Usługa VPN jest prawdopodobnie jedyną rzeczą, która przychodzi na myśl, kiedy chcemy bezpiecznie połączyć się z Internetem. Wirtualna sieć prywatna (VPN) to najprostsze rozwiązanie w kwestii zachowania prywatności i anonimowości podczas surfowania w sieci.
Pomimo wszelkich doniesień o braku prowadzenia rejestru aktywności użytkowników, wiele usług VPN podlega jurysdykcji państw, na terenie których się znajdują. Oznacza to, że nawet w przypadku 100% gwarancji anonimowości danej przez dostawcę sieci VPN nie możemy być pewni, czy rząd danego kraju nie monitoruje naszej aktywności w sieci.
Problem ten dotyczy przede wszystkim sieci VPN, które prowadzą swoją działalność na terenie państw członkowskich sojuszu pięciu, dziewięciu i czternastu oczu.
Czym jest sojusz pięciu oczu?
Podczas II wojny światowej rządy Stanów Zjednoczonych i Zjednoczonego Królestwa zawarły porozumienie o dzieleniu się informacjami wywiadowczymi dla obopólnych korzyści w działaniach wojennych.
Porozumienie to zostało określone mianem umowy UKUSA, w ramach której uruchomiono program inwigilacji „Echelon”. Jego celem było gromadzenie danych dotyczących działalności internetowej Związku Radzieckiego i Chin. Wydarzenie to doprowadziło do narodzin sojuszu pięciu oczu.
Po zakończeniu wojny program przestał być wykorzystywany w celach wojskowych, niemniej jednak porozumienie pozostało i służyło obydwu krajom do globalnego monitorowania aktywności sieciowej swoich obywateli.
Suma summarum, Kanada, Nowa Zelandia i Australia również dołączyły do sojuszu, tworząc grupę złożoną z pięciu państw członkowskich, powszechnie znaną jako sojusz pięciu oczu. Każdy z członków posiada liczne agencje szpiegowskie, które analizują dane zbiorcze i wzajemnie przesyłają sobie informacje na temat aktywności swoich obywateli.
Dla przykładu w USA funkcjonują trzy agencje – FBI, CIA i NSA, które są zaangażowane w sojusz pięciu oczu.
Jak działa sojusz pięciu oczu?
Kraje należące do sojuszu pięciu oczu wydały ustawy i rozporządzenia, które dały rządowi przyzwolenie na monitorowanie aktywności sieciowej swoich obywateli. Dlatego, jeżeli korzystamy z usługi VPN z siedzibą w jednym z wyżej wymienionych krajów, nasza anonimowość i bezpieczeństwo są zagrożone. Rząd kraju, w którym się znajdujemy może zmusić dostawcę usług VPN do udostępnienia naszej aktywności, szyfrowanej za pomocą klucza SSL.
W ten właśnie sposób amerykański rząd odkrył działalność Edwarda Snowdena. Mimo tego, że Snowden korzystał z sieci VPN, nie uchronił się przed mackami rządu USA. FBI na prośbę rządu skierowało nakaz do operatora sieci VPN o wydanie danych dotyczących aktywności Snowdena.
Rząd USA uruchomił także program PRISM, który umożliwia mu gromadzenie danych na temat swoich obywateli od setek dostawców internetowych na terenie całego kraju. Co więcej, dostawcom Internetowym przyznano prawo do sprzedaży aktywności swoich użytkowników osobom trzecim.
Jeżeli chodzi o Wielką Brytanię, to ich działania dotyczące monitorowania ruchu sieciowego są o wiele bardziej transparentne od USA, jednak w takim samym stopniu naruszające prywatność obywateli. W 2016 r. rząd Wielkiej Brytanii uchwalił ustawę o reglamentacji uprawnień organów śledczych (znana również jako Snoopers’ Charter – przyp. tłum.), wedle której wszyscy dostawcy Internetowi oraz telekomunikacyjni są obowiązani do rejestrowania historii przeglądania swoich użytkowników.
