Τα VPN είναι πολύ γνωστά, επειδή υποτίθεται ότι ενισχύουν το απόρρητό σας και εμποδίζουν την παρακολούθηση σας.
Στην πραγματικότητα, το “VPN” έχει γίνει μια λέξη από μόνη της, προφέρεται vee-pee-en, και είναι μια πολυσύχναστη αγορά με εταιρείες που διαφημίζονται στο διαδίκτυο, στην τηλεόραση και ακόμη και στα έντυπα μέσα και έχουν ως στόχο τα χρήματα σας.
Τα περισσότερα VPN είναι μια δωρεάν εφαρμογή που μπορείτε να κατεβάσετε από το internet, αλλά συνήθως χρειάζεστε μια συνδρομή επί πληρωμή για να λειτουργήσει ή για να ξεκλειδώσετε premium υπηρεσίες.
Η εφαρμογή θα ανακαλύψει όλη την κυκλοφορία δικτύου μεταξύ της συσκευής σας και των server της εταιρείας και θα σας “απελευθερώσει” στο internet παρουσιάζοντας ότι βρίσκεται κάπου αλλού – ίσως ακόμη και σε διαφορετική χώρα – η οποία πράγματι συγκαλύπτει την πραγματική πηγή των πακέτων δεδομένων σας, και επομένως δυσκολεύει τον εντοπισμό σας.
To ότι συνδέεται με το απόρρητο, φανταζόμαστε ότι προέρχεται από το γεγονός ότι το VPN περιέχει την λέξη «private» στο όνομα του.
Στην πραγματικότητα, το “private” μέρος ενός VPN δεν αφορά στην πραγματικότητα την ανωνυμία. Το P σε VPN αναφέρεται απλώς στην ιδέα της χρήσης ενός δημόσιου (public) δικτύου για τη μετάδοση κίνησης.
Στην πραγματικότητα, εάν έχετε χρησιμοποιήσει ποτέ ένα εταιρικό VPN θα γνωρίζετε καλά ότι το εταιρικό σας VPN σας ταυτοποιεί πλήρως, ίσως με έναν κωδικό πρόσβασης και ένα διακριτικό 2FA , ώστε η εταιρεία να γνωρίζει ποιος είσαι προτού συνδεθείς.
Η επισκεψιμότητά σας είναι ιδιωτική, επειδή τα VPN χρησιμοποιούν κρυπτογράφηση για να προστατεύσουν τα ακατέργαστα πακέτα δικτύου από τον εντοπισμό, αλλά η επισκεψιμότητά σας δεν είναι ανώνυμη όταν βρίσκεστε στο εικονικό δίκτυο της εταιρείας.
Εν ολίγοις, το ίδιο το VPN γνωρίζει ποιος είσαι και βλέπει τι παίρνεις, ακόμα κι αν οι servers μέσω των οποίων ταξιδεύουν τα κρυπτογραφημένα πακέτα VPN δεν το κάνουν.
Και αυτό είναι καλό, επειδή σημαίνει ότι μοιράζεστε μόνο αυτό το εταιρικό δίκτυο με άλλους ανθρώπους που υποτίθεται ότι είναι εκεί και που μπορούν να θεωρηθούν υπεύθυνοι για τη συμπεριφορά τους, παρά με μια τυχαία ομάδα άγνωστων.
Τι γίνεται με τα αρχεία καταγραφής;
Όπως αναφέραμε παραπάνω, τα καταναλωτικά VPN μπορούν να κανονίσουν να αποκρυπτογραφήσουν την επισκεψιμότητά σας και να την εμφανίσουν στο διαδίκτυο πολύ μακριά από το σημείο που βρίσκεστε, οπότε όχι μόνο μεταμφιέζουν τη φυσική σας τοποθεσία (πράγματι βελτιώνει κάπως το απόρρητό σας), αλλά και σας επιτρέπουν να κρύψετε την χώρα διαμονής σας.
Για πολλούς ανθρώπους, αυτή είναι η κύρια αξία μιας προσωπικής υπηρεσίας VPN – τους επιτρέπει να παρακάμψουν τη λογοκρισία που μπορεί να εφαρμοστεί από τους ISP στη χώρα τους και τους επιτρέπει επίσης να παρακάμψουν το λεγόμενο geoblocking που τους βοηθά για παράδειγμα να παρακολουθούν τηλεοπτικές εκπομπές και ταινίες εξωτερικού.
Αλλά αυτό σημαίνει επίσης ότι εμπιστεύεστε πάρα πολύ τον πάροχο VPN, επειδή αυτός ο πάροχος γίνεται ουσιαστικά ο νέος σας ISP, οπότε πρέπει να γνωρίζετε το βαθμό στον οποίο (ή όχι) ακολουθεί τους νόμους στις διάφορες χώρες όπου έχει την έδρα του.
Πολλά VPN σας λένε ότι «δεν διατηρούν καθόλου αρχεία καταγραφής», και ως εκ τούτου ότι δεν θα έχουν τίποτα για εσάς που θα μπορούσαν να παραδώσουν στην επιβολή του νόμου, ακόμη κι αν το ήθελαν.
