r   e   k   l   a   m   a
r   e   k   l   a   m   a

PureVPN zbierał adresy IP swoich użytkowników. Której usłudze VPN zaufać?

Strona główna AktualnościBEZPIECZEŃSTWO

PureVPN należy do najbardziej znanych płatnych dostawców wirtualnych sieci prywatnych, oferując nie tylko dobrą przepustowość łączy, ale i oferując do wyboru ponad 750 serwerów wyjściowych ze 140 krajów. Operator obiecuje przy tym dbałość o pełną prywatność, zapewnia, że nie loguje adresów IP swoich użytkowników. Czego więc chcieć więcej? Ano choćby dotrzymywania słowa. PureVPN wprowadzało swoich klientów w błąd, przechowując logi ich aktywności, o czym świadczą dokumenty sądowe, które ujawniono w sprawie przeciwko aresztowanemu przez FBI cyberstalkerowi.

W ostatni czwartek amerykańska policja federalna aresztowała niejakiego Ryana S. Lina z miasta Newton w stanie Massachusetts, oskarżonego o prowadzenie „rozległej kampanii cyberstalkingowej” przeciwko swojej byłej współlokatorce, jej rodzinie i przyjacielach. Według prokuratury, ta „wielowymiarowa kampania hakerstwa i cybestalkingu” rozpoczęła się w kwietniu 2016 roku, kiedy oskarżony zaczął włamywać się do kont ofiary w serwisach społecznościowych, uzyskując jej osobiste zdjęcia, poufne informacje medyczne, informacje zwiazane z życiem seksualnym i inne prywatne dane. Po uzyskaniu tych materiałów, Lin rozpowszechniał je w sieci – tworząc fałszywe profile ofiary z seksualnymi propozycjami, by zwabić do jej domu przypadkowych mężczyzn.

Prokuratura twierdzi, że Lin tę „niestrudzoną kampanię cyberstalkingu przeciwko młodej kobiecie” prowadził z wykorzystaniem narzędzi anonimizacyjnych i innych usług online, aby uniknąć ujawnienia swojej tożsamości. Zaczynając od prześladowania samej ofiary, rozszerzył swoją działalność na jej rodzinę, przyjaciół, współpracowników, współlokatorów, a następnie nawet lokalne szkoły i inne instytucje w jej społeczności. Zidentyfikowany przez FBI, „odpowie teraz za swoje zbrodnie”.

r   e   k   l   a   m   a

Po nitce do kłębka

Nie pierwsza taka sprawa i nie ostatnia w Internecie, obsesjonistów nigdy nie brakowało. Możliwe nawet, że tak szeroko zakrojony cyberstalking nie był dziełem jednej osoby, ale całej grupy znudzonych internetowych trolli, których przecież łatwo pozyskać do tego typu akcji. Póki co jednak Ryan S. Lin jest jedynym, którego oskarżono. W tym oskarżeniu zauważono jednak coś bardzo ciekawego, coś, co zwróciło szczególną uwagę zainteresowanych cyberbezpieczeństwem.

Prowadzący śledztwo agent specjalny Jeffrey Williams, który przedstawił sądowi zgromadzone dowody, wyjaśnia w nich, że podejrzany jest kompetentnym technicznie absolwentem informatyki, który wykorzystywał różne techniki anonimizacji do ukrycia swojej tożsamości i adresu IP, obejmujące Tora, usługi VPN oraz nie przechowujących logów dostawców poczty elektronicznej. Jak w takim razie Ryan S. Lin został schwytany?

Nie wygląda na to, by FBI złamało kryptograficzne zabezpieczenia. Lin był i tak jednym z głównych podejrzanych, zachowując się w agresywny sposób wobec swojej ofiary także w świecie fizycznym. Policji udało się też przejąć komputer, używany przez niego w poprzedniej pracy. Mimo że przeinstalowano na nim system, nie zrobiono tego w sposób bezpieczny, więc śledczym udało się odtworzyć cache i historię przeglądarki Chrome, potwierdzające że przeglądał artykuły o groźbach zamachów bombowych, jakich miał dokonać, jak również uzyskał dostęp do konta Gmail ofiary poprzez usługę VPN.

