Центр управления безопасностью ExpressVPN
ExpressVPN, в первую очередь, является компанией, ориентированной на конфиденциальность. Наши пользователи доверяют нам защиту своих персональных данных, так как мы предлагаем им превосходное сочетание передового оборудования, программного обеспечения и человеческой изобретательности. Из статьи ниже вы узнаете, чем мы заслужили такое доверие.
ExpressVPN и защита: наши 4 ключевые стратегии
Узнайте больше о том, как мы обеспечиваем безопасность наших систем и пользователей с помощью методов киберзащиты.
1. Устойчивые к компрометации системы
Система верификации релизов
Программное обеспечение ExpressVPN защищено от заражения вредоносным кодом с момента создания и до момента установки на конечное устройство с помощью внутренней системы проверки сборок, которая была независимо проверена.
Физические защитные устройства
Мы используем пары приватных и публичных ключей для решения различных задач, связанных с безопасностью: для двухфакторной авторизации, подписи Git-коммитов и подключения к серверам по SSH. Мы сводим к минимуму риск кражи наших приватных ключей, так как храним их на физических защитных устройствах. Таким образом даже если хакеры смогут получить доступ к нашим рабочим системам, они не смогут украсть наши приватные ключи.
Эти устройства защищены надежными парольными фразами и настроены таким образом, что всего после нескольких неудачных попыток разблокировки превращаются в бесполезные куски металла и пластика. Для работы этих устройств требуется физическое прикосновение, поэтому вредоносный код не сможет украсть ключи без помощи человека.
Проверки кода
Весь написанный нами код проверяется как минимум одним специалистом. Такой подход защищает его и от внутренних угроз, и от взлома рабочих систем наших сотрудников.
Защищенная безопасная оболочка (SSH)
Мы используем SSH для получения безопасного удаленного доступа к самым важным серверам нашей сети. Эти SSH-серверы специально настроены так, чтобы использовать только самые надежные шифры защиты, алгоритмы обмена ключами и MAC-адреса. Также к ним нельзя подключиться через root-доступ, а авторизация выполняется только с помощью надежных SSH-ключей — в данном случае мы не используем пароли. Также мы применяем в качестве посредников узлы-бастионы SSH, отделяющие наши рабочие серверы от Сети. Эти узлы принимают трафик только от адресов, внесенные в белый список IP.
Все эти настройки заданы в программном коде, поэтому их можно проверить и воспроизвести.
Быстрое внедрение патчей
Программные зависимости рабочих серверов обновляются автоматически с помощью специализированных алгоритмов.
2. Сведение возможного ущерба к минимуму
Использование модели нулевого доверия
Чтобы устранить риск использования украденных ключей для создания поддельного VPN-сервера, приложение ExpressVPN получает обновленную конфигурацию настроек от наших API-серверов. Наши приложения удостоверяют подлинность серверов, к которым подключаются, с помощью проверки приватной подписи и названия сертифицирующего центра (CA). Как следствие, хакеры не смогут выдать себя за нас.
Использование шифрования с нулевым разглашением
Когда вы используете ExpressVPN, ваши данные защищены с помощью передовой математической технологии AES-256 — того же стандарта шифрования, что используется правительством США и которому доверяют эксперты по безопасности по всему миру для защиты секретной информации. Когда вы используете менеджер паролей (ExpressVPN Keys), ваши конфиденциальные данные защищены шифрованием с нулевым разглашением. Это гарантирует, что никто, даже мы, не сможет расшифровать информацию, хранящуюся в Keys. Вся информация расшифровывается исключительно на устройствах пользователей, более того — она может быть расшифрована только с помощью ключей шифрования, созданных основным паролем, который знают только сами пользователи.
Чтобы обеспечить надежную защиту и конфиденциальность при использовании выделенных IP ExpressVPN, мы используем шифрование с нулевым разглашением при распределении IP и анонимные токены. Это позволяет избежать идентификации пользователя администраторами ExpressVPN по его выделенному IP-адресу.
Безопасный дизайн
Еще на этапе разработки любых систем мы внедряем модели оценки угроз безопасности и приватности. Мы используем фреймворк MITRE ATT&CK для определения угроз, связанных с дизайном наших приложений, рассматриваем различных способы их устранения и применяем все необходимые меры для минимизации возможных рисков.
