ExpressVPN:n luottamuskeskus
Yksityisyys on ExpressVPN:lle ensiarvoisen tärkeää. Käyttäjämme luottavat siihen, että varjelemme heidän yksityisyyttään alan johtavalla laitteistojen, ohjelmistojen sekä luovan ajattelun yhdistelmällä. Tällä sivulla kerromme, mitä teemme ansaitaksemme luottamuksen.
ExpressVPN:n turvallisuus: neljä avainstrategiaamme
Lue kyberturvallisuusmenetelmistämme, joiden avulla suojaamme järjestelmiämme sekä käyttäjiämme.
1. Vaikeasti murrettavien järjestelmien luonti
Turvallisten järjestelmien luominen on puolustuksemme etulinjassa. Käytämme monia erilaisia tekniikoita varmistaaksemme, että järjestelmiimme murtautuminen on vaikeaa, aina riippumattomasti varmistetun todentamisjärjestelmän käytöstä turvalaitteisiin ja huippuluokan salaukseen.
Todentamisjärjestelmä
Riippumaton taho on tarkistanut sisäisen todentamisjärjestelmämme, jonka turvin ExpressVPN-ohjelmisto pysyy suojattuna haitalliselta koodilta – aina koodin luomisesta ohjelmiston julkaisuun.
Turvalaitteet
Käytämme julkisia ja yksityisiä avainpareja erilaisiin turvallisuustarkoituksiin, kuten kaksivaiheiseen tunnistautumiseen, Git commitien allekirjoittamiseen sekä palvelinyhteyden muodostamiseen SSH:n avulla. Vähennämme yksityisten avaimiemme kaappaamisen riskiä säilyttämällä niitä turvalaitteissa. Tämä tarkoittaa, että vaikka työasemamme vaarantuisivat, hyökkääjä ei voi varastaa yksityisiä avaimiamme.
Nämä laitteet on suojattu vahvoilla avainsanoilla ja määritetty sulkeutumaan useiden epäonnistuneiden lukituksen poistoyritysten jälkeen. Laitteiden käyttö vaatii fyysistä kosketusta, mikä tarkoittaa, että haittaohjelmat eivät voi kaapata avaimia ilman ihmisen apua.
Koodin tarkistus
Koodin luominen edellyttää sitä, että vähintään yksi toinen ihminen toimii tarkastajana. Tämä tekee haitallisen koodin lisäämisestä paljon vaikeampaa, olipa kyseessä sisäpiirin uhka tai työntekijän vaarantunut työasema.
Kova suojakuori (SSH)
Käytämme SSH:ta kriittisten palvelimiemme turvallista etäkäyttöä varten. SSH-palvelimemme on määritetty käyttämään ainoastaan erittäin turvallisia salauksia, avaintenvaihtoalgoritmeja ja MAC-osoitteita. Emme myöskään salli yhteyden muodostamista pääkäyttäjänä, ja todentaminen on mahdollista ainoastaan vahvoilla SSH-avaimilla – salasanoja ei käytetä. Hyödynnämme välitason SSH-bastioneja tuotantoinfrastruktuurin erottamiseen muusta internetistä. Nämä koneet sallivat liikenteen ainoastaan hyväksytyistä IP-osoitteista.
Kaikki nämä määritykset on rajattu koodissa, eli ne on vertaisarvioitu ja toistettavissa.
Nopeat päivitykset
Tuotantokoneiden tärkeät ohjelmistot päivittyvät automaattisesti.
2. Vahinkojen minimointi
Turvatoimistamme huolimatta on silti mahdollista, että etevä hyökkääjä murtautuu puolustustemme läpi. Olemme varautuneet tähän riskiin rajoittamalla mahdollisten vahinkojen määrää erilaisilla turvatoimilla.
Zero Trust -suojausmalli
Jotta kaapattuja avaimia ei olisi mahdollista käyttää VPN-palvelimena esiintymiseen, vaadimme ExpressVPN-sovellusta hankkimaan päivitetyt määritysasetukset API-palvelimiemme kautta. Sovelluksemme todentavat yhdistettävät palvelimet vahvistamalla yksityisen varmenteen myöntäjän (CA) allekirjoituksen ja yleisen nimen, jolloin hyökkääjän ei ole mahdollista esiintyä meidän nimissämme.
