I årevis stod brugerne kun på omdømme og tillid, når det gjaldt at evaluere krav fra VPN-udbydere.
Men for nylig har VPN'er fået uafhængige sikkerhedsrevisioner til at sikkerhedskopiere deres fortroligheds- og sikkerhedsløfter med noget andet end markedsføring af buzzwords.
"En sikkerhedsrevision er et værktøj, der demonstrerer helbredet for et projekt generelt," sagde Harlo Holmes, direktør for digital sikkerhed hos Freedom of the Press Foundation.
Jon Callas, senior teknolog stipendiat for ACLU, beskriver sikkerhedsrevisioner som et andet sæt øjne.
Revisionsfirmaer kan se, om en VPN lever op til sin hensigt eller ej.
Men VPN-revisioner er ikke idiotsikker, og de er ikke alle de samme.
Spørgsmålet er, hvad viser en VPN-revision, og hvordan kan brugere bedømme værdien af ??en given revision?
Udgivet eller ikke offentliggjort
VPN'er fremmer ofte deres egne revisioner som en måde at skabe (eller genvinde) tillid fra deres brugere.
NordVPN meddelte for eksempel, at de bestilte en ny revision kort efter, at nyheden om overtrædelser for 2018 for nylig blev offentliggjort.
Ikke alle virksomheder giver dog offentligheden adgang til resultaterne af disse revisioner.
Simon Migliano, forskningsleder hos PrivacyCo.
(moderselskabet for Top10VPN) siger, at VPN'er er nødt til at offentliggøre revisionerne online uden begrænsning for at "omfavne ånden ved at udføre disse revisioner" snarere end at gennemgå det, som han ser som en tom gestus.
"Jeg tror ikke, det tilføjer meget værdi for brugerne for dem at lægge et blogindlæg ud og sige: 'Hej, vi har foretaget en revision af et firma,' citer et eller to afsnit af formodede fund og derefter være som, 'Åh, nu kan du stole på os,' sagde han.
Det er ikke altid let at fortælle, hvilke revisionsfirmaer der er troværdige, men mange har websteder, der viser deres revisorer, deres legitimationsoplysninger, og hvor længe de har været i branchen, hvilket kan være et godt udgangspunkt.
Se også efter revisioner af virksomheder, der uafhængigt offentliggør deres resultater.
PricewaterhouseCoopers er et velkendt navn, og det kan inspirere til en vis tillid til en revision.
Cure53, et andet navn, der kommer op i forbindelse med sikkerhedsrevisioner, er måske mindre kendt uden for branchen, men det er mere specialiseret i cybersikkerhed.
"Hvis [an audit] blev kun frigivet af VPN's PR-team, og den uafhængige revisor gav dem ikke tilladelse til at bruge deres navn, og de offentliggjorde det ikke uafhængigt, der efter min mening ville rejse nogle spørgsmål om, hvor legitim og hvor intens denne revision var var, eller hvor dårlige resultaterne var, og hvilke der ikke blev løst, "sagde Jon Camfield, direktør for Global Technology Strategy hos Internews.
Typer af revisioner
De to mest almindelige VPN-revisioner er privatlivsrevisioner (som fokuserer på at verificere organisationernes loggningspraksis) og mere omfattende sikkerhedsrevisioner (som ser et bredere kig på virksomheden og dens sikkerhedspraksis).
Sidstnævnte er den type revision, som NordVPN siger, at den foretager.
"Der er til tider en bevidst muddring af vandet fra de lidt mindre etiske udbydere om, hvad de har gjort, når de kommunikerer til deres brugere," sagde Migliano.
"Der ser ud til at være en tendens til at bruge udtrykket 'uafhængig sikkerhedsrevision' som en sammenhæng for 'hej, nu kan du stole på os', hvilket jeg ikke synes er en god ting."
Selvom det er vigtigt at se på, om en VPNs logningspolitik matcher dens praksis, sagde Migliano, at han ser det som ufuldstændigt.
Virksomheder skal tillade, at revisorer også ser på "hele spektret af klienter og applikationer og backend-infrastruktur og kernetjenester", sagde han.
Hvad med open source?
Nogle VPN'er, der ikke har haft deres egne uafhængige tredjeparts sikkerhedsrevisioner, hævder, at de er unødvendige, fordi deres produkter bruger reviderede open source-værktøjer og biblioteker.
Men eksperter siger, at det ikke er nok.
"Hvad der ikke er åbent, er, hvordan de binder dem nøjagtigt," sagde Camfield.
"Konfigurerede de dem i henhold til branchens bedste praksis eller endda kryptografisk bedste praksis? Det er noget, der er super nyttigt for revisionen at gå ind og se på."
