ExpressVPN har været overalt i nyhederne i den sidste uge, og ikke på en god måde. Fordi vi anbefaler ExpressVPN her på ZDNet som en af de bedste VPN'er derude, har jeg fået en flod af læser -spørgsmål, der beder om en objektiv læsning af nyhederne. I denne artikel vil jeg gøre mit bedste.
Sitrep
Lad os starte med en sitrep (situationsrapport). Der er to nøgleelementer, der er tangentielt relaterede.
Den første ting er, at Kape Technologies har annonceret planer om at erhverve ExpressVPN for $ 986 millioner. Jeg er bekymret over dette, fordi Kape engang blev betragtet som en malware -udbyder. Jeg vil tale mere om dette om lidt.
Det andet punkt er en rapport i Reuters, der angiver, at ExpressVPN CIO Daniel Gericke er blandt tre mænd en bøde på 1,6 millioner dollars af det amerikanske justitsministerium for hacking og spionage på amerikanske borgere på vegne af regeringen i UAE ( De Forenede Arabiske Emirater).
Jeg vil diskutere hver af disse rapporter individuelt og derefter dele nogle tanker med dig om, hvordan disse situationer kan påvirke din beslutning om at bruge (eller ikke bruge) ExpressVPN.
Kape Technologies
Kape Technologies har haft en ganske indviklet historie. Ifølge en rapport i Forbes blev et selskab ved navn Crossrider dannet i 2011 af “milliardæren Teddy Sagi, en seriel iværksætter og ex-con, der blev fængslet for insiderhandel i 1990'erne. Hans største pengeproducent til dato er spilsoftwareudvikler Playtech, “og Koby Menachemi.
Menachemi var udvikler for Unit 8200, en israelsk signal -efterretningsenhed, der er ansvarlig for hacking og indsamling af data (tænk på det som en del CIA, en del NSA og en del gymnasiet, fordi enheden ansætter og træner teenagere i hacking og kodningsevner).
Crossriders forretning var annonceindsprøjtning. Kan du huske dengang, da virksomheder som Yahoo forsøgte at overbevise dig om at downloade deres browserudvidelse med deres søgelinje? Crossriders forretning var at skabe værktøjer, der tillod dem at injicere annoncer på andre virksomheders websider, undertiden tilsidesætte selv annoncer, der blev betalt for at køre på de websteder, der blev kompromitteret.
Annonceindsprøjtning oversteg grænsen mellem bare at være skummel og at være malware. Forbes rapporterede, at Symantecs anti-malware identificerede software baseret på Crossriders produkt som malware, dels fordi produktet effektivt stjal annonceindtægterne fra de websteder, som brugerne besøgte, og dels fordi det indsamlede de data, det kunne finde i processen.
Ifølge Publift, en annoncepartneringstjeneste grundlagt af tidligere Googlers, er annonceindsprøjtningsvirksomheden stadig derude. Men Google har kæmpet mod det i cirka fem år nu, hvilket betyder, at det ikke er nær så indbringende en virksomhed, som den engang var.
Ifølge en rapport fra 2018 i det israelske forretningsdagblad Globes var Kape Technologies en rebrandingindsats fra den dengang relativt nye Crossrider -administrerende direktør Ido Erlichman. Crossriders aktiekurs var faldet til et lavpunkt på 0,27 pund på London Stock Exchange, og selskabet søgte en ny strategi.
Hvilken bedre strategi for en virksomhed, der er dedikeret til at hæfte brugernes data og øjne, end at forgrene sig til det ene område af cybersikkerhed, hvor brugerne er besat af anonymitet og informationssikkerhed?
Du kan skære ironien med en kniv.
Under alle omstændigheder tog den nyligt omdøbte Kape Technologies ud på en overtagelsesbinge. Virksomheden begyndte at købe i 2017 og erhvervede CyberGhost VPN for omkring $ 9 millioner. Dernæst, i 2018, kom Mac -antivirusfirmaet Intego for $ 16 millioner. Et par måneder senere slukkede Kape en anden VPN -udbyder, ZenMate, for omkring $ 5 millioner. Et år senere, i 2019, brugte Kape 95 millioner dollars til privat internetadgang, en af de mest kendte VPN -udbydere på det tidspunkt.
