Nie jest tajemnicą, że produkty technologiczne wychwalają swoje funkcje, aby zachwycić klientów. A co z produktami technologicznymi, które „zatajają” swoje funkcje? Usługi VPN są z tego znane, a wiele z nich twierdzi, że nie przetrzymuje rejestrów logów lub stosuje „Politykę zerowych rejestrów logów.”
Prawda jest jednak inna.
“Brak logów” czy “zerowe rejestry logów” to najbardziej płynne zapisy w bezpieczeństwie cybernetycznym, ponieważ zależą one głównie od tego, jak firmy definiują logi.
Poniżej przedstawiliśmy krótki opis sposobu rejestracji logów.
Rodzaje logów
Zerowe rejestry logów
Jak wskazuje nazwa, usługa stosująca politykę zerowych rejestrów logów oferuje najlepsze bezpieczeństwo. Gdy korzystasz z oprogramowania nie zbiera ona żadnych twoich danych, pozostajesz więc anonimowym użytkownikiem. Ten rodzaj polityki rejestracji logów jest jak dotąd najbardziej efektywny, ponieważ uniemożliwia sprzedawanie twoich danych reklamodawcom lub wykorzystanie ich przeciwko tobie w przypadku dochodzenia w sprawie karnej. Słynna siecią VPN, która stosuje taką politykę w sądach jest Private Internet Access. Niejednokrotnie firma odmówiła FBI dostępu do rejestrów logów użytkowników, ponieważ rzeczywiście ich nie przechowuje.
Rejestry sesji
Większość sieci VPN stosujących politykę „braku rejestru logów” ma na myśli rejestry sesji. Rejestr sesji jest względnie podstawowym logiem, który śledzi metadane dotyczące korzystania z sieci VPN. Zbierane metadane najczęściej dotyczą czasu użytkowania, wykorzystanej przepustowości i używanych serwerów VPN.
Wprawdzie te rejestry zawierają pewne podstawowe dane, są one w większości całkowicie nieszkodliwe. Jednak użytkownicy, którzy nie chcą, aby jakiekolwiek ich dane były zbierane, powinni poszukać usługi stosującej zerowe rejestry logów.
Rejestry aktywności
Rejestry aktywności to koszmarne rozwiązanie, które zapisuje ogromną ilość danych dotyczących twojej aktywności w sieci podczas korzystania z VPN. Mogą one zbierać między innymi dane dotyczące wyszukiwania w Internecie, odwiedzonych przez ciebie witryn czy plików, do których uzyskałeś dostęp lub które pobrałeś, a nawet przedmiotów zakupionych online. Te rejestry narażają cię na duże niebezpieczeństwo, ponieważ firmy VPN mogą sprzedać twoje dane reklamodawcom lub udostępnić je, aby były wykorzystane przeciwko użytkownikom podczas dochodzeń w sprawach karnych.
Rejestr adresów IP
Rejestry adresów IP są nieco mniej przerażające niż rejestry aktywności, ale mimo wszystko należy na nie uważać. Rejestry te zbierają dane dotyczące czasu logowania do sieci VPN i twojej fizycznej lokalizacji na podstawie twojego adresu IP. W rezultacie VPN posiada historię twojego adresu IP i czasu logowania, która może być wystarczającą informacją do zidentyfikowania ciebie w wielu sytuacjach dochodzeniowych.
Umowy dotyczące danych i przepisy wpływające na rejestrację logów
Usługi zazwyczaj nie rejestrują aktywności, chyba że są zmuszone przez organy rządowe monitorujące swoich obywateli. Do najbardziej znanych umów rządowych należą Sojusz Pięciorga Oczu, Dziewięciorga Oczu i Czternaściorga Oczu, które śledzą aktywność obywateli zamieszkujących w tych krajach. Jeśli agencje monitorujące dane w określonym kraju nie posiadają jurysdykcji prawnej do szpiegowania swoich mieszkańców, po prostu zwracają się do innych rządów o wyręczenie ich. Poniżej przedstawiamy porozumienia i listę krajów, które podpisały umowy dotyczące masowego udostępniania danych i szpiegowania.
Sojusz Pięciorga Oczu
Najważniejszym porozumieniem rządowym dotyczącym monitorowania osób jest Sojusz Pięciorga Oczu, zawarty pomiędzy USA, Wielką Brytanią, Australią, Nową Zelandią i Kanadą w zakresie udostępniania danych o obywatelach każdego z tych krajów. Pierwotna umowa została zawarta po drugiej wojnie światowej w 1946 roku między Stanami Zjednoczonymi i Wielką Brytanią jako środek monitorowania działalności Związku Radzieckiego i jego sojuszników. Porozumienie miało na celu przechwytywanie sygnałów ze strony sowieckich sił zbrojnych, lecz z biegiem lat rozszerzyło swój zakres działania na szpiegowanie telefonów, komputerów i faksów swoich obywateli. Rozległa sieć informacji przyciągnęła wkrótce do sojuszu Kanadę, Australię i Nową Zelandię.
