[ Zavřít ] 


 

RSS Kanál

 

TunnelBear zveřejnil výsledky auditu KE STAŽENÍ

Provozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži na trh a snaží se zlomit všeobecnou nedůvěru vůči provozovatelům VPN. Jak dopadly její produkty?

 

Experti z Cure53 koukli důkladně VPN medvídkovi TunnelBear pod kůži

Role auditora byla přidělena německým specialistům na penetrační testy Cure53. Jejich úkolem bylo odhalit jakékoliv slabiny zabezpečení infrastruktury, serverů a programů TunnelBear. Cure53 dostali úplný přístup ke kódu aplikací a systémům TunnelBear na 30 dní v ke konci roku 2016 a opětovně pak na 8 dní na začátku roku 2017. Zadání ze strany TunnelBear znělo: „důkladný penetrační test VPN sítě, bezpečnostní audit zdrojového kód, kontrola konfigurací a obecná konzultace provozu celé VPN sítě“.

První fáze testování odhalila několik potenciálních zranitelností. Nejzávažnějších z nich se nacházela přímo v TunnelBear VPN klientovi a umožňovala převzetí kontroly nad napadeným zařízením. Další dvě z řádu kritických se pak nalézaly v prohlížečových doplňcích, přičemž vinou první z nich mohl web obejít VPN maskování a navázat přímé spojení s uživatelem, vinou druhé z nich mohl útočný web vypnout celý doplněk TunnelBear VPN. Krom toho experti z Cure53 našli ještě 3 vysoce rizikové zranitelnosti, a to v API TunnelBear a v appce pro Android. 

Součástí zevrubného bezpečnostního auditu je analýza zdrojových kódů

Společnost nebyla na dané výsledky zrovna hrdá. Nicméně se vývojáři dali do práce a za spoluúčasti Cure53 všechny tyto zranitelnosti opravili. Ani původně neměli v úmyslu tato zjištění publikovat, nicméně vzhledem ke stavu poskytování virtuálního šifrovaného spojení se rozhodli pro zveřejnění. Služby typu VPN totiž potřebují získat důvěru uživatelů. Samotné VPN připojení uživatele vyhledávají, protože chtějí zabezpečit svá data. Nicméně riziko možného odposlechnutí použitím VPN sítě směňují za stejné riziko zneužití takto odkomunikovaných dat poskytovatelem této sítě. 

S tím souhlasí i Cure53: „Současná VPN scéna je současně vysoce saturovaná i bující. Nedostatek jakékoliv standardizace, transparentnosti a bezpečnostních auditů umožňuje jak etablovaným, tak novým subjektům proklamovat nadnesené sliby ohledně zachování bezpečí zákazníků a ochrany jejich soukromých informací. A na základě těchto neověřených slibů se vybírá správný poskytovatel VPN sítě špatně, ať už laikovi či IT specialistovi.“

Komplex VPN služeb může zahrnovat velké množství klientských zařízení, webových aplikací, serverů...

Právě proto je podstatná aktivita TunnelBear, která se tímto celý trh snaží směrovat k auditingu poskytovaných služeb. Ostatně TunnelBear nejen opravila chyby zjištěné prvním testem, ale podstoupila i druhé kolo prověrky, která jejich odstranění potvrdila. Druhá prověrka sice zároveň objevila dalších 13 slabin, nicméně žádná z nich již nebyla kritická a pouze jedna je hodnocena coby vysoce riziková. Konkrétně jde o příliš volná oprávnění přístupu k souborům obsahujícím citlivé informace na VPN serveru, k němuž by ovšem útočník musel mít přímý přístup. Celkově však Cure53 konstatovali: „Výsledky druhého testu dokazují, že společnost TunnelBear si zaslouží uznání za zvýšení zabezpečení jak svých serverů a infrastruktury, tak klientských aplikací a rozšíření pro prohlížeče.“

TunnelBear na zjištěných nedostatcích začal okamžitě pracovat a konstatuje: „Naším plánem je získat důvěru a popostrčit celý trh s VPN směrem k větší transparentnosti., Zatímco jiní poskytovatelé se spokojí s pohybem ve stínech při zajišťování vašeho bezpečí, mohou si být zákazníci i experti fungováním TunnelBear jisti díky tomuto veřejnému auditu třetí stranou. Jestliže jsme si něco z tohoto auditu vzali za ponaučení, pak je to, že dobré zabezpečení vyžaduje neustálé přehodnocování. Zavedeme každoroční audity, které nám pomohou nejen identifikovat zranitelnosti, ale také prokázat transparentnost, jíž je v tomto oboru nedostatek.“

Zdroje: Cure53 (PDF), TunnelBear Blog

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

ČTÚ spouští NetTest, certifikovaný test internetu

Kvalita připojení k internetu se liší nejen mezi jednotlivými poskytovateli - co hůř - kolísá v čase u téhož. Navíc zákazníci jsou typicky v nevýhodné pozici: mohou sice rychlost připojení reklamovat, ale o tom, jak jejich reklamace dopadne či...

Vivaldi 4.2 přináší nové volby ochrany soukromí

Vivaldi stále válčí především customizovatelností prohlížeče, maximální svobodou výběru používaných služeb a snahou o ochranu uživatelského soukromí. Ve verzi 4.2 se to rovná implementací nového překladače Lingvanex...

LibreOffice 7.2: neustálé zlepšování podpory formátů MS Office

LibreOffice je sice open-source software, nicméně jeho vývojáři ví, že pro masivní rozšíření v komunitě a především mezi firemními zákazníky musí bezchybně pracovat i s proprietárními formáty. Jako jsou například ty...

NortonLifeLock akvíruje Avast

Bývalý Symantec Corp. alias NortonLifeLock a Avast se dohodli na fúzi, při níž Avast skončí pod křídly NortonLifeLock. Akvizice přijde americkou společnost na něco mezi 8,1 - 8,6 miliard dolarů. A akcionáři Avastu budou mít nárok na kombinaci peněžního...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama