ExpressVPN pubblica audit di sicurezza esterni ed estensione del browser open source

[ware_item id=33][/ware_item]

Un'illustrazione di una serratura con una lente d'ingrandimento tenuta sopra. La lente sulla lente d'ingrandimento rivela il funzionamento interno della serratura. Come se la lente d'ingrandimento fosse una sorta di macchina a raggi X magica, forse del futuro.


Dall'esterno, la maggior parte delle serrature sembrano uguali. Alcuni possono resistere al picking o al bumping, altri possono essere rinforzati contro i trapani, ma non lo sapresti mai solo guardando. Per riconoscere il lucchetto più forte, dovresti provare a sceglierlo tu stesso, chiedere a un fabbro di testarlo o forse anche smontarlo per esaminare il design.

Le VPN sono un po 'così. Pertanto, sebbene siamo certi che ExpressVPN offra sicurezza e privacy ai vertici del settore, sappiamo che potrebbe non essere facile dirlo dall'esterno.

Vogliamo che tu sia fiducioso come noi, quindi, ci impegniamo a fornirti le informazioni che devi vedere di persona. Questo è il motivo per cui abbiamo pubblicato strumenti di prova delle perdite open source, in qualche modo simili a quelli di un set di strumenti, e delineato le nostre pratiche di sicurezza in modo dettagliato nell'ultimo anno.

Oggi stiamo annunciando due nuove iniziative di fiducia e trasparenza che consentano ulteriormente a tutti di verificare di essere all'altezza delle nostre promesse: un controllo di sicurezza indipendente e rilasciato pubblicamente e il sourcing dell'estensione del browser ExpressVPN.

Cure53 ha messo alla prova le dichiarazioni di sicurezza di ExpressVPN

I test indipendenti di terze parti sono un elemento chiave dell'approccio di ExpressVPN alla sicurezza e collaboriamo regolarmente con revisori della sicurezza e tester di penetrazione. In passato, abbiamo utilizzato questi audit per rafforzare la sicurezza del nostro servizio, ma man mano che il settore VPN si evolve, abbiamo anche capito l'importanza di pubblicare i risultati come parte del nostro impegno per la fiducia e la trasparenza. A tal fine, pubblichiamo oggi il nostro primo audit indipendente sulla sicurezza pubblica, il primo di molti a venire.

Per questo audit, abbiamo invitato la rispettata società di sicurezza informatica Cure53 a condurre un'attenta revisione della sicurezza della nostra estensione per browser, fornendo ai suoi esperti pieno accesso al codice sorgente e alle build. Un team di quattro tester Cure53 ha valutato le protezioni di sicurezza e privacy dell'estensione per sette giorni nell'ottobre 2018, quindi ha dato seguito a metà novembre per confermare che tutti i problemi identificati erano stati risolti.

Secondo il rapporto indipendente di Cure53, disponibile pubblicamente sul sito Web dell'azienda, "i risultati di questa valutazione Cure53 dell'estensione del browser ExpressVPN per Chrome sono positivi e il processo di verifica delle correzioni di metà novembre 2018 lo conferma."

Nella sua indagine, Cure53 ha identificato otto problemi, nessuno dei quali ha ricevuto un livello di gravità superiore a "medio". Cure53 afferma che "abbastanza chiaramente, questo è un buon indicatore di sicurezza.”

Dei problemi, tre sono stati contrassegnati come "medi", due "bassi" e tre "informativi". Il team di ingegneri di ExpressVPN ha prontamente affrontato questi risultati e Cure53 lo ha verificato nell'ambito dell'audit. Cure53 rileva inoltre che "è necessario sottolineare che non sono stati scoperti problemi di sicurezza che consentano agli [aggressori] di influenzare lo stato della connessione VPN tramite una pagina Web dannosa o simili". In altre parole, non è stato trovato nulla che abbia un impatto fondamentale sulla sicurezza e sulla privacy fondamentali protezione fornita da ExpressVPN.

Siamo lieti che questo audit confermi e rafforzi la sicurezza della nostra estensione per browser e non vediamo l'ora di condividere ulteriori revisioni indipendenti nel prossimo futuro.

Open-sourcing consente a chiunque di rivedere il nostro codice

Oltre al controllo, pubblichiamo anche il codice sorgente dell'estensione del browser ExpressVPN con una licenza open source (GNU General Public License, versione 2). Ciò consente a voi o a terzi di eseguire lo stesso tipo di valutazione condotta da Cure53.

Un motivo per cui l'abbiamo fatto deriva dal modo in cui funzionano le estensioni. Un'estensione richiede un ampio set di autorizzazioni per funzionare, alcune delle quali possono sembrare allarmanti quando richiesto dal browser. (Ad esempio, un'autorizzazione avverte che l'estensione può "leggere e modificare tutti i tuoi dati sui siti Web visitati.")

Queste autorizzazioni sono necessarie per fornire tutte le funzioni di privacy e sicurezza di una VPN, nonché vantaggi aggiuntivi, come la protezione da malware. Con l'approvvigionamento aperto della nostra estensione, invitiamo chiunque a guardare sotto il cofano e a confermare che stiamo usando queste autorizzazioni in modo responsabile e solo per i motivi che abbiamo dato.

Per visualizzare il codice sorgente dell'ultima versione dell'estensione del browser ExpressVPN, vedere la nostra pagina GitHub.

Il nostro impegno per la fiducia e la trasparenza nel settore VPN

Quello che abbiamo annunciato oggi sono due degli ultimi passi della nostra ricerca non solo per dimostrare il nostro impegno per la sicurezza e la privacy, ma anche per aiutare a stabilire la barra della fiducia e della trasparenza nel settore VPN.

Come abbiamo notato l'anno scorso quando abbiamo lanciato un'iniziativa intersettoriale con il Center for Democracy and Technology per elevare gli standard per tutte le VPN, crediamo che qualsiasi cosa che aiuti gli utenti di Internet a prendere decisioni più informate quando scelgono una VPN, alla fine rende Internet più privato e sicuro per tutti.

Mentre continuiamo a progettare modi nuovi e migliori per proteggere la privacy e la sicurezza online, non vediamo l'ora di pubblicare più audit, strumenti e approfondimenti che ti consentano di vedere e decidere tu stesso quale VPN offre la protezione di cui hai bisogno.

Nota dell'editore: 2 agosto 2019
In linea con il nostro impegno a continuare a pubblicare audit più indipendenti, abbiamo recentemente invitato PwC a verificare che i nostri server VPN siano conformi alla nostra politica sulla privacy e a controllare la nostra tecnologia TrustedServer. Per saperne di più e leggere il rapporto di audit PwC completo, vedere il nostro post sul blog degli annunci completo.

ExpressVPN pubblica audit di sicurezza esterni ed estensione del browser open source
admin Author
Sorry! The Author has not filled his profile.