- Home
- Güven
ExpressVPN Güven Merkezi
ExpressVPN, her şeyden önce bir gizlilik şirketidir. Kullanıcılarımız, endüstri lideri bir donanım, yazılım ve insan zekası kombinasyonuyla gizliliklerini koruma konusunda bize güveniyor. Bu güveni kazanmak için nasıl çalıştığımıza bir göz atın.
ExpressVPN'de güvenlik: 4 önemli stratejimiz
Sistemlerimizi ve kullanıcılarımızı korumak için siber güvenliği nasıl sağladığımızı öğrenin.
1. Sistemin ele geçirilmesini zorlaştırmak
ExpressVPN yazılımı, bağımsız olarak denetlenen bir şirket içi derleme tekik sistemi sayesinde, ilk yazılımdan son aşamaya kadar, kötü amaçlı kod bulaşı na karşı korunur.
Genel-özel anahtar çiftlerini, iki faktörlü kimlik doğrulama, Git commitleri imzalama ve bir sunucuya SSH üzerinden bağlanma gibi çeşitli güvenlik amaçları için kullanırız. Özel anahtarlarımızı donanımsal güvenlik cihazlarında tutarak çalınma riskini azaltıyoruz. Bu, iş istasyonlarımız ele geçirilse bile bir saldırganın özel anahtarlarımızı çalamayacağı anlamına gelir.
Bu aygıtlar, güçlü şifrelerle korunmaktadır ve birden çok başarısız kilit açma girişiminden sonra kendilerini "çalışmaz hâle getirmeleri" için yapılandırılmıştır. Cihazların çalışması için fiziksel bir dokunuş gerekir, bu da kötü amaçlı yazılımın bir insan yardımı olmadan anahtarları çalamayacağı anlamına gelir.
Tüm üretim kodları, kontrol edici görevi gören en az bir başka insan tarafından denetlenir. Bu, ister içeriden gelen bir tehdit, ister bir çalışanın iş istasyonunun ele geçirilmesi şeklinde olsun kötü amaçlı kod eklemeyi çok daha zorlaştırır.
Kritik sunucularımıza uzaktan erişim sağlamanın güvenli bir yolu olarak SSH kullanıyoruz. Bu SSH sunucuları yalnızca bir dizi yüksek güvenlikli şifre, anahtar değişim algoritması ve MAC kullanacak şekilde yapılandırılmıştır. Kök bağlantıya izin vermiyoruz ve kimlik doğrulama yalnızca güçlü SSH anahtarları kullanılarak gerçekleştirilebilir; şifre kullanımına izin verilmez. Üretim altyapısını açık internetten ayırmak için ara SSH savunma kalesi ana bilgisayarlarını kullanıyoruz. Bu makineler yalnızca güvenilir IP listesindeki adreslerden gelen trafiği kabul eder.
Bu yapılandırmanın tümü kodda tanımlanmıştır, bu nedenle meslektaşlar tarafından gözden geçirilir ve yeniden üretilebilir.
Üretim makineleri için yazılım bağımlılıkları, katılımsız yükseltmeler yoluyla otomatik olarak güncellenir.
2. Potansiyel zararları en aza indirmek
VPN sunucusu kimliğine bürünmek için kullanılan çalıntı anahtar tehdidini azaltmak için, ExpressVPN uygulamasının güncellenmiş yapılandırma ayarlarını edinmek için API sunucularımıza giriş yapmasını şart koşuyoruz. Uygulamalarımız, özel Sertifika Yetkilisi (CA) imzasını ve ortak adı doğrulayarak bağlandıkları sunucuların kimliğini doğrular ve bu da bir saldırganın bizi taklit edememesini sağlar.
expressVPN şifre yöneticisi (ExpressVPN Keys olarak adlandırılır), hiç kimsenin, hatta ExpressVPN'in bile, kullanıcıların depolanan bilgilerinin şifresini çözememesi için sıfır bilgi şifrelemesinden yararlanır. When you use ExpressVPN’s password manager (ExpressVPN Keys), your sensitive data is protected by zero-knowledge encryption so that no one—not even us—can decrypt the information stored in Keys. All information is only ever decrypted on a user’s device, and can only be decrypted using encryption keys generated by the user’s primary password—which only they know.
