ExpressVPN har varit med om nyheterna den senaste veckan, och inte på ett bra sätt. Eftersom vi rekommenderar ExpressVPN här på ZDNet som en av de bästa VPN -tjänsterna där ute, har jag fått en översvämning av läsarfrågor som ber om objektiv läsning av nyheterna. I den här artikeln ska jag göra mitt bästa.
Sitrep
Låt oss börja med en sitrep (lägesrapport). Det finns två viktiga saker som är tangentiellt relaterade.
Den första punkten är att Kape Technologies har meddelat planer på att förvärva ExpressVPN för 986 miljoner dollar. Jag oroar mig för detta eftersom Kape en gång ansågs vara en skadlig leverantör. Jag ska prata mer om det här lite.
Den andra posten är en rapport i Reuters som indikerar att ExpressVPN CIO Daniel Gericke är bland tre män som böter 1,6 miljoner dollar av det amerikanska justitiedepartementet för att ha hackat och spionerat på amerikanska medborgare på uppdrag av Förenade Arabemiraten ( Förenade Arabemiraten).
Jag kommer att diskutera var och en av dessa rapporter individuellt och sedan dela med mig några tankar om hur dessa situationer kan påverka ditt beslut att använda (eller inte använda) ExpressVPN.
Kape Technologies
Kape Technologies har haft en ganska invecklad historia. Enligt en rapport i Forbes bildades ett företag som heter Crossrider 2011 av “miljardären Teddy Sagi, en serieentreprenör och ex-con som fängslades för insiderhandel på 1990-talet. Hans största pengatillverkare hittills är spelutvecklare Playtech, “och Koby Menachemi.
Menachemi var utvecklare för enhet 8200, en israelisk signalunderrättelseenhet som ansvarar för hackning och insamling av data (se det som en del CIA, en del NSA och en del gymnasieskola, eftersom enheten anställer och utbildar tonåringar i hacking och kodningskunskaper).
Crossriders verksamhet var annonsinjektion. Kommer du ihåg när företag som Yahoo försökte övertyga dig om att ladda ner deras webbläsartillägg med sökfältet? Crossriders verksamhet skapade verktyg som gjorde det möjligt för dem att infoga annonser på andra företags webbsidor, ibland åsidosatte även annonser som betalades för att visas på webbplatser som äventyrades.
Annonsinjektion överskred gränsen mellan att bara vara fånig och att vara skadlig programvara. Forbes rapporterade att Symantecs anti-malware identifierade programvara baserad på Crossriders produkt som skadlig programvara, delvis för att produkten effektivt stal annonsintäkterna från de webbplatser som användarna besökte, och delvis för att den samlade in all data den kunde hitta i processen.
Enligt Publift, en annonspartneringstjänst som grundades av före detta Googlers, finns annonsinjektionsverksamheten fortfarande kvar. Men Google har kämpat mot det i ungefär fem år nu, vilket innebär att det inte är så lukrativt som det en gång var.
Enligt en rapport från 2018 i den israeliska affärstidningen Globes var Kape Technologies en ny märkesinsats från den då relativt nya Crossrider -vd: n Ido Erlichman. Crossriders aktiekurs hade sjunkit till en lägst på 0,27 pund på Londonbörsen och företaget sökte en ny strategi.
Vilken bättre strategi för ett företag som ägnar sig åt att sippra användares data och ögonbollar än att förgrena sig till ett område av cybersäkerhet där användare är besatta av anonymitet och informationssäkerhet?
Du kan skära ironin med en kniv.
I vilket fall som helst, den nya namnet Kape Technologies ut på en förvärv binge. Företaget började köpa 2017 och förvärvade CyberGhost VPN för cirka 9 miljoner dollar. Därefter, 2018, kom Mac -antivirusföretaget Intego för 16 miljoner dollar. Några månader senare tappade Kape upp en annan VPN -leverantör, ZenMate, för cirka 5 miljoner dollar. Ett år senare, 2019, spenderade Kape 95 miljoner dollar för privat internetåtkomst, en av de mest kända VPN -leverantörerna vid den tiden.
