Securitywatch: наскільки небезпечний ваш іноземний vpn?

У кінці травня історія тихо розірвалася, яку я жував ще з тих пір. Він розповів про те, як члени Конгресу США багато рукопокладали про загрозу, яку представляють іноземні VPN. Занепокоєння з боку законодавців полягало в тому, що якщо ви будете використовувати іноземний VPN, то іноземний уряд може підслухати вашу діяльність. Іноземні компанії, стверджував він, можуть бути більш сприйнятливими до тиску з боку іноземних урядів, і що ці іноземні VPN можуть передавати особисту інформацію або навіть вміст вашої онлайн-діяльності.

Це все може бути правдою, але це не менш вірно для вітчизняних VPN. VPN створює зашифроване з'єднання між вашим пристроєм та сервером, яким керує компанія VPN. Ваш трафік рухається через тунель, приховуючи його від снайперів у локальній мережі та від вашого провайдера, який, за іронією долі, Конгрес сказав, що може шпигувати за вами для отримання прибутку. Коли ваш трафік досягне VPN-сервера, він виходить з Інтернету, перш ніж здійснити зворотну поїздку.

Це ефективно ставить VPN в роль вашого провайдера, оскільки вони потенційно можуть бачити все, що ви робите в Інтернеті. Це одне з найбільших проблем щодо VPN як галузі, і це стосується всіх VPN. VPN, що базується в США, може підслухати вашу діяльність, передати свою інформацію правоохоронним органам США або піддатися тиску американських спецслужб. Це ризики використання будь-якого VPN, і вони суттєво не змінюються, просто переміщуючи офіси цієї компанії в інший часовий пояс.

Місце, Місце, Місце

VPN - це принципово інструменти конфіденційності, і якщо вони роблять погану роботу, захищаючи конфіденційність клієнтів, то, сподіваємось, вони зроблять погану роботу, конкуруючи на ринку. Насправді багато (часто сумнівний) дискурс навколо VPN-компаній полягає в тому, чи справді вони зберігають вашу інформацію приватною. Зазвичай VPN прагнуть позиціонувати себе як надійних розпорядників вашої інформації, як правило, визначаючи політику компанії, яка забороняє збирати інформацію про користувачів, публікуючи політику конфіденційності, що пояснює деталі, та вбудовуючи конфіденційність у їх фактичний продукт. Останнім часом є те, що компанії вимагають проведення сторонніх аудитів свого товару для посилення претензій на надійність.

Як приклад типів кроків, якими користуються послуги VPN, щоб гарантувати вашу конфіденційність, приватний доступ до Інтернету видає вам ідентифікатор користувача під час створення облікового запису. Це окремо від інформації, яку ви надаєте для обробки платежу за підписку. Якщо вона працює правильно, це означає, що компанія не змогла ідентифікувати окремого користувача, навіть якщо це було примушено законом або якщо правоохоронні органи захопили його сервери.

VPN часто існують у багатьох місцях одночасно. AnchorFree, компанія, що стоїть за Hotspot Shield VPN, базується в Каліфорнії, а офіс знаходиться в Цюріху, Швейцарія. Компанія каже, що вона працює під юрисдикцією США та Швейцарії. Це іноземний VPN? Продукт AnchorFree широко ребрендується та продається іншими компаніями, частина яких базується в США, а деякі ні. Це іноземні VPN?

Компанії VPN часто мають офіси в одній країні, а працюють під юрисдикцією іншої. Компанії VPN також підтримують флотилійський сервер по всьому світу. Будь-яке з цих місць може відрізнятися від місця, де компанія VPN знаходиться під юрисдикцією.

Це означає, що юридична юрисдикція має значення, оскільки це рамка, в якій ваші дані будуть захищені. Дивлячись на Британські Віргінські острови, компанії VPN розігрували, як місцеві правоохоронці не просто прийматимуть ордери, видані іншими урядами. Натомість ці ордери повинні стрибати через додаткові обручі, перш ніж вони можуть бути застосовані до компанії на Британських Віргінських островах. Так само VPN-компанії в таких місцях, як Німеччина та Швейцарія, наголосили на суворому законодавстві цих країн.

Слід зазначити, що важко перевірити, що використання послуги в певному місці фактично допоможе зберегти ваші дані.

