ExpressVPN Trust Center
ExpressVPN er først og fremmest en virksomhed, der beskæftiger sig med beskyttelse af personlige oplysninger. Vores brugere stoler på, at vi beskytter deres privatliv med en brancheførende kombination af hardware, software og menneskelig snilde. Her er et overblik over, hvordan vi arbejder for din tillid.
Sikkerhed hos ExpressVPN: Vores fire hovedstrategier
Få mere at vide om, hvordan vi håndterer cybersikkerheden for at beskytte vores systemer og brugere.
1. Gør det svært at skade systemer
Frontlinjen i vores forsvar gør vores systemer sikre. Vi anvender mange forskellige teknikker til at sikre, at det er svært at bryde ind i dem – fra at bruge et uafhængigt sikret verifikationssystem af udviklingsprocessen til hardwaresikkerhedsenheder og banebrydende kryptering.
Verifikationssystem til udviklingsprocessen
ExpressVPN-softwaren er beskyttet – fra udviklingen til softwarelevering – mod kontaminering med ondsindet kode grundet et internt verifikationssystem i udviklingsprocessen, der er blevet uafhængigt revideret.
Hardwaresikkerhedsenheder
Vi bruger offentlige/private nøglepar af en række sikkerhedsårsager, såsom tofaktorbekræftelse, signering af Git-forpligtelser, og tilslutning til en server via SSH. Vi mindsker risikoen for, at vores private nøgler bliver stjålet ved at opbevare dem på hardwaresikkerhedsenheder. Det betyder, at selvom vores arbejdsstationer bliver kompromitteret, kan en angriber ikke stjæle vores private nøgler.
Disse enheder sikres med stærke adgangskodesætninger og er konfigureret til at "låse" sig selv efter flere mislykkede forsøg på at låse dem op. Enhederne kræver en fysisk berøring for at fungere, hvilket betyder, at malware ikke kan stjæle nøglerne uden at et menneske er involveret.
Kodegennemgang
Alle produktionskoder kræver, at mindst ét andet menneske fungerer som kontrollant. Dette gør det meget vanskeligere at tilføje ondsindet kode – uanset om det er fra en insidertrussel, eller hvis en medarbejders arbejdsstation bliver kompromitteret.
Hærdet secure shell (SSH)
Vi bruger SSH som en sikker måde at få fjernadgang til vores vigtige servere. Disse SSH-servere er konfigureret til kun at bruge et sæt meget sikre cifre, nøgleudvekslingsalgoritmer og MAC-adresser. Vi tillader heller ikke tilslutning som root, og godkendelse kan kun ske ved hjælp af stærke SSH-nøgler – ingen adgangskoder er tilladt. Vi bruger mellemliggende SSH-bastionshosts til at adskille produktionsinfrastruktur fra det åbne internet. Disse maskiner accepterer kun trafik fra adresser på en IP-hvidliste.
Hele denne konfiguration er defineret i kode, hvilket betyder at den er gennemgået af flere fagpersoner, og at den er reproducerbar.
Hurtig patching
For produktionsmaskiner opdateres softwareafhængigheder automatisk via automatiske opgraderinger.
2. Minimering af potentielle skader
Trods vores indsats er det stadig muligt, at en motiveret angriber kan bryde gennem vores forsvar. Vi håndterer denne risiko ved at anvende beskyttelsessystemer for at minimere angriberens potentielle skader fra deres oprindelige indtrængen.
Udnyttelse af nultillid
For at mindske truslen om, at stjålne nøgler bruges til at udgive sig for at være en VPN-server, kræver vi, at ExpressVPN-applikationen tjekker ind med vores API-servere for at modtage opdaterede konfigurationsindstillinger. Vores applikationer bekræfter de servere, de forbinder til, ved at validere den private certifikatudsteders (CA) underskrift og navn, hvilket sikrer, at en angriber ikke kan udgive sig for at være os.
Brug af vidensfri kryptering
ExpressVPN's adgangskodeadministrator (kaldet ExpressVPN Keys) bruger vidensfri kryptering til at sikre at ingen – ikke engang ExpressVPN – kan dekryptere de oplysninger, som vores brugere gemmer. Vidensfri kryptering sikrer, at en hacker ikke vil kunne dekryptere brugernes gemte oplysningers, selvom der opstår et brud på vores servere. Disse oplysninger dekrypteres kun på brugerens enhed med krypteringsnøgler, der er genereret af brugerens primære adgangskode – som kun brugeren kender.
Sikkert design
Modellering af sikkerheds- og privatlivstrusler indarbejdes i designfasen af ethvert system. Vi bruger MITRE ATT&CK-frameworket til at identificere trusler, der kan være tilstede i vores design, overvejer måder at fjerne dem på og anvender tilstrækkelige foranstaltninger til at minimere potentielle risici.