W czasach współczesnych ten system śledzenia informacji jest zarządzany przez oprogramowanie znane jako ECHELON, które pozwala rządom szpiegować komercyjne oraz prywatne operacje, i gromadzić masowe ilości danych na temat osób. Informacje te mogą być następnie udostępniane przez dowolne kraje członkowskie i wykorzystywane do śledzenia podejrzanych osób. Większość dzisiejszych danych pochodzi z połączeń telefonicznych, aktywności sieciowej, faksów i każdego innego typu urządzenia do komunikacji cyfrowej. W związku z tym dane osób zamieszkałych w pięciu państwach członkowskich podlegają masowemu przechwytywaniu, jeśli osoby te zostaną uznane za podejrzane. Właśnie z tego powodu rządy każdego kraju są uprawnione do żądania od sieci VPN informacji o aktywności ich użytkowników.
Sojusz Dziewięciorga Oczu
Nie minęło wiele czasu i kolejne kraje przystąpiły do Sojuszu Pięciorga Oczu w sprawie udostępnienia danych, ponieważ stał się on pod wieloma względami bardzo przydatnym narzędziem dla założycielskich państw członkowskich. W ten sposób sojusz powiększył się o kolejne cztery państwa: Holandię, Francję, Norwegię i Danię. Jednak niektórzy nowi członkowie sojuszu, jak Holandia, stosują własne zasady dotyczące ochrony danych. Wybrane holenderskie przepisy o ochronie danych ściśle chronią prywatność, tym samym ograniczając informacje, które mogą być przechowywane przez sieci VPN.
Sojusz Czternaściorga Oczu
Skuteczność działań Sojuszów Pięciorga Oczu i Dziewięciorga Oczu przyciągnęła nowe kraje. Tym razem dołączyły do niego Hiszpania, Niemcy, Belgia, Włochy i Szwecja. Kraje te również stały się przedmiotem wymiany danych, co pozwoliło im skutecznie szpiegować osoby z innych państw. W rezultacie Sojusz Czternaściorga Oczu stworzył wyjątkowy system szpiegowania, który teraz dramatycznie wpływa na zasadność działania sieci VPN zarejestrowanych w tych krajach.
Najnowsze przypadki dotyczące rejestracji logów
Podczas gdy tak wiele firm twierdzi, że nie stosuje zasad rejestracji logów, w rzeczywistości tylko niewiele z nich nie zbiera żadnych danych. Przykładem może być PureVPN, sieć VPN z siedzibą w Hongkongu, która niedawno przekazała FBI dane konkretnego użytkownika.
PureVPN został poproszony przez FBI o pomoc w sprawie prześladowania – klient najwyraźniej wykorzystał tę sieć do popełnienia cyberprzestępstw i nękania. Na życzenie FBI PureVPN przekazał czasy i lokalizacje logowania, wskazujące miejsce i godzinę zalogowania się przez podejrzanego do serwisu. Rejestry sesji ostatecznie pomogły FBI w prześladowaniu podejrzanego, a PureVPN znalazło się w centrum uwagi, ponieważ usługa twierdziła, że nie prowadzi żadnych rejestrów logów.
Wnikliwa analiza wykazała, że polityka prywatności PureVPN zawierała sprzeczne zapisy, które ostatecznie umożliwiły prowadzenie rejestrów sesji osób korzystających z tej usługi.
Mimo iż sprawa PureVPN jest najbardziej godną uwagi, to z pewnością nie jest to jedyny przypadek, w którym sieć VPN przekazała władzom dane użytkownika. Ten przykład, jak i szereg innych, dowodzi w jakim stopniu stosowane zasady „braku rejestracji logów” mogą różnić się od siebie.
Jak się chronić?
Przeczytaj zapisy drobnym drukiem
Wprawdzie wiele firm twierdzi, że nie prowadzą żadnych rejestrów logów, zapisy drobnym drukiem często świadczą przeciwnie. Dokładnie przeczytaj wszystkie zapisy drobnym drukiem każdej z usług, aby mieć pewność, że żadne z twoich informacji nie są przechwytywane do celów badawczych.
Unikaj krajów z Sojuszu Czternaściorga Oczu
Ogólnie rzecz biorąc sieci VPN zarejestrowane w krajach należących do Sojuszu Czternaściorga Oczu oferują mniejszy poziom prywatności ze względu na surową politykę przechowywania danych. Mimo to niektóre sieci VPN znajdujące się w tych krajach w rzeczywistości ignorują obowiązkowe zasady i odmawiają prowadzenia rejestrów logów użytkowników, twierdząc że prawo człowieka do prywatnego dostępu do informacji jest ważniejsze od przepisów. Poza tym w niektórych krajach obowiązują rygorystyczne przepisy dotyczące ochrony prywatności obywateli, co może budzić wątpliwości co do zasadności rejestrowania danych użytkowników przez sieci VPN.
Korzystaj z sieci VPN poprzez sieć TOR
Korzystanie z VPN poprzez sieć TOR (The Onion Touter) może zapewnić ekstremalny poziom prywatności, uniemożliwiając śledzenie twoich danych nawet w krajach z najbardziej rygorystycznymi przepisami, pod warunkiem że będziesz używać tego rozwiązania poprawnie. W przeciwnym przypadku, twoja aktywność w sieci może być śledzona przez węzły wyjściowe TORa, co narazi cię na jeszcze większe niebezpieczeństwo.
Wnioski
Zastanów się nad pożądanym poziomem prywatności, aby móc wybrać właściwy rodzaj usługi VPN. Zanim zdecydujesz się na subskrypcję VPN, zapoznaj się z dostępnymi możliwościami i upewnij, że to co wybierasz w pełni ci odpowiada.