Taggat med: mullvad

Utvärdering av VPN-tjänster

Utvärdering av VPN-tjänster

Den oberoende ideella organisationen Consumer Report har en avdelning vid namn Digital Lab. Digital Lab har genomfört en omfattande granskning av 16 st VPN-tjänster:

  • Betternet
  • CyberGhost
  • ExpressVPN
  • F-Secure Freedome VPN
  • Hotspot Shield
  • IPVanish
  • IVPN
  • Kaspersky VPN
  • Mozilla VPN
  • Mullvad
  • NordVPN
  • Private Internet Access (PIA)
  • Private Tunnel
  • ProtonVPN
  • Surfshark
  • TunnelBear

Och jag måste säga att resultatet är mycket intressant: Flertalet av dessa företag ägs av bolag med en tvivelaktig moralisk kompass, flertalet tjänster läcker trafik såsom DNS på flertalet sätt. VPN-utvärderingssajter som har samma ägare som VPN-tjänster, kill-switch:ar som inte fungerar osv osv.

Testet fokuserade inte på bandbredd eller prestanda utan på integritet och säkerhet. De verktyg som användes vid granskningen var bl.a. VPNalyzer som utvecklats av University of Michigan. Jag tänker inte gå in på detalj gällande alla tester men rapporten som är på 48 sidor är läsvärd (länkas nedan).

De tre VPN-tjänsterna som fick bäst betyg i testerna var: Mullvad, IVPN och Mozilla VPN. Men även dessa kan förbättra sina tjänster, och det som rapporten framhäver för dessa tre är följande:

  • Meddela hur de utför interna säkerhetsrevisioner och vilka aspekter av säkerheten är
    granskas och publicera sammanfattningar av dessa rapporter
  • Ge information om hur och när programvaran uppdateras för säkerhetsproblem
  • Beskriv tekniska åtgärder för att begränsa obehörig åtkomst till data
  • Meddela deadline för produktsupport/livslängd, med tydlig information om hur länge produkten stödjs
  • Sätt ett tidsfönster för att granska sårbarhetsavslöjande och felrapporter

Här kan du ladda hem rapporten som PDF i sin helhet:

VPN-bugg i Apple iOS

Gänget bakom ProtonVPN identifierade en intressant bug när det gäller VPN som etableras från Apples iOS-baserade enheter. Det är nämligen så att anslutningar som redan är etablerade innan VPN-kopplingen upprättas kvarstår. Det innebär att även om ny datatrafik går via VPN-kopplingen så kan gamla redan etablerade TCP-anslutningar ligga kvar i minuter eller flera timmar.

Ett sådant klassiskt känt exempel är Apples pushmeddelanden som nyttjar långlivade TCP-uppkopplingar.

Det finns i dagsläget två stycken workarounds, den ena går ut på att du ansluter till ditt VPN och sedan slår på flygplansläge och sedan slår av flygplansläge så har du dödat alla gamla anslutningar.

Den andar workarounden är att använda Always-on VPN, som tyvärr enbart går att slå på via MDM-profiler.

Och när vi ändå är inne på Apple iOS så tänkte jag passa på att slå ett slag för just Always-on VPN. Just för att det i dagsläget är svårt att undersöka intrång mot Apple iOS, men just Always-on VPN kan hjälp att identifiera intrångsförsök, intrång eller exfiltration. Genom att köra trafiken genom en punkt där ni har goda möjligheter att undersöka vad som går till och från Apple-telefonerna.

Nåväl, vi kan alltid hoppas att Apple EndpointSecurity Framework kommer till iOS i framtiden och inte enbart macOS.

Oklart hur dessa påverkar VPN-leverantörer såsom Mullvad och OVPN som baserar sin mobilkoppling på OpenVPN. Men troligtvis är dessa också sårbara eftersom OpenVPN Connect till iOS lägger till en VPN-profil i telefonen.

Vet du mer? Kommentera gärna nedan.

