21 जनवरी 2020 को वीपीएन प्रदाता प्रोटॉन वीपीएन ने घोषणा की कि उसने एक स्वतंत्र सुरक्षा ऑडिट शुरू किया है, सुरक्षा परामर्श फर्म एसईसी परामर्श द्वारा किया गया.

ProtonVPN, पैरेंट कंपनी Proton Technologies AG के स्वामित्व में है, ने इस ऑडिट का एक संक्षिप्त संस्करण (सभी संभावित कमजोरियों वाले) को सार्वजनिक कर दिया है। कोई भी व्यक्ति अपनी वेबसाइट पर Android, iOS, MacOS और Windows के लिए परिणाम देख सकता है.

प्रत्येक ऑडिट रिपोर्ट एसईसी परामर्श की जांच से पहले और बाद में किसी ऐप की संभावित सुरक्षा कमजोरियों की समीक्षा करती है.

सभी प्लेटफार्मों के पार, परामर्श केवल कम और मध्यम जोखिम कमजोरियों को मिला। रिपोर्ट में SEC परामर्श यह पुष्टि करता है कि इन सभी कमजोरियों को प्रोटॉन टेक्नोलॉजीज द्वारा तय या स्वीकार किया गया है.

ऐसे मामलों में जहां कमजोरियों को तय करने के बजाय स्वीकार किया गया है, प्रोटॉन टेक्नोलॉजीज ने इस निर्णय की व्याख्या करते हुए रिपोर्ट में टिप्पणी की आपूर्ति की है.

ऑडिट "टाइमबॉक्स" के आधार पर किया गया था। इसका मतलब है कि SEC परामर्श समय की एक निर्धारित राशि के लिए ऐप में कमजोरियों की तलाश करता है - इस मामले में प्रत्येक ऐप के लिए छह दिनों की अवधि.

हालांकि इस दृष्टिकोण का मतलब है कि सुरक्षा ऑडिट को व्यापक नहीं माना जा सकता है, ProtonVPN ने अतिरिक्त रूप से सभी चार एप्लिकेशन को ओपन-सोर्स बना दिया है, जिससे किसी भी सुरक्षा पेशेवरों या उपयोगकर्ताओं को कमजोरियों के लिए कोड का निरीक्षण करने की अनुमति मिलती है.

ProtonVPN का दावा है कि "सभी प्लेटफार्मों पर अपने स्रोत कोड को जारी करने और एक स्वतंत्र सुरक्षा लेखा परीक्षा आयोजित करने वाला पहला वीपीएन प्रदाता है।"

नॉर्डवीपीएन, एक्सप्रेसवीपीएन, सुरफशार्क और टनलबियर अन्य वीपीएन प्रदाताओं में से हैं जो अपने सभी ऐप में से कुछ या सभी के सुरक्षा ऑडिट करते हैं।.

AirVPN और Mullvad जैसे अन्य वीपीएन भी हैं, जो पूरी तरह से ओपन-सोर्स ऐप विकसित करते हैं.

मुलवाड ने एक सुरक्षा ऑडिट भी किया है - हालाँकि iOS पर नहीं, जिसके लिए इसके लिए कोई ऐप नहीं है.

ProtonVPN स्वतंत्र ऑडिट से गुजरने वाला और उसके सभी ऐप्स को ओपन-सोर्स बनाने वाला एकमात्र वीपीएन नहीं हो सकता है, लेकिन यह अब क्षेत्र का नेतृत्व कर रहा है.

घोषणा पर बोलते हुए, Top10VPN.com के संपादक कैलम टेनेनट ने कहा: “हम उन कदमों को देखकर प्रसन्न हैं जो प्रोटॉन वीपीएन ने उठाए हैं। एक वीपीएन के लिए पारदर्शिता और विश्वास बहुत महत्वपूर्ण हैं, और एक स्वतंत्र बाहरी ऑडिट और एक ओपन-सोर्स उत्पाद का संयोजन एक बहुत बड़ा आश्वासन है.

