Usługi VPN: złe wieści o tych wszystkich dobrych recenzjach

Około jedna czwarta internautów korzysta z wirtualnej sieci prywatnej, oprogramowania, które tworzy bezpieczne, szyfrowane połączenie danych między własnym komputerem a innym w Internecie. Wiele osób używa ich do ochrony prywatności podczas korzystania z hotspotów WiFi lub do bezpiecznego łączenia się z sieciami podczas pracy. Inni użytkownicy obawiają się nadzoru ze strony rządów i dostawców Internetu.

Wiele firm VPN obiecuje używać silnego szyfrowania w celu zabezpieczenia danych i twierdzi, że chroni prywatność użytkowników, nie przechowując zapisów o tym, gdzie ludzie uzyskują dostęp do usługi lub co robią podczas połączenia. Gdyby wszystko działało tak, jak powinno, ktoś podsłuchujący na komputerze danej osoby nie zobaczyłby całej swojej aktywności internetowej - tylko niezrozumiałe połączenie z tym jednym komputerem.Wszelkie firmy, rządy lub hakerzy szpiegujący ogólny ruch internetowy nadal mogą dostrzec komputer przesyłający poufne informacje lub przeglądający Facebook w biurze - ale sądziłby, że działalność dzieje się na innym komputerze niż ten, z którego dana osoba naprawdę korzysta.

Zobacz także: Dzień ochrony danych: sprawdź ustawienia zabezpieczeń na e-mailu, Facebooku i Google

Jednak większość ludzi - w tym klienci sieci VPN - nie ma umiejętności sprawdzania, czy dostali to, za co zapłacili. Grupa badaczy, do której należałem, ma te umiejętności, a nasze badanie usług świadczonych przez 200 firm VPN wykazało, że wielu z nich wprowadza klientów w błąd co do kluczowych aspektów ochrony użytkowników.

Konsumenci są w ciemności

Nasze badania wykazały, że klientom VPN bardzo trudno jest uzyskać obiektywne informacje. Wielu dostawców VPN płaci stronom internetowym i blogom przeglądowym innych firm, aby promować swoje usługi, pisząc pozytywne recenzje i wysoko oceniając je w ankietach branżowych. Są to reklamy dla osób rozważających zakup usług VPN, a nie niezależne i bezstronne opinie. Przeanalizowaliśmy 26 stron przeglądowych; 24 z nich otrzymywało jakąś formę opłaty zwrotnej za pozytywne recenzje.

Typowym przykładem była strona z setkami firm VPN, które oceniły ponad 90 procent z nich na 4 z 5 lub więcej. To nie jest nielegalne, ale wypacza oceny, które mogą być niezależne. Sprawia to również, że konkurencja jest znacznie trudniejsza dla nowszych i mniejszych dostawców VPN, którzy mogą mieć lepszą obsługę, ale niższe budżety, aby zapłacić za dobrą reklamę.

Vague on Data Privacy

Dowiedzieliśmy się również, że firmy VPN nie zawsze robią wiele, by chronić dane użytkowników, pomimo reklamowania. Spośród 200 firm, które obejrzeliśmy, 50 nie miało żadnej polityki prywatności opublikowanej w Internecie - pomimo przepisów prawa, które tego wymagały.

Firmy, które opublikowały politykę prywatności, różniły się znacznie w opisach sposobów obsługi danych użytkowników. Niektóre zasady były tak krótkie, jak 75 słów, dalekie od standardowego wielostronicowego dokumentu prawnego w witrynach bankowości i mediów społecznościowych. Inni nie potwierdzili formalnie tego, co sugerowały ich reklamy, pozostawiając miejsce na szpiegowanie użytkowników, nawet po obietnicy, że tego nie zrobią.

Wyciek lub monitorowanie ruchu

Duża część bezpieczeństwa sieci VPN zależy od zapewnienia, że ​​cały ruch internetowy użytkownika przechodzi przez szyfrowane połączenie między komputerem użytkownika a serwerem VPN. Ale oprogramowanie jest pisane przez ludzi, a ludzie popełniają błędy. Kiedy przetestowaliśmy 61 systemów VPN, znaleźliśmy błędy w programowaniu i konfiguracji w 13 z nich, które pozwoliły ruchowi internetowemu podróżować poza szyfrowanym połączeniem - pokonując cel użycia VPN i pozostawiając aktywność użytkownika online wystawioną na zewnątrz szpiegom i obserwatorom.

