ExpressVPN Güven Merkezi
ExpressVPN, her şeyden önce bir gizlilik şirketidir. Kullanıcılarımız, endüstri lideri bir donanım, yazılım ve insan zekası kombinasyonuyla gizliliklerini koruma konusunda bize güveniyor. Bu güveni kazanmak için nasıl çalıştığımıza bir göz atın.
ExpressVPN'de güvenlik: 4 önemli stratejimiz
Sistemlerimizi ve kullanıcılarımızı korumak için siber güvenliği nasıl sağladığımızı öğrenin.
1. Sistemin ele geçirilmesini zorlaştırmak
Savunmamızın ön duvarını sistemlerimizi güvenli hâle getirerek oluşturuyoruz. Bağımsız taraflarca denetlenmiş bir derleme tetkik sistemi kullanmaktan donanımsal güvenlik cihazlarına ve son teknoloji şifrelemeye kadar, güvenliği atlatmayı zorlaştırmak için birçok farklı teknikler kullanıyoruz.
Derleme tetkik sistemi
ExpressVPN yazılımı, bağımsız olarak denetlenen bir şirket içi derleme tekik sistemi sayesinde, ilk yazılımdan son aşamaya kadar, kötü amaçlı kod bulaşına karşı korunur.
Donanımsal güvenlik cihazları
Genel-özel anahtar çiftlerini, iki faktörlü kimlik doğrulama, Git commitleri imzalama ve bir sunucuya SSH üzerinden bağlanma gibi çeşitli güvenlik amaçları için kullanırız. Özel anahtarlarımızı donanımsal güvenlik cihazlarında tutarak çalınma riskini azaltıyoruz. Bu, iş istasyonlarımız ele geçirilse bile bir saldırganın özel anahtarlarımızı çalamayacağı anlamına gelir.
Bu aygıtlar, güçlü şifrelerle korunmaktadır ve birden çok başarısız kilit açma girişiminden sonra kendilerini "çalışmaz hâle getirmeleri" için yapılandırılmıştır. Cihazların çalışması için fiziksel bir dokunuş gerekir, bu da kötü amaçlı yazılımın bir insan yardımı olmadan anahtarları çalamayacağı anlamına gelir.
Kod denetimi
Tüm üretim kodları, kontrol edici görevi gören en az bir başka insan tarafından denetlenir. Bu, ister içeriden gelen bir tehdit, ister bir çalışanın iş istasyonunun ele geçirilmesi şeklinde olsun kötü amaçlı kod eklemeyi çok daha zorlaştırır.
Güçlendirilmiş güvenli kabuk (SSH)
Kritik sunucularımıza uzaktan erişim sağlamanın güvenli bir yolu olarak SSH kullanıyoruz. Bu SSH sunucuları yalnızca bir dizi yüksek güvenlikli şifre, anahtar değişim algoritması ve MAC kullanacak şekilde yapılandırılmıştır. Kök bağlantıya izin vermiyoruz ve kimlik doğrulama yalnızca güçlü SSH anahtarları kullanılarak gerçekleştirilebilir; şifre kullanımına izin verilmez. Üretim altyapısını açık internetten ayırmak için ara SSH savunma kalesi ana bilgisayarlarını kullanıyoruz. Bu makineler yalnızca güvenilir IP listesindeki adreslerden gelen trafiği kabul eder.
Bu yapılandırmanın tümü kodda tanımlanmıştır, bu nedenle meslektaşlar tarafından gözden geçirilir ve yeniden üretilebilir.
Hızlı yamalama
Üretim makineleri için yazılım bağımlılıkları, katılımsız yükseltmeler yoluyla otomatik olarak güncellenir.
2. Potansiyel zararları en aza indirmek
Çabalarımıza rağmen, motivasyonu yüksek bir saldırganın savunmamızı aşması hâlâ mümkündür. Saldırganın ilk saldırı noktasında oluşan olası hasarı en aza indirmek için korkuluklar uygulayarak bu riski yönetiyoruz.
Sıfır güveni benimseriz
VPN sunucusu kimliğine bürünmek için kullanılan çalıntı anahtar tehdidini azaltmak için, ExpressVPN uygulamasının güncellenmiş yapılandırma ayarlarını edinmek için API sunucularımıza giriş yapmasını şart koşuyoruz. Uygulamalarımız, özel Sertifika Yetkilisi (CA) imzasını ve ortak adı doğrulayarak bağlandıkları sunucuların kimliğini doğrular ve bu da bir saldırganın bizi taklit edememesini sağlar.