ExpressVPN’in özel IP (DIP) çözümünün güçlü teknik güvenlik ve gizliliği sürdürdüğünden emin olmak için, ExpressVPN yöneticilerinin kullanıcıyı özel IP adreslerinden asla tanımlayamamalarını sağlamak amacıyla sır vermeyen IP tahsisi ve gizli belirteçler kullanıyoruz.
Güvenlik ve gizlilik tehdidi modellemesi, herhangi bir sistemin tasarım aşamasına dahil edilir. Tasarımlarımızda var olabilecek tehditleri belirlemek, bunları ortadan kaldırmanın yollarını dikkate almak ve potansiyel riskleri en aza indirmek için yeterli önlemleri uygulamak üzere MITRE ATT&CK çerçevesini kullanırız.
Tüm kullanıcılarımız, hizmetlerimiz ve operasyonlarımız en düşük erişim hakkı modelini izler. Çalışanlarımız, yalnızca görevleri için gerekli hizmetlere ve üretim sistemlerine erişim yetkisine sahiptir. Müşteri destek elemanlarımız, biri herkese açık web tarama etkinlikleri için güvensiz ortam ve diğeri hassas sistemlere erişim için kısıtlayıcı ortam olmak üzere iki ortamda çalışır. Bu önlemler, hesaplarımızdan herhangi birini ele geçirmeyi başaran saldırganların etkisini en aza indirir ve amaçlarını engeller.
3. İhlal süresini en aza indirmek
Anormal veya yetkisiz faaliyetler için dahili hizmetlerimizi ve altyapımızı sürekli izliyoruz. 7/24 görev başındaki güvenlik ekibimiz, güvenlik uyarılarını gerçek zamanlı olarak izler ve öncelikle çözümler.
Sistemlerimizin çoğu, günlük olmasa da haftada birkaç kez otomatik olarak yok edilir ve yeniden kurulur. Bu, bir saldırganın sistemlerimizde gizlendiği olası süreyi sınırlar.
4. Güvenlik kontrollerimizi doğrulamak
Güvenlik açıklarını ve zaaflarını belirlemek, sistemlerimizi ve yazılımlarımızı değerlendirmek için düzenli olarak sızma testleri yapıyoruz. Test uzmanlarımız kaynak koduna tam erişim hakkına sahiptir ve hizmetlerimizin ve ürünlerimizin kapsamlı bir şekilde değerlendirilmesini sağlamak için otomatik ve manuel test kombinasyonu kullanır.
Hizmetlerimizin ve yazılımlarımızın güvenliğini gözden geçirmeleri için bağımsız denetçilerle çalışırız. Bu işbirlikleri, ürünlerimiz hakkında yaptığımız güvenlik iddialarının doğruluğuna ilişkin olarak müşterilerimize belgeler sunarken, iç kontrollerimizin güvenlik açıklarını azaltmada etkili olduğunu doğrulamaya da hizmet eder.
Denetim raporlarının tam listesine bakın
İnovasyon
Endüstri güvenlik standartlarını karşılamak ve aşmak için çabalarken aynı zamanda ürünlerimizi ve kullanıcılarımızın gizliliğini korumak için yeni yollar arayışında olarak sürekli inovasyon yapıyoruz. Burada ExpressVPN tarafından geliştirilen iki çığır açan teknolojiyi önemle belirtiyoruz.
Lightway: Üstün VPN deneyimi sunan protokolümüz
Lightway, ExpressVPN tarafından oluşturulmuş bir VPN protokolüdür. VPN protokolü, bir cihazın bir VPN sunucusuna bağlanma yöntemidir. Çoğu sağlayıcı aynı hazır protokolleri kullanır, ancak biz üstün performansa sahip bir tanesini oluşturmak için yola çıktık ve kullanıcıların VPN deneyimini yalnızca daha hızlı ve daha güvenilir değil, aynı zamanda daha güvenli hâle getirdik.
Lightway, köklü şifreleme kitaplığı FIPS 140-2 standardı dahil olmak üzere üçüncü taraflarca kapsamlı bir şekilde değerlendirilen wolfSSL kullanır.