Tą usługą było PureVPN – działająca w Hongkongu od 2006 roku firma, która oferuje jedną z najbardziej rozległych, samodzielnie zarządzanych wirtualnych sieci prywatnych, firmę, która utrzymuje od samego początku, że prowadzi politykę „zerowego logowania” – nie zapisuje niczego.

Tymczasem FBI bez problemu uzyskało od dostawcy bardzo przydatne dla śledztwa informacje. Ujawniło, że dostęp do ich usług miał ten sam klient, korzystający z dwóch adresów IP – jednego z domu, w którym Lin wówczas mieszkał, drugiego z firmy, w której wówczas pracował. Skąd takie informacje u operatora, który zapewnia, że stosuje proaktywne, zaawansowane funkcje na rzecz pełnego bezpieczeństwa, który nie współpracuje z żadnymi firmami trzecimi i nie loguje żadnych aktywności?

Mityczna anonimowość?

Zaglądając do zapisów polityki prywatności widać jednak, że to „zerowe logowanie” nie jest takie zerowe. W imię utrzymania jakości usług PureVPN rejestruje czas połączenia z serwerem, a następnie zachowuje czas trwania połączenia oraz ilość ruchu sieciowego w nim wykorzystanego. FBI twierdzi jednak coś więcej. PureVPN miało dać im nie tylko adresy IP z domu i pracy podejrzanego, ale też adres IP innej usługi VPN, która miała być wykorzystana do pośredniego połączenia – i wcześniej wykorzystana do łączenia się z kontami Gmail ofiary. Wątpimy, by FBI informacje te sobie zmyśliło.

Jak widać, nawet obiecujący pełną anonimowość dostawca VPN-u nie może być obdarzony zaufaniem. Same protokoły kryptograficzne i technologie sieciowe są oczywiście bezpieczne, ale jak widać po powyższej sprawie, nawet ukrywanie swoich danych osobowych, płacenie za dostęp kryptowalutami, nie jest gwarancją ukrycia swojej tożsamości. Użytkownik VPN po prostu nie ma możliwości sprawdzenia, czy deklaracje operatora są prawdziwe. Zapobiegawczo należy założyć, że operator przechowuje tyle informacji, ile tylko może.

W tej sytuacji pozostaje tylko jedno rozwiązanie: w sytuacjach wymagających najwyższego poziomu prywatności, należy korzystać z VPN przez Tora.

Połączenia przez „cebulowy router” są znacznie wolniejsze niż przez VPN, nie nadają się do sieci P2P, są też często blokowane przez serwisy internetowe. Ich główną zaletą jest to, że nie wymagają obdarzenia kogokolwiek zaufaniem. Łącząc Tora z VPN-em, unikamy problemu blokowania, unikamy ujawniania swojego adresu IP dostawcy VPN. Minusem jest oczywiście to, że takie połączenie będzie wciąż niezbyt szybkie.

Wymaga to oczywiście skonfigurowania klienta VPN tak, by działał z Torem, ale coraz więcej poważnie biorących operatorów VPN oferuje taką możliwość. Których uznać za poważnych? Pomocny będzie przewodnik z ThatOnePrivacySite.net, który ocenia najpopularniejszych dostawców takich usług. My chcemy zwrócić Waszą uwagę na szwedzką usługę Mullvad, która wybija się pod każdym związanym z prywatnością względem (pozwala nawet zapłacić przesłaną w kopercie gotówką), oferuje właśnie też kompatybilność z Torem.

Inni warci uwagi dostawcy, oferujący takie możliwości to Privatoria VPN, AirVPN oraz BolehVPN.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.