ExpressVPN è stato su tutte le notizie nell'ultima settimana, e non in senso positivo. Poiché consigliamo ExpressVPN qui su ZDNet come una delle migliori VPN in circolazione, ho ricevuto una marea di domande da parte dei lettori che chiedono una lettura obiettiva delle notizie. In questo articolo, farò del mio meglio.
Sitrep
Cominciamo con un sitrep (rapporto sulla situazione). Ci sono due elementi chiave che sono tangenzialmente correlati.
Il primo elemento è che Kape Technologies ha annunciato l'intenzione di acquisire ExpressVPN per $ 986 milioni. Sono preoccupato per questo perché Kape una volta era considerato un fornitore di malware. Parlerò di più di questo tra un po'.
Il secondo elemento è un rapporto di Reuters che indica che il CIO di ExpressVPN Daniel Gericke è tra i tre uomini multati per 1,6 milioni di dollari dal Dipartimento di Giustizia degli Stati Uniti per hacking e spionaggio di cittadini statunitensi per conto del governo degli Emirati Arabi Uniti ( Emirati Arabi Uniti).
Discuterò ciascuno di questi rapporti individualmente, quindi condividerò con te alcune riflessioni su come queste situazioni potrebbero influire sulla tua decisione di utilizzare (o non utilizzare) ExpressVPN.
Kape Technologies
Kape Technologies ha avuto una storia piuttosto contorta. Secondo un rapporto di Forbes, una società chiamata Crossrider è stata costituita nel 2011 dal “miliardario Teddy Sagi, un imprenditore seriale ed ex detenuto che è stato incarcerato per insider trading negli anni '90. Il suo più grande produttore di soldi fino ad oggi è lo sviluppatore di software di gioco d'azzardo Playtech, ” e Koby Menachemi.
Menachemi era uno sviluppatore per l'Unità 8200, un'unità di intelligence dei segnali israeliana responsabile dell'hacking e della raccolta di dati (pensatela come in parte CIA, in parte NSA e in parte liceo, perché l'unità assume e addestra gli adolescenti nelle abilità di hacking e codifica).
L'attività di Crossrider era l'iniezione di annunci. Ricordi ai tempi in cui aziende come Yahoo hanno cercato di convincerti a scaricare la loro estensione del browser con la loro barra di ricerca? L'attività di Crossrider consisteva nel creare strumenti che consentissero loro di inserire annunci nelle pagine Web di altre società, a volte sovrascrivendo anche gli annunci che venivano pagati per essere pubblicati sui siti compromessi.
L'iniezione di annunci ha aggirato il confine tra il semplice essere schifosi e l'essere malware. Forbes ha riferito che l'anti-malware di Symantec ha identificato il software basato sul prodotto di Crossrider come malware, in parte perché il prodotto ha effettivamente rubato le entrate pubblicitarie dai siti visitati dai suoi utenti, e in parte perché ha raccolto tutti i dati che è riuscito a trovare nel processo.
Secondo Publift, un servizio di partnership pubblicitaria fondato da ex googler, il business dell'iniezione di annunci è ancora disponibile. Ma Google lo sta combattendo da circa cinque anni, il che significa che non è un business così redditizio come una volta.
Secondo un rapporto del 2018 del quotidiano economico israeliano Globes, Kape Technologies è stato uno sforzo di rebranding da parte dell'allora relativamente nuovo CEO di Crossrider Ido Erlichman. Il prezzo delle azioni di Crossrider era sceso a un minimo di 0,27 sterline alla Borsa di Londra e la società stava cercando una nuova strategia.
Quale strategia migliore per un'azienda dedita a sottrarre dati e occhi degli utenti se non quella di espandersi nell'area della sicurezza informatica in cui gli utenti sono ossessionati dall'anonimato e dalla sicurezza delle informazioni?
Puoi tagliare l'ironia con un coltello.
In ogni caso, la nuova Kape Technologies si è lanciata in una baldoria di acquisizioni. La società ha iniziato ad acquistare nel 2017, acquisendo CyberGhost VPN per circa $ 9 milioni. Successivamente, nel 2018, è arrivata la società di antivirus per Mac Intego per $ 16 milioni. Pochi mesi dopo, Kape ha divorato un altro provider VPN, ZenMate, per circa $ 5 milioni. Un anno dopo, nel 2019, Kape ha speso 95 milioni di dollari per Private Internet Access, uno dei provider VPN più conosciuti all'epoca.