Lightway ayrıca düzenli olarak temizlenen ve yeniden oluşturulan dinamik şifreleme anahtarlarıyla mükemmel iletim gizliliği ni de korur.
Lightway'in temel kitaplığı açık kaynaklı dır ve bu da güvenlik açısından şeffaf ve geniş bir şekilde değerlendirilebilmesini sağlar.
Lightway, hem klasik hem de kuantum bilgisayarlara erişimi olan kullanıcıları saldırganlara karşı koruyan post kuantum desteği içerir. ExpressVPN, post-kuantum korumayı uygulayan ilk VPN sağlayıcılarından biridir ve kullanıcıların kuantum hesaplamadaki gelişmeler karşısında güvende kalmasına yardımcı olur.
Lightway hakkında daha fazla bilgi edinin ve ExpressVPN yazılım geliştiricilerinin Lightway'in nasıl çalıştığına ve onu diğerlerinden daha iyi yapan şeylerin ne olduğuna ilişkin teknik bilgiler içeren geliştirici blogumuzu okuyun.
TrustedServer: Her yeniden başlatmada tüm veriler silinir
TrustedServer, kullanıcılarımıza daha fazla güvenlik sağlayan, tarafımızca oluşturulan bir VPN sunucusu teknolojisidir.
Yalnızca geçici bellekte veya RAM'de çalışır. İşletim sistemi ve uygulamalar; silinene veya üzerine yazılana kadar tüm verileri saklayan sabit sürücülere hiçbir zaman veri yazmaz. RAM, verileri depolamak için güce ihtiyaç duyduğundan, sunucu her kapatılıp açıldığında sunucudaki tüm bilgiler silinir; bu, hem verilerin hem de olası izinsiz girişlerin makinede kalmasına engel olur.
Tutarlılığı artırır. Her sunucunun gerektiğinde farklı zamanlarda güncelleme alması yerine, TrustedServer sayesinde ExpressVPN sunucularının her biri en güncel yazılımı çalıştırır. Bu, ExpressVPN'in her sunucuda tam olarak ne çalıştığını bildiği anlamına gelir, güvenlik açıkları veya yanlış yapılandırma riskini en aza indirir ve VPN güvenliğini önemli ölçüde artırır.
TrustedServer technology has been PwC tarafından denetlenmiştir.
TrustedServer'ın kullanıcıları koruduğu birçok yola daha ayrıntılı bir şekilde göz atmak ister misiniz? Sistemi tasarlayan mühendis tarafından yazılan teknolojiye ilişkin detaylı incelememizi okuyun.
ExpressVPN Keys: Dahili şifre yöneticimiz
Keys, ExpressVPN tarafından oluşturulmuş tam özellikli bir şifre yöneticisidir. VPN’imiz gibi, Keys tasarım gereği güvenlidir ve kullanıcıları verileri üzerinde kontrol sahibi yapar. Keys'in tasarımı ve altyapısının ayrıntılarına dair güvenlik raporu dahi yayınladık, tam bir şeffaflık sağlıyoruz.
Keys, kullanıcılara sınırsız şifre oluşturmaları, depolamaları ve doldurmaları sağlarken güvenlik tehditlerine ve veri ihlallerine karşı uyarır. Keys içinde saklanan her şey, hiçbir kimsenin—hatta ExpressVPN’in bile—kullanıcılarımızın sakladığı bilgileri çözümleyemeyeceğini garantileyen sır vermeyen şifreleme ile korunur. Keys, iOS ve Android için ExpressVPN uygulamalarına ve bilgisayarlarda tarayıcı uzantısı olarak entegre edilmiştir. Keys hakkında daha fazla bilgi edinin
ExpressVPN’in özel IP’si: Eşi benzeri görülmemiş gizlilik özellikli statik bir IP adresi
ExpressVPN’in özel IP hizmeti, yalnızca tek bir kullanıcıya özel benzersiz bir IP adresi atanmasını sağlar, sürekli bir çevrimiçi kimlik sunarken gizliliği de korur.
Geleneksel olarak bir VPN'de, birçok kullanıcı aynı IP adresinizi paylaşır ve bu, VPN'in anonimleştirme işleminin önemli bir unsurudur. Tek bir kullanıcıya atanan özel bir IP ile, anonimliğin sağlanması için özel önlemler alınması gereklidir.