Granskning av MullvadVPN publicerad

Assured AB har tillsammans med tyska Cure53 publicerat en säkerhetsgranskning av VPN-tjänsten Mullvad. Granskningen gäller främst VPN-klienten som släppts i en ny utgåva som baseras på Electron-ramverket. Cure53 är även kända sedan tidigare för att publicera flertalet av sina granskningar publikt.

Jag tycker detta är ypperligt bra att publicera granskningsrapporten transparent på detta vis och något som jag efterfrågat gällande VPN-tjänster tidigare.

Rapporten innehåller en del smaskigheter där en identifierad brist har severity High och en Critical. Rapporten framhåller ändå att det är relativt få sårbarheter som identifierats och en av de troliga orsakerna är att mullvad-daemon är skriven i programspråket Rust.

Testerna tog 18 dagar att genomföra och tre av granskarna kom från Assured och fem från Cure53.

Här kan du läsa granskningsrapporten i sin helhet:

Cure53 och Assured AB granskning av MullvadVPN
Cure53 och Assured AB granskning av MullvadVPN

Vilken är den bästa VPN-tjänsten?

Mo Bitar som driver vpnreport.org har tittat närmare på 11 stycken olika VPN-tjänster och hur de lever upp till ett antal olika ställda krav som han själv formulerat.

De krav som Mo har identifierat som viktiga är följande:

  • Förhindra DNS-läckor
  • Andra typer av IP-adressläckor
  • Läckor via WebRTC
  • Hastighet
  • Baserat på OpenVPN eller IKEv2/IPsec
  • Ingen loggning eller spårning
  • Tre eller flera samtidiga enheter
  • Ärliga priser
  • Ärlig marknadsföring

Krav som är trevliga att ha är följande:

  • Servrar utanför England
  • Gratis provperiod
  • Anonym betalning
  • Fildelning via P2P och torrents
  • IPv6

Och sist men inte minst sådant som han anser inte alls bör finnas hos en VPN-tjänst:

  • Baserad på en föråldrade och osäkra tekniken PPTP
  • Bandbreddsbegränsning

Jag kan tycka att dessa krav kan vara tämligen enkla och tittar inte exempelvis på säkerheten i klienten (se rapporten nedan).

Bäst enligt testet blev TunnelBear och på andraplats kom min egen favorit OVPN (som jag även skrivit om tidigare).

TunnelBear uppfyller samtliga viktiga krav utom när det gäller läckage av IP-adress via WebRTC. Det gäller även OVPN, som rekommenderar att man stänger av WebRTC i sin webbläsare eller använder uBlock Origin.

OVPNOch kommer vi sedan till de krav som är trevliga att ha så slår OVPN Tunnelbear. Tunnelbear uppfyller nämligen ej följande krav:

  • Anonym betalning
  • IPv6
  • P2P och fildelning via torrents

Och när vi ändå nämner TunnelBear så är det även värt att tillägga att TunnelBear är ett av få VPN-leverantörer som genomfört en oberoende extern säkerhetsgranskning. I detta fall genomförde tyska Cure53 granskningen och rapporten kan du ladda hem här:

När får vi se OVPN eller Mullvad genomföra en oberoende extern granskning samt publicera resultaten?

Full disclosure: Vissa länkar ovan är så kallade affiliate-länkar. Dvs jag tjänar några kronor om du klickar och sedan väljer att betala för att använda tjänsten.

Anonymiseringstjänst

anonymSom svampar i skogen har ett antal svenska anonymiseringstjänster börjat att ploppa upp, och några av de frågeställningar som alla ställer sig är:

  1. Går det att lita på dessa tjänster?
  2. Kan man fildela via anonymiseringstjänster

Och garanterat svar på dessa frågor är svåra att ge, låt oss analysera frågeställningarna noggrannare. Att lita på dessa tjänster kan enbart bevisas tills det att motsatsen är bevisad, dvs att information läcker eller kommer fram som inte bör komma fram.

När det gäller punkt två så är det lite lättare, här visar nämligen undersökningar att i snitt så förloras 90% av hastigheten då en anonymiseringstjänst används vilket är mycket otrevligt för en fildelare.

Här är några av de svenska anonymiseringstjänsterna:

Och några av de utländska aktörerna: