Pan Leszek Cieloch opublikował artykuł pt. „(NIE)bezpieczne – Podwójne standardy ekspertów IT w Polsce”, w którym zwraca uwagę na promowanie przez redakcję portalu Niebezpiecznik.pl rozwiązania NordVPN — skądinąd bardzo kontrowersyjnego w ostatnich tygodniach ze względu na wyciek klucza prywatnego certyfikatu dla strony internetowej oraz niedawnego włamania na jeden z serwerów NordVPN. W kuluarach w rozmowach nieoficjalnych mówi się nawet, że NordVPN jest promowany na szkoleniach Niebezpiecznika dla pracowników instytucji państwowych...

nordvpn SSL/TLS certyfikat

Redaktor naczelny Business Journal Polska zarzuca autorom cyklu artykułów opublikowanych na łamach Niebezpiecznik.pl, że pomimo publicznych informacji o włamaniu do jednego z serwerów NordVPN dziennikarze portalu Niebezpiecznik.pl nadal promują to kontrowersyjne rozwiązanie. Czytelnicy i biegli obserwatorzy rynku IT już dyskutują o niejasnych zasadach promocji NordVPN na stronie niebzpiecznik.pl.

Jedna z wielu promocji NordVPN na stronie niebezpiecznik.pl
Jedna z wielu promocji NordVPN na stronie niebezpiecznik.pl

W swoim artykule pan Leszek Cieloch zwrócił uwagę na fakt, że Niebezpiecznik.pl od 2018 roku promuje produkt NordVPN, nawołując do szybkiego zakupu produktu w ramach trwającej promocji.

Tymczasem specjaliści z portalu Zaufana Trzecia Strona poinformowali w październiku 2019, że NordVPN został (kolejny raz) zhackowany. Portal Z3S idzie o krok dalej i wyjaśnia, dlaczego nie prowadzi takiej polityki w stosunku do produktu VPN:

Pytacie nas często, czemu nie reklamujemy NordVPN i podobnych usług. Między
innymi dlatego — po sieci krąży klucz prywatny witryny serwisu nordvpn.com — już nieaktywny, sprzed roku, ale skądś przecież musiał wyciec. I to nie tylko ten klucz…

Artykuł redaktora naczelnego Business Journal Polska wywołał burzę w sieci, czego dowodem jest żywa dyskusja na forum wykop.pl. Zarówno pan Leszek Cieloch jak i Wykopowicze zastanawiają się, czy takiego rodzaju działania realizowane przez Niebezpiecznik.pl, redakcji uznawanej w Polsce za ekspertów, mogą zawierać jawną promocję produktu, który już co najmniej raz naraził użytkowników usługi na wyciek danych?

Niebezpiecznik.pl opublikował własne kontrargumenty, które można podsumować w taki sposób, iż wycieki zdarzają się i będą się zdarzać, za co producent NordVPN został skrytykowany już wcześniej przez redakcję wyżej wymienionego portalu:

Czy obsługa incydentu Norda dot. zhackowania jednego z jego serwerów była do dupy? TAK. CALKOWICIE.

I ich za to skrytykowalismy.

Czy to oznacza że usługa jest "dziurawa". Niezupelnie. Są po audycie PWC, zapowiadają kolejny i przejście do RAM. Włamanie na ten serwer to przyspieszyło :) plus w minusie.

Czy istnieje jakikolwiek VPN który jest niehackowalny? NIE

Czy VPN jest rozwiązaniem na wszystkie problemy? ABSOLUTNIE NIE. ŻODYN

Na co więc warto zwrócić uwagę przy wyborze VPN? To zależy. (Ale naszym zdaniem VPN najbardziej się sprawdza do omijania blokad/wychodzenia innym krajem. I tu Nord ma dużo serwerów i dodaje nowe. To jest jedna z największych zalet.)

Ale nic nie jest zero-jedynkowe więc więcej jest w powyższym artykule. I poprzednich o vpnach które pisaliśmy, linkujących w nich często do porównania 100+ vpnow - każdy z Was może wybrać swoj ulubiony, płatny, darmowy, albo postawić własny (np. streisandem na vpsie, ale wtedy będzie tylko jeden IP). Wszystko ma plusy i minusy i zalezy kto i czego potrzebuje.

PS. Zarabiamy też na linkowaniu do DigotalOcean. I innych usług. Ale polecamy tylko to z czego sami faktycznie korzystamy - nawet jeśli firmy nam za to nie płacą/nie mają programów partnerskich.

PPS. Soros nie ma z tym nic wspólnego. Cykliści też nie. ( ͡° ͜ʖ ͡°)

Cały artykuł o włamaniu do NordVPN jest pod tym linkiem.

Nie tylko NordVPN?

W ostatnich miesiącach redakcja portalu Niebezpiecznik.pl promuje także przeglądarkę Brave, która jest uznawana za kontrowersyjną przez wydawców reklam i właścicieli portali internetowych.

Przeglądarka Brave jest zbudowana na kodzie Chromium. Jest to na tyle intuicyjne oprogramowanie, że nadaje się dla osób o niezbyt dużej wiedzy technicznej, co może być bardzo zachęcające. „Po wyjęciu z pudełka” domyślnie blokuje skrypty reklamowe bez zewnętrznego rozszerzenia.

Brave już po zainstalowaniu zawiera najważniejsze moduły do blokowania skryptów śledzących.
Brave już po zainstalowaniu zawiera najważniejsze moduły do blokowania skryptów śledzących.

