Private Internet Access gaat code van vpn-clientsoftware open source maken

Private Internet Access, bekend van zijn vpn-software, gaat binnen zes maanden zijn clientsoftware open source maken. De organisatie heeft de code van zijn Chrome-extensie inmiddels al online gezet.

private internet accessDie code staat op GitHub. Het plan geldt volgens de recente aankondiging voor al zijn clientapplicaties, softwarebibliotheken en extensies. Het bedrijf erkent dat het 'late to the party' is, maar ook dat transparantie van code belangrijk is. PIA schrijft: "We weten dat onze code mogelijk niet perfect is en we hopen dat de Foss-gemeenschap mee gaat doen met feedback, functieverzoeken, bugfixes en een betere dienst voor de bredere privacybeweging."

De Chrome-extensie die nu open source is, beschermt verkeer vanuit de browser maar niet vanuit andere delen van het systeem. Uiteindelijk moet dus ook de desktopclient samen met de mobiele clients open source worden volgens de plannen van het bedrijf. Mensen die deze nu niet willen gebruiken, hebben de keuze om de PIA-diensten via de OpenVPN-client te gebruiken. In de aankondiging van het bedrijf meldt het bovendien het voornemen 'op de lange termijn al zijn code openbaar te maken', waarbij niet duidelijk is of het daarmee code buiten de clientapplicaties bedoelt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-03-2018 13:51 39

19-03-2018 • 13:51

39

Lees meer

Vpn-dienst Private Internet Access is overgenomen door eigenaar CyberGhost
Vpn-dienst Private Internet Access is overgenomen door eigenaar CyberGhost Nieuws van 20 november 2019
Voorstel moet WireGuard aan Linux-kernel toevoegen voor beveiligde vpn-tunnels
Voorstel moet WireGuard aan Linux-kernel toevoegen voor beveiligde vpn-tunnels Nieuws van 1 augustus 2018
Audit van populaire cryptobibliotheek legt geen grote kwetsbaarheden bloot
Audit van populaire cryptobibliotheek legt geen grote kwetsbaarheden bloot Nieuws van 17 augustus 2017
Vpn-provider PIA trekt zich terug uit Rusland na inbeslagname servers
Vpn-provider PIA trekt zich terug uit Rusland na inbeslagname servers Nieuws van 12 juli 2016
Beveiligingsgat in vpn's met port forwarding legt ip-adressen gebruikers bloot
Beveiligingsgat in vpn's met port forwarding legt ip-adressen gebruikers bloot Nieuws van 27 november 2015
Meer producten en artikelen
Software development Privacy Open source Vpn

Reacties (39)

-Moderatie-faq
39
38
29
1
0
8
Wijzig sortering
Whuzz 19 maart 2018 14:02
Goede actie lijkt me.
Jammer dat het alleen om de client software gaat, want ik denk dat veel tweakers juist zouden willen weten wat er server-side allemaal gelogd wordt. Ze zeggen dat er niets bijgehouden wordt, maar "eerst zien, dan geloven".

Edit: Zie net pas dat het wellicht óók om "code buiten de client" gaat, op langere termijn. Dat zou héél mooi zijn.

[Reactie gewijzigd door Whuzz op 23 juli 2024 14:36]

FreshMaker
@Whuzz19 maart 2018 14:05
Goede actie lijkt me.
Jammer dat het alleen om de client software gaat, want ik denk dat veel tweakers juist zouden willen weten wat er server-side allemaal gelogd wordt. Ze zeggen dat er niets bijgehouden wordt, maar "eerst zien, dan geloven".

Edit: Zie net pas dat het wellicht óók om "code buiten de client" gaat, op langere termijn. Dat zou héél mooi zijn.
Thank you !!

https://gathering.tweaker...message/50717615#50717615
Whuzz @FreshMaker19 maart 2018 14:10
Goede reactie op dat bericht inderdaad. Men beweert niets te loggen, niets op te slaan en nooit iets af te staan aan derden... Maar welke garantie heb je?

Ik gebruik zelf uiteraard ook regelmatig een vpn, al is het alleen maar om de drempel voor die derden iets hoger te maken.
FreshMaker
@Whuzz19 maart 2018 14:19
Je moet je vooral afvragen wat je wilt bereiken.
Tot welk niveau wil je 'anoniem' zijn ?