Sıfır bilgi şifrelemesini benimsemek
ExpressVPN şifre yöneticisi (ExpressVPN Keys olarak adlandırılır), hiç kimsenin, hatta ExpressVPN'in bile, kullanıcıların depolanan bilgilerinin şifresini çözememesi için sıfır bilgi şifrelemesinden yararlanır. Sıfır bilgi şifrelemesi, sunucularımızda bir veri ihlali olması durumunda, bir saldırganın kullanıcıların depolanmış giriş bilgilerinin şifresini çözemeyeceğini garanti eder. Kullanıcıların cihazında giriş şifresi yalnızca birincil şifreleri tarafından oluşturulan şifreleme anahtarları kullanılarak çözülür - ve bunu yalnızca kullanıcılar bilir.
Güvenli tasarım
Güvenlik ve gizlilik tehdidi modellemesi, herhangi bir sistemin tasarım aşamasına dahil edilir. Tasarımlarımızda var olabilecek tehditleri belirlemek, bunları ortadan kaldırmanın yollarını dikkate almak ve potansiyel riskleri en aza indirmek için yeterli önlemleri uygulamak üzere MITRE ATT&CK çerçevesini kullanırız.
En düşük erişim hakkı ilkesi
Tüm kullanıcılarımız, hizmetlerimiz ve operasyonlarımız en düşük erişim hakkı modelini izler. Çalışanlarımız, yalnızca görevleri için gerekli hizmetlere ve üretim sistemlerine erişim yetkisine sahiptir. Müşteri destek elemanlarımız, biri herkese açık web tarama etkinlikleri için güvensiz ortam ve diğeri hassas sistemlere erişim için kısıtlayıcı ortam olmak üzere iki ortamda çalışır. Bu önlemler, hesaplarımızdan herhangi birini ele geçirmeyi başaran saldırganların etkisini en aza indirir ve amaçlarını engeller.
3. İhlal süresini en aza indirmek
Süreçlerimiz, yalnızca hasarın ciddiyetini en aza indirmekle kalmaz, aynı zamanda ihlal süresini ve saldırganların gizleneceği süreyi azaltmaya yardımcı olur.
Güvenlik izleme
Anormal veya yetkisiz faaliyetler için dahili hizmetlerimizi ve altyapımızı sürekli izliyoruz. 7/24 görev başındaki güvenlik ekibimiz, güvenlik uyarılarını gerçek zamanlı olarak izler ve öncelikle çözümler.
Otomatik yenileme
Sistemlerimizin çoğu, günlük olmasa da haftada birkaç kez otomatik olarak yok edilir ve yeniden kurulur. Bu, bir saldırganın sistemlerimizde gizlendiği olası süreyi sınırlar.
4. Güvenlik kontrollerimizi doğrulamak
Tüm yazılımlarımız ve hizmetlerimiz, amaçlandığı gibi çalıştıklarından ve müşterilerimize söz verdiğimiz yüksek gizlilik ve güvenlik standartlarını karşıladıklarından emin olmak için titizlikle test edilir.
İç doğrulama: Sızma testleri
Güvenlik açıklarını ve zaaflarını belirlemek, sistemlerimizi ve yazılımlarımızı değerlendirmek için düzenli olarak sızma testleri yapıyoruz. Test uzmanlarımız kaynak koduna tam erişim hakkına sahiptir ve hizmetlerimizin ve ürünlerimizin kapsamlı bir şekilde değerlendirilmesini sağlamak için otomatik ve manuel test kombinasyonu kullanır.
Dış doğrulama: Üçüncü taraflarca gerçekleştirilen güvenlik denetimleri
Hizmetlerimizin ve yazılımlarımızın güvenliğini gözden geçirmeleri için bağımsız denetçilerle çalışırız. Bu işbirlikleri, ürünlerimiz hakkında yaptığımız güvenlik iddialarının doğruluğuna ilişkin olarak müşterilerimize belgeler sunarken, iç kontrollerimizin güvenlik açıklarını azaltmada etkili olduğunu doğrulamaya da hizmet eder.
İnovasyon
Endüstri güvenlik standartlarını karşılamak ve aşmak için çabalarken aynı zamanda ürünlerimizi ve kullanıcılarımızın gizliliğini korumak için yeni yollar arayışında olarak sürekli inovasyon yapıyoruz. Burada ExpressVPN tarafından geliştirilen iki çığır açan teknolojiyi önemle belirtiyoruz.
