RSS Kanál

 

TunnelBear zveřejnil výsledky auditu KE STAŽENÍ

Provozovatel virtuální privátní sítě a vývojář navázaných aplikací TunnelBear se rozhodl zveřejnit výsledky opakované bezpečnostní prověrky svého provozu. Ač ta měla sloužit původně interním účelům, jde kanadská společnost s kůži na trh a snaží se zlomit všeobecnou nedůvěru vůči provozovatelům VPN. Jak dopadly její produkty?

 

Experti z Cure53 koukli důkladně VPN medvídkovi TunnelBear pod kůži

Role auditora byla přidělena německým specialistům na penetrační testy Cure53. Jejich úkolem bylo odhalit jakékoliv slabiny zabezpečení infrastruktury, serverů a programů TunnelBear. Cure53 dostali úplný přístup ke kódu aplikací a systémům TunnelBear na 30 dní v ke konci roku 2016 a opětovně pak na 8 dní na začátku roku 2017. Zadání ze strany TunnelBear znělo: „důkladný penetrační test VPN sítě, bezpečnostní audit zdrojového kód, kontrola konfigurací a obecná konzultace provozu celé VPN sítě“.

První fáze testování odhalila několik potenciálních zranitelností. Nejzávažnějších z nich se nacházela přímo v TunnelBear VPN klientovi a umožňovala převzetí kontroly nad napadeným zařízením. Další dvě z řádu kritických se pak nalézaly v prohlížečových doplňcích, přičemž vinou první z nich mohl web obejít VPN maskování a navázat přímé spojení s uživatelem, vinou druhé z nich mohl útočný web vypnout celý doplněk TunnelBear VPN. Krom toho experti z Cure53 našli ještě 3 vysoce rizikové zranitelnosti, a to v API TunnelBear a v appce pro Android. 

Součástí zevrubného bezpečnostního auditu je analýza zdrojových kódů

Společnost nebyla na dané výsledky zrovna hrdá. Nicméně se vývojáři dali do práce a za spoluúčasti Cure53 všechny tyto zranitelnosti opravili. Ani původně neměli v úmyslu tato zjištění publikovat, nicméně vzhledem ke stavu poskytování virtuálního šifrovaného spojení se rozhodli pro zveřejnění. Služby typu VPN totiž potřebují získat důvěru uživatelů. Samotné VPN připojení uživatele vyhledávají, protože chtějí zabezpečit svá data. Nicméně riziko možného odposlechnutí použitím VPN sítě směňují za stejné riziko zneužití takto odkomunikovaných dat poskytovatelem této sítě. 

S tím souhlasí i Cure53: „Současná VPN scéna je současně vysoce saturovaná i bující. Nedostatek jakékoliv standardizace, transparentnosti a bezpečnostních auditů umožňuje jak etablovaným, tak novým subjektům proklamovat nadnesené sliby ohledně zachování bezpečí zákazníků a ochrany jejich soukromých informací. A na základě těchto neověřených slibů se vybírá správný poskytovatel VPN sítě špatně, ať už laikovi či IT specialistovi.“

Komplex VPN služeb může zahrnovat velké množství klientských zařízení, webových aplikací, serverů...

Právě proto je podstatná aktivita TunnelBear, která se tímto celý trh snaží směrovat k auditingu poskytovaných služeb. Ostatně TunnelBear nejen opravila chyby zjištěné prvním testem, ale podstoupila i druhé kolo prověrky, která jejich odstranění potvrdila. Druhá prověrka sice zároveň objevila dalších 13 slabin, nicméně žádná z nich již nebyla kritická a pouze jedna je hodnocena coby vysoce riziková. Konkrétně jde o příliš volná oprávnění přístupu k souborům obsahujícím citlivé informace na VPN serveru, k němuž by ovšem útočník musel mít přímý přístup. Celkově však Cure53 konstatovali: „Výsledky druhého testu dokazují, že společnost TunnelBear si zaslouží uznání za zvýšení zabezpečení jak svých serverů a infrastruktury, tak klientských aplikací a rozšíření pro prohlížeče.“

TunnelBear na zjištěných nedostatcích začal okamžitě pracovat a konstatuje: „Naším plánem je získat důvěru a popostrčit celý trh s VPN směrem k větší transparentnosti., Zatímco jiní poskytovatelé se spokojí s pohybem ve stínech při zajišťování vašeho bezpečí, mohou si být zákazníci i experti fungováním TunnelBear jisti díky tomuto veřejnému auditu třetí stranou. Jestliže jsme si něco z tohoto auditu vzali za ponaučení, pak je to, že dobré zabezpečení vyžaduje neustálé přehodnocování. Zavedeme každoroční audity, které nám pomohou nejen identifikovat zranitelnosti, ale také prokázat transparentnost, jíž je v tomto oboru nedostatek.“

Zdroje: Cure53 (PDF), TunnelBear Blog

 

Daniel Beránek, 12.08.2017 17:08

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Útok skrz CCleaner byl zákeřnější, než se zdálo

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve,...

Vivaldi 1.12: více informací a přizpůsobení

Stabilní Vivaldi 1.12 už přináší nedávno otestovanou fičurku zpřístupňující veškeré možné informace o obrázkových formátech na webu. O maximalizaci informací se snaží i přepracovaný správce stahování. A to...

Avast zveřejnil detaily hacku CCleaneru

Avast jménem svého CEO Vince Stecklera a CTO Ondřeje Vlčka zveřejnil bližší informace týkající se hackerského útoku na CCleaner a jeho uživatele. Ty poukazují na to, že Piriform byl napaden už před akvizicí Avastem, napadený CCleaner byl uvolněn až měsíc...

Baba Jaga si to uloží na později aneb aktualizace prohlížeče Seznamu

Prohlížeč Seznam.cz aktualizoval na verzi 4.1.1 Baba Jaga. Koš s hejblátky téhle ježibabky se rozrostl o funkci uložení textů a videí na později. Jak tato funkce funguje? A bude její implementace stačit k získání dalších členů uživatelské základny? ...

 

 
© 2005-2017 PS Media s.r.o. - digital world