به روزرسانی در مورد حکم دادگاه | OVPN.com

Name: اکانت آنتی فیلتر
Address: UA
Price range: 1-6

webiyan آگوست 29, 2020 0 Comments

همانطور که در ماه ژوئیه نوشتم ، OVPN به درخواست AB Svensk Filmindustri و Nordisk Film A / S یک حکم دادگاه از اتحاد حقوق (RA) دریافت کرد. RA می خواهد بداند که به کدام کاربر آدرس IPv4 عمومی خاص در یک زمان خاص اختصاص داده شده است. علاوه بر این ، RA می خواهد از نام ، آدرس ، اطلاعات پرداخت و همچنین مدت زمان مشترک بودن این حساب کاربری خاص در OVPN مطلع شود.

برای شفافیت ، OVPN نمی تواند اطلاعات درخواستی را ارائه دهد زیرا هیچ گزارش مربوط به به کدام مشتری یک آدرس IP خاص اختصاص داده شده است.

این پرونده همچنان ادامه دارد زیرا ما پاسخ هایی را در طول تابستان ارسال کرده ایم. تصمیم نهایی از دادگاه ثبت اختراعات و بازار (PMC) باید در ماه سپتامبر دریافت شود. با این حال ، تاکنون چیزهای جالبی رخ داده است که به اعتقاد من قابل ذکر است.

OVPN برنده درخواست اقدامات امنیتی شد

دستورالعمل شامل دو بخش است ، یک درخواست اطلاعات و همچنین یک اقدام امنیتی. تدابیر امنیتی بدان معنی است که OVPN مجاز نخواهد بود تا زمانی که دادگاه در مورد درخواست اطلاعات تصمیم بگیرد ، هیچ گونه اطلاعاتی را در مورد حساب درخواست شده حذف کند.

از آنجا که OVPN هیچ اطلاعی ندارد ، دادگاه در تاریخ 9 ژوئیه تصمیم گرفت که با OVPN کنار بیاید و رد کند درخواست اقدامات امنیتی ، همانطور که در سند دادگاه سوئد نشان داده شده است:

با این حال ، اتحاد حقوق پس از این تسلیم نشد ، اما به خواسته های خود مبنی بر دروغ گفتن OVPN ادامه داده و ما باید اطلاعات درخواستی را داشته باشیم. نه PMC و نه OVPN احتمالاً فکر نمی کردند که RA به بحث و گفتگو در مورد همان خط برای دو ماه ادامه دهد.

اتحاد حقوق مدرک خود را ایجاد می کند

اتحاد حقوق "توسط مشاوران مستقل اداره می شود" ، اما سارا لیندباک است که نماینده آنها است در پرونده آنها علیه OVPN. در یکی از بیانیه ها ، وی نخست وزیر همکارش آندرس نیلسون را به عنوان شواهد ذکر می کند:

اطلاعات بیشتر در مورد چگونگی عملکرد سرویس VPN و سرویس استاتیک IPv4 و اطلاعاتی که باید برای عملکرد صحیح این سرویس در دسترس باشد ، در نخست وزیر ضمیمه آمده است. ، پیوست 12 ، که به عنوان دلیل استناد می شود.

ما مخالف این هستیم که RA متنی را ارسال می کند و ادعا می کند که این به عنوان مدرک است. وكیل ما ، مایكل ، به زیبایی پاسخ داد:

با توجه به تفاهم نامه ای كه به عنوان "مدرک" خوانده می شود ، خاطرنشان می شود – همانطور که قبلاً یادداشتهایی ارسال شده بود – توسط یک کارمند در اتحادیه حقوق نوشته شد ، یعنی. نمایندگان متقاضیان از نظر OVPN ، این به جای ارائه مدارک ، به عنوان ارایه تکمیلی به متقاضیان تلقی می شود.

در هر صورت ، نخست وزیر ارسالی در مورد اطلاعات درخواستی حدس و گمان و مبهم است و فقط بیان می کند که "OVPN" "معقولاً" دارای چنین اطلاعاتی است زیرا "به احتمال زیاد" سیستم آن به روشی خاص کار می کند. همچنین به نظر می رسد شخصی که این یادداشت را نوشت ، دقیقاً نمی داند که سیستم پرداخت OVPN چگونه کار می کند … "بنابراین ، این سند ، حتی اگر به عنوان مدرک در نظر گرفته شود ، باز هم فاقد ارزش مشهود است.

