quali protocolli di crittografia sono offerti e quanto è configurabile? Questo in realtà fa un'enorme differenza."
Un audit brillante con un ambito limitato non ti dice affatto sulla privacy e sulla sicurezza di una VPN.
Ad esempio, un ambito limitato può consentire solo ai revisori di esaminare il codice sorgente piuttosto che scavare attraverso i sistemi VPN e le copie (o anche reali) dei server di produzione.
"Il tuo codice potrebbe essere sorprendente, ma se i tuoi server di backend non sono stati inclusi nell'audit, non è effettivamente olistico o utile in nessuna forma o modo", ha detto Camfield.
Durante la valutazione dei rapporti di audit e del loro ambito, Holmes cerca inoltre se gli auditor implementino protocolli di costruzione riproducibili, "in modo che possano, in misura maggiore, dimostrare che ciò che stai effettivamente scaricando e installando corrisponde a ciò che gli sviluppatori effettivamente intendevano."
Consigliato dai nostri editori
Risultati del rapporto
I rapporti di controllo sono documenti tecnici che illustrano quali vulnerabilità sono state trovate nella VPN che è stata valutata.
Un audit che mostra che una VPN ha alcuni bug non è necessariamente una cosa negativa.
In effetti, è davvero una buona notizia quando i revisori trovano problemi che vengono corretti.
"La mia opinione su qualsiasi tipo di bug e segnalazione è che il segno di ciò che rende una buona azienda è il modo in cui affronta i problemi, che include la velocità con cui li risolvono e se cercano o meno di risolvere il problema.
", Disse Callas.
I rapporti di audit dovrebbero includere informazioni sulle correzioni durante un incarico di follow-up quando i revisori hanno fatto nuovamente il check-in.
Poiché gli audit di sicurezza riflettono solo un momento nel tempo, dovrebbero essere qualcosa in cui un'azienda investe periodicamente.
"Non dovresti avere un audit una volta e poi non averne mai più uno", ha detto Holmes.
Le VPN vengono aggiornate abbastanza frequentemente e i bug di sicurezza vengono scoperti continuamente, quindi il più delle volte ciò che è stato controllato non è lo strumento che stai utilizzando.
"Il perfetto è il nemico del bene", ha detto Camfield.
"In un mondo perfetto idealizzato, tutto il codice sarebbe aperto, le build sarebbero riproducibili (il che significa che puoi verificare che l'open source che tutti possono vedere è esattamente ciò che ha generato lo strumento che stai effettivamente utilizzando sul tuo dispositivo) e ogni nuova versione verrebbe verificata in modo indipendente ".
"Il sovraccarico e le restrizioni che imporrebbero allo sviluppo degli strumenti non sono insignificanti", ha affermato Camfield.
"Quindi lo vedo davvero come, almeno fare qualcosa.
Certo, è un'istantanea nel tempo, ma preferirei di gran lunga che tutti passassero attraverso un audit annuale o semestrale piuttosto che niente".
Non tutti i potenziali utenti VPN si prenderanno la briga di esaminare gli audit prima di iscriversi.
A volte vuoi solo sbloccare Netflix.
Ma se, diciamo, stai cercando una VPN per tenerti al sicuro e privato in un ambiente ostile, probabilmente vale la pena prendere sul serio questo genere di cose.
E non importa che tipo di consumatore di VPN tu sia, non può mai far male essere meglio informati.