Efter en børsnotering i 2020 på London Stock Exchange (som indsamlede 115 millioner dollars) og et års rekordindtægt, hvor pandemien og cybersikkerhedsproblemer hjemmefra drev VPN-efterspørgslen, kørte Kape højt. Tilbage i marts i år købte virksomheden Webselenese for $ 149 millioner. Dette er værd at drøfte nærmere.
Ved første øjekast er det svært at fastslå, hvad Webselenese gør. Virksomheden beskriver sig selv som “en online platform med speciale i forbrugerfokuseret privatlivs- og sikkerhedsindhold.” Hvad betyder det? Ifølge investeringsstedet The Twenties Trader ejer Webselense to meget højt profilerede anmeldelsessider, VPNMentor og Wizcase. Ifølge Alexa (Amazons trafikovervågningstjeneste, ikke Amazons stemmeassistent – jeg ved, det er forvirrende), har VPNMentor en rangering på 5.807. Wizcase har en rang på 7.280.
Hvis du er dybt interesseret i dette, er det bedste at gøre at læse ExpressVPN's erklæring. Det er lidt af et vidunder. Det siger videre, at virksomheden vidste, at Gericke var involveret i spionemateriale, men ikke vidste om noget ulovligt, umoralsk eller fedende. Virksomheden forklarer, at det er nødvendigt at ansætte nogen “gennemsyret og krydret i offensiv” for at bygge det bedste forsvar. Derefter fortæller den, hvordan den beskyttede sine tjenester mod korruption indefra og har efterfølgende hærdet sine tjenester mod eksterne angreb.
Fra den 17. september bekræftede virksomheden sin støtte til Gericke og angav ikke nogen planer om at opsige ham.
Edward Snowden og hans glashus
Kan du huske Edward Snowden? Tilbage i 2013 og 2014 brugte Snowden mange af mine søjletomme. For jer der er dømt til at glemme historien, var Edward Joseph Snowden en tidligere NSA -medarbejder og CIA -entreprenør, der stjal og derefter lækkede mere end en million tophemmelige dokumenter fra regeringerne i USA, Australien og Storbritannien.
Efter lækagen løb han fra USA til Hong Kong og derefter fra Hong Kong til Rusland, hvor han modtog asyl efter at have boet i Sheremetyevo Alexander S. Pushkin International Airport i cirka 40 dage og 40 nætter. I 2020 ansøgte Snowden om og fik permanent ophold i Rusland. Derefter fortsatte han med at ansøge om dobbelt russisk-amerikansk statsborgerskab i december samme år.
I sine år efter hans tyveri og flugt til Rusland har Snowden gjort sig bemærket. En film var baseret på hans bedrifter. Og han lever af fjerntalende engagementer for villige og troværdige publikummer.
Så hvordan endte Mr. Snowden i vores historie? Som det viser sig, vejede han på ExpressVPN og Daniel Gericke, da nyheden brød ud i sidste uge. Den 15. september tweetede han: “Hvis du er en ExpressVPN -kunde, burde du ikke være det.” Dette kom ud dagen efter Reuters -rapporten om Gericke og ExpressVPN og blev hentet af mediekilder på tværs af internettet.
Du har sikkert hørt sætningen “mennesker, der bor i glashuse, bør ikke kaste sten.” Her er Snowdens glashus. Ifølge Reuters dybdegående rapport om Project Raven, to måneder før Snowdens skæbnesvangre tyveri af amerikanske regerings tophemmelige oplysninger, blev han anbefalet til arbejde hos militærentreprenør Booz Allen Hamilton (som derefter underleverede ham ud til de tre brevbureauer) af Lori Stroud, der selv senere blev rekrutteret til Project Raven af Marc Baier. Baier arbejdede på NSA Hawaii sammen med Snowden. Baier var også en af de tre mænd tiltalt af justitsministeriet sammen med ExpressVPNs Gericke.
Så da vi går dybere i ironien, har vi en tidligere NSA -operatør, der stjal millioner af dokumenter fra den amerikanske regering og løb til Rusland, som klager over arbejdsgiveren til en tidligere kollega til en tidligere kollega, som begge var involveret i lyssky aktiviteter, men intet så voldsomt kriminelt som hans egne handlinger.