Efter en börsnotering 2020 på Londonbörsen (som höjde 115 miljoner dollar) och ett år med rekordintäkter där pandemin och cybersäkerhetsproblem hemifrån drev VPN-efterfrågan körde Kape högt. I mars i år köpte företaget Webselenese för 149 miljoner dollar. Detta är värt ytterligare diskussion.
Vid första anblicken är det svårt att fastställa vad Webselenese gör. Företaget beskriver sig själv som “en online-plattform som är specialiserad på konsumentfokuserat sekretess- och säkerhetsinnehåll.” Vad betyder det här? Enligt investeringssajten The Twenties Trader äger Webselense två mycket högprofilerade recensionssajter, VPNMentor och Wizcase. Enligt Alexa (Amazons trafikövervakningstjänst, inte Amazons röstassistent – jag vet, det är förvirrande) har VPNMentor en rankning av 5 807. Wizcase har en rang på 7 280.
Om du är djupt intresserad av detta är det bästa du kan göra att läsa ExpressVPNs uttalande. Det är lite av ett under. Det fortsätter med att säga att företaget visste att Gericke var inblandad i spiongrejer, men inte visste om något olagligt, omoraliskt eller gödande. Företaget förklarar att det är nödvändigt att anställa någon som är “genomsyrad och erfaren av offensiv” för att bygga det bästa försvaret. Sedan fortsätter den med att uppge hur den skyddade sina tjänster mot korruption inifrån och har därefter hårdnat sina tjänster från yttre attacker.
Från och med den 17 september bekräftade företaget sitt stöd till Gericke och angav inga planer på att säga upp honom.
Edward Snowden och hans glashus
Kommer ni ihåg Edward Snowden? Tillbaka 2013 och 2014 använde Snowden mycket av mina kolumn inches. För er som är dömda att glömma historien var Edward Joseph Snowden en tidigare NSA -anställd och CIA -entreprenör som stal och sedan läckte ut mer än en miljon topphemliga dokument från regeringarna i USA, Australien och Storbritannien.
Efter läckaget sprang han från USA till Hong Kong, och sedan från Hong Kong till Ryssland, där han fick asyl efter att ha bott på Sheremetyevo Alexander S. Pushkin International Airport i cirka 40 dagar och 40 nätter. År 2020 ansökte och beviljades Snowden permanent uppehållstillstånd i Ryssland. Han fortsatte sedan med att ansöka om dubbel rysk-amerikanskt medborgarskap i december samma år.
Under sina år efter hans stöld och flykt till Ryssland har Snowden gjort sig ett namn. En film baserades på hans bedrifter. Och han lever på att göra fjärranslutande uppdrag för villiga och trovärdiga publik.
Så hur hamnade Mr. Snowden i vår historia? Som det visar sig vägde han in ExpressVPN och Daniel Gericke när nyheten kom förra veckan. Den 15 september twittrade han: “Om du är en ExpressVPN -kund borde du inte vara det.” Detta kom ut dagen efter Reuters rapport om Gericke och ExpressVPN och plockades upp av mediekällor över internet.
Du har säkert hört frasen “människor som bor i glashus ska inte kasta sten”. Tja, här är Snowdens glashus. Enligt Reuters fördjupade rapport om Project Raven, två månader före Snowdens ödesdigra stöld av USA: s högsta hemliga information, rekommenderades han för arbete hos militärentreprenören Booz Allen Hamilton (som sedan underleverantör honom till de tre brevbyråerna) av Lori Stroud, som själv senare rekryterades till Project Raven av Marc Baier. Baier arbetade på NSA Hawaii tillsammans med Snowden. Baier var också en av de tre män som anklagades av justitiedepartementet tillsammans med ExpressVPNs Gericke.