Wil je in totale anonimiteit online gaan, moet je meer doen dan 5€ overmaken naar een bedrijfje ver weg, en hopen dat het wel goed komt :+
Dan moet je jezlf al in de illegaliteit gooien om een account aan te maken, met apparatuur die je daarna wegdoet, met een betalingsmiddel dat nergens terug te zoeken is.
Maar dan heb je het al niet meer over 'thuisgebruik' en ook dan kan het mislopen ( genoeg voorbeelden te vinden )

Wil je 'meekijkende' ogen wat afhouden zijn de betaalde diensten prima inzetbaar, maar je moet je wel realiseren dat het allemaal gezien KAN worden, ergens komt het weer terug online en is er eenkoppeling met jouw apparatuur
Ga je zware dreigingen uiten, zal de provider daar best aan mee helpen, ben je alleen maar een fervente downloader, kun je je voorlopig nog gewoon veilig wanen ( want daar is de groei momenteel aan te danken, men wil blijven torrenten / p2p'en, privacy is echt maar een klein deel van de gebruikers )

Zoals ik in het topic daar al vermeld, wil je alleen maar een veilige tunnel om op (semi)onbekende wifi punten te gaan, is een eenvoudige RPi met PiVPN al voldoende, dan is het netwerk ter plaatse niet meer dan een route naar jouw eigen servertje thuis.
Met de voordelen vandien, ik gebruik VLC en Infuse en kan over de VPN prima mijn mediafiles afspelen onderweg en tijdens saaie hotelovernachtingen, en Netflix zeurt niet over de VPN, omdat het IPadres niet misbruikt wordt door 100.000 anderen
poktor @FreshMaker19 maart 2018 16:33
Met de naderende sleepwet denk ik dat er momenteel heel wat VPN-abbo's worden afgesloten vanwege zorgen om de privacy. Niemand vindt pottekijkers leuk. En dan is een VPN een prima middel om je privacy (enigzins) te waarborgen. Tip: neem een abbo bij een VPN-boer die niet in een 14-eyes-land zit, bijv. panama. De VPN-aanbieder kan dan door regeringen niet worden gedwongen om heimelijk toch te loggen.
Check of de aanbieder een "warrant canary" heeft.
Sfynx @poktor19 maart 2018 18:53
Tip: neem een abbo bij een VPN-boer die niet in een 14-eyes-land zit, bijv. panama. De VPN-aanbieder kan dan door regeringen niet worden gedwongen om heimelijk toch te loggen.
NordVPN zit daar zo te zien. Moet meer dan voldoende zijn als je niet een bewust target bent, dus prima tegen sleepwetten of Dutch Filmworks :P
Halfscherp @Sfynx19 maart 2018 19:42
Ik heb TorGuard en NordVPN gehad en zit op het moment bij Private Internet Access (die in Amerika zitten).

TorGuard is prima en leveren zelfs speciale Stealth servers voor als je in China of de VAE o.i.d zit, zodat je VPN iets moeilijker te detecteren is.
Private Internet Access zit inderdaad in Amerika, maar zij zijn al meerdere keren gedagvaard door verschillende politie-organistaties en na een verklaring van 'al onze logs verdwijnen direct in de prullenbak' lopen die onderzoeken gewoon dood, iets wat een rechter niet zonder meer zou accepteren als er niet toch stiekem wel logs zijn.
Voor NordVPN heb ik geen goed woord over. De snelheid was enorm variabel (ik heb 100mbits en hij hing soms uren of dagen rond de 10mbits over NordVPN), ik had constante disconnects, en de klachten hierover werden slap weggewuifd. Toen ik mijn subscription niet had vernieuwd werd na een paar maande toch ineens weer een jaarbedrag afgeschreven. Nu komt de kicker: als je geen subscription hebt mag je bij NordVPN ook niet inloggen op je account en moet je dus door de algemene support, die zo verschrikkelijk traag is dat ik een PayPal klacht heb moeten openen en die ook nog eens heb moeten escaleren tot een geschil voor ik mijn geld terugkreeg. NordVPN, gewoon niet doen.

[Reactie gewijzigd door Halfscherp op 23 juli 2024 14:36]

born4trance @poktor19 maart 2018 16:52
AirVPN valt dus af?
FreshMaker
@born4trance20 maart 2018 00:51
Waarom zou AIRvpn afvallen dan ?
FreshMaker
@poktor20 maart 2018 01:00
Met de naderende sleepwet denk ik dat er momenteel heel wat VPN-abbo's worden afgesloten vanwege zorgen om de privacy. Niemand vindt pottekijkers leuk. En dan is een VPN een prima middel om je privacy (enigzins) te waarborgen. Tip: neem een abbo bij een VPN-boer die niet in een 14-eyes-land zit, bijv. panama. De VPN-aanbieder kan dan door regeringen niet worden gedwongen om heimelijk toch te loggen.
Check of de aanbieder een "warrant canary" heeft.
Ja, want dat geeft garanties :|
Net zoals de legaliteit van het vinkje op torrentsites "ik werk niet bij brein" O-)

Het punt blijft staan, je betaald aan een onbekende partij ( een vaak budgetvergoeding ) en verwacht dan dat ze 'vechten' voor jouw privacy ?