Dopo un'IPO del 2020 alla Borsa di Londra (che ha raccolto 115 milioni di dollari) e un anno di guadagni record in cui la pandemia e le preoccupazioni sulla sicurezza informatica del lavoro da casa hanno guidato la domanda di VPN, Kape era in forte crescita. Nel marzo di quest'anno, la società ha acquistato Webselenese per 149 milioni di dollari. Questo è degno di ulteriore discussione.
A prima vista, è difficile definire cosa fa Webselenese. La società si descrive come “una piattaforma online specializzata in contenuti per la privacy e la sicurezza incentrati sui consumatori”. Cosa significa questo? Secondo il sito di investimento The Twenties Trader, Webselense possiede due siti di recensioni di altissimo profilo, VPNMentor e Wizcase. Secondo Alexa (il servizio di monitoraggio del traffico di Amazon, non l'assistente vocale di Amazon – lo so, è fonte di confusione), VPNMentor ha un grado di 5.807. Wizcase ha un rango di 7.280.
Se sei profondamente interessato a questo, la cosa migliore da fare è leggere la dichiarazione di ExpressVPN. È un po' una meraviglia. Continua dicendo che la compagnia sapeva che Gericke era coinvolto in cose di spionaggio, ma non sapeva nulla di illegale, immorale o ingrassante. La società spiega che è necessario assumere qualcuno “intriso e esperto in attacco” per costruire le migliori difese. Quindi prosegue affermando come ha protetto i suoi servizi dalla corruzione dall'interno e successivamente ha rafforzato i suoi servizi da attacchi esterni.
A partire dal 17 settembre, la società ha ribadito il proprio sostegno a Gericke e non ha indicato alcun piano per eliminarlo.
Edward Snowden e la sua casa di vetro
Vi ricordate Edward Snowden? Nel 2013 e nel 2014, Snowden ha consumato molti dei miei pollici di colonna. Per quelli di voi condannati a dimenticare la storia, Edward Joseph Snowden era un ex dipendente della NSA e appaltatore della CIA che ha rubato e poi fatto trapelare più di un milione di documenti top secret dai governi degli Stati Uniti, dell'Australia e della Gran Bretagna.
Dopo la fuga di notizie, è scappato dagli Stati Uniti a Hong Kong, e poi da Hong Kong alla Russia, dove ha ricevuto asilo dopo aver vissuto nell'aeroporto internazionale Sheremetyevo Alexander S. Pushkin per circa 40 giorni e 40 notti. Nel 2020, Snowden ha chiesto e ottenuto la residenza permanente in Russia. Ha poi continuato a richiedere la doppia cittadinanza russo-americana nel dicembre dello stesso anno.
Negli anni successivi al furto e alla fuga in Russia, Snowden si è fatto un nome. Un film era basato sulle sue imprese. E si guadagna da vivere impegnandosi a parlare a distanza per un pubblico volenteroso e credulone.
Allora, come è finito il signor Snowden nella nostra storia? A quanto pare, ha valutato ExpressVPN e Daniel Gericke quando la notizia è stata diffusa la scorsa settimana. Il 15 settembre ha twittato: “Se sei un cliente ExpressVPN, non dovresti esserlo”. Questo è uscito il giorno dopo il rapporto di Reuters su Gericke ed ExpressVPN ed è stato ripreso da fonti dei media su Internet.
Probabilmente hai sentito la frase “le persone che vivono in case di vetro non dovrebbero lanciare pietre”. Bene, ecco la casa di vetro di Snowden. Secondo l'approfondito rapporto di Reuters sul Progetto Raven, due mesi prima del fatidico furto di informazioni top secret del governo degli Stati Uniti da parte di Snowden, gli fu consigliato di lavorare presso l'appaltatore militare Booz Allen Hamilton (che poi lo subappaltava alle agenzie delle tre lettere) da Lori Stroud, che in seguito fu reclutata nel Progetto Raven da Marc Baier. Baier ha lavorato alla NSA Hawaii insieme a Snowden. Baier è stato anche uno dei tre uomini incriminati dal Dipartimento di Giustizia insieme a Gericke di ExpressVPN.