Så, när vi går djupare i ironi, har vi en tidigare NSA -operatör som stal miljontals dokument från den amerikanska regeringen och sprang till Ryssland, som klagar över arbetsgivaren till en tidigare kollega till en tidigare kollega, som båda var inblandade i skumma aktiviteter, men inget så oerhört kriminellt som hans egna handlingar.
Vad nu?
Okej, så nu är du uppdaterad. Du vet om företaget som just förvärvade ExpressVPN och dess något skumma förflutna och åtminstone oetiskt skämt av statistiken när det gäller VPN -recensioner. Du vet om bakgrunden till ExpressVPN: s CIO.
Men hur är det med ExpressVPN själv? Nyckelfrågan är, ska du använda den eller hoppa över den?
Vad jag använder
En av de vanligaste frågorna jag får är vilken VPN -tjänst jag använder. Den här veckan har det handlat om huruvida jag ska sluta använda ExpressVPN som min VPN -tjänst.
Här är den hårda sanningen: Jag använder inte en kommersiell VPN -tjänst. Jag gillar inte tanken på att mina data går igenom någon av VPN -spelarnas servrar. Men jag är lite av en outlier. Jag har länge drivit mitt eget Linux-VPN-servernät av bara metall som ligger över några molninfrastrukturleverantörer. Jag har hackat mina egna Linux -kärnmods i flera år, och jag är lika bekväm att snurra upp en serie servrar som studsar trafik som jag gör en kopp kaffe på morgonen.
Jag testar alla VPN -tjänster jag granskar, men bara under en begränsad tid, och bara på dedikerade testmaskiner. Allt jag har oro över har dokumenterats i mina recensioner. Hittills, åtminstone bland de bästa spelarna, har jag inte hittat något mycket värre än en VPN -anslutning som indikerar att anslutningen dirigeras via en VPN.
Men det är viktigt att notera att jag personligen bara använder ett VPN för kommunikationssäkerhet på flygplatser, hotell och kaféer – som jag besöker mycket mindre idag. Jag behöver inte skymma min plats för att olagligt kunna ta mig runt restriktioner för sportvisning, eller för att billigt och inte betala för nya avsnitt av Star Trek Discovery eller Picard.
Jag är inte heller en dissident, eller någon som springer från ett kränkande förhållande. Jag gör inga finansiella transaktioner online när jag är borta från mitt hemnätverk. Som sådan behöver jag inte alla tjänster och alla klienter som erbjuds av många av de VPN -tjänsteleverantörer som jag har profilerat.
Ingen av de VPN-tjänster jag rekommenderar är dåliga-jag behöver dem bara inte i mitt dagliga liv eftersom jag byggde mina egna.
Men hur är det med ExpressVPN?
Hur är det med ExpressVPN? Ändrar dessa avslöjanden något? För att svara på det själv måste du ställa dig tre frågor.
Hur bra är ExpressVPN för mina behov?
När jag tittade på ExpressVPN kallade jag det “en lättanvänd VPN med allt på mitten av vägen”. Jag upptäckte att en ExpressVPN -anslutning dirigerades genom Security Firewall Ltd, ett företag med en överraskande hög bedrägeribedömning från Google. ExpressVPN nådde ut för att säga att Security Firewall bara är ett av många företag som det hyr infrastruktur från, och dess nätverk är säkert. Du kan läsa företagets uttalande i min recension.
Också: ExpressVPN -recension: En bra VPN -tjänst, men är det värt priset?
Kape har haft ett förflutet som strider mot uppdraget från en VPN -leverantör. Kape, när det var Crossrider, gillade att sväva upp användarnas data, förmodligen att sälja till annonsörer. Kommer det att fortsätta att göra det? Jag vet inte, men det vore riktigt dumt om det gjorde det. VPN -marknaden är en mycket mer lönsam verksamhet än annonsinformatik, och Kape's VPN -märken är nu dess gyllene gäss. Det vore vansinnigt att riskera dessa kontokor (jag vet, den blandade metaforen gör ont), till förmån för att sälja ut användarnas data.
