TunnelBear zveřejnil výsledky auditu KE STAŽENÍProvozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži na trh a snaží se zlomit všeobecnou nedůvěru vůči provozovatelům VPN. Jak dopadly její produkty?
Role auditora byla přidělena německým specialistům na penetrační testy Cure53. Jejich úkolem bylo odhalit jakékoliv slabiny zabezpečení infrastruktury, serverů a programů TunnelBear. Cure53 dostali úplný přístup ke kódu aplikací a systémům TunnelBear na 30 dní v ke konci roku 2016 a opětovně pak na 8 dní na začátku roku 2017. Zadání ze strany TunnelBear znělo: „důkladný penetrační test VPN sítě, bezpečnostní audit zdrojového kód, kontrola konfigurací a obecná konzultace provozu celé VPN sítě“. První fáze testování odhalila několik potenciálních zranitelností. Nejzávažnějších z nich se nacházela přímo v TunnelBear VPN klientovi a umožňovala převzetí kontroly nad napadeným zařízením. Další dvě z řádu kritických se pak nalézaly v prohlížečových doplňcích, přičemž vinou první z nich mohl web obejít VPN maskování a navázat přímé spojení s uživatelem, vinou druhé z nich mohl útočný web vypnout celý doplněk TunnelBear VPN. Krom toho experti z Cure53 našli ještě 3 vysoce rizikové zranitelnosti, a to v API TunnelBear a v appce pro Android.
Společnost nebyla na dané výsledky zrovna hrdá. Nicméně se vývojáři dali do práce a za spoluúčasti Cure53 všechny tyto zranitelnosti opravili. Ani původně neměli v úmyslu tato zjištění publikovat, nicméně vzhledem ke stavu poskytování virtuálního šifrovaného spojení se rozhodli pro zveřejnění. Služby typu VPN totiž potřebují získat důvěru uživatelů. Samotné VPN připojení uživatele vyhledávají, protože chtějí zabezpečit svá data. Nicméně riziko možného odposlechnutí použitím VPN sítě směňují za stejné riziko zneužití takto odkomunikovaných dat poskytovatelem této sítě. S tím souhlasí i Cure53: „Současná VPN scéna je současně vysoce saturovaná i bující. Nedostatek jakékoliv standardizace, transparentnosti a bezpečnostních auditů umožňuje jak etablovaným, tak novým subjektům proklamovat nadnesené sliby ohledně zachování bezpečí zákazníků a ochrany jejich soukromých informací. A na základě těchto neověřených slibů se vybírá správný poskytovatel VPN sítě špatně, ať už laikovi či IT specialistovi.“
Právě proto je podstatná aktivita TunnelBear, která se tímto celý trh snaží směrovat k auditingu poskytovaných služeb. Ostatně TunnelBear nejen opravila chyby zjištěné prvním testem, ale podstoupila i druhé kolo prověrky, která jejich odstranění potvrdila. Druhá prověrka sice zároveň objevila dalších 13 slabin, nicméně žádná z nich již nebyla kritická a pouze jedna je hodnocena coby vysoce riziková. Konkrétně jde o příliš volná oprávnění přístupu k souborům obsahujícím citlivé informace na VPN serveru, k němuž by ovšem útočník musel mít přímý přístup. Celkově však Cure53 konstatovali: „Výsledky druhého testu dokazují, že společnost TunnelBear si zaslouží uznání za zvýšení zabezpečení jak svých serverů a infrastruktury, tak klientských aplikací a rozšíření pro prohlížeče.“ TunnelBear na zjištěných nedostatcích začal okamžitě pracovat a konstatuje: „Naším plánem je získat důvěru a popostrčit celý trh s VPN směrem k větší transparentnosti., Zatímco jiní poskytovatelé se spokojí s pohybem ve stínech při zajišťování vašeho bezpečí, mohou si být zákazníci i experti fungováním TunnelBear jisti díky tomuto veřejnému auditu třetí stranou. Jestliže jsme si něco z tohoto auditu vzali za ponaučení, pak je to, že dobré zabezpečení vyžaduje neustálé přehodnocování. Zavedeme každoroční audity, které nám pomohou nejen identifikovat zranitelnosti, ale také prokázat transparentnost, jíž je v tomto oboru nedostatek.“ Zdroje: Cure53 (PDF), TunnelBear Blog
Daniel Beránek, 12.08.2017 17:08 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... Opera se snaží co nejvíce využít vlnu AI. Nabízí nejen vlastní AI asistentku Ariu, ale jejím prostřednictvím i spoustu dalších funkcí. Nyní přichází s podporou lokálně spustitelných velkých jazykových modelů, což... |