Один із способів VPN прагнуть захистити клієнтів та продавати їх на ринок - через місцезнаходження компанії. Наприклад, NordVPN базується в Панамі, що рекламується як приватне життя та безпека для клієнтів через місцеве законодавство. ProtonVPN хоче зазначити, що це швейцарський. Переглядаючи VPN, я зазвичай перераховую його місцезнаходження та юридичну юрисдикцію поряд із протоколами VPN та політикою конфіденційності, оскільки фактично місце розташування VPN-компанії - це ще одна особливість.

Розташування також може мати емоційне значення. Деякі читачі сказали мені, що вони не можуть довіряти компаніям, що базуються у Східній Європі, через свою асоціацію з російськими хакерськими групами. Інші сказали мені, що будь-яка VPN, яка базується в США, неприйнятна через історію масового спостереження в цій країні. VPN, що базуються в Гонконзі (як напіввідмінні від материкового Китаю), часто піддаються звинуваченням у тому, що держава нагляду повинна їх чітко контролювати. Багато хто висловлює подібний аргумент проти дозволу Huawei надавати обладнання для інтернет-інфраструктури.

Ці компанії часто суперечать аргументу, що спеціальні правила міста роблять його відмінним місцем для приватних даних.

Насправді, слід стверджувати, що США мають одну з найагресивніших операцій з нагляду та збору даних у світі. Компаніям соціальних медіа іноді видають DHS листи національної безпеки, які вимагають, щоб вони передавали інформацію, а не розголошували, що вони це зробили. АНБ здійснювало те, що чи не найбільша в світі операція по перехопленню даних, яка торкнулася громадян США, а також закордонні цілі.

Крім того, АНБ звинувачують у тому, що він скористався критичним становищем Сполучених Штатів у інфраструктурі даних, доторкнувшись до ліній, через які протікає глобальний інтернет-трафік, і нібито копіюючи його в режимі реального часу - можливо, як не дивно, враховуючи, що США висувають той же аргумент проти Huawei, як згадувалося вище. Це не кажучи вже про угоди про обмін інформацією, які дозволяють численним союзним націям, включаючи США, обмінюватися інформацією незалежно від місця розташування. З огляду на все це, важко сперечатися з людьми, які бачать американські VPN компанії як потенційний ризик.

Це має значення (і не має значення)

Якщо все працює належним чином, між іноземним VPN та тим, що має деякі чи всі свої офіси в США, має бути невелика різниця. Математика, яка робить шифрування роботою, не дотримується меж. Так само заходи щодо захисту конфіденційності та безпеки користувачів добре зрозумілі та можуть бути здійснені в будь-якому місці. Багато VPN компаній вибирають, де базувати свої компанії, щоб скористатися місцевими законами про конфіденційність або, можливо, апелювати до емоційного відгуку з боку споживачів.

• "Інстабація", "дезінформація" та "погана журналістика": стан індустрії VPN "Бюстгальн", "дезінформація" та "погана журналістика": стан галузі VPN
• Конфіденційність в Інтернеті - це право, а не розкіш. Конфіденційність в Інтернеті - це право, а не розкіш
• Щоб зберегти Інтернет, ми повинні його зламати, щоб зберегти Інтернет, ми повинні його зламати

Не важливо, коли компанії VPN не шифрують речі належним чином, або коли вони через незнання чи навмисність не дотримуються кращих практик захисту приватного життя своїх користувачів. Погано захищений VPN може бути іноземним, але він також може бути головним офісом від мене. Замість того, щоб замислюватися про те, де компанії знаходяться зі штаб-квартирою або які «цінності» у них є, Конгрес повинен підтримувати методи для користувачів та дослідників для перевірки заяв, висунутих компаніями VPN.

Індустрія безпеки сповнена маркетингу, побудованого навколо страху, невпевненості та сумнівів - спільно їх називають FUD. Тривала дискусія про закордонні VPN в залах Конгресу підпадає під цю категорію, особливо коли група приходить до висновку, що всі загрози існують мінімально. У FUD завжди є мета, і замість того, щоб запитувати, де найкраще розмістити VPN, можливо, ми повинні зосередитись на тому, чому ця розмова сталася в першу чергу.