Принцип наименьших привилегий
Все наши пользователи, сервисы и действия используют так называемую модель наименьших привилегий. Так, наши сотрудники имеют доступ лишь к тем системам и сервисам, которые необходимы им для исполнения рабочих обязанностей. Сотрудники нашей службы пользовательской поддержки работают в двух средах: незащищенной, используемой для типовых онлайн-действий, и защищенной, служащей для доступа к ключевым системам. Эти меры сводят к минимуму возможный ущерб от взлома хакерами учетной записи любого из наших сотрудников.
3. Сведение к минимуму длительности компрометации
Мониторинг безопасности
Мы постоянно отслеживаем состояние наших внутренних сервисов и инфраструктуры на предмет неавторизованной активности. Наша служба безопасности занимается отслеживанием и выявлением различных угроз в режиме реального времени 24/7.
Автоматическое воссоздание систем
Многие наши системы автоматически уничтожаются и развертываются снова если не ежедневно, то хотя бы несколько раз в неделю. Это ограничивает возможную продолжительность компрометации наших систем.
4. Проверка систем защиты
Внутренняя проверка: пенетрационные тесты
Мы регулярно проводим пенетрационные тесты для оценки наших систем и ПО и выявления уязвимостей и слабостей. Выполняющие проверки сотрудники имеют полный доступ к исходному коду и применяют методы автоматизированного и ручного тестирования для тщательной оценки наших сервисов и продуктов.
Внешняя проверка: сторонние аудиты безопасности
Мы просим независимых аудиторов изучать безопасность наших сервисов и ПО. Их проверки подтверждают эффективность наших внутренних действий по устранению уязвимостей в системах безопасности. Также они документально подтверждают наши заявления об уровне безопасности наших продуктов.
Полный список отчетов аудиторов
Инновации
Мы стремимся не просто отвечать отраслевым стандартам безопасности, но и превосходить их. Поэтому мы постоянно ищем новые способы улучшить наши продукты и сделать их более безопасными. Сейчас мы хотели бы рассказать вам про две инновационные технологии, созданные ExpressVPN.
Lightway: наш передовой VPN-протокол
Lightway — это VPN-протокол, разработанный ExpressVPN. VPN-протокол является набором правил подключения устройства к VPN-серверу. Многие сервисы используют одни и те же типовые протоколы, а мы стремились создать максимально эффективное решение, которое не просто делает VPN-подключение более быстрым и стабильным, но еще и более безопасным.
Lightway использует известную криптографическую библиотеку wolfSSL, прошедшую многочисленные сторонние проверки, в том числе на предмет соответствия стандарту FIPS 140-2.
Lightway также обеспечивает совершенную прямую секретность и поддерживает динамические ключи шифрования, которые регулярно удаляются и создаются заново.
Библиотека ядра Lightway имеет открытый исходный код, что делает ее максимально прозрачной и доступной для проверки всем желающим.
Lightway включает постквантовую защиту, ограждая пользователей от действий злоумышленников, которые могут иметь доступ как к классическим, так и к квантовым компьютерам. ExpressVPN стал одним и первых VPN-провайдеров, уже начавших применять постквантовую защиту, помогая своим пользователям оставаться в безопасности даже в эпоху постквантовых вычислений.
- Чтобы скорость стала еще выше, мы создали функцию Lightway Turbo, которая с помощью многоканального туннелирования одновременно передает еще больше данных (в настоящее время функция доступна в нашем приложении для Windows, мы работаем над тем, чтобы добавить ее и на другие платформы).
Узнайте больше про Lightway и прочитайте блог наших разработчиков, чтобы узнать больше про о том, как работает Lightway и чем он выделяется из числа других протоколов с технической точки зрения.
TrustedServer: все данные серверов удаляются при каждой перезагрузке
TrustedServer — это серверная VPN-технология, созданная нами для еще более надежной защиты наших пользователей.
Наши серверы используют только ОЗУ — оперативную память. В данном случае операционная система и приложения не записываются на жесткие диски, поэтому все данные хранятся в памяти сервера, пока не будут стерты или перезаписаны. Вот только для хранения данных в ОЗУ требуется электроэнергия, поэтому вся информация полностью удаляется из памяти наших серверов при каждом цикле выключения и включения. Такой подход не только не дает данным оставаться в памяти сервера надолго, но и мешает потенциальным взломщикам сохранить к нему доступ.
Данная технология повышает уровень единообразия. Благодаря TrustedServer все серверы ExpressVPN используют самые актуальные версии ПО. Фактически, эта технология устранила ситуации, когда разные серверы обновляются по необходимости и в разное время. Теперь команда ExpressVPN точно знает, какие приложения запущены на каждом отдельном сервере. Это сводит к минимуму риск появления уязвимостей или конфликтов настроек и существенно повышает безопасность VPN-подключений.
