NordVPN kører ikke et botnet. Sådan kan du fortælle
Den populære internet privatlivstjeneste NordVPN udgav et blogindlæg tidligere på ugen afviser påstande om, at de høster brugerdata og driver et botnet gennem deres VPN-klient. Nord inviterede deres brugere til selv at se, at der ikke er nogen gyldighed for opkrævningen ved at bruge Wireshark, så jeg tog dem op på det. Her er hvordan du kan gøre det samme.
Den juridiske sag mod Tesonet
Tilsyneladende en nylig retssag startede Nords kampagne for at forsvare sig mod deres online anklagere. Sagen, som blev anlagt i Texas-retten mod Nords partner Tesonet, hævder, at NordVPN har rippet en konkurrents teknologi og brugte den til at bygge et botnet, der ville tvinge Nord-brugere til at fungere som exit-noder.
Rettelse: En tidligere version af denne artikel angav forkert, at Holas retssag var mod NordVPN. Retssagen blev anlagt mod Tesonet, en partner i NordVPN.
Firmaet, som Tesonet angiveligt stjal fra, er ingen ringere end Hola, som lavede nyheder i 2015, efter at det blev vist, at den tidligere populære gratis VPN-udbyder blandt meget andet havde en usikker bagdør i deres VPN-klient. Dette er væsentligt, fordi Holas fald fra nåde var en stor nyhed på det tidspunkt, og hvis Nord gjorde det samme ville det alvorligt svække deres troværdighed.
Så jeg tændte for Wireshark og opdagede det Nord er absolut ikke engageret i at bygge nogen form for botnet , og gør tydeligvis ikke, hvad Hola gjorde og fortsætter med at gøre.
Søger efter et Hola-lignende malware-botnet
For at komme til den konklusion, oprettede jeg forbindelse til NordVPN-klienten og startede Wireshark. Jeg indstillede Wireshark til at fange trafik på den krypterede forbindelse, som Nord opretter, når den er installeret.
Jeg lod sessionen køre i fem minutter med Chrome lukket for at sikre, at al trafik, der blev genereret, kom fra en systemtjeneste og ikke min egen browsing. Du kan se på optagelsen, at min private IP-adresse er i 10.8.8.0-undernettet, hvilket er det, Nords kunder bruger.
I løbet af disse fem minutter udvekslede Plex medieserver, som jeg har installeret og kører, en besked frem og tilbage med plex.tv-backend.
Jeg testede også den nuværende version af Hola, så jeg selv kunne se, om trafikken stemte overens med påstandene i retssagen. Jeg kørte optagelsen på nøjagtig samme måde, fem minutter med min browser lukket.
Et minut eller deromkring efter installationen var færdig, begyndte Hola at sende anmodninger fra min computer til internettet. Det ramte for det meste reklameservere, hvilket får mig til at spekulere på, om Holas betalende kunder - dem med adgang til gratis VPN-brugeres båndbredde - måske bruger Hola til at puste deres egne annonceindtægter op.
Uanset hvad kan du se forskellen. Efter min mening, der er absolut ingen måde, at NordVPN kører et botnet ved at bruge Holas intellektuelle ejendom.
Betyder det virkelig, at de ikke udspionerer dig?
Nogle andre VPN-udbydere har blevet anklaget for at snuse deres brugeres sikre forbindelser og give oplysningerne til retshåndhævelsen. Ingen påstande om overvågning af forbindelser på denne måde er blevet rejst mod Nord, men jeg var allerede i gang med at tjekke tingene ud, så jeg besluttede at se selv.
Kontrollerer for promiskuøs tilstand med NMap
NMap leveres med et script kaldet sniffer-detect der sender misdannede ARP-pakker til en vært og rapporterer derefter, om disse pakker blev afvist eller ej.
En netværksadapter, der kører i promiskuøs tilstand, vil opføre sig mærkeligt under nogle omstændigheder og gemme pakker, der ellers ville blive afvist, fordi driveren instruerer netværksadapteren til at sende al trafik videre til CPU'en til logning. Jeg løb sniffer-detect på den NordVPN-server jeg var forbundet til og kunne finde intet bevis for, at Nord har aktiveret promiskuøs tilstand .
Bemærk at jeg brugte en tilpasset version af scriptet som jeg ændrede for at få det til at vise resultater, selvom værten ikke kører i promiskuøs tilstand. I den originale version viser sikre værter ingen resultater.
NordVPN ser ikke ud til at indsamle brugerdata
Baseret på min test kan jeg ikke se noget bevis for, at NordVPN høster brugerdata eller kører et botnet. Retssagen forekommer mig at være grundløs og en del af en bredere smædekampagne mod NordVPN.
Jeg kontaktede Nord for at få en kommentar og spurgte dem om de seneste beskyldninger. Her er hvad jeg fik at vide:
'Hola VPN brugte deres klienter som udgangsnoder til at udføre en web-scraping. Det betyder, at brugernes enheder blev brugt som proxyer til at sende anmodninger til de ønskede websteder. En sådan adfærd kan nemt kontrolleres og verificeres, alle anmodninger fra vores apps er nødvendige for at tjenesten fungerer korrekt, det er det. NordVPN-brugere er aldrig blevet misbrugt på nogen måde, deres trafik blev aldrig logget på noget tidspunkt af deres forbindelse.'
Jeg pressede dem også for at få en afklaring af, hvad 'ingen logning' egentlig betyder, og Nords talsmand fortalte mig: 'Vi logger ikke nogen trafik eller forbindelseslogs på noget tidspunkt, hverken app eller serverniveau eller nogen steder derimellem. Vi fejlsøger ikke engang vores servere, hvis der sker noget. Hvis vi bemærker, at nogen af vores understøttede protokoller ikke fungerer, som de skal, fjerner vi straks en server fra produktionen og undersøger først derefter problemet.' [sic]
Efter min mening, NordVPN er helt sikkert at bruge . Men hvis du er på hegnet, skal du installere Wireshark og se selv. Når du ser på NordVPN og Hola side om side, er forskellen tydelig.
Offentliggørelse: NordVPN er en datterselskab af Comparitech. Læs mere .