Borzalmas VPN-t teszünk ki

Rettenetes VPN-t tettünk ki

A világ rohamos informatikai fejlődése egyre több teret nyit az új cégek számára az interneten. Megalapozottan elmondható, hogy napjainkban nincs hiány VPN szolgáltatókból. A legtöbb ember számára ismerősen csengenek olyan, immáron elismert és bevált nevek, mint például a NordVPN vagy az ExpressVPN

Azonban a Google Play áruház vagy az Apple Store keresőjébe beírva a VPN szót rengeteg találatot kapunk. Mint minden szolgáltatás esetében a piacvezető márkák mellett bőséggel akadnak ismeretlen cégnevek.

Vannak ingyenes megoldások és fizetősök. Ezen felül a piaci rések lezárására szinte minden konstrukció megtalálható, ami más szegmensekben is.

Úgy döntöttünk, hogy tesztelünk egyet. Alapvetően arra gondoltunk, talán néhányuk nem is olyan rossz és csak a névtelenség miatt kevésbé keresettek, mert a nagyobb márkák elfojtják őket. Ugyanakkor nem hagytuk számításon kívül az a lehetőséget sem, hogy okkal mutathatnak fel kevesebb letöltést.

A kérdés tehát adott volt: egy ismeretlen VPN szolgáltató milyen eltéréseket mutat egy ismerttel szemben?

Mit tettünk?

Úgy döntöttünk, hogy véletlenszerűen kiválasztunk és tesztelünk egy ismeretlen VPN szolgáltatót. A Google keresőmotorjára bíztuk magunkat és beírtuk az „Ismeretlen VPN” szókapcsolatot. Nem áll módunkban és nem is akarjuk megnevezni melyik linkre esett a választásunk, de a találatok számát és sokszínűségét elnézve nem is igazán számít a konkrétum.

A weboldal teljesen valódinak és korrektnek tűnt. Az adott megoldás nagyon drága, de a cserébe beígért szolgáltatás kecsegtetően hatott.

Tehát úgy döntöttünk, hogy jobban megvizsgáljuk a szóban forgó honlapot és a felkínált szolgáltatást.Teszteltük a szolgáltatást

Mivel vizsgálatunk alanya nyílt forrású, így a GitHub oldalán közétett kódot alapos átvizsgálhattuk.

Kiderült, hogy nem minden szolgáltató megbízható, amely azt állítja, hogy online biztonságot nyújt. A napnál is világosabb az avatott szem számára, hogy a szóban forgó cég nem tud semmit arról, amit árul.

HTTP alkalmazása HTTPS helyett

Az első dolog, ami szemet szúrt nekünk, hogy a szolgáltató HTTP API kéréseket használ HTTPS helyett.
HTTP API kérések

Az SSL titkosítás már régóta létezik és szinte minden online áruház használja. Amelyik nem, annál nem érdemes vásárolni.

Tehát, amikor egy VPN szolgáltató azt állítja, hogy online biztonságot nyújt, ennek az alapvető funkciónak a hiánya teljességgel megdöbbentő.

Miért?

Az SSL titkosítás hiánya lehetővé teszi, hogy bárki hozzáférhessen egy otthoni számítógép vagy mobiltelefon által küldött adatokhoz. Úgyszólván az elküldött adatok hiába vannak biztonságosan borítékolva, ha a címzett bárki számára lehetővé teszi, hogy beleolvashasson a levélbe.

Ez még abban az esetbe is érvényes, ha a szolgáltató egyéb intézkedéseket foganatosított adatvédelmi okokból.

Az SSL hiánya miatt az adatokhoz továbbra is bárki hozzáférhet, ellophatja azokat és saját céljaira használhatja.
A HTTP-kérések feltárhatják adatait

GET kérés alkalmazása POST kérés helyett

Az SSL hiánya után nagyjából mindenre készen álltunk.

Nem szeretnénk senkit ijesztgetni, de a bejelentkezéshez az ismeretlen VPN szolgáltató a GET kérést használta a POST kérés helyett.
A VPN a GET bejelentkezési kérelmet használja

Érthető, hogy az átlagos felhasználó számára ez nem jelent semmit. Egyszerűen szólva, ez a legnagyobb hiba, amit egy VPN szolgáltató elkövethet.

Miért?