Vad sägs om att behålla Gericke i personalen?
Företagets blogginlägg gick mycket långt för att visa hur det begränsar Gerickes åtkomst så att han inte gör baaaad saker. Men jag håller med om att du behöver några offensiva krigare när du är i krig. Jag är inte säker på att Gericke borde stanna som företagets CIO med något infrastrukturansvar, men att hålla en stab av människor som känner och förstår fienden är viktigt i den här verksamheten.
Så vad är slutresultatet?
En sak som jag regelbundet frågar är om ExpressVPN (eller någon annan VPN) kommer att dela information med FBI (eller namnge din favorit underrättelsetjänst). Den rådande visheten är att VPN -leverantörer som ligger utanför de olika “Eyes” underrättelsedelningsavtalen är på något sätt säkrare för dem som döljer information från statens åtkomst. Detta är i allmänhet inte sant. Som jag diskuterade i min analys av NordVPN har de flesta VPN-leverantörer tillräckligt med fotavtryck i MLAT-avtalsländer att om en byrå med tre bokstäver vill ha din information, kommer den att få den.
Så om du inte är en mycket allvarlig dissident (eller, antar jag, en kriminell) på flykt från regeringen, är hela jurisdiktionsfrågan bara VPN -teater till förmån för god marknadsföringshype. Och om du förlitar dig på en VPN -tjänst för att skydda ditt liv och din frihet, varför litar du på något du läser online för din sanning? Jag visade just att de största VPN -granskningssajterna ägs av ett VPN -konglomerat. Du måste göra en mycket seriös undersökning och testning på egen hand om du vill vara riktigt säker.
Om du för närvarande använder ExpressVPN för säker datoranvändning för allmänna ändamål (som att kolla din e-post på det lokala kaféet) och du gillar det, skulle jag inte säga att du ska ge upp det. Om du förlitar dig på något av Kape -märkena för en livs- och dödssituation, skulle jag säga att det förmodligen inte är värt risken.
Om du letar efter ett VPN, läs alla recensioner och testa dem. De flesta ger dig trettio dagar, så se hur de faktiskt fungerar för dig. Återigen skulle jag inte nödvändigtvis avfärda ExpressVPN på handen på grund av dessa rapporter, men det är upp till dig att mäta din risknivå.
I mitten av 1980-talet förberedde USA: s president Ronald Wilson Reagan ett toppmöte med Sovjetpresidenten Mikhail Sergejevitsj Gorbatjov och ville knyta band med sin sovjetiska motsvarighet. När Reagan pratade med den ryska historieläraren Susanne Massie, en amerikan, introducerade hon honom för frasen doveryai, no proveryai. På engelska är det förtroende, men verifiera. Reagan tyckte tydligen så mycket om frasen att han överanvände det, till mycket för Gorbatjovs irritation.
Det är i alla fall så jag rekommenderar att du närmar dig ExpressVPN: lita på, men verifiera. Vi kommer att hålla ett öga på hur företaget beter sig. Gör Kape något annat som tyder på att deras moraliska kompass är snett? Blir Gerickes tillgång mer begränsad eller lämnar han företaget? Visar sig data som skyddas av ExpressVPN vara mindre säkra?
Jag tror inte att vi behöver stoppa ExpressVPN ännu. Alla de dåliga nyheterna är tangentiella för dess verksamhet. Men jag skulle råda företaget att gå mycket försiktigt, att ställa sina nya mästare på Kape till svars, och att både veta var gränsen är och hålla sig stadigt på änglars sida av den linjen.
Du kan följa mina dagliga projektuppdateringar på sociala medier. Se till att följa mig på Twitter på @DavidGewirtz, på Facebook på Facebook.com/DavidGewirtz, på Instagram på Instagram.com/DavidGewirtz och på YouTube på YouTube.com/DavidGewirtzTV.
Relaterade ämnen:
Säkerhets -TV -datahantering CXO -datacenter 