Nollatietotodistuksen salaus
ExpressVPN:n salasanaohjelma (ExpressVPN Keys) käyttää nollatietotodistuksen salausta taatakseen, ettei kukaan – edes ExpressVPN – voi purkaa käyttäjien säilyttämien tietojen salauksia. Mikäli joku onnistuisi murtautumaan palvelimillemme, nollatietotodistuksen salaus varmistaa sen, että hyökkääjä ei voi purkaa säilytettyjen tietojen salauksia. Salaus voidaan purkaa ainoastaan käyttäjän omalla laitteella käyttämällä hänen pääsalasanansa luomia salausavaimia. Vain käyttäjä itse tietää oman pääsalasanansa.
Turvallinen suunnittelu
Turvallisuus- ja yksityisyysuhkien mallinnus sisällytetään jokaisen järjestelmämme suunnitteluvaiheeseen. Käytämme MITRE ATT&CK -viitekehystä tunnistaaksemme suunnitelmissamme esiintyviä uhkia, tarkastellaksemme niiden poistotapoja ja toteuttaaksemme riittäviä toimenpiteitä mahdollisten riskien minimoimiseksi.
Vähimpien oikeuksien periaate
Kaikki käyttäjämme, palvelumme ja toimintamme noudattavat vähimpien oikeuksien periaatetta. Työntekijöillämme on oikeus käyttää ainoastaan omien työtehtäviensä edellyttämiä palveluita ja tuotantojärjestelmiä. Asiakaspalvelijamme työskentelevät kahdessa ympäristössä, joista yksi on epäluotettava yleistä verkkoselausta varten ja toinen rajoitettu ympäristö arkaluonteisten järjestelmien käyttöön. Nämä toimenpiteet minimoivat vahingot ja estävät hyökkääjän tavoitteet, mikäli hän onnistuu ottamaan haltuunsa minkä tahansa järjestelmämme.
3. Vaaratilanteiden keston minimointi
Vahingon vakavuuden minimoinnin lisäksi prosessimme auttavat rajoittamaan myös vaaratilanteiden kestoa sekä aikaa, jonka hyökkääjät voivat viipyä järjestelmissämme.
Turvatoimien valvonta
Seuraamme jatkuvasti sisäisiä palveluitamme ja infrastruktuuriamme poikkeavien ja luvattomien toimintojen varalta. Ympärivuorokautinen turvatiimimme reagoi turvahälytyksiin reaaliajassa.
Automaattiset jälleenrakennukset
Moni järjestelmämme tuhotaan ja jälleenrakennetaan automaattisesti useita kertoja viikossa, ellei päivittäin. Tämä rajoittaa aikaa, jonka hyökkääjä voi viipyä järjestelmissämme.
4. Turvatoimien arviointi
Testaamme kaikki ohjelmistomme ja palvelumme täsmällisesti, jotta voimme varmistua niiden toimivuudesta ja täyttää asiakkaillemme lupaamamme yksityisyys- ja turvallisuusstandardit.
Sisäinen arviointi: läpäisytestaus
Suoritamme säännöllisiä läpäisytestauksia arvioidaksemme järjestelmiämme sekä ohjelmistojamme haavoittuvuuksien ja heikkouksien havaitsemiseksi. Testaajillamme on täysi pääsy lähdekoodiin, ja he suorittavat sekä automaattisia että manuaalisia testauksia varmistaakseen palveluidemme ja tuotteidemme perusteellisen arvioinnin.
Ulkoinen arviointi: kolmansien osapuolten suorittamat turvatoimien tarkistukset
Arvioimme palveluidemme ja ohjelmistojemme turvallisuutta myös riippumattomien tarkastajien toimesta. Nämä toimeksiannot todentavat, että sisäiset turvatoimemme vähentävät tehokkaasti tietoturva-aukkoja ja toimivat asiakkaillemme todisteina tuotteidemme esittämien turvallisuusväitteiden paikkansapitävyydestä.
Innovaatio
Pyrkimyksemme on täyttää sekä ylittää alan turvallisuusstandardit, ja kehitämme jatkuvasti uusia tapoja turvata tuotteitamme sekä käyttäjiemme yksityisyyttä. Tässä osiossa kerromme kahdesta ExpressVPN:n kehittämästä uraauurtavasta teknologiasta.
