ExpressVPN har vært i nyhetene den siste uken, og ikke på en god måte. Fordi vi anbefaler ExpressVPN her på ZDNet som en av de beste VPN -ene der ute, har jeg fått en flom leserspørsmål som ber om objektiv lesning av nyhetene. I denne artikkelen skal jeg gjøre mitt beste.
Sitrep
La oss starte med en sitrep (situasjonsrapport). Det er to viktige elementer som er tangentielt beslektet.
Det første elementet er at Kape Technologies har kunngjort planer om å kjøpe ExpressVPN for 986 millioner dollar. Jeg har bekymringer for dette fordi Kape en gang ble ansett som en skadelig leverandør. Jeg skal snakke mer om dette om litt.
Det andre punktet er en rapport i Reuters som indikerer at ExpressVPN CIO Daniel Gericke er blant tre menn bøtelagt 1,6 millioner dollar av det amerikanske justisdepartementet for å ha hacket og spionert på amerikanske borgere på vegne av regjeringen i UAE ( De forente arabiske emirater).
Jeg vil diskutere hver av disse rapportene individuelt, og deretter dele med deg noen tanker om hvordan disse situasjonene kan påvirke din beslutning om å bruke (eller ikke bruke) ExpressVPN.
Kape Technologies
Kape Technologies har hatt en ganske kronglete historie. I følge en rapport i Forbes, ble et selskap kalt Crossrider dannet i 2011 av “milliardæren Teddy Sagi, en serieentreprenør og eks-con som ble fengslet for innsidehandel på 1990-tallet. Hans største pengeprodusent til nå er spillprogramvareutvikler Playtech, “og Koby Menachemi.
Menachemi var utvikler for Unit 8200, en israelsk signaletterretningsenhet som er ansvarlig for hacking og innsamling av data (tenk på det som en del CIA, en del NSA og en del videregående, fordi enheten ansetter og trener tenåringer i hacking og kodingskunnskaper).
Crossriders virksomhet var annonseinjeksjon. Husker du den gangen da selskaper som Yahoo prøvde å overbevise deg om å laste ned nettleserutvidelsen med søkefeltet? Crossriders virksomhet var å lage verktøy som tillot dem å injisere annonser på andre selskapers nettsider, noen ganger tilsidesatte selv annonser som ble betalt for å kjøre på nettstedene som ble kompromittert.
Annonseinjeksjon gikk over grensen mellom bare å være skummel og å være skadelig programvare. Forbes rapporterte at Symantecs anti-malware identifiserte programvare basert på Crossriders produkt som skadelig programvare, delvis fordi produktet effektivt stjal annonseinntektene fra nettstedene brukerne besøkte, og delvis fordi det samlet inn alle dataene de kunne finne i prosessen.
I følge Publift, en annonsepartneringstjeneste grunnlagt av eks-Googlers, er annonseinjeksjonsvirksomheten fortsatt der ute. Men Google har kjempet mot det i omtrent fem år nå, noe som betyr at det ikke er på langt nær så lukrativt som en gang.
I følge en rapport fra 2018 i den israelske forretningsavisen Globes, var Kape Technologies en rebranding -innsats fra den da relativt nye Crossrider -sjefen Ido Erlichman. Crossriders aksjekurs hadde falt til 0,27 pund på London Stock Exchange, og selskapet søkte en ny strategi.
Hvilken bedre strategi for et selskap som er dedikert til å heve brukernes data og øyeboller enn å forgrene seg til det ene området for cybersikkerhet der brukere er besatt av anonymitet og informasjonssikkerhet?
Du kan kutte ironien med en kniv.
Uansett satte det ny omdøpte Kape Technologies ut på en oppkjøpsbinge. Selskapet begynte å kjøpe i 2017 og kjøpte CyberGhost VPN for omtrent $ 9 millioner. Neste, i 2018, kom Mac antivirus -selskap Intego for $ 16 millioner. Noen måneder senere tok Kape opp en annen VPN -leverandør, ZenMate, for omtrent $ 5 millioner. Et år senere, i 2019, brukte Kape 95 millioner dollar på privat internettilgang, en av de mest kjente VPN -leverandørene den gangen.