Ωστόσο, πολλές χώρες διαθέτουν νομικούς μηχανισμούς με τους οποίους διάφορες αρχές – με χωρίς ένταλμα, ανάλογα με τη δικαιοδοσία – μπορούν να υποχρεώσουν έναν πάροχο υπηρεσιών όχι μόνο να αρχίσει να κρατά αρχεία καταγραφής για συγκεκριμένα άτομα, αλλά και να σιωπά για το γεγονός – με άλλα λόγια, είναι πολύ πιθανό να διατηρούν τα logs σας και να μην μπορούν να σας το πουν ακόμη και αν τους τα ζητήσετε.
Φυσικά, ορισμένα VPN θα σας διαβεβαιώσουν ότι αυτό δεν μπορεί να συμβεί επειδή οι εταιρείες τους είναι εγγεγραμμένες σε χώρες όπου δεν υπάρχουν τέτοιες νομικές διατάξεις.
Όμως, οποιοδήποτε VPN γνωρίζει πού βρίσκεστε και, σε κάποιο βαθμό τουλάχιστον, ποιοι είστε ενώ χρησιμοποιείτε το σύστημα και ίσως χρειαστεί να διατηρεί το ποσό των αρχείων καταγραφής στη μνήμη για μερικές ή όλες τις συνδέσεις, απλώς για να κάνει την υπηρεσία να λειτουργεί αξιόπιστα.
Αυτό που πρέπει να υποθέσετε, επομένως, είναι ότι οτιδήποτε γνωρίζουν για την κυκλοφορία σας για σκοπούς χειρισμού ενώ είστε συνδεδεμένοι στο internet δεν αποθηκεύεται ποτέ οπουδήποτε μόνιμα, είτε τυχαία είτε σχεδιαστικά.
Και η ιστορία δείχνει ότι τα εφήμερα δεδομένα – πράγματα που πρέπει να διαγραφούν για πάντα από τη μνήμη όταν δεν χρειάζονται πλέον και δεν γράφονται ποτέ σε δίσκο ή προωθούνται σε άλλον διακομιστή – έχουν έναν τρόπο να επιβιώνουν όταν δεν θα έπρεπε.
Εξάλλου, όπως θα θυμάστε και τώρα πρόσφατα, τόσο η Google όσο και το Facebook παραδέχτηκαν ότι, μερικές φορές, οι κωδικοί πρόσβασης που είχατε πληκτρολογήσει κατά τη διαδικασία σύνδεσης – δεδομένα που έπρεπε να κρατηθούν μόνο στη μνήμη RAM και να καθαριστούν μετά την επικύρωσή τους – είχαν αποθηκευτεί σε αρχεία καταγραφής στα αντίστοιχα συστήματά τους.
Τι συνέβη αυτή τη φορά;
Σύμφωνα με μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα από την VPNMentor, οι ερευνητές της έπεσαν πάνω σε άφθονα αρχεία καταγραφής χρηστών από επτά VPN που λειτουργούν εκτός του Χονγκ Κονγκ.
Η VPNMentor ανέφερε ότι οι επηρεαζόμενες υπηρεσίες είναι οι εξής: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN.
Ψάχνοντας παραπάνω βλέπουμε ότι όλα αυτά τα επτά προϊόντα επαναπροσδιορίστηκαν από έναν κύριο πάροχο – οι υπηρεσίες λογισμικού και πληροφορικής πωλούνται συχνά με αυτόν τον τρόπο, με τον ίδιο (ή πολύ παρόμοιο) κώδικα και συστήματα back-end που αποτελούν τον πυρήνα των προσφορών από διάφορους διαφορετικούς δικαιοδόχους.
Όπως πιθανότατα μαντέψατε, αυτά τα δεδομένα δεν έπρεπε να είναι προσβάσιμα στο κοινό, αλλά εκτέθηκαν μέσω μιας βάσης δεδομένων cloud – της ElasticSearch, σε αυτήν την περίπτωση – που δεν είχε διαμορφωθεί σωστά.
Σύμφωνα με την VPNMentor, εντοπίστηκαν περίπου 1 δισεκατομμύριο καταχωρήσεις βάσης δεδομένων που σχετίζονται με περίπου 20 εκατομμύρια χρήστες, συμπεριλαμβανομένων διαφόρων πεδίων δεδομένων όπως τα παρακάτω:
Αρχεία καταγραφής δραστηριοτήτων, PII (ονόματα, μηνύματα ηλεκτρονικού ταχυδρομείου, διεύθυνση σπιτιού), κωδικοί πρόσβασης cleartext, πληροφορίες πληρωμών Bitcoin, μηνύματα υποστήριξης, πληροφορίες προσωπικής συσκευής, τεχνικές προδιαγραφές, πληροφορίες λογαριασμού, απευθείας σύνδεσμοι API Paypal.
Έτσι φαίνεται πως αυτά τα VPN όχι μόνο συλλέγουν δεδομένα που δεν έπρεπε να διατηρήσουν καθόλου, όπως κωδικούς πρόσβασης, αλλά τα εκθέτουν και δημόσια.