Kétféle kérés érkezik az adatok továbbítására a felhasználótól a szerverhez bejelentkezéskor. Mindkettőnek megvannak a sajátos felhasználási módjai, de nem egy VPN szolgáltató esetében.

Hihetetlenül veszélyes egy GET kérés használata érzékeny adatok küldésére. Ennek számos oka közül az egyik az, hogy a webszerver naplófájljai a felhasználók összes felhasználónevét és jelszavát elraktározzák.

Míg POST kéréssel ezeket az adatokat soha nem rögzítik.

Ezen felül a felhasználó nemcsak a jelszavát és felhasználónevét küldte el a szerverre, hanem egyedi hardverazonosítóját is. Ehhez hozzáadva a HTTPS hiányát megkapjuk az adathalászok és hackerek álmát.
VPN naplózás Hardverazonosító

Az ügyfélszolgálat

Mint a fentebb leírtak is mutatják, cégünk fáradhatatlanul törekedik arra, hogy az internet egy jobb, biztonságosabb és privátabb kommunikációs csatorna és tér legyen bárki számára.

Ezért természetesen úgy döntöttünk, hogy segítünk az ismeretlen VPN szolgáltatónak. Tehát megosztottuk vele a megállapításainkat.

A válasz aligha volt nevezhető szakmainak. Tanácsainkat megpróbálták kifogásolni. Felkészült és válogatott szakemberekből álló kiberbiztonsági csapatunkkal, mivel mást nem tudtak tenni, még személyeskedtek is, ami igazán nem nevezhető professzionális hozzáállásnak.

Ne feledjük, egy prémium árcédulájú megoldást árusító cégről esik szó.
A rossz VPN ára

Miért rossz ez?

Egy olyan vállalat, amely megalapozatlan kijelentéseket tesz, és így nem is tud megfelelni azoknak nem nevezhető megbízható szolgáltatónak.

Az már csak megerősíti mindazt, hogy egy cég, amely nem tudja szakmai hozzáállással kezelni az indokolt kritikát, valószínűleg nem képes az adaptációra, tehát a fejlődésre.

Ezt a tényt az elavult technológiák alkalmazása önmagában alátámasztja.

Mi történt ezután?

Néhány nappal az ismeretlen VPN szolgáltató képviselőivel folytatott beszélgetésünk után részben megoldották az említett problémákat.

  • Először is felvették az SSL tanúsítványt a kapcsolatukba. Annak ellenére, hogy írásban nem voltak hajlandóak elismerni az egyértelmű hiányosságot.
  • Részben kijavították a felhasználói kérések problémáját is.
  • Véletlenszerűen megújuló azonosítókat kezdtek el alkalmazni, amelyet a szerver csak egyszer használ fel.
  • Azonban továbbra is GET kérést használnak a bejelentkezéshez, ami alapvetően azt jelenti, hogy az ügyfeleik adatai továbbra sincsenek biztonságosan kezelve.
  • Az ügyfélszolgálatról szólva: nincs olyan szakértői tanács vagy módszer az internetes biztonság világában, ami javítani tudná az emberi tényezőt.Nagyon rossz ügyfélszolgálat

Konklúziók

Vizsgálódásunkból egyértelműen két következtetés emelhető ki.

Az egyik, hogy az árcédula nem mindig arányos a szolgáltatás minőségével.

A szabadpiacú kereskedelem korában elterjedt tévhit az, hogy ami drágább az jobb. A fent említett cég pontosan erre alapozva próbálta értékesíteni szolgáltatását.

Egy ismert VPN szolgáltató okkal tud alacsonyabb árazásokkal operálni, hiszen rengeteg felhasználója van. Nem csak arra a pár emberre kell alapoznia a bevételét, aki bedőlt a csalásnak.

A másik, hogy egy kevésbé ismert cég okkal marad az hosszútávon. Nem szükséges internetes biztonságtechnikai szaktudással rendelkezni ezen állítás igazságtartalmának vizsgálatához.

A legjobb VPN ek!

Renget példát lehetne hozni az emberiség történelméből arra mutatólag, hogy ami jó azt sokan használják, mert önmagának generálja a hírnevet.

Ráadás:
Az, hogy egy vállalat ügyfélszolgálata mennyire határozza meg egy cég arculatát… nos, meghagyjuk ennek megválaszolását a kedves olvasónak.

Szóljon hozzá

0 hozzászólás
Inline Feedbacks
View all comments