Etter en børsnotering i 2020 på London Stock Exchange (som samlet inn 115 millioner dollar), og et år med rekordinntekter der pandemien og cybersikkerhetsproblemer hjemmefra drev VPN-etterspørselen, kjørte Kape høyt. Tilbake i mars i år kjøpte selskapet Webselenese for 149 millioner dollar. Dette er verdt en videre diskusjon.
Ved første øyekast er det vanskelig å finne ut hva Webselenese gjør. Selskapet beskriver seg selv som “en online plattform som spesialiserer seg på forbrukerfokusert personvern og sikkerhetsinnhold.” Hva betyr dette? Ifølge investeringsnettstedet The Twenties Trader, eier Webselense to svært profilerte anmeldelsessteder, VPNMentor og Wizcase. I følge Alexa (Amazons trafikkovervåkingstjeneste, ikke Amazons stemmeassistent – jeg vet, det er forvirrende), har VPNMentor en rangering på 5 807. Wizcase har en rangering på 7 280.
Hvis du er dypt interessert i dette, er det beste å lese ExpressVPNs uttalelse. Det er litt av et vidunder. Det fortsetter å si at selskapet visste at Gericke var involvert i spionsaker, men ikke visste om noe ulovlig, umoralsk eller fetende. Selskapet forklarer at det er nødvendig å ansette noen “gjennomsyret og krydret i offensiv” for å bygge det beste forsvaret. Deretter fortsetter den med å fortelle hvordan den beskyttet tjenestene mot korrupsjon innenfra og senere har herdet tjenestene mot eksterne angrep.
Fra 17. september bekreftet selskapet støtten til Gericke og indikerte ingen planer om å si ham opp.
Edward Snowden og glasshuset hans
Husker du Edward Snowden? Tilbake i 2013 og 2014 brukte Snowden mye av kolonnetommene mine. For dere som er dømt til å glemme historien, var Edward Joseph Snowden en tidligere NSA -ansatt og CIA -entreprenør som stjal og deretter lekket mer enn en million topphemmelige dokumenter fra regjeringene i USA, Australia og Storbritannia.
Etter lekkasjen løp han fra USA til Hong Kong, og deretter fra Hong Kong til Russland, hvor han fikk asyl etter å ha bodd på Sheremetyevo Alexander S. Pushkin internasjonale flyplass i omtrent 40 dager og 40 netter. I 2020 søkte Snowden om og fikk permanent opphold i Russland. Deretter fortsatte han med å søke om dobbelt russisk-amerikansk statsborgerskap i desember samme år.
I årene etter tyveriet og flukten til Russland har Snowden gjort seg bemerket. En film var basert på hans bedrifter. Og han lever av fjerntalende engasjementer for villige og troverdige publikum.
Så hvordan havnet Mr. Snowden i historien vår? Som det viser seg veide han på ExpressVPN og Daniel Gericke da nyheten brøt forrige uke. 15. september twitret han: “Hvis du er en ExpressVPN -kunde, burde du ikke være det.” Dette kom ut dagen etter at Reuters -rapporten om Gericke og ExpressVPN ble hentet av mediekilder over hele internett.
Du har sikkert hørt uttrykket “folk som bor i glasshus bør ikke kaste stein.” Her er Snowdens glasshus. I følge Reuters grundige rapport om Project Raven, to måneder før Snowdens skjebnesvangre tyveri av amerikanske regjerings topphemmelige opplysninger, ble han anbefalt for arbeid hos militærentreprenøren Booz Allen Hamilton (som deretter underlevererte ham til de tre brevbyråene) av Lori Stroud, som selv senere ble rekruttert til Project Raven av Marc Baier. Baier jobbet på NSA Hawaii sammen med Snowden. Baier var også en av de tre mennene som ble tiltalt av justisdepartementet sammen med ExpressVPNs Gericke.