اتحاد حقوق ، اطلاعات بیشتری را درخواست می کند

در ابتدا ، جمهوری اسلامی می خواست نام ، آدرس ، اطلاعات پرداخت را بشناسد و چه مدت حساب با ما مشتری پرداخت بوده است. OVPN به هیچ وجه از مشتریان ما نام و نشانی نمی خواهد ، بنابراین ارائه اطلاعات برای ما غیرممکن است.

در طی مراحل ، اتحاد حقوق ادعای خود را تغییر داده و اکنون می خواهد اطلاعات بیشتری در مورد حساب به دست آورد – یعنی "تمام اطلاعاتی که در اختیار دارند." ما توجه دیوان را به این واقعیت جلب کردیم که از طریق این تذکر ، آنها دامنه خود را به میزان قابل توجهی افزایش داده اند که نگرانی های GDPR را نیز افزایش می دهد. ما در این مورد اختلاف نظر داریم ، حتی اگر هیچ ایده ای نداریم که آنها واقعاً در مورد چه اطلاعاتی می خواهند.

اتحاد حقوق بشر سعی می کند از رسیدها به عنوان مدرک استفاده کند

صرف نظر از نظر شما در مورد RA ، نمی توان تحت تأثیر قرار گرفتن آنها خلاقیت هنگامی که آنها سعی کردند از رسیدها به عنوان روش شناسایی مشتری استفاده کنند:

حتی اگر ذخیره سازی مطابق با قانون ارتباطات الکترونیکی انجام نشود ، شرکت ها موظف به ذخیره فاکتورها و اطلاعات مشتری هر دو مطابق با قانون حسابداری هستند و به دلایل مالیاتی […] به دلایلی که در بالا ذکر شد ، OVPN باید اطلاعاتی درمورد اینکه چه کسی سرویس را خریداری کرده است ، کدام سرویس خریداری شده است ، هزینه خدمات و مدت زمان استفاده از خدمات را باید داشته باشد.

OVPN تنها سرویس VPN نیست که آدرسهای IPv4 عمومی را ارائه می دهد و فکر می کنم شانس خوبی وجود دارد که بتوان از این روش در سایر سرویس های VPN استفاده کرد تا مشخص شود کدام مشتری متعاقباً آدرس IP خاصی را اختصاص داده است. با این حال ، روی OVPN کار نمی کند.

رسیدهای OVPN برای Public IPv4 مشخص نمی کند که کدام آدرس IP اختصاص داده شده است ، بلکه فقط مشتری خاصی هزینه خدمات را پرداخت کرده است. مشتریان OVPN همچنین می توانند برای چند سال به طور هم زمان مشترکان را خریداری کنند. این به خودی خود مانعی بر سر راه پیوند دادن یک سرویس در یک زمان دقیق به یک پرداخت خاص است. و در صورت خاموش بودن ، مشتریان نیز می توانند آدرس IP اختصاصی عمومی را در هر زمان تغییر دهند.

واقعیت این است که ما طبق قانون حسابداری ، موظف هستیم رویدادهای تجاری و رسیدهای خود را به روشی که امکان پذیر می کند ، ثبت کنیم. دوره کسب و کار را دنبال کنید ، به این معنی نیست که ما ملزم هستیم یا حتی باید در رسیدهایی که آدرس IP مشتری به مشتری اختصاص داده می شود ، مشخص کنیم. این می تواند برابر باشد با مک دونالد که باید در رسید مشخص کند که گوشت موجود در همبرگر از کدام مزرعه حاصل می شود.

اتحاد حقوق یک متخصص امنیت استخدام می کند

در آخرین بیانیه RA ، آنها یک مشاور خارجی را که نظر خود را نوشته است حفظ می کنند

نام من جسپر لارسون است و من به عنوان یک متخصص امنیت در شرکت 0x4A کار می کنم. حوزه تمرکز من در امنیت فناوری اطلاعات زیرساختهای فنی است که من با تست های نفوذ و به عنوان مشاور امنیتی کار می کنم.

