消费者无疑越来越意识到对很多广为人知的研究后的安全性和他们的网上活动的安全性已经显示在线数据窃取的上扬。根据美国联邦贸易委员会,有3000000个报告2018年仅身份盗窃一项。
即使这些威胁数据泄露的皮疹- 继续抢头条新闻,消费者仍然是连接到公共WiFi尽管有这些威胁,他们还是加入了其他不安全的网络在旅途中。更谨慎或精通技术的人知道求助于虚拟专用网络(VPN),以此来安全地连接到网络并作为VPN的成为主流,一些项目VPN市场可到2022年增长到超过十亿$ 35我们甚至已经看到了一些厂商通过创建浮华大写电视广告这影射他们是消费者的数字门卫。
然而,当这些公司打算在这个邪恶的数字世界拉开帷幕时,我不禁想知道,他们自己的运作是否已经充分拉开了帷幕?我的意思并不是说,他们也像是正在窃取消费者数据的数字窃贼(尽管有些人做得很好)卖你的数据到第三方),而是讨论的VPN行业是否已经透明公开其自身的安全协议。
这并不是说不久以前,NordVPN,可能是最知名的厂商,是砍死。攻击者通过渗透的“无名”的数据中心供应商留下了一个令人惊讶的不安全的远程管理系统在国外的数据中心突入其服务器之一。2020欧洲杯预赛
虽然NordVPN成为了最新的高科技黑客,尽管它是一个不安全的安全系统,这很有讽刺意味,但这并不是最糟糕的问题。这也不是因为这个漏洞被忽视了一个月,尽管这个漏洞确实有点刺痛。这里真正的警告是,NordVPN不仅不知道这个系统被用来支持它的运行,而且它甚至不知道这个东西的存在。想一下;数据安全供应商与核心合作伙伴合作,并且没有审计合作伙伴内部的所有潜在漏洞。
NordVPN仅仅是一个判断失误的行业反常现象吗?不,我们发现这个漏洞不仅损害了NordVPN,它也接触其他人像TorGuard。现在我们有一个可怕的趋势。已经有很多了粗略VPN提供商销售给消费者基础,仍与技术是陌生 - 包括那些可能愿意与独裁政府共享数据。但现在,即使是最“可信”已经证明,他们也有两种不严或彻头彻尾的马虎协议到位,以减轻潜在的攻击所有的点。
这是为什么这样一个问题?整个形势暴露出围绕谁是审计这些VPN球员的基础设施一个巨大的问号。它也完全暴露了缺乏透明度的VPN行业有围绕其供应链。即使在NordVPN劈过后,有罪的数据中心提供商留下无名。2020欧洲杯预赛
当我在谷歌管理基础设施以确保其安全有效地运行时,包括处理成千上万的设备和合作伙伴,我亲身体验到要对基础设施供应链有完美的可视性是多么困难。我们花了很大的精力——也投入了大量的资源——来规划每一个整合、应用和扩展,这些都是我们的员工和合作伙伴用来完成他们工作的。
虽然并非每一个组织都有对资源的访问,我没有在谷歌的同一水平,许多VPN提供商声称有所有让消费者安全(军事级别的加密,不记录,自动杀开关等)的最佳功能。然而,这一切都毫无意义,如果他们不能在保持他们的服务器的安全。什么是VPN行业似乎缺乏的是在地方了解所有的厂商支持他们提出的对待一个框架,基础设施和流程 - 包括他们的供应商的供应商。
毫无疑问,这是一个很难解决的网络挑战,但也不是没有选择。供应链和合作伙伴审计问题是我在离开谷歌后被区块链支持的网络吸引的两个原因,因为区块链开发人员社区理解,在一个日益复杂的威胁环境中,透明性和审计是最重要的。审计可能更简单一些,因为每个供应商都将记录他们在区块链上做了什么和没有做什么,同时还使用他们的私钥进行签名。在NordVPN的情况下,它可以允许服务器上保留管理工具的日志,如果回顾一下供应链历史,可能会标记该日志。
底线是,它的时候,这些VPN厂商开始忙自己的厨房,他们烧毁了整个房子前。它不再是不够的,只是信任VPN业披露其供应链,然后假定它会自动报警。如果厂商想要真正为用户提供最大透明度,并锁定了他们的基础设施,那么良好的开端要么使得在独立审计的承诺和投资,或采取一些线索从警惕blockchain社区。