Så når vi vasser dypere i ironi, har vi en tidligere NSA -operatør som stjal millioner av dokumenter fra den amerikanske regjeringen og løp til Russland, som klager over arbeidsgiveren til en tidligere kollega til en tidligere kollega, som begge var involvert i skyggefulle aktiviteter, men ingenting så voldsomt kriminelt som hans egne handlinger.
Hva nå?
Ok, så nå er du oppdatert. Du vet om selskapet som nettopp kjøpte ExpressVPN og dets litt skyggefulle fortid, og i det minste uetisk juking av statistikken når det gjelder VPN -anmeldelser. Du vet om bakgrunnen for ExpressVPNs CIO.
Men hva med ExpressVPN selv? Det sentrale spørsmålet er, skal du bruke det eller hoppe over det?
Hva jeg bruker
Et av de vanligste spørsmålene jeg får er hvilken VPN -tjeneste jeg bruker. Denne uken har det handlet om jeg skal slutte å bruke ExpressVPN som VPN -tjenesten min.
Her er den harde sannheten: Jeg bruker ikke en kommersiell VPN -tjeneste. Jeg liker ikke tanken på at dataene mine skal gå gjennom noen av VPN -spillernes servere. Men jeg er litt av en outlier. Jeg har lenge drevet mitt eget bare-metal Linux VPN-servernettverk som ligger på tvers av noen få skyinfrastrukturleverandører. Jeg har hacket mine egne Linux -kjernemoduser i årevis, og jeg er like komfortabel med å spinne opp en serie servere som spretter trafikk som jeg lager en kopp kaffe om morgenen.
Jeg tester alle VPN -tjenestene jeg vurderer, men bare i en begrenset periode, og bare på dedikerte testmaskiner. Alt jeg har bekymringer for er dokumentert i mine anmeldelser. Så langt, i hvert fall blant de beste spillerne, har jeg ikke funnet noe mye verre enn en VPN -tilkobling som indikerer at forbindelsen ruter gjennom en VPN.
Men det er viktig å merke seg at jeg personlig bare bruker en VPN for kommunikasjonssikkerhet på flyplasser, hoteller og kaffebarer – som jeg besøker mye mindre i disse dager. Jeg har ikke noe behov for å skjule posisjonen min for ulovlig å rute rundt sportsbegrensninger, eller for å billig ut og ikke betale for nye episoder av Star Trek Discovery eller Picard.
Jeg er heller ikke en dissident, eller noen som løper fra et fornærmende forhold. Jeg gjør ikke økonomiske transaksjoner på nettet når jeg er borte fra hjemmenettverket mitt. Som sådan trenger jeg ikke alle tjenestene og alle klientene som tilbys av mange av VPN -tjenesteleverandørene jeg har profilert.
Ingen av VPN-tjenestene jeg anbefaler er dårlige-jeg trenger dem bare ikke i mitt daglige liv fordi jeg bygde mine egne.
Men hva med ExpressVPN?
Hva med ExpressVPN? Endrer disse avsløringene noe? For å svare på det selv, må du stille deg selv tre spørsmål.
Hvor god er ExpressVPN for mine behov?
Da jeg så på ExpressVPN, kalte jeg det “en brukervennlig VPN med alt midt på veien.” Jeg fant ut at en ExpressVPN -tilkobling ble dirigert gjennom Security Firewall Ltd, et firma med en overraskende høy bedragerivurdering fra Google. ExpressVPN nådde ut for å si at Security Firewall bare er et av mange selskaper det leaser infrastruktur fra, og nettverket er sikkert. Du kan lese selskapets uttalelse i min anmeldelse.
Også: ExpressVPN -anmeldelse: En fin VPN -tjeneste, men er det verdt prisen?
Kape har hatt en fortid som er i strid med oppdraget til en VPN -leverandør. Kape, da det var Crossrider, likte å sveve opp brukernes data, sannsynligvis for å selge til annonsører. Vil den fortsette å gjøre det? Jeg vet ikke, men det ville vært veldig dumt hvis det gjorde det. VPN -markedet er en langt mer lønnsom virksomhet enn annonseinformatikk, og Kape's VPN -merker er nå gullgjessene. Det ville være vanvittig å risikere kontantkyrne (jeg vet, den blandede metaforen gjør vondt), til fordel for å selge ut brukernes data.