Lightway – paremman VPN-kokemuksen tarjoava protokollamme
Lightway on ExpressVPN:n kehittämä VPN-protokolla. VPN-protokollat ovat menetelmiä, joita laite käyttää muodostaakseen yhteyden VPN-palvelimeen. Useimmat palveluntarjoajat käyttävät samoja, yleisesti käytössä olevia protokollia, mutta me päätimme itse luoda protokollan, jonka ylivoimainen suorituskyky tarjoaa käyttäjille nopeamman, luotettavamman sekä turvallisemman VPN-kokemuksen.
Lightway hyödyntää wolfSSL:ää, jonka kattavan kryptografiakirjaston kolmannet osapuolet ovat huolellisesti tarkistaneet, myös FIPS 140-2 -standardin näkökulmasta.
Lightwayta käytettäessä toteutuu täydellinen jatkosalaisuus dynaamisilla salausavaimilla, jotka poistetaan ja luodaan uudelleen säännöllisesti.
Lightwayn lähdekoodin ydin on julkaistu avoimena lähdekoodina, minkä ansiosta sitä voidaan tutkia laajasti ja läpinäkyvästi turvallisuusuhkien varalta.
Lightwayhin sisältyy myös post-quantum-tuki, mikä suojaa käyttäjiä verkkohyökkääjiltä, joilla on käytössään niin perinteisiä tietokoneita kuin kvanttitietokoneitakin. ExpressVPN on yksi ensimmäisistä VPN-palveluntarjoajista, joka on ottanut käyttöön post-quantum-suojan – tämä pitää käyttäjämme suojattuina kvanttitietokoneiden alati kehittyessä.
Tutustu Lightwayhin tarkemmin ja lue kehittäjäblogistamme ExpressVPN-ohjelmistokehittäjien teknisiä näkemyksiä siitä, kuinka Lightway toimii ja kuinka se erottuu edukseen.
TrustedServer: kaikki tiedot poistetaan jokaisen uudelleenkäynnistyksen yhteydessä
TrustedServer on kehittämämme VPN-palvelinteknologia, joka tarjoaa käyttäjillemme entistä tiiviimmän suojan.
Se toimii ainoastaan haihtuvalla muistilla eli RAM-muistilla. Käyttöjärjestelmä ja sovellukset eivät koskaan kirjoita tietoja kiintolevyille, jotka säilyttäisivät kaiken tiedon, kunnes ne poistettaisiin tai korvattaisiin. Koska RAM tarvitsee virtaa tietojen tallentamiseen, kaikki tiedot poistetaan palvelimelta aina, kun se sammutetaan ja käynnistetään uudelleen. Tämä estää sekä tietojen että mahdollisten tunkeilijoiden pysymisen laitteessa.
Se lisää yhtenäisyyttä. TrustedServerin avulla ExpressVPN:n jokainen palvelin käyttää uusinta ohjelmistoa sen sijaan, että palvelimet saisivat päivityksiä eri aikoihin tarpeen sitä vaatiessa. Tämä tarkoittaa, että ExpressVPN tietää tarkalleen, mitä sen palvelimet sisältävät – minimoiden haavoittuvuuksien ja virheellisten määritysten riskin sekä parantaen VPN:n turvallisuutta merkittävästi.
TrustedServer-teknologia on PwC:n auditoima.
Haluatko tietää tarkemmin kaikista tavoista, joilla TrustedServer suojaa käyttäjäänsä? Lue syventävä kirjoitus tekniikastamme, jonka on kirjoittanut palvelintekniikamme suunnittelija.