Günümüz çözümleri, bir kullanıcının gerçek IP adresini potansiyel olarak ifşa eden güvenlik ve gizlilik açıkları sunsa da, teknik raporumuzda açıklandığı gibi kullanıcılarımızın anonimliğini korumak için fazladan önlemler aldık.
Ödeme bilgilerinizi size atadığımız IP adresinden ayrıştırmak için bir gizli belirteç sistemi kullanıyoruz. Bu, özel bir IP adresini kullanıcıya asla izleyemeyeceğimizi garanti eder.
Bağımsız güvenlik denetimleri
Ürünlerimizin derinlemesine üçüncü taraf denetimlerini büyük bir sıklıkla yaptırmaya kararlıyız. Dış denetimlerimizin kronolojik olarak sıralanmış kapsamlı bir listesi aşağıdadır:
Ayrık tünellemeyle ilgili bir DNS sorununun düzeltildiğini doğrulamak için Windows uygulaması denetimi (Nisan 2024)
Ayrık tünellemeyle ilgili bir DNS sorununun düzeltildiğini doğrulamak için Windows uygulaması denetimi (Nisan 2024)
Gizlilik politikası iddialarımızı değerlendirmek üzere KPMG tarafından yapılan denetim (Aralık 2023)
VPN protokolümüz Lightway'in Cure53 tarafından ikinci denetimi (Kasım 2022)
Cure53 tarafından ExpressVPN Keys tarayıcı uzantısı denetimi (Ekim 2022)
Cure53 tarafından ExpressVPN tarayıcı uzantısı denetimi (Ekim 2022)
Kayıt tutmama politikamız için KPMG tarafından yapılan denetim (Eylül 2022)
iOS için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Eylül 2022)
Android için uygulamamız için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2022)
Linux uygulamamız için Cure53 tarafından yapılan denetim (Ağustos 2022)
MacOS uygulamamız için Cure53 tarafından yapılan denetim (Temmuz 2022)
Aircove yönlendiricimiz için Cure53 tarafından yapılan güvenlik denetimi (Temmuz 2022)
Kurum içi VPN sunucu teknolojimiz TrustedServer için Cure53 tarafından yapılan güvenlik denetimi (Mayıs 2022)
Windows v12 uygulamamız için F-Secure tarafından yapılan denetim (Nisan 2022)
Windows v10 uygulamamız için F-Secure tarafından yapılan güvenlik denetimi (Mart 2022)
VPN protokolümüz Lightway için Cure53 tarafından yapılan güvenlik denetimi (Ağustos 2021)
Yapı doğrulama sürecimiz için PwC Switzerland tarafından yapılan denetim (Haziran 2020)
Gizlilik politikası uyumluluğumuz ve kurum içi teknolojimiz TrustedServer için PwC Switzerland tarafından yapılan denetim (Haziran 2019)
Tarayıcı uzantımız için Cure53 tarafından yapılan güvenlik denetimi (Kasım 2018)
Yazılım hatası bulma ödülü
Altı ayda bir hazırladığımız şeffaflık raporları, hukuk departmanımıza gelen kullanıcı verisi talepleri hakkında bilgi sağlar.
Bu tür talepleri düzenli olarak alsak da, kayıt tutmama politikamız paylaşıma asla bir şey çıkarmayacağımızı garanti eder. Çevrimiçi aktiviteleriniz veya tarama geçmişiniz, trafik hedefiniz ya da metadata, DNS sorguları veya VPN’imize bağlandığınızda atanan IP adresleri dahil olmak üzere, kişisel bilgilerinizi içeren hiçbir kaydı tutmuyoruz ve asla tutmayacağız.
Bu müşteri verilerini asla sağlayamayız çünkü bu veriler hiç var olmadı. Aldığımız taleplerle ilgili ek bilgileri yayınlayarak, kullanıcılarımızı nasıl koruduğumuz konusunda daha fazla şeffaflık sağlamayı amaçlıyoruz.