Dla zapewnienia lepszego bezpieczeństwa nie pozwala ujawniać tzw. fingerprint’u („odcisku palca konfiguracji przeglądarki i systemu użytkownika”). Korzysta z przekierowań na bezpieczniejszy protokół HTTPS, jeżeli wykryje, że serwer zgłasza stronę WWW pod dwoma adresami — nieszyfrowanym HTTP i szyfrowanym HTTPS. Domyślnie blokuje przyciski społecznościowe LinkedIn, ale już Facebook’owi i Twitter’owi zezwala na śledzenie, co jest doprawdy dziwne i prawdopodobnie jest to „ukłon” w stronę nietechnicznych użytkowników, którzy „skorzystają” na interakcji z portalami społecznościowymi. Ma też wbudowanego klienta pobierania torrentów, więc nie trzeba korzystać z dodatkowego oprogramowania.

Przeglądarka Brave być może to taka ulepszona wersja Chrome, pozbawiona znacznej części funkcji monitorujących użytkownika, które mogą komunikować się z serwerami Google (poza niektórymi, obowiązkowymi funkcjami).

Według twórców Brave’a już na samym starcie ich przeglądarka wysyła najmniej zapytań do własnych serwerów, a te zapytania, które wysyła, mają uzasadnienie w postaci np. sprawdzania listy unieważnień certyfikatów, aktualnych rozszerzeń, czy komunikacji z interfejsem API Google Safe Browsing.

Szczegółowe zestawienie, co popularne przeglądarki robią po uruchomieniu, jest dostępne na stronie https://brave.com/brave-tops-browser-first-run-network-traffic-results

Pod względem wymiany informacji przeglądarki z serwerem deweloperów Brave (według informacji od samego producenta) to najlepszy wybór.

Co o przeglądarce Brave sądzą niezależni eksperci zajmujący się prywatnością?

Przeglądarka Brave nie posiada skanera antywirusowego, który jest bardzo kontrowersyjny w Chrome. To bardzo dobrze. Jednakże Brave znajdowała się kiedyś na liście polecanych przeglądarek przez wyspecjalizowany w prywatności internetowej portal privacytools.io. Po pewnym czasie Brave została usunięta z listy rekomendowanych aplikacji. Właściciele portalu privacytools.io twierdzą, że przeglądarką Firefox lub Tor Browser są pod pewnymi względami lepsze.

Brave wycina reklamy i wstawia własne (za co odbiorcy reklam otrzymują kryptowalutę BAT). Właśnie za to Brave może być źle odbierany przez właścicieli internetowych mediów, którzy utrzymują się z reklam. Takie zachowanie jest nawet traktowane jako nieetyczne i mocno kontrowersyjne, ponieważ to twórcy Brave, decyduje o rodzaju reklamy, która zostanie wyświetlona użytkownikowi. Deweloperzy Brave odpierają te zarzuty w taki sposób, że „Brave dostosuje reklamy do zainteresowań użytkownika, przez co będą lepiej dopasowane i mniej natrętne”.

Więc tak — w bezpiecznej przeglądarce Brave mamy do czynienia z profilowaniem użytkownika, dlatego z prywatnością już nie jest tak dobrze. Z tego powodu w sierpniu 2019 roku Brave została usunięta z listy polecanych przeglądarek serwisu privacytools.io, ponieważ jeśli chodzi o reklamy, jak i o prywatność, przeglądarka nie spełniła oczekiwań twórców portalu wyspecjalizowanego w zachowaniu prywatności w Internecie.

Sporo zastrzeżeń o poufne dane mają autorzy drugiego portalu spyware.neocities.org. Mówią wprost, że „należy trzymać się z dala od tej przeglądarki”. Zarzucają Brave’owi, że przy każdym uruchomieniu Brave pobiera listę aktualnych partnerów. Jest to coś w rodzaju pobierania informacji o aktualizowanych listach reklamodawców w celu dostarczania trafniejszych, ukierunkowanych reklam.

Twórcy przeglądarki na stronie internetowej Brave twierdzą, że „walczą ze złośliwym oprogramowaniem i zapobiegają śledzeniu”. Pomimo tego Brave wyłączyła ochronę przed śledzeniem dla skryptów Facebook’a i Twitter’a, a blokuje tylko ciasteczka dla LinkedIn. Dlaczego? Chodzi o popularność? Tych zarzutów wobec twórców przeglądarki Brave jest więcej: https://spyware.neocities.org/articles/brave.html

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

yaslaw pon., 02-12-2019 - 18:11

Mnie bardziej zastanawia inna sprawa mniej nagłośniona przez media niż kwestia włamania do NordVPN a która stawia tą firmę w jeszcze gorszym świetle.
Warto zapoznać się z poniższym linkiem w którym to artykule postawione są interesujące tezy dotyczące związków pomiędzy Nordem a Oxylabs.io:
"See the problem is, NordVPN is linked closely with a Lithuanian data mining company called Tesonet. NordVPN is said to be one of Tesonet’s projects, Oxylabs.io is another one.
So what’s the big deal? Oxylabs.io advertises on its website “32M+ residential proxies…100% anonymous proxies from all over the globe with zero IP blocking.” Think of “residential proxies” this way: 1.) Oxylabs installs some malware on to a user’s device, unknown to the user, by bundling it with other software that the user downloads. 2.)This malware enables Oxylabs to sell off your bandwidth, your computing power, and your IP address to third parties, who will route their internet traffic through your device.
Does that mean your device can be used by a third party to access child porn or hack into a bank? Absolutely! Another VPN provider named Hola was called out for reselling users’ bandwidth in this way through their B2B service (Luminati), and incidentally Hola is suing Tesonet for copying Hola’s technology.
NordVPN has gone out of their way to downplay their ties to Oxylabs and Tesonet. After all, they couldn’t possibly be incorporating any part of Oxylabs technology into NordVPN’s apps…"

Źródło: https://medium.com/@derek./how-is-nordvpn-unblocking-disney-6c51045dbc30

Dodaj komentarz