PureVPN zbierał adresy IP swoich użytkowników. Której usłudze VPN zaufać?
PureVPN należy do najbardziej znanych płatnych dostawcówwirtualnych sieci prywatnych, oferując nie tylko dobrąprzepustowość łączy, ale i oferując do wyboru ponad 750 serwerówwyjściowych ze 140 krajów. Operator obiecuje przy tym dbałość opełną prywatność, zapewnia, że nie loguje adresów IP swoichużytkowników. Czego więc chcieć więcej? Ano choćbydotrzymywania słowa. PureVPN wprowadzało swoich klientów w błąd,przechowując logi ich aktywności, o czym świadczą dokumentysądowe, które ujawniono w sprawie przeciwko aresztowanemu przez FBIcyberstalkerowi.
W ostatni czwartek amerykańska policja federalna aresztowałaniejakiego Ryana S. Lina z miasta Newton w stanie Massachusetts,oskarżonego o prowadzenie „rozległej kampanii cyberstalkingowej”przeciwko swojej byłej współlokatorce, jej rodzinie iprzyjacielach. Według prokuratury, ta „wielowymiarowa kampaniahakerstwa i cybestalkingu” rozpoczęła się w kwietniu 2016 roku,kiedy oskarżony zaczął włamywać się do kont ofiary w serwisachspołecznościowych, uzyskując jej osobiste zdjęcia, poufneinformacje medyczne, informacje zwiazane z życiem seksualnym i inneprywatne dane. Po uzyskaniu tych materiałów, Lin rozpowszechniałje w sieci – tworząc fałszywe profile ofiary z seksualnymipropozycjami, by zwabić do jej domu przypadkowych mężczyzn.
Prokuratura twierdzi, że Lin tę „niestrudzoną kampanięcyberstalkingu przeciwko młodej kobiecie” prowadził zwykorzystaniem narzędzi anonimizacyjnych i innych usług online, abyuniknąć ujawnienia swojej tożsamości. Zaczynając odprześladowania samej ofiary, rozszerzył swoją działalność najej rodzinę, przyjaciół, współpracowników, współlokatorów, anastępnie nawet lokalne szkoły i inne instytucje w jejspołeczności. Zidentyfikowany przez FBI, „odpowie teraz za swojezbrodnie”.
Po nitce do kłębka
Nie pierwsza taka sprawa i nie ostatnia w Internecie,obsesjonistów nigdy nie brakowało. Możliwe nawet, że tak szerokozakrojony cyberstalking nie był dziełem jednej osoby, ale całejgrupy znudzonych internetowych trolli, których przecież łatwopozyskać do tego typu akcji. Póki co jednak Ryan S. Lin jestjedynym, którego oskarżono. W tym oskarżeniu zauważono jednak cośbardzo ciekawego, coś, co zwróciło szczególną uwagęzainteresowanych cyberbezpieczeństwem.
Prowadzący śledztwo agent specjalny Jeffrey Williams, któryprzedstawił sądowi zgromadzone dowody, wyjaśnia w nich, żepodejrzany jest kompetentnym technicznie absolwentem informatyki,który wykorzystywał różne techniki anonimizacji do ukrycia swojejtożsamości i adresu IP, obejmujące Tora, usługi VPN oraz nieprzechowujących logów dostawców poczty elektronicznej. Jak w takimrazie Ryan S. Lin został schwytany?
Nie wygląda na to, by FBI złamało kryptograficznezabezpieczenia. Lin był i tak jednym z głównych podejrzanych,zachowując się w agresywny sposób wobec swojej ofiary także wświecie fizycznym. Policji udało się też przejąć komputer,używany przez niego w poprzedniej pracy. Mimo że przeinstalowano nanim system, nie zrobiono tego w sposób bezpieczny, więc śledczymudało się odtworzyć cache i historię przeglądarki Chrome,potwierdzające że przeglądał artykuły o groźbach zamachówbombowych, jakich miał dokonać, jak również uzyskał dostęp dokonta Gmail ofiary poprzez usługę VPN.
Tą usługą było PureVPN – działająca w Hongkongu od 2006roku firma, która oferuje jedną z najbardziej rozległych,samodzielnie zarządzanych wirtualnych sieci prywatnych, firmę,która utrzymuje od samego początku, że prowadzi politykę„zerowego logowania” – nie zapisuje niczego.
Tymczasem FBI bez problemu uzyskało od dostawcy bardzo przydatnedla śledztwa informacje. Ujawniło, że dostęp do ich usług miałten sam klient, korzystający z dwóch adresów IP – jednego zdomu, w którym Lin wówczas mieszkał, drugiego z firmy, w którejwówczas pracował. Skąd takie informacje u operatora, któryzapewnia, że stosuje proaktywne, zaawansowane funkcje na rzeczpełnego bezpieczeństwa, który nie współpracuje z żadnymifirmami trzecimi i nie loguje żadnych aktywności?
Mityczna anonimowość?
Zaglądając do zapisów polityki prywatności widać jednak, żeto „zerowe logowanie” nie jest takie zerowe. W imię utrzymaniajakości usług PureVPN rejestruje czas połączenia z serwerem, anastępnie zachowuje czas trwania połączenia oraz ilość ruchusieciowego w nim wykorzystanego. FBI twierdzi jednak coś więcej.PureVPN miało dać im nie tylko adresy IP z domu i pracypodejrzanego, ale też adres IP innej usługi VPN, która miała byćwykorzystana do pośredniego połączenia – i wcześniejwykorzystana do łączenia się z kontami Gmail ofiary. Wątpimy, byFBI informacje te sobie zmyśliło.
Jak widać, nawet obiecujący pełną anonimowość dostawca VPN-unie może być obdarzony zaufaniem. Same protokoły kryptograficzne itechnologie sieciowe są oczywiście bezpieczne, ale jak widać popowyższej sprawie, nawet ukrywanie swoich danych osobowych, płacenieza dostęp kryptowalutami, nie jest gwarancją ukrycia swojejtożsamości. Użytkownik VPN po prostu nie ma możliwościsprawdzenia, czy deklaracje operatora są prawdziwe. Zapobiegawczonależy założyć, że operator przechowuje tyle informacji, iletylko może.
W tej sytuacji pozostaje tylko jedno rozwiązanie: w sytuacjachwymagających najwyższego poziomu prywatności, należy korzystać zVPN przez Tora.
Połączenia przez „cebulowy router” są znacznie wolniejszeniż przez VPN, nie nadają się do sieci P2P, są też częstoblokowane przez serwisy internetowe. Ich główną zaletą jest to,że nie wymagają obdarzenia kogokolwiek zaufaniem. Łącząc Tora zVPN-em, unikamy problemu blokowania, unikamy ujawniania swojegoadresu IP dostawcy VPN. Minusem jest oczywiście to, że takiepołączenie będzie wciąż niezbyt szybkie.
Wymaga to oczywiście skonfigurowania klienta VPN tak, by działałz Torem, ale coraz więcej poważnie biorących operatorów VPNoferuje taką możliwość. Których uznać za poważnych? Pomocnybędzie przewodnik z ThatOnePrivacySite.net,który ocenia najpopularniejszych dostawców takich usług. My chcemyzwrócić Waszą uwagę na szwedzką usługę Mullvad,która wybija się pod każdym związanym z prywatnością względem(pozwala nawet zapłacić przesłaną w kopercie gotówką), oferujewłaśnie też kompatybilność z Torem.
Inni warci uwagi dostawcy, oferujący takie możliwości to Privatoria VPN, AirVPN oraz BolehVPN.