Dane mogą zostać w dowolnym momencie wykorzystane przez rząd, bez konieczności okazywania nakazu lub wezwania sądowego. W Australii obowiązują podobne przepisy, które obligują australijskich dostawców internetowych do prowadzenia rejestru aktywności użytkowników, a sam rząd ma nieograniczony dostęp do pozyskanych w ten sposób informacji.
Czym jest sojusz dziewięciu oczu?
Sojusz dziewięciu oczu to grupa dziewięciu krajów, które zawarły pomiędzy sobą umowę o współdzieleniu globalnej sieci inwigilacji służącej im do rejestrowania danych użytkowników z całego świata. Grupa ta obejmuje wszystkie kraje należące do sojuszu pięciu oczu wraz z Danią, Francją, Holandią i Norwegią, które poszerzają te zaszczytne grono. Zakres i charakter działań sojuszu dziewięciu oczu jest niemal identyczny jak w przypadku sojuszu pięciu oczu.
Czym jest sojusz czternastu oczu?
Jest to sojusz składający się niemal wyłącznie z krajów europejskich, z wyjątkiem Stanów Zjednoczonych, Australii i Nowej Zelandii. Sojusz czternastu oczu jest znany również pod oficjalną nazwą SIGINT Seniorzy Europy (SSEUR). Jest to kolejne poszerzenie, tym razem sojuszu dziewięciu oczu, o Niemcy, Belgię, Włochy, Szwecję i Hiszpanię.
Początkowy sojusz zawarty pomiędzy Stanami Zjednoczonymi a Wielką Brytanią został poszerzony o dwanaście kolejnych państw. Zgodnie z umową kraje te nie mogą się wzajemnie inwigilować, lecz mogą wymieniać się danymi swoich obywateli, które zostały zebrane przez inny kraj członkowski.
Pozostali sojusznicy
Kilka krajów, choć nie jest oficjalnie wymienionych jako członkowie żadnej z wyżej wymienionych grup, mimo wszystko zalicza się do kategorii krajów podejrzanych o współpracę, ze względu na działania inwigilujące w prywatność obywateli. Przykładem może być Izrael, który jest „oficjalnym obserwatorem” sojuszu pięciu oczu i ściśle współpracuje z amerykańskim NSA.
Inne kraje, takie jak Singapur, Korea Południowa i Japonia również zawiązały współpracę z agencjami szpiegowskimi USA i Wielkiej Brytanii, jednak nie posiadają jeszcze oficjalnego statusu członka sojuszu. Niektóre z brytyjskich terytoriów zamorskich również mogą być objęte nadzorem, ze względu na więzy prawne z Wielką Brytanią.
Jak uniknąć nadzoru sojuszu korzystając z VPN?
Zwykła usługa VPN zapewnia ograniczoną ochronę danych użytkownika. Mimo tego, że dany VPN może nie prowadzić rejestru aktywności swoich użytkowników, to w dalszym ciągu podlega jurysdykcji swojego kraju i zwykły nakaz sądowy może zmusić go do ujawnienia poufnych informacji użytkowników. Niektórzy internauci wolą korzystać z zagranicznych dostawców sieci VPN, których siedziba znajduje się poza państwami należącymi do sojuszu. Takie zabiegi jednak nie przynoszą efektu, ponieważ polityka prywatności sieci VPN jest bagatelizowana i ma na celu oszukiwać użytkowników.
Sugerowalibyśmy przejście do dostawcy VPN wykorzystującego sieć zagnieżdżoną VPN (multi-hop VPN chain lub nested chain – przyp. tłum.). Polega ona na wykonaniu kilku „skoków” przez różne serwery VPN przed połączeniem się ze stroną docelową. Dzięki temu zabiegowi użytkownik ma zapewnioną dodatkową warstwę ochrony, a same instytucje rządowe będą miały o wiele trudniejsze zadanie w wykryciu danych pochodzących z różnych źródeł. Przykładem sieci VPN wykorzystującej połączenie typu multi-hop jest szwajcarski Perfect Privacy, rumuński VPN.ac, panamski NordVPN czy też belizeński Zorro VPN.