Ik blijf er bij, een VPN is een aardige stap in de richting om jezelf iets te beschermen tegen tracking en datahonger, maar zolang je daarnaast OOK doodleuk met dezelfde VPNverbinding inlogt op websites ( eender welke, of het nu Tweakers, of de Telegraaf, of Telegram is ) gooi je de absolute privacy alweer het raam uit.

Online aanwezigheid is in het moderne landschap net zoals 'offline' op straat lopen, je bent niet anoniem, ook niet met het wondermiddel "VPN"
Niet als je OOK je online gedrag aanpast hieraan, nergens meer inloggen, altijd privacy mode inschakelen, en ook nog eens dubbele vpn gebruiken, of vpn + tor

De sleepwet doet voor 90% van de Nederlander helemaal niets aan vpngebruik, de enige toename komt van ICT enthousiasten, privacy minded gebruikers, maar vooral van downloaders
Hetzelfde gebeurde na de overname van Whatsapp & FaceBook, even een golf, en daarna weer kalm water.
Heel veel mensen denken de toevoeging VPN nodig te hebben, betalen voor een jaar en vergeten het dan ... pure winst voor de vpnboeren ( en sites die via referrals bijverdienen )
davidov2008 @FreshMaker19 maart 2018 21:35
Ga je zware dreigingen uiten, zal de provider daar best aan mee helpen, ben je alleen maar een fervente downloader, kun je je voorlopig nog gewoon veilig wanen
Waar zou de (VPN) provider dan aan mee kunnen helpen als er geen logs worden bijgehouden? Zoals hieronder ook aangeven wordt zijn organisaties als PIA al meermaals gedagvaard, maar als ze aan de procureur melden dat er geen logs zijn houd het op. Dan kom je nog in de theorie dat ze rechterlijk gedwongen worden vanaf dat moment wel te loggen, ten eerste lijkt me dat juridisch onwaarschijnlijk, maar ze zeggen dat ze in zo'n geval hun gehele service zouden opschorten, wat ze natuurlijk vrij staat als bedrijf (ze kunnen mss verplicht worden mee te werken, maar niet als ze stoppen met hun dienst).

Alleen als een overheid op zoek is naar mensen die uberhaupt een VPN gebruiken (zoals China en VAE), zonder de inhoud te kunnen kennen, dan kan je via internet provider ed iets behalen. Maar gelukkig is dat in Europa niet verboden (en dat lijkt me grondwettelijk ook niet mogelijk).
FreshMaker
@davidov200820 maart 2018 01:20
Ik ga er nog altijd van uit dat ze misschien niet loggen.
Wat ik daar mee wil zeggen, er zal achteraf waarschijnlijk niet gevraagd kunnen worden wie of wat, maar als er aanleiding is, zou er zomaar wel een tap op jouw account gezet kunnen worden.
En ook dat zal weerlegd kunnen worden, want de meeste aanbieders werken met gescheiden login / useraccounts, maar zolang je niet de volledige controle over de apparatuur hebt, kan je er niet blind op vertrouwen.

Nu zal dat voor de incidentele downloader / privacy-gek ( zoals ik en velen hier ) het allemaal wel loslopen, maar als jij op de FBI/CIA/NSA top10lijstjes terecht komt, gaat OOK PIA of NordVPN je voor de 5€ in de maand niet "beschermen" hoor
Verwijderd @Whuzz19 maart 2018 19:36
Het hangt er ook een beetje vanaf tegen welke vorm van logging je jezelf wilt beschermen.

Een VPN provider zal bepaalde dingen zelf loggen om ondersteuning te kunnen geven en zichzelf te beschermen tegen DMCA geneuzel. (Mogelijk ook om data te verkopen, maar dat zijn er maar weinig denk ik.)

Maar ook buiten de provider wordt gelogd. In veel landen moeten partijen die verkeer uitwisselen (in de praktijk vaak de partijen die BGP spreken) dit verkeer loggen tbv de autoriteiten. Dit zijn meestal niet de VPN's zelf, maar de partijen waar zij bandbreedte van afnemen.