Технология TrustedServer прошла проверку компанией PwC.
Хотите подробнее узнать о том, как технология TrustedServer защищает пользователей? Прочитайте статью со всеми техническими подробностями от инженера, разработавшего эту систему.
ExpressVPN Keys: наш встроенный менеджер паролей
Keys — это полнофункциональный менеджер паролей, созданный ExpressVPN. Как и наш VPN-сервис, Keys отличается безопасным дизайном и дает пользователям контроль над своими данными. Мы даже опубликовали белую книгу безопасности, в которой подробно описали архитектуру и инфраструктуру Keys для полной прозрачности.
Keys позволяет пользователям генерировать, хранить и заполнять неограниченное количество паролей и предупреждает их о угрозах безопасности и утечках данных. Все, что хранится в Keys, защищено шифрованием с нулевым разглашением. Иными словами, никто, даже ExpressVPN, не сможет расшифровать эту информацию. Keys встроен прямо в приложения ExpressVPN для iOS и Android и доступен как расширение браузера на компьютерах. Узнать больше о Keys
Выделенный IP от ExpressVPN: статический IP-адрес с непревзойденной конфиденциальностью
Выделенный IP от ExpressVPN — это уникальный IP-адрес, выделенный исключительно одному пользователю. Это обеспечивает стабильность онлайн-идентичности при сохранении конфиденциальности.
Как правило, при работе с VPN многие пользователи делят один и тот же IP-адрес, что является ключевым элементом процесса анонимизации VPN. С выделенным IP, который назначается только одному человеку, необходимо принять особые меры, чтобы обеспечить анонимность пользователей.
Современные решения имеют определенные уязвимости в безопасности и конфиденциальности. В теории, они могут раскрыть истинный IP-адрес пользователя. Поэтому мы приняли дополнительные меры предосторожности для сохранения анонимности наших пользователей, как описано в нашей технической белой книге.
Мы используем систему на основе анонимизированных токенов, чтобы отделить платежные данные от IP, который мы назначаем пользователю. Это гарантирует, что мы и сами не сможем использовать выделенный IP для идентификации пользователя.
Сторонние аудиты безопасности
Мы регулярно просим независимых аудиторов проводить тщательную проверку наших продуктов. Вот полный список внешних аудитов безопасности в хронологическом порядке:
Вторая проверка безопасности наших роутеров Aircove компанией Cure53 (ноябрь 2024)
Четвертая проверка нашего VPN-протокола Lightway компанией Cure53 (октябрь 2024)
Третья проверка нашего VPN-протокола Lightway компанией Praetorian (сентябрь 2024)
Вторая проверка компанией Cure53 расширения для браузера ExpressVPN (июнь 2024)
Проверка приложения для ОС Windows подтвердила устранение проблемы с DNS, возникавшей при раздельном туннелировании (апрель 2024)
Компания KPMG провела проверку нашей политики приватности (декабрь 2023)
Вторая проверка нашего VPN-протокола Lightway компанией Cure53 (ноябрь 2022)
Проверка компанией Cure53 расширения для браузера ExpressVPN Keys (октябрь 2022)
Проверка расширения ExpressVPN для браузера от Cure53 (октябрь 2022)
Проверка нашей политики в отношении регистрации данных от KPMG (сентябрь 2022)
Проверка безопасности нашего приложения для iOS от Cure53 (сентябрь 2022)
Проверка безопасности нашего приложения для Android от Cure53 (август 2022)
Проверка нашего приложения для Linux от Cure53 (август 2022)
Проверка нашего приложения для macOS от Cure53 (июль 2022)
Проверка безопасности нашего роутера Aircove от Cure53 (июль 2022)
Проверка безопасности нашей технологии работы VPN-серверов TrustedServer от Cure53 (май 2022)
Проверка нашего приложения для Windows (вер. 12) от F-Secure (апрель 2022)
Проверка нашего приложения для Windows (вер. 10) от F-Secure (март 2022)
Проверка безопасности нашего VPN-протокола Lightway от Cure53 (август 2021)
Аудит нашего процесса проверки версий от PwC Switzerland (июнь 2020)
Проверка нашей политики приватности и собственной технологии TrustedServer от PwC Switzerland (июнь 2019)
Проверка безопасности нашего расширения для браузера от Cure53 (ноябрь 2018)
Отчет о прозрачности
Наши полугодовые отчеты о прозрачности содержат информацию о запросах на пользовательские данные, поступивших в наш юридический отдел.
