Securitywatch: hvor farlig er utenlandske VPN-en din?

En historie brøt rolig tilbake i slutten av mai som jeg har tygget på siden den gang. Den fortalte hvordan medlemmer av den amerikanske kongressen gjorde mye hånddring om trusselen fra utenlandske VPN-er. Bekymringen fra lovgiverne var at hvis du bruker en utenlandsk VPN, så kunne en utenlandsk regjering avlyse aktiviteten din. Utenlandske selskaper, hevdet det, kan være mer utsatt for press fra utenlandske myndigheter, og at disse utenlandske VPN-ene kan overlevere personlig informasjon, eller til og med innholdet i dine online aktiviteter.

Det stemmer kanskje alle, men det er ikke mindre sant for innenlandske VPN-er. En VPN oppretter en kryptert forbindelse mellom enheten din og en server som kontrolleres av VPN-selskapet. Trafikken din reiser gjennom tunnelen og gjemmer den for snoopere i et lokalt nettverk og fra Internett-leverandøren din - som ironisk nok har kongressen kan spionere på deg for profitt. Når trafikken din kommer til VPN-serveren, kommer den ut til internett før du går tilbake.

Dette setter effektivt VPN-er i rollen som din ISP, ved at de potensielt kan se alt du gjør på nettet. Det er en av de store bekymringene om VPN-er som bransje, og det er sant for alle VPN-er. En VPN med base i USA kan avlyse aktiviteten din, overlevere informasjonen din til USAs rettshåndhevelse eller gi etter for press fra amerikanske etterretningsorganer. Dette er risikoen ved å bruke hvilken som helst VPN, og de blir ikke vesentlig endret ved å bare flytte kontorene til det selskapet til en annen tidssone.

Plassering, beliggenhet, beliggenhet

VPN-er er grunnleggende personvernverktøy, og hvis de gjør en dårlig jobb med å beskytte kundenes personvern, vil de forhåpentligvis gjøre en dårlig jobb med å konkurrere i markedet. Faktisk er mange av de (ofte tvilsomme) diskursene rundt VPN-selskaper om de virkelig holder informasjonen din privat. VPN-er søker generelt å i det minste posisjonere seg som pålitelige forvaltere av informasjonen din, vanligvis ved å definere firmapolitikk som forbyr innsamling av brukerinformasjon, publisere en personvernpolicy som forklarer detaljene og bygge personvern i deres faktiske produkt. En nyere trend er at selskaper skal utføre tredjepartsrevisjoner av produktet sitt, for å styrke påstander.

Som et eksempel på hva slags trinn VPN-tjenester tar for å forsikre deg om ditt personvern, utsteder Private Internet Access deg en bruker-ID når du oppretter en konto. Dette er atskilt fra informasjonen du gir for å behandle abonnementsbetalingen. Hvis det fungerer som det skal, betyr dette at selskapet ikke kunne identifisere en enkelt bruker, selv om det er tvunget til lov eller hvis rettshåndhevelse grep om serverne.

VPN-er eksisterer ofte mange steder samtidig. AnchorFree, selskapet bak Hotspot Shield VPN, er basert i California med et kontor i Zürich, Sveits. Selskapet sier at det opererer under amerikansk og sveitsisk juridisk jurisdiksjon. Er det en utenlandsk VPN? AnchorFree sitt produkt er mye omskrevet og solgt av andre selskaper, noen med base i USA og andre ikke. Er det utenlandske VPN-er?

VPN-selskaper har ofte kontorer i ett land mens de opererer under et annet lovlig jurisdiksjon. VPN-selskaper opprettholder også serverflåter rundt om i verden. Noen av disse stedene kan være forskjellige fra der VPN-selskapet er under lovlig jurisdiksjon.

Når det er sagt, er juridisk jurisdiksjon viktig, fordi det er rammene under hvilke dataene dine skal beskyttes. Ser vi på de britiske jomfruøyene, har VPN-selskaper lekt på hvordan lokal rettshåndhevelse ikke bare vil akseptere tegningsretter utstedt fra andre regjeringer. I stedet må disse tegningsretterne hoppe gjennom flere bøyler før de kan brukes til et selskap på De britiske jomfruøyene. Tilsvarende har VPN-selskaper på steder som Tyskland og Sveits lagt vekt på disse landenes sterke personvernlover.