Deze laatste data is niet direct aan je account gelinkt, maar wel te correleren. (Daarom passen systemen als TOR ook routing over meerdere hops toe, en niet zo'n enkele in=out server als de meeste commerciele VPN's doen.)

Daar bovenop zit je natuurlijk nog met de welbekende cookies en tracking, wat in feite ook een vorm van logging is.

Welke vormen van logging een bedreiging vormen zal per geval verschillen.
Verwijderd @Whuzz19 maart 2018 14:19
https://torrentfreak.com/...ested-in-fbi-case-160312/

dan kun je het nu geloven. PIA logt niks, anders hadden ze wel de FBI wel een handje kunnen helpen
Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd19 maart 2018 15:26
Of is dat propagana? Afaik is een bedrijf als PIA wettelijk verplicht het e.e.a. te loggen en wanneer nodig te overhandigen; het is geen keuze. Bovendien is logging altijd in beperkte mate nodig voor troubleshooting etc. Een niet loggende provider is een illusie.
Verwijderd @Bor19 maart 2018 18:07
als de FBI je gegevens vraagt, moet je die gewoon overhandigen ook heb ik in geen enkele wetboek kunnen vinden dat bedrijven die een vpn of iets dergelijks hosten, moeten loggen.
Verwijderd @Whuzz19 maart 2018 15:44
Maar als je al bang bent dat er iets opgeslagen wordt, waarom zou je het dan uberhaupt gebruiken? Dan richt je toch zelf een VPN in?
Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd19 maart 2018 16:22
Op basis van wat, andere closed source software? Dat is geen oplossing. De meeste mensen gebruiken een VPN verbinding als PIA om semi anoniem met een ander IP adres naar buiten te gaan omdat ze niet gevolgd willen worden. Denk hier bv aan activisten, mensen die een geo blokkade willen omzeilen of P2P functionaliteit willen gebruiken. Wanneer je zelf een VPN inricht voldoen je bijna nooit aan de vereisten, simpelweg alleen al omdat je doorgaans de enige gebruiker bent die met het betreffende IP adres naar buiten gaat.
roestje @Whuzz19 maart 2018 14:05
Maar dan zou in dat geval zelfs de server software openbaar maken niets bewijzen, want dan kunnen ze een op de server zelf een aangepaste versie draaien, met loggen, dan ze openbaar hebben gemaakt.
RoestVrijStaal @Whuzz19 maart 2018 14:31
Om je uit je droom te helpen:
Zelfs al zouden ze hun server-software opensourcen, dan nog is er geen garantie dat ze in hun eigen repo nog wat extra "user tracking" code toevoegen en dan pas compilen en deployen naar server.

Qua transparantie is dit is puur voor de bühne.
Qua veiligheid: misschien, niemand (hobbysten noch veligheidsdiensten) is verplicht om exploits/bugs gevonden tijdens het wroeten in de code te rapporteren noch te fixen. Tenzij je meer fame wil, is het een puur morele overweging om dat te doen.
burne @Whuzz19 maart 2018 14:51
Ze zeggen dat er niets bijgehouden wordt, maar "eerst zien, dan geloven".
Maar, als je dan toch paranoïde doet, hoe weet je zeker dat je met de gepubliceerde client source-code praat tegen een server die de gepubliceerde server source-code draait? Je client zou je misschien nog zelf kunnen compilen, maar de server en z'n beheerder is echt alleen op z'n mooie blauwe ogen te geloven.

Source-code laten zien is een mooie eerste stap, maar zeker niet de enige.
ZpAz @Whuzz19 maart 2018 14:52
Je weet dan met een open-source server implementatie nog niet 100% zeker dat er niet gelogd wordt, misschien is hun versie wel de open-source variant met hier en daar een log regel. (Niet dat het geen mooie stap is).
kiang @Whuzz19 maart 2018 16:14
Jammer dat het alleen om de client software gaat, want ik denk dat veel tweakers juist zouden willen weten wat er server-side allemaal gelogd wordt.
Dat kunnen ze wel 'doen', maar als het je gaat om vertrouwen, zoals je duidelijk zegt, wat heb je daaraan? Je kan niet verifiëren dat wat ze op de server draaien hetzelfde is als wat ze opensource maken.