Хотя мы регулярно получаем такие запросы, наша политика отсутствия журналов данных гарантирует, что у нас просто нет ничего, чем можно было бы поделиться. Мы не храним и никогда не будем хранить историю ваших действия в Сети или личные данные, в том числе историю просмотров, направление трафика, метаданные, DNS-запросы или любые IP-адреса, которые вы получаете при подключении к нашему VPN-сервису.
Мы в принципе не можем предоставить эти данные клиентов, потому что их просто не существует. Публикуя эту дополнительную информацию о получаемых нами запросах, мы стремимся обеспечить еще большую прозрачность в вопросе о качестве защиты наших пользователей.
Запросы на данные пользователей
Период: июль - декабрь 2024
| Тип | Полученные запросы |
| Запросы органов государственной власти, правоохранительных органов и гражданские запросы | 163 |
| Запросы по закону DMCA | 807,788 |
| Ордеры от государственных учреждений | 1 |
| Приказы о молчании | 0 |
| Письма об угрозах национальной безопасности | 0 |
Период: январь - июнь 2024
| Тип | Полученные запросы |
| Запросы органов государственной власти, правоохранительных органов и гражданские запросы | 170 |
| Запросы по закону DMCA | 259561 |
| Ордеры от государственных учреждений | 2 |
| Приказы о молчании | 0 |
| Письма об угрозах национальной безопасности | 0 |
Программа поиска багов
В рамках нашей программы поиска багов мы призываем специалистов по компьютерной безопасности протестировать наши системы и получить финансовое вознаграждение за любые найденные проблемы. Эта программа дала нам доступ ко множеству технических специалистов, которые регулярно тестируют наши приложения и инфраструктуру на предмет уязвимостей. Такой подход позволяет сделать наши продукты максимально безопасными.
Целью данной программы является поиск уязвимостей наших VPN-серверов, приложений и браузерных расширений, сайта и не только. Мы даем возможность сообщить об уязвимостях максимально безопасным образом, соблюдая все передовые рекомендации, актуальные в сфере компьютерной безопасности.
Наша программа поиска багов управляется через YesWeHack. Перейдите по этой ссылке, чтобы узнать подробности или сообщить о баге.
Лидерство в отрасли
Мы не только устанавливаем для себя самые строгие стандарты качества, но и верим, что наша работа по созданию более безопасной и приватной Сети этим не ограничивается. Поэтому мы сотрудничаем с различными компаниями VPN-отрасли, чтобы повысить глобальные стандарты качества и обеспечить пользователям более продвинутую защиту.
Вместе с компанией Internet Infrastructure Coalition (i2Coalition) и некоторыми другими крупными VPN-сервисами мы являемся со-основателями и председателями группы VPN Trust Initiative (VTI). Помимо просветительской работы, группа подготовила и опубликовала VTI Principles — общее руководство для ответственных VPN-сервисов по вопросам обеспечения безопасности, приватности, прозрачности и не только. В основу этого руководства в определенной степени легли прошлые инициативы ExpressVPN, запущенные при партнерстве с Центром демократии и технологий (Center for Democracy and Technology).
Некоторые из разработанных нами инновационных технологий помогли сделать шаг вперед всей VPN-индустрии. Мы впервые создали технологию TrustedServer — на ее основе другие сервисы разработали собственные аналогичные решения. Имеющий открытый исходный код протокол Lightway является другим примером технологии, созданной нами с нуля. Мы надеемся, что и он повлияет на VPN-отрасль.
Примечательные инициативы
Узнайте больше о том, как мы защищаем приватность наших пользователей.
-
![A shield button toggled on.]()
Сертификат ioXT
ExpressVPN является одним из немногих VPN-сервисов, чьи приложения сертифицированы альянсом ioXt Alliance. Этот сертификат подтверждает соответствие стандартам безопасности, благодаря чему пользователи могут использовать наши сервисы с еще большей уверенностью.
-
![Bar graph with different heights.]()
Встроенные инструменты обеспечения приватности
В нашем приложении Android ведется статистика защиты, благодаря чему пользователи могут защитить свою приватность самым практичным образом.
-
![Two line graphs.]()
Лаборатория цифровой безопасности
Мы открыли Лабораторию цифровой безопасности (Digital Security Lab), чтобы еще глубже погрузиться в реальные проблемы, связанные с приватностью. С ее помощью были созданы инструменты проверки утечек данных, позволяющие оценить надежность вашего VPN-сервиса.