Princippet om mindst muligt tilladelsesniveau
Alle vores brugere, tjenester og driftsoperationer følger modellen om mindst mulighed tilladelsesniveau. Vores medarbejdere har kun autoriseret adgang til de tjenester og produktionssystemer, der er nødvendige for deres roller. Vores kundesupportmedarbejdere arbejder i to miljøer – et upålideligt miljø til generel webbrowsingaktivitet og et restriktivt miljø til adgang til følsomme systemer. Disse foranstaltninger minimerer virkningen og hindrer angribernes mål, hvis de formår at overtage en af vores konti.
3. Minimering af skadetiden
Skadens alvor bør ikke alene minimeres – vores processer bidrager også til at begrænse varigheden af skader og den tid, som angribere har adgang til systemerne.
Sikkerhedsovervågning
Vi overvåger løbende vores interne tjenester og infrastruktur for enhver unormal eller uautoriseret aktivitet. Vores sikkerhedsteam, der er til rådighed døgnet rundt, udfører overvågning og eskalering af sikkerhedsadvarsler i realtid.
Automatisk genopbygning
Mange af vores systemer bliver automatisk ødelagt og genopbygget flere gange om ugen, hvis ikke på daglig basis. Dette begrænser den potentielle tid, som en angriber kigger med i vores systemer.
4. Validering af vores sikkerhedskontrol
Al vores software og alle vores tjenester er grundigt testet for at sikre, at de fungerer efter hensigten og opfylder de høje standarder for databeskyttelse og sikkerhed, som vi lover vores kunder.
Intern validering: Penetrationstest
Vi udfører regelmæssigt penetrationstests for at evaluere vores systemer og software for at identificere sårbarheder og svagheder. Vores testere har fuld adgang til kildekoden og anvender en kombination af automatiseret og manuel testning for at sikre en grundig evaluering af vores tjenester og produkter.
Ekstern validering: sikkerhedsrevisioner fra tredjeparter
Vi bruger uafhængige revisonsselskaber til at gennemgå sikkerheden i vores tjenester og software. Disse samarbejder fungerer som validering af, at vores interne kontrol er effektiv til at afbøde sikkerhedssårbarheder, samtidig med at de tilbyder kunderne dokumentation for nøjagtigheden af de sikkerhedspåstande, vi fremsætter om vores produkter.
Innovation
Vi stræber efter at efterleve og overgå branchens sikkerhedsstandarder, og vi er også konstant innovative i en ubarmhjertig stræben efter nye måder, vi kan beskytte vores produkter og vores brugeres privatliv på. Her fremhæver vi to banebrydende teknologier, der er udviklet af ExpressVPN.
Lightway: Vores protokol tilbyder en overlegen VPN-oplevelse
Lightway er en VPN-protokol, der er udviklet af ExpressVPN. En VPN-protokol er den metode, som en enhed bruger til at oprette forbindelse til en VPN-server. De fleste udbydere bruger de samme standardprotokoller, men vi har sat os for at skabe en protokol med overlegen præstation, som ikke kun gør brugernes VPN-oplevelse hurtigere og mere pålidelig, men som også gør den mere sikker.
Lightway bruger wolfSSL, hvis veletablerede kryptografibibliotek er blevet grundigt undersøgt af tredjeparter, herunder i henhold til FIPS 140-2-standarden.
Lightway giver dig også perfect forward secrecy med dynamiske krypteringsnøgler, der regelmæssigt ryddes og regenereres.
Kernebiblioteket i Lightway er blevet open-sourced,. Det sikrer, at det kan vurderes på en gennemsigtig og god måde med hensyn til sikkerhed.
Lightway inkluderer post-kvanteunderstøttelse, der beskytter brugere mod angribere med adgang til både klassiske og kvantecomputere. ExpressVPN er en af de første VPN-udbydere, der implementerer post-kvantebeskyttelse, som hjælper med at beskytte brugere over for fremskridt inden for kvantecomputere.
Lær mere om Lightway, og læs vores udviklerblog for teknisk indsigt fra ExpressVPN's softwareudviklere omkring Lightways brug og funktioner, og hvad der gør den bedre end andre protokoller.
TrustedServer: alle data slettes ved genstart
TrustedServer er en VPN-serverteknologi, som vi har udviklet, der giver vores brugere bedre sikkerhed.
Teknologien kører kun på midlertidig hukommelse (RAM). Operativsystemet og vores apps skriver aldrig til harddiskene, som normalt gemmer alle data, indtil de slettes eller overskrives. Da RAM kræver strøm til at gemme data, slettes alle oplysninger på en server, hver gang den slukkes og tændes igen, hvilket både forhindrer data og potentielt ubudne gæster i at udnytte serveren.
Teknologien øger ensartetheden. Med TrustedServer kører hver eneste af ExpressVPN's servere den mest opdaterede software, i stedet for at hver server modtager en opdatering på forskellige tidspunkter efter behov. Det betyder, at ExpressVPN ved præcis, hvad der kører på hver eneste server, hvilket minimerer risikoen for sårbarheder eller fejlkonfiguration og forbedrer VPN-sikkerheden drastisk.