Jeg må her merke seg at det er vanskelig å bekrefte at bruk av en tjeneste på et bestemt sted faktisk vil bidra til å holde dataene dine trygge.

En måte VPN-er søker å beskytte kunder, og markedsføre seg selv, er gjennom beliggenheten til selskapet. NordVPN er for eksempel basert i Panama, et faktum det annonserer som privatliv og sikkerhet velsigne kunder på grunn av lokal lovgivning. ProtonVPN er opptatt av å påpeke at det er sveitsisk. Når jeg gjennomgår en VPN, oppgir jeg vanligvis beliggenheten og den juridiske jurisdiksjonen ved siden av VPN-protokollene og personvernreglene, fordi et VPN-selskaps beliggenhet faktisk er en annen funksjon.

Plassering kan også ha emosjonell verdi. Noen lesere har fortalt meg at de ikke kan stole på selskaper med base i Øst-Europa, på grunn av deres tilknytning til russiske hackinggrupper. Andre har fortalt meg at en hvilken som helst VPN basert i USA er uakseptabel på grunn av dette landets historie med masseovervåking. VPN-er med base i Hong Kong (som semi-forskjellige fra fastlands-Kina) blir ofte angrepet med beskyldninger om at overvåkningstaten må ha et stramt grep om dem. Mange fremsetter et lignende argument mot å la Huawei tilby internettinfrastrukturutstyr.

Disse selskapene motarbeider ofte argumentet om at byens spesielle regler gjør det til et utmerket sted for private data.

Det er faktisk en sterk sak å gjøre at USA har en av de mest aggressive overvåknings- og datainnsamlingsoperasjonene i verden. Sosiale medieselskaper blir noen ganger gitt National Security Letters av DHS, som krever at de må utlevere informasjon og ikke røpe at de har gjort det. NSA opererte det som kanskje er den største datainteroperasjonen verden noensinne har sett, en som berørte amerikanske borgere så vel som utenlandske mål.

I tillegg har NSA blitt beskyldt for å ha utnyttet USAs kritiske posisjon innen datainfrastruktur, banket på linjene som den globale internettrafikken flyter og angivelig kopiert den i sanntid - kanskje ironisk nok, gitt at USA gir det samme argumentet mot Huawei, som nevnt over. For ikke å nevne informasjonsdelingsavtalene som gjør at mange allierte nasjoner, inkludert USA, kan bytte etterretning uavhengig av beliggenhet. Gitt alt dette, er det vanskelig å krangle med folk som ser amerikanske VPN-selskaper som en potensiell risiko.

Det betyr (og gjør ikke) saken

Hvis alt fungerer riktig, bør det være liten forskjell mellom en utenlandsk VPN og en som har noen eller alle sine kontorer i USA. Regnestykket som gjør krypteringsarbeid respekterer ikke grenser. Likeledes er tiltakene for å beskytte brukernes personvern og sikkerhet godt forstått og kan implementeres hvor som helst. Mange VPN-selskaper velger hvor de skal basere sine selskaper for å dra nytte av lokale personvernlover, eller kanskje for å appellere til en følelsesmessig respons fra forbrukernes side.

• Backstabbing, Disinformation og Bad Journalism: Staten VPN-industrien Backstabbing, Disinformation og Bad Journalism: State of VPN Industry
• Online-personvern er en rettighet, ikke en luksus Online-personvern er en rettighet, ikke en luksus
• For å redde Internett, må vi bryte det for å redde Internett, vi må bryte det

Det som betyr noe er når VPN-selskaper ikke krypterer ting ordentlig, eller når de av uvitenhet eller vilje ikke følger beste praksis for å beskytte personvern til brukerne. Et dårlig sikret VPN er kanskje utenlandsk , men det kan også ha hovedkvarter nede på gaten fra meg. I stedet for å lure på hvor selskaper har hovedkontor eller hvilke "verdier" de har, bør Kongressen støtte metoder for brukere og forskere for å bekrefte påstandene fra VPN-selskaper.

Sikkerhetsbransjen er full av markedsføring bygd rundt frykt, usikkerhet og tvil - samlet kalt FUD. En lang diskusjon om utenlandske VPN-er i kongresshallene faller i den kategorien, spesielt når gruppen konkluderer med at uansett trusler som finnes er minimale. FUD har alltid et formål, og i stedet for å spørre hvor det beste stedet er å sette en VPN, bør vi kanskje fokusere på hvorfor denne samtalen skjedde i utgangspunktet.