Hvad nu?
Okay, så nu er du opdateret. Du kender til virksomheden, der lige har erhvervet ExpressVPN og dens noget lyssky fortid og i det mindste uetisk spøg af statistikkerne, når det kommer til VPN -anmeldelser. Du kender til baggrunden for ExpressVPN's CIO.
Men hvad med ExpressVPN selv? Det centrale spørgsmål er, om du skal bruge det eller springe det over?
Hvad jeg bruger
Et af de hyppigst stillede spørgsmål, jeg får, er hvilken VPN -service jeg bruger. I denne uge har det handlet om, om jeg vil stoppe med at bruge ExpressVPN som min VPN -service.
Her er den hårde sandhed: Jeg bruger ikke en kommerciel VPN -service. Jeg kan ikke lide tanken om, at mine data skal gå gennem nogen af VPN -spillernes servere. Men jeg er lidt af en outlier. Jeg har længe kørt mit eget bare-metal Linux VPN-servernetværk på tværs af et par cloudinfrastrukturudbydere. Jeg har hacket mine egne Linux -kernemods i årevis, og jeg er lige så behagelig at spinde en række servere, der bounce trafik, som jeg laver en kop kaffe om morgenen.
Jeg tester alle VPN -tjenester, jeg gennemgår, men kun i en begrænset periode og kun på dedikerede testmaskiner. Alt, hvad jeg har bekymringer om, er blevet dokumenteret i mine anmeldelser. Indtil videre, i hvert fald blandt de bedste spillere, har jeg ikke fundet noget meget værre end en VPN -forbindelse, der angiver, at forbindelsen routes gennem en VPN.
Men det er vigtigt at bemærke, at jeg personligt kun bruger en VPN til kommunikationssikkerhed i lufthavne, hoteller og caféer – som jeg besøger meget mindre i disse dage. Jeg har ikke behov for at skjule min placering for ulovligt at gå rundt om begrænsninger for sportsvisning, eller for at betale billigt og ikke betale for nye afsnit af Star Trek Discovery eller Picard.
Jeg er heller ikke en dissident eller en, der løber fra et voldeligt forhold. Jeg foretager ikke finansielle transaktioner online, når jeg er væk fra mit hjemmenetværk. Som sådan har jeg ikke brug for alle de tjenester og alle de klienter, der tilbydes af mange af de VPN -tjenesteudbydere, jeg har profileret.
Ingen af de VPN-tjenester, jeg anbefaler, er dårlige-jeg har bare ikke brug for dem i mit daglige liv, fordi jeg byggede mine egne.
Men hvad med ExpressVPN?
Hvad med ExpressVPN? Ændrer disse åbenbaringer noget? For at svare på det selv skal du stille dig selv tre spørgsmål.
Hvor god er ExpressVPN til mine behov?
Da jeg kiggede på ExpressVPN, kaldte jeg det “en brugervenlig VPN med alt på midten af vejen.” Jeg fandt ud af, at en ExpressVPN -forbindelse blev dirigeret gennem Security Firewall Ltd, et firma med en overraskende høj bedrageri på Google. ExpressVPN nåede ud for at sige, at Security Firewall kun er en af mange virksomheder, den leaser infrastruktur fra, og dets netværk er sikkert. Du kan læse virksomhedens erklæring i min anmeldelse.
Også: ExpressVPN -anmeldelse: En fin VPN -service, men er den prisen værd?
Kape har haft en fortid, der er i modstrid med en VPN -udbyders mission. Kape, dengang da det var Crossrider, kunne godt lide at hoover brugernes data, sandsynligvis for at sælge til annoncører. Vil det blive ved med at gøre det? Jeg ved det ikke, men det ville være virkelig dumt, hvis det gjorde det. VPN -markedet er en langt mere rentabel forretning end annonceinformatik, og Kape's VPN -mærker er nu dens gyldne gæs. Det ville være vanvittigt at risikere disse kontokøer (jeg ved, den blandede metafor gør ondt) til fordel for at sælge sine brugeres data ud.