Kullanıcı verisi talepleri
Tarih aralığı: Ocak - Haziran 2024
Tür | Alınan talepler |
Hükümet, kolluk kuvvetleri ve sivil talepler | 170 |
DMCA talepleri | 259.561 |
Herhangi bir hükümet kuruluşundan gelen yetki belgeleri | 2 |
Gizlilik emirleri | 0 |
Ulusal Güvenlik Mektupları | 0 |
Tarih aralığı: Temmuz - Aralık 2023
Tür | Alınan talepler |
Hükümet, kolluk kuvvetleri ve sivil talepler | 194 |
DMCA talepleri | 152.653 |
Herhangi bir hükümet kuruluşundan gelen yetki belgeleri | 0 |
Gizlilik emirleri | 0 |
Ulusal Güvenlik Mektupları | 0 |
Yazılım hatası bulma ödülü
Yazılım hatası bulma ödülü programımız aracılığıyla, güvenlik araştırmacılarını sistemlerimizi test etmeye ve buldukları herhangi bir hata için para ödülü kazanmaya davet ediyoruz. Bu program, güvenlik sorunları için altyapımızı ve uygulamalarımızı düzenli olarak değerlendiren çok sayıda test uzmanına erişmemizi sağlar. Bu bulgular daha sonra doğrulanır ve düzeltilir; böylece ürünlerimizin mümkün olduğunca güvenli olması sağlanır.
Programımız; VPN sunucularımızdaki, uygulamalarımızdaki, tarayıcı uzantılarımızdaki, web sitemizde ve daha fazlasındaki güvenlik açıklarını içerir. Hata bildiren kişilere, güvenlik araştırması alanında dünya çapındaki en iyi uygulamalara uygun tam güvenli bir liman sağlıyoruz.
Hata ödül programımız Bugcrowd tarafından yönetilmektedir. Daha fazlasını öğrenmek veya bir hata bildirmek için bu bağlantıyı takip edin.
Endüstri liderliği
Kendimiz için katı standartlar belirlerken, daha özel ve güvenli bir internet oluşturma çalışmalarımızın burada bitemeyeceğine inanıyoruz—bu nedenle standartları yükseltmek ve kullanıcıları daha iyi korumak için tüm VPN endüstrisi ile işbirliği yapıyoruz.
İnternet Altyapı Koalisyonu (i2Coalition) ve diğer bazı büyük endüstri oyuncusu ile birlikte VPN Trust Initiative (VPN Güven Girişimi)'ni (VTI) kurduk ve yönetiyoruz. Devam eden farkındalık ve savunma çalışmalarına ek olarak grup; güvenlik, gizlilik, şeffaflık ve daha fazlasında sorumlu VPN sağlayıcıları için paylaşılan yönergeler içeren VTI İlkelerini açıkladı. Bu, ExpressVPN'in Demokrasi ve Teknoloji Merkezi ile ortaklaşa yaptığı önceki şeffaflık girişimi çalışmasına dayanmaktadır.
Öncülük ettiğimiz yeniliklerden bazıları, VPN endüstrisini ileriye taşımaya yardımcı oldu. TrustedServer'ı ilk oluşturan bizdik ve o zamandan beri diğerleri de benzer bir teknoloji ortaya çıkarmak için arkamızdan geldi. Lightway, sıfırdan inşa ettiğimiz başka bir teknoloji örneğidir ve bunu açık kaynak kodlu yaparak VPN endüstrisinin tamamı üzerinde bir etki yaratacağımıza inanıyoruz.
Önemli gizlilik girişimleri
Kullanıcılarımızın gizliliğini nasıl koruduğumuz hakkında daha fazla bilgi edinin.
ioXT sertifikası
ExpressVPN, güvenlik standartları için ioXt Alliance tarafından sertifikalandırılan birkaç VPN uygulamasından biri oldu ve bu da tüketicilerin hizmetlerimizi daha yüksek bir güvenle kullanmasını sağladı.
Uygulama içi gizlilik özellikleri
Android uygulamamızda, kullanıcıların gizliliklerini pratik yönergelerle korumalarına yardımcı olan Koruma Özeti adlı bir özelliği kullanıma sunduk.
Dijital Güvenlik Laboratuvarı
Gerçek dünyadaki gizlilik sorunlarını derinlemesine incelemek için Dijital Güvenlik Laboratuvarı'nı kurduk. VPN'izin güvenliğini doğrulamaya yardımcı olan sızıntı testi araçlarına bakın.