TrustedServer-teknologien er blevet revideret af PwC.
Vil du have et mere detaljeret overblik over de mange måder, TrustedServer beskytter brugerne? Læs vores dybdegående gennemgang om teknologien, der er skrevet af de udviklere, der designede systemet.
Uafhængige sikkerhedsrevisioner
Vi er dedikerede i at få udført dybdegående tredjepartsrevisioner af vores produkter regelmæssigt. Her er en udtømmende liste over vores eksterne revisioner, sorteret kronologisk:
En sikkerhedsrevision fra Cure53 af ExpressVPN Keys' browserudvidelse (oktober 2022)
En revision fra Cure53 af ExpressVPN-browserudvidelsen (oktober 2022)
En revision fra KPMG af vores nul-logningspolitik (september 2022)
En sikkerhedsrevision fra Cure53 af vores app til iOS (september 2022)
En sikkerhedsrevision fra Cure53 af vores app til Android (august 2022)
En revision fra Cure53 af vores app til Linux (august 2022)
En revision fra Cure53 af vores app til macOS (juli 2022)
En sikkerhedsrevision fra Cure53 af vores Aircove-router (juli 2022)
En sikkerhedsrevision fra Cure53 af TrustedServer, som er vores egen VPN-serverteknologi (maj 2022)
En revision fra F-Secure af vores app til Windows v12 (april 2022)
En sikkerhedsrevision fra F-Secure af vores app til Windows v10 (marts 2022)
En sikkerhedsrevision fra Cure53 af vores VPN-protokol Lightway (august 2021)
En revision fra PwC Switzerland af vores build-verifikationsproces (juni 2020)
En sikkerhedsrevision fra Cure53 af vores browserudvidelse (november 2018)
Dusør for fejl
Gennem vores program med dusør for fundne fejl, tilbyder vi sikkerhedseksperter at teste vores systemer og modtage økonomiske belønninger for eventuelle fejl, de finder. Dette program giver os adgang til et stort antal testere, der regelmæssigt vurderer vores infrastruktur og applikationer med henblik på sikkerhedsproblemer. Disse resultater valideres og afhjælpes, hvilket sikrer, at vores produkter er så sikre som muligt.
Omfanget af vores program omfatter sårbarheder i vores VPN-servere, vores apps og browserudvidelser, vores hjemmeside og meget mere. Til enkeltpersoner, der rapporterer fejl, tilbyder vi fuld sikkerhed i overensstemmelse med de globale bedste praksis inden for sikkerhedsforskningsområdet.
Vores program med dusør for fundne fejl administreres af Bugcrowd. Følg dette link for yderligere oplysninger, eller rapportér en fejl.
Lederskab i branchen
Selvom vi sætter strenge standarder for os selv, mener vi ikke, at vores arbejde med at opbygge et mere privat og sikkert internet stopper dér – det er derfor, vi samarbejder med hele VPN-branchen om at hæve standarderne og beskytte brugerne bedre.
Vi har været med til at grundlægge og lede VPN Trust Initiative (VTI) sammen med Internet Infrastructure Coalition (i2Coalition) og flere andre store brancheaktører. Udover det løbende bevidstgørelses- og fortalerarbejde har gruppen lanceret VTI Principles – samlede retningslinjer til ansvarlige VPN-udbydere inden for områderne sikkerhed, privatlivsbeskyttelse, gennemsigtighed og meget mere. Dette bygger på ExpressVPN's tidligere arbejde med gennemsigtighedsinitiativer i partnerskab med Center for Democracy and Technology.
Nogle af de innovationer, vi har været pionerer for, har været med til at skabe fremgang i VPN-branchen. Vi var de første til at udviklet TrustedServer-teknologi, og andre har siden fulgt vores eksempel med at udrulle lignende teknologi. Lightway er et andet eksempel på en teknologi, som vi har udviklet fra bunden, og vi håber, at den vil have indflydelse på VPN-branchen som helhed ved at gøre den open-source.
Nævneværdige privatlivsinitiativer
Få mere at vide om, hvordan vi beskytter vores brugeres privatliv.
ioXT-certificeret
ExpressVPN er blevet en af de få VPN-apps, der er certificeret af ioXt Alliance for sikkerhedsstandarder, og hjælper forbrugere gennem tjenester med større pålidelighed.
Privatlivsfunktioner i appen
Vi har udviklet en funktion i vores app til Android, der hedder Beskyttelsesoverblik, som hjælper brugere med at beskytte deres privatliv med praktiske vejledninger.
Digital Security Lab
Vi lancerede Digital Security Lab for at dykke dybere ned i faktiske privatlivsproblemer. Se laboratoriets brudtestværktøjer, som hjælper dig med at validere sikkerheden af din VPN.