Riippumattomat tietoturvatarkastukset
Olemme omistautuneet tekemään kolmansien osapuolten perusteellisia tarkastuksia suosituista tuotteistamme. Tässä on kattava lista ulkoistetuista tietoturvatarkastuksistamme aikajärjestyksessä:
Cure53:n tarkastus ExpressVPN Keys -selainlaajennuksesta (lokakuu 2022)
Cure53:n tarkastus ExpressVPN:n selainlaajennuksesta (lokakuu 2022)
KPMG:n tarkastus lokien vastaisesta käytännöstämme (syyskuu 2022)
Cure53:n turvallisuustarkastus iOS-sovelluksestamme (syyskuu 2022)
Cure53:n turvallisuustarkastus Android-sovelluksestamme (elokuu 2022)
Cure53:n tarkastus Linux-sovelluksestamme (elokuu 2022)
Cure53:n tarkastus macOS-sovelluksestamme (heinäkuu 2022)
Cure53:n turvallisuustarkastus Aircove-reitittimestämme (heinäkuu 2022)
Cure53:n turvallisuustarkastus TrustedServeristä eli itse kehittämästämme VPN-palvelinteknologiasta (toukokuu 2022)
F-Securen tarkastus Windows v12 -sovelluksestamme (huhtikuu 2022)
F-Securen turvallisuustarkastus Windows v10 -sovelluksestamme (maaliskuu 2022)
Cure53:n turvallisuustarkastus VPN-protokollastamme Lightwaystä (elokuu 2021)
PwC Switzerlandin tarkastus todentamisjärjestelmämme toiminnasta (kesäkuu 2020)
PwC Switzerlandin tarkastus yksityisyyskäytäntömme noudattamisesta ja kehittämästämme TrustedServer-teknologiasta (kesäkuu 2019)
Cure53:n turvallisuustarkastus selainlaajennuksestamme (marraskuu 2018)
Bug Bounty -ohjelma
Bug Bounty -haavoittuvuuspalkkio-ohjelmamme kautta tietoturvatutkijat voivat testata järjestelmiämme ja saada rahallisia korvauksia löytämistään ongelmista. Ohjelman avulla hyödymme suuresta määrästä testaajia, jotka säännöllisesti arvioivat infrastruktuuriamme ja sovelluksiamme tietoturvaongelmien varalta. Testaajien havainnot validoidaan ja korjataan mahdollisimman turvallisten tuotteiden takaamiseksi.
Bug Bounty -ohjelmamme piiriin kuuluvat muun muassa VPN-palvelimiemme, sovellustemme, selainlaajennustemme sekä verkkosivustomme sisältämät haavoittuvuudet. Tarjoamme ongelmista ilmoittaville henkilöille turvallisen ympäristön, joka noudattaa tietoturva-alan maailmanlaajuisesti toimivimmiksi todettuja käytänteitä.
Bug Bounty -ohjelmaamme ylläpitää Bugcrowd. Klikkaa tästä saadaksesi lisätietoja tai ilmoittaaksesi haavoittuvuudesta.
Alan johtoasema
Olemme asettaneet itsellemme tiukat standardit, ja jotta voimme suojella käyttäjiämme paremmin ja luoda turvallisemman sekä yksityisemmän internetin, meidän on tehtävä yhteistyötä koko VPN-alan kanssa.
Perustimme ja johdamme VPN Trust Initiativea (VTI) yhdessä Internet Infrastructure Coalitionin (i2Coalition) sekä muiden suurten toimijoiden kanssa. Jatkuvan tietoisuus- ja puolustustyön lisäksi yhdistys on julkaissut VTI-periaatteet – vastuullisille VPN-palveluntarjoajille tarkoitetut yhteiset turvallisuus-, yksityisyys- ja läpinäkyvyysohjeet. Tämä perustuu ExpressVPN:n aiempaan avoimuusaloitteeseen, joka tehtiin yhteistyössä Center for Democracy and Technologyn kanssa.
Uraauurtavat innovaatiomme ovat vieneet VPN-alaa eteenpäin. Loimme ensimmäisenä TrustedServer-teknologian, ja muut ovat sittemmin seuranneet esimerkkiämme ottamalla käyttöön samankaltaisia menetelmiä. Toisena esimerkkinä toimii kehittämämme Lightway-protokolla, jonka avoimella lähdekoodilla toivomme olevan vaikutusta VPN-alaan kokonaisuutena.
Merkittävät yksityisyysaloitteet
Lue lisää siitä, miten suojaamme käyttäjiemme yksityisyyttä.
ioXT-sertifioitu
ExpressVPN:stä on tullut yksi harvoista VPN-sovelluksista, jonka turvallisuusstandardit ioXt Alliance on sertifioinut. Tämä lisää palveluitamme käyttävien kuluttajien mielenrauhaa.
Sovellustemme yksityisyysominaisuudet
Android-sovelluksessamme on käytössä Suojauksen yhteenveto -ominaisuus, joka auttaa käyttäjiä suojaamaan yksityisyyttään käytännön ohjeilla.
Digital Security Lab
Perustimme Digital Security Labin syventyäksemme todellisiin tietoturvaongelmiin. Tutustu sen vuototestaustyökaluihin, joiden avulla varmistut VPN:si turvallisuudesta.