Værktøjer, der er bygget på reviderede og open source-værktøjer, kan interface med dit system på en usikker måde, implementeres forkert, have forkert konfigureret kode eller forkert logge eller gemme konti.
"Der er meget mere end bare, 'Åh, vi bruger disse åbne biblioteker.' Brugte du dem korrekt? " Sagde Camfield.
Omfanget af en revision
Revisioner har typisk et omfang, der berører, hvad der nøjagtigt bliver revideret, de anvendte metoder og hvor omfattende engagementet er, samt hvor mange mennesker der reviderer appen, og hvor lang tid de har.
"Hvis nogen ønsker at spille ting, kan de helt sikkert spille det ved at afprøve revisionen til ting, som de ved, de vil passere," sagde Callas.
En revision kan f.eks.
Kun dække mobilapps eller browserudvidelser snarere end den fulde VPN, du planlægger at bruge.
Nogle gange kan forståelse af omfanget kræve en smule læsning mellem linjerne.
"En revision kan tilsløre det faktum, at vigtige ting ikke rigtig er blevet revideret," sagde Holmes.
"Hvis du f.eks.
Har nogen, der kontrollerer GUI'en, inkluderer den faktisk den underliggende protokol eller valget af protokoller, eller hvilke krypteringsprotokoller der tilbydes, og hvor konfigurerbar det er? Det gør faktisk en enorm forskel."
En glødende revision med et begrænset omfang fortæller dig slet ikke meget om privatlivets fred og sikkerhed for en VPN.
For eksempel kan et begrænset omfang kun give revisorer mulighed for at se på kildekoden i stedet for at grave gennem VPN-systemer og kopier af (eller endda ægte) produktionsservere.
"Din kode kunne være fantastisk, men hvis dine backend-servere ikke var inkluderet i revisionen, er den faktisk ikke holistisk eller anvendelig i nogen form eller form," sagde Camfield.
Ved evaluering af revisionsrapporter og deres omfang ser Holmes derudover efter, om revisorer implementerer reproducerbare bygningsprotokoller, "så de i højere grad kan bevise, at det, du rent faktisk downloader og installerer, matcher det, som udviklerne faktisk havde til hensigt."
Anbefalet af vores redaktører
Rapporter fund
Revisionsrapporter er tekniske dokumenter, der beskriver, hvilke sårbarheder der er fundet i den VPN, der blev evalueret.
En revision, der viser, at en VPN havde nogle fejl, er ikke nødvendigvis en dårlig ting.
Faktisk er det faktisk gode nyheder, når revisorer finder problemer, der bliver rettet.
"Min opfattelse af enhver form for fejl og rapportering er, at mærket for, hvad der gør et godt firma, er, hvordan de håndterer problemerne, hvilket inkluderer hvor hurtigt de løser dem, og om de prøver at væsse ud af, at det er et problem "Sagde Callas.
Revisionsrapporter bør indeholde oplysninger om rettelser under en opfølgningsopgave, når revisorerne tjekker ind igen.
Da sikkerhedsrevision kun afspejler et øjeblik i tiden, skal de være noget, en virksomhed investerer i med jævne mellemrum.
"Du skal ikke have en revision en gang og derefter aldrig have en igen," sagde Holmes.
VPN'er opdateres ganske ofte, og sikkerhedsfejl opdages hele tiden, så oftere end ikke, hvad der er blevet revideret, er ikke det værktøj, du bruger.
"Den perfekte er fjenderne for det gode," sagde Camfield.
"I en eller anden idealiseret perfekt verden ville al koden være åben, builds ville være reproducerbare (hvilket betyder, at du kan kontrollere, at den open source, som alle kan se, er nøjagtigt, hvad der genererede det værktøj, som du faktisk bruger på din enhed) og hver nye udgivelse ville blive revideret uafhængigt.
"
"Omkostningerne og de begrænsninger, der vil lægge på værktøjsudvikling, er ikke ubetydelige," sagde Camfield.
"Så jeg ser det virkelig som i det mindste at gøre noget.
Sikker på, det er et øjebliksbillede i tide, men jeg foretrækker meget at se alle gennemgå en årlig revision eller halvårlig revision end intet."
Ikke alle potentielle VPN-brugere gider at undersøge revisioner, før de abonnerer.
Nogle gange vil du bare fjerne blokeringen af ??Netflix.
Men hvis du siger, du leder efter en VPN, der holder dig sikker og privat i et uvenligt miljø, er det sandsynligvis værd at tage denne slags ting alvorligt.
Og uanset hvilken slags VPN-forbruger du er, kan det aldrig skade at blive bedre informeret.