“हम ईमानदारी से आशा करते हैं कि अधिक वीपीएन एक समान शुल्क लेते हैं। ऑडिट अधिक से अधिक आम हो गए हैं, और यह निश्चितता है कि वीपीएन प्रदाताओं की संख्या जो उनके अधीन है, 2020 में बढ़ेगी - लेकिन ओपन-सोर्स प्रोग्रामिंग अभी भी असामान्य रूप से असामान्य है.

"दुनिया के हैकर्स और गोपनीयता के शौकीनों की निगाहें अब प्रोटॉनवीपीएन के सोर्स कोड पर निर्धारित हो गई हैं, हमें इसमें कोई संदेह नहीं है कि यह पहले से कहीं ज्यादा सुरक्षित और सुरक्षित उत्पाद होगा।"

ओपन सोर्स सॉफ्टवेयर का उपयोग करना और विश्वसनीय तीसरे पक्ष को अपने सॉफ्टवेयर और प्रक्रियाओं दोनों का ऑडिट करने की अनुमति देना दो तरीके हैं जो वीपीएन प्रदाताओं ने अपने उपयोगकर्ताओं के साथ विश्वास बनाने के लिए उपयोग करने की कोशिश की है।.

ऑडिट पर एक बयान में, प्रोटॉन वीपीएन के सीईओ एंडी येन ने कहा: “वीपीएन सेवाएं तकनीकी रूप से कुछ बहुत ही संवेदनशील उपयोगकर्ता डेटा तक पहुंच सकती हैं, यही वजह है कि उपयोगकर्ताओं को पारदर्शिता और सुरक्षा के लिए ट्रैक रिकॉर्ड के साथ सेवाओं का चयन करना चाहिए।.

प्रोटॉन वीपीएन के सह-संस्थापक और सीईओ, एंडी येन की तस्वीर

ProtonVPN के सह-संस्थापक और सीईओ, एंडी येन

"यह विश्वास अर्जित किया जाना चाहिए, और हमारे कोड को प्रकाशित करके, हम हमेशा सुरक्षा के लिए और उपयोगकर्ताओं को डालते समय ऊपर और बाहर जाने के प्रति अपनी प्रतिबद्धता प्रदर्शित करने की उम्मीद करते हैं।"

अपने ऐप्स की सुरक्षा का ऑडिट करके, ProtonVPN ने उपयोगकर्ताओं को आश्वस्त करने में मदद की है कि इसकी सेवा सुरक्षित है। लेकिन, चूंकि यह ऑडिट ग्राहकों का है, न कि प्रोटॉन वीपीएन की लॉगिंग प्रथाओं का, यह गारंटी नहीं दे सकता है कि वीपीएन प्रदाता अपनी गोपनीयता नीति में ठीक यही कहता है।.

उपयोगकर्ताओं के लिए ऑडिट की सामग्री की जांच करना हमेशा उचित होता है, क्योंकि वे अक्सर एक पूर्वनिर्धारित दायरे में जांच करते हैं, जिसमें कुछ एप्लिकेशन या नीतियां शामिल नहीं हो सकती हैं.

एक और सर्वर-साइड ऑडिट यह साबित करने के लिए आवश्यक होगा कि प्रोटॉन वीपीएन अपनी लॉगिंग नीति के अनुरूप है.

एंड्रॉइड और विंडोज ऐप के ऑडिट Q1 2019 में किए गए थे, और दोनों ने ऑडिटर से माध्यम का प्रारंभिक जोखिम वर्गीकरण लौटाया.

एसईसी परामर्श ने एंड्रॉइड ऐप में चार कम जोखिम भेद्यता और एक उच्च जोखिम भेद्यता की पहचान की, साथ ही दो कम जोखिम भेद्यता और दो मध्यम जोखिम भेद्यताएं डेस्कटॉप ऐप में.

एंड्रॉइड ऐप में, सभी कम जोखिम वाले जोखिमों को निर्धारित किया गया था, जिसका शीर्षक "डिबग मैसेज इनेबल्ड" और "हार्डकोडेड क्रेडेंशियल्स / इम्पेक्ट डेटा एन्क्रिप्शन" है।

प्रोटॉन टेक्नोलॉजीज द्वारा स्वीकार की गई पहली Android भेद्यता संभावित संवेदनशील डेटा वाले डिबग संदेशों की उपस्थिति थी - विशेष रूप से OpenVPN और IKEv2 प्रोटोकॉल क्रेडेंशियल.