Ze kunnen gewoon een HeiligerDanDePaus-branch aanmaken waarin de TrackAllesDatGebruikersDownInsertEvilLaugh.cpp klasse is weggelaten, en die publiek maken, terwijl de versie die op de servers draait wel alles logt.
CAPSLOCK2000
@Whuzz19 maart 2018 16:37
Goede actie lijkt me.
Jammer dat het alleen om de client software gaat, want ik denk dat veel tweakers juist zouden willen weten wat er server-side allemaal gelogd wordt. Ze zeggen dat er niets bijgehouden wordt, maar "eerst zien, dan geloven".
Ik kan toch niet controleren of ze die code ook echt op hun servers draaien, of dat daar stiekem een heel ander stuk software draait. Server-side code is wel interessant om zelf een eigen server te draaien, maar eigenlijk vermoed ik dat dat gewoon een standaard openvpn server is.
Jonathan-458 @Whuzz19 maart 2018 16:56
Persoonlijk denk ik dat je PIA links moet laten liggen als het doel daadwerkelijk privacy is omdat het US based is.
Verwijderd @Whuzz19 maart 2018 19:27
Het zien van de server code geeft je alsnog geen garanties dat er niks gelogd wordt. Die garantie heb je eigenlijk nooit, tenzij je je eigen hardware ophangt.
SilentLucidity 19 maart 2018 14:02
Goede zaak, niks zo goed als open-source software voor dit soort zaken. VPN zonder "security by obscurity"
Verwijderd @SilentLucidity19 maart 2018 15:45
Ze zeggen niet wat ze nog meer gebruiken.
JT 19 maart 2018 14:03
Dat is fijn voor de gebruikers :) Dan kunnen zij zelf de code inspecteren om te zien of deze ook echt alles doet voor een veilige en anonieme verbinding. Uiteraard ben je dan nog wel afhankelijk van de serverkant maar dit is wel een goede stap.
Bor Coördinator Frontpage Admins / FP Powermod @JT19 maart 2018 16:23
Dat blijkt in de praktijk nog erg lastig. Kijk bijvoorbeeld naar eerdere audits van open source software. Dat vereist zeer specialistische kennis en erg veel tijd. Het kunnen inspecteren van gehele code is een punt wat in de praktijk maar weinig voorkomt.
Verwijderd 19 maart 2018 14:04
Top, mis nog een cli functie om een verbinding automatisch te reconnecten om zodoende een vers ip adres te krijgen. Moet nu relatief simpel zelf toe te voegen zijn :)
Luinwethion 19 maart 2018 14:20
Enige jammer van de PIA client is dat tijdens switchen van 4G naar WiFi of terug moet ik altijd handmatig verbinding stoppen en weer aanzetten, want automatisch restore duurt erg lang.

Verder prima client, en als dit actie zorgt dat het beter wordt door toevoeging van de community, nog beter.
Pikkemans 19 maart 2018 14:23
Ze hebben altijd al de mogelijkheid gehad om ook via een willekeurige OpenVPN client een verbinding op te zetten. Dus ze verplichten je niet om hun client te gebruiken (mocht je het niet prettig vinden).

Gebruik PIA nu al 3 jaar en werkt echt prima. Goede ondersteuning, open communicatie en ondersteuning voor OpenVPN.

Gebruik het onder andere op mijn Synology NAS om een VPN op te zetten om zo de content in mijn Download Manager veilig binnen te halen.
Bor Coördinator Frontpage Admins / FP Powermod @Pikkemans19 maart 2018 16:28
Vanuit logging en monitoring aspect is de client nog niet zo heel erg interessant. Het is juist wat aan de backend wordt opgeslagen wat voor de meeste VPN gebruikers telt.
Verwijderd 19 maart 2018 15:14
Het is een VS bedrijf... dan mogen zij niet alles bekendmaken over bijvoorbeeld verzoeken van de FBI.
theduke1989 19 maart 2018 16:17
Het is toch juist beter om de VPN diensten gesloten te houden aan source code? want de instnaties(overheden) zullen geheid proberen iets te doen met dat.
CAPSLOCK2000
@theduke198919 maart 2018 16:39
Het is toch juist beter om de VPN diensten gesloten te houden aan source code? want de instnaties(overheden) zullen geheid proberen iets te doen met dat.
Dat doen ze ook wel als het closed source is. Dit soort instanties hebben daar genoeg mogelijkheden voor. Desnoods breken ze in en stelen ze de broncode.
Daarom geef ik liever alle mogelijkheden aan de whitehats, dan dat ik de illusie heb dat ik de blackhats zo tegen zou houden.
Verwijderd 19 maart 2018 17:51
Heeft Tor überhaupt nog zin?.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq