TunnelBear zveřejnil výsledky auditu KE STAŽENÍProvozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži na trh a snaží se zlomit všeobecnou nedůvěru vůči provozovatelům VPN. Jak dopadly její produkty?
Role auditora byla přidělena německým specialistům na penetrační testy Cure53. Jejich úkolem bylo odhalit jakékoliv slabiny zabezpečení infrastruktury, serverů a programů TunnelBear. Cure53 dostali úplný přístup ke kódu aplikací a systémům TunnelBear na 30 dní v ke konci roku 2016 a opětovně pak na 8 dní na začátku roku 2017. Zadání ze strany TunnelBear znělo: „důkladný penetrační test VPN sítě, bezpečnostní audit zdrojového kód, kontrola konfigurací a obecná konzultace provozu celé VPN sítě“. První fáze testování odhalila několik potenciálních zranitelností. Nejzávažnějších z nich se nacházela přímo v TunnelBear VPN klientovi a umožňovala převzetí kontroly nad napadeným zařízením. Další dvě z řádu kritických se pak nalézaly v prohlížečových doplňcích, přičemž vinou první z nich mohl web obejít VPN maskování a navázat přímé spojení s uživatelem, vinou druhé z nich mohl útočný web vypnout celý doplněk TunnelBear VPN. Krom toho experti z Cure53 našli ještě 3 vysoce rizikové zranitelnosti, a to v API TunnelBear a v appce pro Android. Společnost nebyla na dané výsledky zrovna hrdá. Nicméně se vývojáři dali do práce a za spoluúčasti Cure53 všechny tyto zranitelnosti opravili. Ani původně neměli v úmyslu tato zjištění publikovat, nicméně vzhledem ke stavu poskytování virtuálního šifrovaného spojení se rozhodli pro zveřejnění. Služby typu VPN totiž potřebují získat důvěru uživatelů. Samotné VPN připojení uživatele vyhledávají, protože chtějí zabezpečit svá data. Nicméně riziko možného odposlechnutí použitím VPN sítě směňují za stejné riziko zneužití takto odkomunikovaných dat poskytovatelem této sítě. S tím souhlasí i Cure53: „Současná VPN scéna je současně vysoce saturovaná i bující. Nedostatek jakékoliv standardizace, transparentnosti a bezpečnostních auditů umožňuje jak etablovaným, tak novým subjektům proklamovat nadnesené sliby ohledně zachování bezpečí zákazníků a ochrany jejich soukromých informací. A na základě těchto neověřených slibů se vybírá správný poskytovatel VPN sítě špatně, ať už laikovi či IT specialistovi.“ Právě proto je podstatná aktivita TunnelBear, která se tímto celý trh snaží směrovat k auditingu poskytovaných služeb. Ostatně TunnelBear nejen opravila chyby zjištěné prvním testem, ale podstoupila i druhé kolo prověrky, která jejich odstranění potvrdila. Druhá prověrka sice zároveň objevila dalších 13 slabin, nicméně žádná z nich již nebyla kritická a pouze jedna je hodnocena coby vysoce riziková. Konkrétně jde o příliš volná oprávnění přístupu k souborům obsahujícím citlivé informace na VPN serveru, k němuž by ovšem útočník musel mít přímý přístup. Celkově však Cure53 konstatovali: „Výsledky druhého testu dokazují, že společnost TunnelBear si zaslouží uznání za zvýšení zabezpečení jak svých serverů a infrastruktury, tak klientských aplikací a rozšíření pro prohlížeče.“ TunnelBear na zjištěných nedostatcích začal okamžitě pracovat a konstatuje: „Naším plánem je získat důvěru a popostrčit celý trh s VPN směrem k větší transparentnosti., Zatímco jiní poskytovatelé se spokojí s pohybem ve stínech při zajišťování vašeho bezpečí, mohou si být zákazníci i experti fungováním TunnelBear jisti díky tomuto veřejnému auditu třetí stranou. Jestliže jsme si něco z tohoto auditu vzali za ponaučení, pak je to, že dobré zabezpečení vyžaduje neustálé přehodnocování. Zavedeme každoroční audity, které nám pomohou nejen identifikovat zranitelnosti, ale také prokázat transparentnost, jíž je v tomto oboru nedostatek.“ Zdroje: Cure53 (PDF), TunnelBear Blog
Daniel Beránek, 12.08.2017 17:08 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Jestli se slovem revoluce běžně plýtvá, tak v souvislosti s AI se používá už pro každou blbost. Při takové inflaci významu se není co divit, když skutečnosti, které se opravdu blíží významu slova, proplují mediálním prostorem zcela... Claude 3 od Anthropic představuje novou éru v oblasti umělé inteligence, kde rychlost, přesnost a etické principy jdou ruku v ruce. Díky pokročilým vizuálním schopnostem, téměř okamžitým výsledkům a schopnosti poskytovat kontextově citlivé odpovědi se Claude 3 je... Microsoft přináší aktualizaci pro uživatele Windows 11, umožňující přímé použití kamery Android smartphonu jako webkamery pro počítač. Novinka, dostupná nejprve pro členy programu Windows Insiders, slibuje jednodušší a efektivnější... Microsoft rozšiřuje portfolio svých AI investic. Tentokrát sází na francouzskou společnost Mistral AI, jejíž LLM aktuálně dosahují výkonu GPT-4, ovšem při mnohem menší provozní náročnosti. Mistral již disponuje online rozhraním... |