Lightway: Üstün VPN deneyimi sunan protokolümüz
Lightway, ExpressVPN tarafından oluşturulmuş bir VPN protokolüdür. VPN protokolü, bir cihazın bir VPN sunucusuna bağlanma yöntemidir. Çoğu sağlayıcı aynı hazır protokolleri kullanır, ancak biz üstün performansa sahip bir tanesini oluşturmak için yola çıktık ve kullanıcıların VPN deneyimini yalnızca daha hızlı ve daha güvenilir değil, aynı zamanda daha güvenli hâle getirdik.
Lightway, köklü şifreleme kitaplığı FIPS 140-2 standardı dahil olmak üzere üçüncü taraflarca kapsamlı bir şekilde değerlendirilen wolfSSL kullanır.
Lightway ayrıca düzenli olarak temizlenen ve yeniden oluşturulan dinamik şifreleme anahtarlarıyla mükemmel iletim gizliliğini de korur.
Lightway'in temel kitaplığı açık kaynaklıdır ve bu da güvenlik açısından şeffaf ve geniş bir şekilde değerlendirilebilmesini sağlar.
Lightway, hem klasik hem de kuantum bilgisayarlara erişimi olan kullanıcıları saldırganlara karşı koruyan post kuantum desteği içerir. ExpressVPN, post-kuantum korumayı uygulayan ilk VPN sağlayıcılarından biridir ve kullanıcıların kuantum hesaplamadaki gelişmeler karşısında güvende kalmasına yardımcı olur.
Lightway hakkında daha fazla bilgi edinin ve ExpressVPN yazılım geliştiricilerinin Lightway'in nasıl çalıştığına ve onu diğerlerinden daha iyi yapan şeylerin ne olduğuna ilişkin teknik bilgiler içeren geliştirici blogumuzu okuyun.
TrustedServer: Her yeniden başlatmada tüm veriler silinir
TrustedServer, kullanıcılarımıza daha fazla güvenlik sağlayan, tarafımızca oluşturulan bir VPN sunucusu teknolojisidir.
Yalnızca geçici bellekte veya RAM'de çalışır. İşletim sistemi ve uygulamalar; silinene veya üzerine yazılana kadar tüm verileri saklayan sabit sürücülere hiçbir zaman veri yazmaz. RAM, verileri depolamak için güce ihtiyaç duyduğundan, sunucu her kapatılıp açıldığında sunucudaki tüm bilgiler silinir; bu, hem verilerin hem de olası izinsiz girişlerin makinede kalmasına engel olur.
Tutarlılığı artırır. Her sunucunun gerektiğinde farklı zamanlarda güncelleme alması yerine, TrustedServer sayesinde ExpressVPN sunucularının her biri en güncel yazılımı çalıştırır. Bu, ExpressVPN'in her sunucuda tam olarak ne çalıştığını bildiği anlamına gelir, güvenlik açıkları veya yanlış yapılandırma riskini en aza indirir ve VPN güvenliğini önemli ölçüde artırır.
TrustedServer teknolojisi PwC tarafından denetlenmiştir.
TrustedServer'ın kullanıcıları koruduğu birçok yola daha ayrıntılı bir şekilde göz atmak ister misiniz? Sistemi tasarlayan mühendis tarafından yazılan teknolojiye ilişkin detaylı incelememizi okuyun.