Hva med å beholde Gericke i staben?
Selskapets blogginnlegg gikk langt for å vise hvordan det begrenser Gerickes tilgang, slik at han ikke gjør noen ting. Men jeg er enig med forutsetningen om at du trenger noen offensive krigere når du er i krig. Jeg er ikke sikker på at Gericke burde forbli selskapets CIO med noe infrastrukturansvar, men det er viktig å beholde en stall av folk som kjenner og forstår fienden.
Så hva er bunnlinjen?
En ting jeg blir spurt jevnlig er om ExpressVPN (eller annen VPN) skal dele informasjon med FBI (eller navngi ditt favoritt etterretningsbyrå). Den rådende visdommen er at VPN -leverandører som ligger utenfor de forskjellige “Eyes” etterretningstildelingstraktatene på en eller annen måte er tryggere for de som skjuler informasjon fra myndigheters tilgang. Dette er generelt ikke sant. Som jeg diskuterte i min analyse av NordVPN, har de fleste VPN-leverandører nok fotavtrykk i MLAT-traktatlandene at hvis et byrå med tre bokstaver vil ha informasjonen din, vil det få det.
Så, med mindre du er en veldig alvorlig dissident (eller antar jeg en kriminell) på flukt fra regjeringen, er hele jurisdiksjonsspørsmålet bare VPN -teater til fordel for god markedsføringshype. Og hvis du stoler på en VPN -tjeneste for å beskytte livet ditt og friheten, hvorfor stoler du på noe du leser på nettet for sannheten din? Jeg har nettopp vist deg at de største VPN -anmeldelsessidene eies av et VPN -konglomerat. Du må gjøre en veldig seriøs undersøkelse og testing på egen hånd hvis du vil være virkelig trygg.
Hvis du bruker ExpressVPN for tiden for sikker databehandling (for eksempel å sjekke e-posten din på den lokale kaffebaren) og du liker det, vil jeg ikke si at du skal gi opp. Hvis du stoler på noen av Kape -merkene for en livs- og dødssituasjon, vil jeg si at det sannsynligvis ikke er verdt risikoen.
Hvis du er på jakt etter et VPN, kan du lese alle anmeldelsene og prøve dem. De fleste gir deg tretti dager, så se hvordan de faktisk fungerer for deg. Igjen, jeg ville ikke nødvendigvis avvise ExpressVPN ut av hånden på grunn av disse rapportene, men det er opp til deg å måle risikonivået ditt.
På midten av 1980-tallet forberedte USAs president Ronald Wilson Reagan seg på et toppmøte med Sovjetpresident Mikhail Sergejevitsj Gorbatsjov og ønsket å knytte bånd til sin sovjetiske motpart. Da Reagan snakket med russisk historieforsker Susanne Massie, amerikaner, introduserte hun ham for uttrykket doveryai, no proveryai. På engelsk er det tillit, men bekreft. Reagan likte tilsynelatende uttrykket så godt, han overdrev det, til stor irritasjon for Gorbatsjov.
Det er i alle fall slik jeg anbefaler å nærme deg ExpressVPN: tillit, men bekreft. Vi holder øye med hvordan selskapet oppfører seg. Gjør Kape noe annet som indikerer at deres moralske kompass er skjevt? Blir Gerickes tilgang mer begrenset, eller forlater han selskapet? Blir data sikret av ExpressVPN mindre sikre?
Jeg tror ikke vi trenger å stoppe ExpressVPN ennå. Alle de dårlige nyhetene er avgjørende for driften. Men jeg vil råde selskapet til å gå veldig forsiktig, å holde sine nye mestere på Kape ansvarlig, og å både vite hvor grensen er og holde seg fast på englenes side av linjen.
Du kan følge mine daglige prosjektoppdateringer på sosiale medier. Sørg for å følge meg på Twitter på @DavidGewirtz, på Facebook på Facebook.com/DavidGewirtz, på Instagram på Instagram.com/DavidGewirtz og på YouTube på YouTube.com/DavidGewirtzTV.
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 