RSS Kanál

 

TunnelBear zveřejnil výsledky auditu KE STAŽENÍ

Provozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži na trh a snaží se zlomit všeobecnou nedůvěru vůči provozovatelům VPN. Jak dopadly její produkty?

 

Experti z Cure53 koukli důkladně VPN medvídkovi TunnelBear pod kůži

Role auditora byla přidělena německým specialistům na penetrační testy Cure53. Jejich úkolem bylo odhalit jakékoliv slabiny zabezpečení infrastruktury, serverů a programů TunnelBear. Cure53 dostali úplný přístup ke kódu aplikací a systémům TunnelBear na 30 dní v ke konci roku 2016 a opětovně pak na 8 dní na začátku roku 2017. Zadání ze strany TunnelBear znělo: „důkladný penetrační test VPN sítě, bezpečnostní audit zdrojového kód, kontrola konfigurací a obecná konzultace provozu celé VPN sítě“.

První fáze testování odhalila několik potenciálních zranitelností. Nejzávažnějších z nich se nacházela přímo v TunnelBear VPN klientovi a umožňovala převzetí kontroly nad napadeným zařízením. Další dvě z řádu kritických se pak nalézaly v prohlížečových doplňcích, přičemž vinou první z nich mohl web obejít VPN maskování a navázat přímé spojení s uživatelem, vinou druhé z nich mohl útočný web vypnout celý doplněk TunnelBear VPN. Krom toho experti z Cure53 našli ještě 3 vysoce rizikové zranitelnosti, a to v API TunnelBear a v appce pro Android. 

Součástí zevrubného bezpečnostního auditu je analýza zdrojových kódů

Společnost nebyla na dané výsledky zrovna hrdá. Nicméně se vývojáři dali do práce a za spoluúčasti Cure53 všechny tyto zranitelnosti opravili. Ani původně neměli v úmyslu tato zjištění publikovat, nicméně vzhledem ke stavu poskytování virtuálního šifrovaného spojení se rozhodli pro zveřejnění. Služby typu VPN totiž potřebují získat důvěru uživatelů. Samotné VPN připojení uživatele vyhledávají, protože chtějí zabezpečit svá data. Nicméně riziko možného odposlechnutí použitím VPN sítě směňují za stejné riziko zneužití takto odkomunikovaných dat poskytovatelem této sítě. 

S tím souhlasí i Cure53: „Současná VPN scéna je současně vysoce saturovaná i bující. Nedostatek jakékoliv standardizace, transparentnosti a bezpečnostních auditů umožňuje jak etablovaným, tak novým subjektům proklamovat nadnesené sliby ohledně zachování bezpečí zákazníků a ochrany jejich soukromých informací. A na základě těchto neověřených slibů se vybírá správný poskytovatel VPN sítě špatně, ať už laikovi či IT specialistovi.“

Komplex VPN služeb může zahrnovat velké množství klientských zařízení, webových aplikací, serverů...

Právě proto je podstatná aktivita TunnelBear, která se tímto celý trh snaží směrovat k auditingu poskytovaných služeb. Ostatně TunnelBear nejen opravila chyby zjištěné prvním testem, ale podstoupila i druhé kolo prověrky, která jejich odstranění potvrdila. Druhá prověrka sice zároveň objevila dalších 13 slabin, nicméně žádná z nich již nebyla kritická a pouze jedna je hodnocena coby vysoce riziková. Konkrétně jde o příliš volná oprávnění přístupu k souborům obsahujícím citlivé informace na VPN serveru, k němuž by ovšem útočník musel mít přímý přístup. Celkově však Cure53 konstatovali: „Výsledky druhého testu dokazují, že společnost TunnelBear si zaslouží uznání za zvýšení zabezpečení jak svých serverů a infrastruktury, tak klientských aplikací a rozšíření pro prohlížeče.“

TunnelBear na zjištěných nedostatcích začal okamžitě pracovat a konstatuje: „Naším plánem je získat důvěru a popostrčit celý trh s VPN směrem k větší transparentnosti., Zatímco jiní poskytovatelé se spokojí s pohybem ve stínech při zajišťování vašeho bezpečí, mohou si být zákazníci i experti fungováním TunnelBear jisti díky tomuto veřejnému auditu třetí stranou. Jestliže jsme si něco z tohoto auditu vzali za ponaučení, pak je to, že dobré zabezpečení vyžaduje neustálé přehodnocování. Zavedeme každoroční audity, které nám pomohou nejen identifikovat zranitelnosti, ale také prokázat transparentnost, jíž je v tomto oboru nedostatek.“

Zdroje: Cure53 (PDF), TunnelBear Blog

 

Daniel Beránek, 12.08.2017 17:08

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Nejlehčím antivirem je Eset

Antivirové laboratoře AV-Comparatives se v posledním ze svých pravidelných testů bezpečnostních řešení zaměřily na zatížení uživatelských systémů při instalaci produktů vybraných vývojářů. Nejlépe ze srovnání vyšly...

Chrome obohacuje bezpečnostní nástroj Cleanup

Bezpečnost prohlížeče Google Chrome nově posílí utilita Chrome Cleanup, vyvinutá ve spolupráci s antivirovým gigantem Eset. Chrome Cleanup je integrovaný nástroj sloužící k vyhledání a likvidaci škodlivého softwaru, který může způsobovat...

Kaspersky prohlubuje spolupráci s Interpolem

Interpol nesdílí deklarované obavy Američanů ze společnosti Kaspersky. Naopak. Cení si jí coby zdroje informací a expertízy na poli boje s kyberzločinem. A vnímá ji jako partnera, který mu už v minulosti mnohokrát pomohl s identifikací hrozeb a eliminací...

M-Disc: formát, který vrací optické disky do hry

Ač mnozí už zanevřeli na archivaci dat pomocí optických disků - ať už DVD, nebo Blu‑ray - není třeba tuto možnost úplně opustit. Přece jen se provádí snadno a rychle. Disky jsou lehce skladovatelné, snesou i horší zacházení a mohou být vždy po...

 

 
© 2005-2017 PS Media s.r.o. - digital world