Quindi, mentre approfondiamo l'ironia, abbiamo un ex agente della NSA che ha rubato milioni di documenti dal governo degli Stati Uniti ed è corso in Russia, che si lamenta del datore di lavoro di un ex collega di un ex collega, entrambi coinvolti in attività losche, ma niente di così enormemente criminale come le sue stesse azioni.
E adesso?
Ok, ora sei aggiornato. Conosci l'azienda che ha appena acquisito ExpressVPN e il suo passato un po' losco e, per lo meno, immorale smanettamento delle statistiche quando si tratta di recensioni VPN. Conosci il background del CIO di ExpressVPN.
Ma che dire di ExpressVPN stesso? La domanda chiave è: dovresti usarlo o saltarlo?
Cosa uso
Una delle domande più frequenti che ricevo è quale servizio VPN utilizzo. Questa settimana si è trattato di smettere di usare ExpressVPN come servizio VPN.
Ecco la dura verità: non utilizzo un servizio VPN commerciale. Non mi piace l'idea che i miei dati passino attraverso i server dei giocatori VPN. Ma sono un po' fuori luogo. Ho gestito a lungo la mia rete di server VPN Linux bare metal situata su alcuni provider di infrastrutture cloud. Ho hackerato le mie mod del kernel Linux per anni e mi sento a mio agio nel far girare una serie di server che rimbalzano il traffico mentre preparo una tazza di caffè al mattino.
Testo tutti i servizi VPN che recensisco, ma solo per un periodo di tempo limitato e solo su macchine di test dedicate. Tutto ciò di cui ho dubbi è stato documentato nelle mie recensioni. Finora, almeno tra i migliori giocatori, non ho trovato niente di peggio di una connessione VPN che indica che la connessione viene instradata tramite una VPN.
Ma è importante notare che io personalmente uso solo una VPN per la sicurezza delle comunicazioni in aeroporti, hotel e caffetterie, che visito molto meno in questi giorni. Non ho alcun bisogno di offuscare la mia posizione per aggirare illegalmente le restrizioni alla visione di eventi sportivi o per risparmiare e non pagare per i nuovi episodi di Star Trek Discovery o Picard.
Inoltre non sono un dissidente, o qualcuno che scappa da una relazione abusiva. Non eseguo transazioni finanziarie online quando sono lontano dalla mia rete domestica. Pertanto, non ho bisogno di tutti i servizi e di tutti i client offerti da molti dei fornitori di servizi VPN che ho profilato.
Nessuno dei servizi VPN che raccomando è scadente: semplicemente non ne ho bisogno nella mia vita quotidiana perché ne ho costruito uno mio.
Ma per quanto riguarda ExpressVPN?
E ExpressVPN? Queste rivelazioni cambiano qualcosa? Per rispondere da solo, dovrai porti tre domande.
Quanto è utile ExpressVPN per le mie esigenze?
Quando ho esaminato ExpressVPN, l'ho definita “una VPN facile da usare con tutto a metà strada”. Ho scoperto che una connessione ExpressVPN è stata instradata tramite Security Firewall Ltd, un'azienda con un punteggio di frode di Google sorprendentemente alto. ExpressVPN ha contattato per dire che Security Firewall è solo una delle tante aziende da cui prende in leasing l'infrastruttura e che la sua rete è sicura. Puoi leggere la dichiarazione dell'azienda nella mia recensione.
Anche: Recensione ExpressVPN: un buon servizio VPN, ma ne vale la pena?
Kape ha avuto un passato che è in contrasto con la missione di un provider VPN. A Kape, ai tempi di Crossrider, piaceva recuperare i dati degli utenti, probabilmente per venderli agli inserzionisti. Continuerà a farlo? Non lo so, ma sarebbe davvero sciocco se lo facesse. Il mercato delle VPN è un'attività molto più redditizia dell'informatica pubblicitaria e i marchi VPN di Kape sono ora le sue oche d'oro. Sarebbe folle rischiare quelle vacche da mungere (lo so, la metafora mista fa male), a favore della vendita dei dati dei suoi utenti.
