تونل بير تنشر نتائج تدقيق أمن رقمي في خطوة سبّاقة في عالم VPN أو الشبكات الافتراضيّة الخاصّة بالمستهلك

المصادر:

بيان صحفي عن تونل بير: “تونل بير تكمل تدقيق أمن رقمي يعد الأوّل من نوعه في صناعة الشبكات الافتراضيّة الخاصّة بالمستهلك”  

ملخّص تقييم الأمن الرّقمي لتونل بير 07.2017 من Cure53

ترجمة: مادة ١٩

 

يمكن وصف المشهد المعاصر لمقدّمي خدمات الشبكات الافتراضيّة الخاصة (VPN) بأنّه مُشبع وتكاثري للغاية، وفي الوقت ذاته بأنّه غير منظّم أو مقنّن بتاتاً. غياب توحيد المقاييس والشّفافية والتدقيق  لكل من مقدّمي الخدمات سواء كانوا من الشركات المعروفة أوالنّاشئة يسمح للمنافسين بإعطاء وعود كبيرة للمستخدمين من ناحية الخصوصيّة والأمن الرّقمي. هذه الوعود تجعل من اختيار مزوّد الخدمة المناسب، أمراً صعباً  للمستخدمين العاديين والمختصّين على حد سواء.

على مدى السنوات القليلة الماضية، قامت العديد من الشركات الأقل شهرةً بالإساءة إلى ثقة المستخدمين من خلال بيع عرض الحزم وبيانات التصفّح الخاصّة بهم، وتقديم الأمن الواهن لهم، و حتى تضمين البرمجيّات الخبيثة في خدماتهم.

في نهاية عام ٢٠١٦، وفي خطوة غير شائعة في هذه الصّناعة الجديدة نسبيّاً، طلبت تونل بير من جهة مستقلّة وهي Cure53 بالقيام  بتدقيق خارجي لاختبار مستوى الأمن الرّقمي لكامل البنية التحتيّة التابعة لها: شبكاتها الافتراضيّة الخاصّة، خوادم الانترنت، شبكات مزوّدي عملائها، وإضافة متصفّح كروم، موقعها الالكتروني، وغيرها. هذا المنهج، الذي وصفته تونل بير بمنهج الصندوق الأبيض، تخلّل إعطاء Cure53 الصّلاحية الكاملة لمراجعة أنظمتهم والكود (Code) الخاص بهم، حيث أنّ تونل بير لاتعدّ مفتوحة المصدر، إلّا أنّها تستخدم بعض مكوّنات من الكود مفتوح المصدر.  

تضمّنت عمليّة التّدقيق أكثر من ٣٠ يوماً من الاختبارات، والاتصالات، والتقارير في نوفمبر وديسمبر من ٢٠١٦، تلتها مرحلة  مؤقتة مُدّتها ستّة أشهر من تطوير الأمن الرّقمي داخليّاً في تونل بير. بعد نصف عام، عاد فريق Cure53 لإجراء جولة أخرى من التقييمات، وفي صيف ٢٠١٧، قضى الفريق ثمانية أيام أخرى من الاختبارات. بالطبّع دفعت تونل بير ل Cure53 للقيام بهذا التقرير، فهملا يتوقّعون بحسب البيان الصحفي الصادر عنهم من أي شركة أمن رقمي التدقيق بالكود التابع لهم لمئات من السّاعات بلا مقابل.

 

نتائج التدقيق

تمّ نشر نتائج التدقيق على كل من مواقع تونل بير و Cure53، حيث تمّ إيجاد ٣ نقاط ضعف حرجه (٢ منها مرتبطة بإضافة متصفّح كروم) و ٣ حادّة في ٢٠١٦. أمّا في ٢٠١٧، لم يتم إيجاد أي نقاط ضعف حرجة، وتمّ إيجاد نقطة ضعف حادّة واحدة فقط. وبحسب تحديث على موقع تونل بير، كانت هناك كميّة هائلة من الاهتمام بنتائج التدقيق، مّما جعل الشركة تقوم بنشر المزيد من التفاصيل عن تقييمات الأمن الرّقمي ذات الأهميّة المتوسّطة والمنخفضة.  

 

ماذا تعلّمت تونل بير من التجربة؟

في بيانها الصحفي كتبت تونل بير: إذا اطلعتم على نتائج التدقيق ستجدون نقاط ضعف في إضافة متصفّح كروم لم نكن فخورون بها. كان من المُحبّذ لو كنّا أقوى من البداية، لكنّ هذه التجربة عزّزت من فهمنا لأهميّة القيام باختبارات دوريّة ومُستقلّة. نريد أن نجد نقاط الضعف بشكل استباقي قبل أن يتمّ استغلالها. لم نكن ننوي نشر نتائج عام ٢٠١٦، لكنّنا فعلنا ذلك لأنّنا نتمنّى من مجتمع الأمن الرّقمي أن يقدّر صراحتنا وشفافيّتنا في تقرير ٢٠١٦، وكذلك لاستثمارنا في الأمن الرّقمي على المدى البعيد. جميع النتائج التي تمّ اكتشافها في تدقيق ٢٠١٦، تمّ معالجتها من قبل فريق الهندسة في تونل بير والتحقّق من إصلاحها من قبل Cure53. إذا تعلّمنا أي شيء من هذا التدقيق، فهو أنّ الأمن الرّقمي الجيّد يحتاج إلى إعادة تقييم مستمرة.

 

 


 

 

 

 

 

 

راسلونا على

تابعونا

الإشتراك