Jesper در بیانیه گمانه می زند که "باید بسیار احتمالی در نظر گرفته شود که کاربر یا هویت مرتبط با پیکربندی در یک پایگاه داده کاربر ذخیره شود …"

باز هم ، ما این مسئله را مورد اختلاف قرار می دهیم و مجدداً تأیید می کنیم که فرضیات آنها نمی توانند – با وجود احتمال زیاد به احتمال زیاد – بیش از ادعای خود OVPN اعطا می شود. ما رویکرد Jesper را درک می کنیم ، اما از آنجا که او تمام اطلاعات مربوط به نحوه اجرای OVPN را در اختیار ندارد ، فقط می تواند حدس و گمان بزند.

متخصص امنیت ادامه می دهد و اظهار می دارد که "کاربر حساب VPN خود را پیکربندی کرده تا به دامنه داده شده اشاره کند. . برای اینکه این نوع پیکربندی امکان پذیر باشد ، داده های مربوط به پیکربندی حداقل در مدت زمان فعال بودن حساب باید در OVPN ذخیره شوند. "این یک حقیقت با اصلاح است.

اول ، چنین پیکربندی سطح DNS است. توسط صاحب دامنه انجام می شود و نه توسط OVPN. یعنی ، این به اصطلاح "A records" است که با ارائه دهنده دامنه ایجاد می شود که تعیین می کند دامنه به کجا اشاره کند. اصلاً چنین تنظیماتی در سمت OVPN انجام نمی شود. مشخص نیست که آیا متخصص امنیتی نمی داند که چگونه DNS کار می کند ، اما این بیانیه به درستی صحیح نیست.

این متخصص امنیتی معتقد است که ما باید بتوانیم اطلاعات درخواست شده را در بانک اطلاعاتی کاربر خود ، یا در پشتیبان گیری از کاربر بازیابی کنیم. بانک اطلاعاتی پشتیبان گیری از پایگاه داده در عمل یک کپی از پایگاه داده فعلی در یک زمان مشخص است. چنین نسخه پشتیبان می تواند تصور کند که در زمان انجام تهیه نسخه پشتیبان از کدام نام کاربری خاص آدرس IPv4 عمومی اختصاص داده شده است. با استفاده از OVPN ، بکاپ ها برای مدت زمان محدود ذخیره می شوند و بطور خودکار حذف می شوند. هنگامی که OVPN دستور اطلاعات و درخواست اقدامات امنیتی را دریافت کرد ، نسخه پشتیبان برای دوره درخواست شده توسط RA قبلاً حذف شده بود.

آخرین ، اما مطمئناً کمترین واقعیت این است که متخصص امنیت – سه روز پس از اظهارات خود در دادگاه ثبت اختراعات و بازار – به نظر می رسد موضع خود را در گفتگوی گروهی در تلگرام تغییر داده است. در گفتگو ، جسپر درباره تجارت ما نظر می دهد. جسپر ابتدا اظهار داشت که "/ b / elieves that ovpn به خوبی با صداقت و حریم خصوصی خود كار خوبی انجام داده است."

وی سپس توضیح داد كه "/ b / elieves اینكه حساب با آدرس ایستا به هیچ اونس مرتبط نباشد از داده های PII که می تواند برای هر شخص یا سازمانی ردیابی شود ".

(تصویر مکالمه به زبان سوئدی)

PII اصطلاحی برای اطلاعات قابل شناسایی شخصی در مورد یک شخص است.

اظهارات متخصص امنیت در گروه بنابراین ، به نظر می رسد که گفتگو در تعارض مستقیم با نتیجه گیری های وی در بیانیه به دادگاه است.

جالب خواهد بود که ببینیم اکنون اتحادیه حقوق با چه مشکلی روبرو می شود ، زیرا متخصص خود موافقند که OVPN در مورد صداقت و حریم خصوصی کار خوبی انجام می دهد. ، و وی معتقد نیست که اطلاعات قابل شناسایی برای بازیابی وجود دارد.

توجه: همه نقل قول ها از سوئدی ترجمه شده است.