प्रोटॉन टेक्नोलॉजीज इस जानकारी को कम जोखिम मानता है, क्योंकि यह "उपयोगकर्ता के खाता क्रेडेंशियल्स से अलग होने के लिए डिज़ाइन किया गया है।" इसके अलावा, यह बताता है कि यह डिबग लॉग ऐप के नियंत्रण से परे है।.

एंड्रॉइड पर प्रोटॉन टेक्नोलॉजीज द्वारा स्वीकार की गई अन्य भेद्यता ऐप के बाइनरी में क्रेडेंशियल्स की उपस्थिति है, जो एक अद्वितीय डिवाइस आईडी के साथ मिलकर ऐप से डेटा को डिक्रिप्ट करने के लिए इस्तेमाल किया जा सकता है। प्रोटॉन प्रौद्योगिकियों एजी ने यह कहकर प्रतिक्रिया दी कि इन क्रेडेंशियल्स का उपयोग इसके लॉगिंग सिस्टम में अपवाद रिपोर्ट भेजने के लिए किया जाता है, यह कहते हुए कि "रिपोर्टिंग के लिए एपीआई समापन बिंदु दुर्लभ सीमित है।"

विंडोज पर, दोनों जोखिम जोखिमों को तय किया गया था और दोनों मध्यम जोखिम कमजोरियों को स्वीकार किया गया था.

प्रोटॉन टेक्नोलॉजीज द्वारा तय की गई एक भेद्यता, सादे पाठ सत्र टोकन और वीपीएन क्रेडेंशियल्स का सुस्त भंडारण था। वीपीएन प्रदाता ने जवाब दिया कि ".NET और GO कचरा संग्रहकर्ता हमारे नियंत्रण से बाहर हैं और अप्रयुक्त स्मृति को साफ़ करने के लिए उन्हें निर्धारित करने का कोई तरीका नहीं है।"

सत्र टोकन और वीपीएन क्रेडेंशियल इस परिदृश्य में संग्रहीत लॉगआउट पर तुरंत अमान्य हैं.

एसईसी कंसल्ट ने ऐप में क्रेडेंशियल्स के हार्डकोडिंग में एक संभावित भेद्यता की पहचान की। प्रोटॉन टेक्नोलॉजीज ने स्वीकार किया लेकिन इस भेद्यता को हल नहीं किया, यह बताते हुए कि क्रेडेंशियल्स ओपनवीपीएन टीएलएस-कोर कुंजी हैं, जो पहले से ही कॉन्फ़िगर फ़ाइलों में खुले रूप से वितरित हैं.

प्रोटॉन टेक्नोलॉजीज ने स्पष्ट किया: “इसका उपयोग क्लाइंट या इसके विपरीत सर्वर के प्रमाणीकरण के लिए नहीं किया जाता है - उन कार्यों को संभालने के लिए अलग-अलग सिस्टम हैं। इस प्रकार, इस जानकारी के होने से किसी हमलावर को किसी सर्वर / उपयोगकर्ता या MITM [मैन इन द मिडिल] कनेक्शन को लगाने का अधिकार नहीं है। "

अगस्त 2019 में आईओएस और मैकओएस ऐप के लिए ऑडिट का दूसरा सेट किया गया.

MacOS ऑडिट में कोई भेद्यता नहीं पाई गई और iOS ऑडिट में केवल दो कम जोखिम वाली कमजोरियां पाई गईं। इनमें से एक भेद्यता तय की गई थी और दूसरा, "मोबाइल ऐप रन ऑन जेलब्रोकन या रूटेड डिवाइस" को स्वीकार किया गया था.

प्रोटॉन टेक्नोलॉजीज ने इस कम जोखिम वाले जोखिम को संबोधित नहीं करने के निर्णय पर एक टिप्पणी में कहा: "हम ठीक नहीं करेंगे क्योंकि एक iOS डिवाइस को जेलब्रेक या रूट किया गया है। इसके अलावा, हम उम्मीद करते हैं कि उपयोगकर्ता एक बार जेलब्रेक या रूट किए जाने के बाद अपने डिवाइस की सुरक्षा के लिए ज़िम्मेदार होंगे। ”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me