Hvad med at beholde Gericke i personalet?
Virksomhedens blogindlæg gik langt for at vise, hvordan det begrænser Gerickes adgang, så han ikke vil gøre nogle ting. Men jeg er enig i den forudsætning, at du har brug for nogle offensive krigere, når du er i krig. Jeg er ikke sikker på, at Gericke bør forblive som virksomhedens CIO med ethvert infrastrukturansvar, men det er vigtigt at holde en stald af folk, der kender og forstår fjenden, i denne forretning.
Så hvad er bundlinjen?
En ting, jeg regelmæssigt bliver spurgt om, er om ExpressVPN (eller en anden VPN) vil dele oplysninger med FBI (eller navngiv dit foretrukne efterretningsagentur). Den fremherskende visdom er, at VPN -leverandører placeret uden for de forskellige “Eyes” efterretningsdelingstraktater på en eller anden måde er sikrere for dem, der skjuler oplysninger fra regeringsadgang. Dette er generelt ikke sandt. Som jeg diskuterede i min analyse af NordVPN, har de fleste VPN-udbydere nok et fodaftryk i MLAT-traktatlandene, at hvis et agentur med tre bogstaver ønsker dine oplysninger, får det det.
Så medmindre du er en meget alvorlig dissident (eller, jeg gætter på, en kriminel) på flugt fra regeringen, er hele spørgsmålet om jurisdiktion blot VPN -teater til fordel for en god marketing -hype. Og hvis du stoler på en VPN -tjeneste for at beskytte dit liv og din frihed, hvorfor stoler du så på noget, du læser online for din sandhed? Jeg har lige vist dig, at de største VPN -gennemgangssider ejes af et VPN -konglomerat. Du skal foretage en meget seriøs undersøgelse og test på egen hånd, hvis du vil være virkelig sikker.
Hvis du i øjeblikket bruger ExpressVPN til generel sikker databehandling (som f.eks. at tjekke din mail på den lokale kaffebar), og du kan lide det, vil jeg ikke sige, at du skal opgive det. Hvis du stoler på nogen af Kape -mærkerne for en livs- og dødssituation, vil jeg sige, at det nok ikke er risikoen værd.
Hvis du køber en VPN, skal du læse alle anmeldelser og prøve dem. De fleste giver dig tredive dage, så se hvordan de rent faktisk fungerer for dig. Igen ville jeg ikke nødvendigvis afvise ExpressVPN ude af hånd på grund af disse rapporter, men det er op til dig at måle dit risikoniveau.
I midten af 1980'erne forberedte den amerikanske præsident Ronald Wilson Reagan sig til et topmøde med Sovjetpræsident Mikhail Sergejevitsj Gorbatjov og ønskede at knytte bånd til sin sovjetiske pendant. Da Reagan talte med russisk historieforsker Susanne Massie, en amerikaner, introducerede hun ham for sætningen doveryai, no proveryai. På engelsk er det tillid, men verificer. Reagan kunne tilsyneladende godt lide sætningen så meget, at han overanvendte det, meget til irritation for Gorbatjov.
Det er i hvert fald sådan, jeg anbefaler, at du nærmer dig ExpressVPN: tillid, men verificer. Vi holder øje med, hvordan virksomheden opfører sig. Gør Kape noget andet, der indikerer, at deres moralske kompas er skævt? Bliver Gerickes adgang mere begrænset, eller forlader han virksomheden? Bliver data sikret af ExpressVPN mindre sikre?
Jeg tror ikke, vi har brug for at nedbryde ExpressVPN endnu. Alle de dårlige nyheder er tangentielle for dets drift. Men jeg vil råde virksomheden til at gå meget forsigtigt, til at stille sine nye mestre i Kape til ansvar, og både at vide, hvor grænsen er og forblive fast på englenes side af den linje.
Du kan følge mine daglige projektopdateringer på sociale medier. Sørg for at følge mig på Twitter på @DavidGewirtz, på Facebook på Facebook.com/DavidGewirtz, på Instagram på Instagram.com/DavidGewirtz og på YouTube på YouTube.com/DavidGewirtzTV.
Relaterede emner:
Sikkerhed TV Datahåndtering CXO datacentre 