Ponadto, ponieważ firmy VPN mogą, jeśli zdecydują się, monitorować całą aktywność online, w którą angażują się ich użytkownicy, sprawdziliśmy, czy ktoś to robi. Odkryliśmy, że sześć z 200 usług VPN, które badaliśmy, faktycznie monitorowało ruch użytkowników. Różni się to od przypadkowego wycieku, ponieważ wiąże się z aktywnym przyglądaniem się aktywności użytkowników - i prawdopodobnie zachowaniem danych o tym, co robią użytkownicy.

Zachęceni reklamami, które koncentrują się na prywatności, użytkownicy ufają, że firmy tego nie robią, i nie udostępniają tego, co znajdują, brokerom danych, firmom reklamowym, policji i innym agencjom rządowym. Jednak te sześć firm VPN nie zobowiązuje się prawnie do ochrony użytkowników, niezależnie od ich obietnic.

Leżąc na temat lokalizacji

Ogromnym atutem wielu VPN jest to, że twierdzą, że pozwalają klientom łączyć się z Internetem tak, jakby znajdowali się w krajach innych niż te, w których naprawdę są. Niektórzy użytkownicy robią to, aby uniknąć ograniczeń praw autorskich, nielegalnie lub quasi-legalnie, takich jak oglądanie pokazów US Netflix podczas wakacji w Europie. Inni robią to, aby uniknąć cenzury lub innych przepisów krajowych regulujących działalność internetową.

Odkryliśmy jednak, że te twierdzenia o międzynarodowej obecności nie zawsze są prawdziwe. Nasze podejrzenia pojawiły się po raz pierwszy, gdy zobaczyliśmy, że VPN zezwalają ludziom na korzystanie z Internetu tak, jakby znajdowali się w Iranie, Korei Północnej i mniejszych terytoriach wyspiarskich, takich jak Barbados, Bermudy i Wyspy Zielonego Przylądka - miejsca, w których bardzo trudno jest uzyskać dostęp do Internetu, jeśli nie jest niemożliwe dla firm zagranicznych.

Kiedy badaliśmy, odkryliśmy, że niektóre VPN, które twierdzą, że mają dużą liczbę różnorodnych połączeń internetowych, mają tylko kilka serwerów skupionych w kilku krajach. Nasze badanie wykazało, że manipulują rekordami routingu internetowego, więc wydają się świadczyć usługi w innych lokalizacjach. Znaleźliśmy co najmniej sześć usług VPN, które twierdzą, że kierują swój ruch przez jeden kraj, ale naprawdę przekazują go innym. W zależności od aktywności użytkownika i przepisów kraju może to być nielegalne lub nawet zagrażające życiu - ale przynajmniej wprowadza w błąd.

Wskazówki dla użytkowników VPN

Technicznie myślący klienci, którzy nadal są zainteresowani sieciami VPN, mogą rozważyć utworzenie własnych serwerów, korzystając z usług przetwarzania w chmurze lub z domowego połączenia internetowego. Ludzie o nieco mniejszym komforcie technicznym mogą rozważyć użycie przeglądarki Tor, sieci komputerów podłączonych do Internetu, które chronią prywatność użytkowników.

Te metody są trudne i mogą być powolne. Wybierając komercyjną usługę VPN, naszą najlepszą radą, poinformowaną przez nasze badania, jest uważne przeczytanie polityki prywatności witryny i zakup krótkich subskrypcji, być może raczej miesiąc po miesiącu niż dłuższych, dzięki czemu łatwiej jest się zmienić, jeśli znajdziesz coś lepszego.

Ten artykuł został pierwotnie opublikowany w The Conversation przez Mohammeda Taha Khan i Narseo Vallina-Rodriguez. Przeczytaj oryginalny artykuł tutaj.