Che ne dici di tenere Gericke nello staff?
Il post sul blog dell'azienda ha fatto di tutto per mostrare come sta limitando l'accesso di Gericke in modo che non faccia cose baaaad. Ma sono d'accordo con la premessa che hai bisogno di alcuni guerrieri offensivi quando sei in guerra. Non sono sicuro che Gericke debba rimanere come CIO dell'azienda con responsabilità sull'infrastruttura, ma mantenere una stabile di persone che conoscano e comprendano il nemico è importante in questo business.
Quindi qual è la linea di fondo?
Una cosa che mi viene chiesto regolarmente è se ExpressVPN (o qualsiasi altra VPN) condividerà o meno informazioni con l'FBI (o nomina la tua agenzia di intelligence preferita). L'opinione prevalente è che i fornitori di VPN situati al di fuori dei vari trattati di condivisione dell'intelligence “Eyes” siano in qualche modo più sicuri per coloro che nascondono informazioni all'accesso del governo. Questo non è generalmente vero. Come ho discusso nella mia analisi di NordVPN, la maggior parte dei provider VPN ha un'impronta sufficiente nei paesi del trattato MLAT che se un'agenzia di tre lettere vuole le tue informazioni, le otterrà.
Quindi, a meno che tu non sia un dissidente molto serio (o, immagino, un criminale) in fuga dal governo, l'intera questione della giurisdizione è semplicemente un teatro VPN a beneficio di una buona campagna pubblicitaria. E se ti affidi a un servizio VPN per proteggere la tua vita e la tua libertà, perché ti affidi a qualcosa che leggi online per la tua verità? Ti ho appena mostrato che i più grandi siti di recensioni VPN sono di proprietà di un conglomerato VPN. Devi fare delle indagini e dei test molto seri da solo, se vuoi essere veramente al sicuro.
Se stai attualmente utilizzando ExpressVPN per l'informatica sicura per tutti gli usi (come controllare la posta al bar locale) e ti piace, non direi che dovresti rinunciarvi. Se ti affidi a uno qualsiasi dei marchi Kape per una situazione di vita o di morte, direi che probabilmente non vale la pena rischiare.
Se stai acquistando una VPN, leggi tutte le recensioni e provale. La maggior parte ti dà trenta giorni, quindi guarda come funzionano effettivamente per te. Ancora una volta, non escluderei necessariamente ExpressVPN a causa di questi rapporti, ma spetta a te valutare il tuo livello di rischio.
A metà degli anni '80, il presidente degli Stati Uniti Ronald Wilson Reagan si stava preparando per un vertice con il presidente sovietico Mikhail Sergeyevich Gorbachev e voleva legare con la sua controparte sovietica. Quando Reagan ha parlato con la studiosa di storia russa Susanne Massie, un'americana, lei gli ha fatto conoscere la frase doveryai, no proveryai. In inglese, questa è fiducia, ma verifica. Apparentemente a Reagan piaceva così tanto la frase che ne abusava, con grande fastidio di Gorbaciov.
In ogni caso, è così che consiglio di avvicinarsi a ExpressVPN: fidati, ma verifica. Terremo d'occhio il comportamento dell'azienda. Kape fa qualcos'altro che indichi che la loro bussola morale è storta? L'accesso di Gericke diventa più limitato o lascia l'azienda? I dati protetti da ExpressVPN risultano essere meno sicuri?
Non credo che dobbiamo ancora mettere alla gogna ExpressVPN. Tutte le cattive notizie sono tangenziali alle sue operazioni. Ma consiglierei alla compagnia di camminare con molta attenzione, di ritenere responsabili i suoi nuovi padroni alla Kape, e sia di sapere dov'è la linea sia di rimanere fermamente dalla parte degli angeli di quella linea.
Puoi seguire i miei aggiornamenti quotidiani sui progetti sui social media. Assicurati di seguirmi su Twitter su @DavidGewirtz, su Facebook su Facebook.com/DavidGewirtz, su Instagram su Instagram.com/DavidGewirtz e su YouTube su YouTube.com/DavidGewirtzTV.
Argomenti correlati:
Security TV Data Management CXO Data Center 