Bağımsız güvenlik denetimleri
Ürünlerimizin derinlemesine üçüncü taraf denetimlerini büyük bir sıklıkla yaptırmaya kararlıyız. Dış denetimlerimizin kronolojik olarak sıralanmış kapsamlı bir listesi aşağıdadır:
Cure53 tarafından ExpressVPN Keys tarayıcı uzantısı denetimi (Ekim 2022)
Cure53 tarafından ExpressVPN tarayıcı uzantısı denetimi (Ekim 2022)
Kayıt tutmama politikamız için KPMG tarafından yapılan denetim (Eylül 2022)
iOS için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Eylül 2022)
Android için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2022)
Linux uygulamamız için Cure53 tarafından yapılan denetim (Ağustos 2022)
MacOS uygulamamız için Cure53 tarafından yapılan denetim (Temmuz 2022)
Aircove yönlendiricimiz için Cure53 tarafından yapılan güvenlik denetimi (Temmuz 2022)
Kurum içi VPN sunucu teknolojimiz TrustedServer için Cure53 tarafından yapılan güvenlik denetimi (Mayıs 2022)
Windows v12 uygulamamız için F-Secure tarafından yapılan denetim (Nisan 2022)
Windows v10 uygulamamız için F-Secure tarafından yapılan güvenlik denetimi (Mart 2022)
VPN protokolümüz Lightway için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2021)
Yapı doğrulama sürecimiz için PwC Switzerland tarafından yapılan denetim (Haziran 2020)
Gizlilik politikası uyumluluğumuz ve kurum içi teknolojimiz TrustedServer için PwC Switzerland tarafından yapılan denetim (Haziran 2019)
Tarayıcı uzantımız için Cure53 tarafından yapılan güvenlik denetimi (Kasım 2018)
Yazılım hatası bulma ödülü
Yazılım hatası bulma ödülü programımız aracılığıyla, güvenlik araştırmacılarını sistemlerimizi test etmeye ve buldukları herhangi bir hata için para ödülü kazanmaya davet ediyoruz. Bu program, güvenlik sorunları için altyapımızı ve uygulamalarımızı düzenli olarak değerlendiren çok sayıda test uzmanına erişmemizi sağlar. Bu bulgular daha sonra doğrulanır ve düzeltilir; böylece ürünlerimizin mümkün olduğunca güvenli olması sağlanır.
Programımız; VPN sunucularımızdaki, uygulamalarımızdaki, tarayıcı uzantılarımızdaki, web sitemizde ve daha fazlasındaki güvenlik açıklarını içerir. Hata bildiren kişilere, güvenlik araştırması alanında dünya çapındaki en iyi uygulamalara uygun tam güvenli bir liman sağlıyoruz.
Hata ödül programımız Bugcrowd tarafından yönetilmektedir. Daha fazlasını öğrenmek veya bir hata bildirmek için bu bağlantıyı takip edin.
Endüstri liderliği
Kendimiz için katı standartlar belirlerken, daha özel ve güvenli bir internet oluşturma çalışmalarımızın burada bitemeyeceğine inanıyoruz—bu nedenle standartları yükseltmek ve kullanıcıları daha iyi korumak için tüm VPN endüstrisi ile işbirliği yapıyoruz.
İnternet Altyapı Koalisyonu (i2Coalition) ve diğer bazı büyük endüstri oyuncusu ile birlikte VPN Trust Initiative (VPN Güven Girişimi)'ni (VTI) kurduk ve yönetiyoruz. Devam eden farkındalık ve savunma çalışmalarına ek olarak grup; güvenlik, gizlilik, şeffaflık ve daha fazlasında sorumlu VPN sağlayıcıları için paylaşılan yönergeler içeren VTI İlkelerini açıkladı. Bu, ExpressVPN'in Demokrasi ve Teknoloji Merkezi ile ortaklaşa yaptığı önceki şeffaflık girişimi çalışmasına dayanmaktadır.
Öncülük ettiğimiz yeniliklerden bazıları, VPN endüstrisini ileriye taşımaya yardımcı oldu. TrustedServer'ı ilk oluşturan bizdik ve o zamandan beri diğerleri de benzer bir teknoloji ortaya çıkarmak için arkamızdan geldi. Lightway, sıfırdan inşa ettiğimiz başka bir teknoloji örneğidir ve bunu açık kaynak kodlu yaparak VPN endüstrisinin tamamı üzerinde bir etki yaratacağımıza inanıyoruz.
Önemli gizlilik girişimleri
Kullanıcılarımızın gizliliğini nasıl koruduğumuz hakkında daha fazla bilgi edinin.
ioXT sertifikası
ExpressVPN, güvenlik standartları için ioXt Alliance tarafından sertifikalandırılan birkaç VPN uygulamasından biri oldu ve bu da tüketicilerin hizmetlerimizi daha yüksek bir güvenle kullanmasını sağladı.
Uygulama içi gizlilik özellikleri
Android uygulamamızda, kullanıcıların gizliliklerini pratik yönergelerle korumalarına yardımcı olan Koruma Özeti adlı bir özelliği kullanıma sunduk.
Dijital Güvenlik Laboratuvarı
Gerçek dünyadaki gizlilik sorunlarını derinlemesine incelemek için Dijital Güvenlik Laboratuvarı'nı kurduk. VPN'izin güvenliğini doğrulamaya yardımcı olan sızıntı testi araçlarına bakın.