Sieci VPN używają lokalizacji serwerów wirtualnych: co musisz wiedzieć

Wirtualne sieci prywatne (VPN) zapewniają usługę, która pozwala udawać, że znajduje się w innym kraju. Umożliwia to przezwyciężenie wszelkich ograniczeń sieci lokalnej, które wprowadzają dostawcy usług internetowych (ISP), miejsca pracy i inni administratorzy sieci. Ponadto VPN pozwalają przezwyciężyć cenzurę narzucaną przez wiele drakońskich rządów. Pozwalają również (prywatnie i bezpiecznie) omijać ograniczenia geograficzne (ograniczenia geograficzne na stronie internetowej), aby uzyskać dostęp do zagranicznych usług i treści witryny.


Na początku tego miesiąca pojawiły się informacje o badaniu, w którym twierdzono, że dostawcy VPN (w tym PureVPN, HMA i ExpressVPN) nie byli pewni co do niektórych lokalizacji swoich serwerów. Doprowadziło to do pewnego negatywnego rozgłosu na temat tych sieci VPN, nie tylko z powodu postrzeganego braku przejrzystości, ale również z powodu problemów bezpieczeństwa wynikających z nieujawnienia rzeczywistych lokalizacji serwerów.

Odkąd pojawiły się wiadomości, ProPrivacy.com współpracuje z ekspertami ds. Bezpieczeństwa i zaangażowanymi sieciami VPN w celu ustalenia, czy doszło do jakiegokolwiek wykroczenia. Konsumenci chcą wiedzieć, czy zostali narażeni na ryzyko. Chcą także wiedzieć, dlaczego VPNy to robią. Czy może istnieć uzasadniony powód?

Lokalizacje wirtualne: dlaczego?

Pierwotny raport twierdził, że sieci VPN nie były jasne na temat lokalizacji serwerów, aby wyglądać lepiej niż w rzeczywistości i zdobyć więcej klientów. W rzeczywistości motywy te są nieprawdziwe dla większości dostawców, o których mowa. Komunikowaliśmy się bezpośrednio z ExpressVPN, która jest najlepszą siecią VPN wymienioną w raporcie. Zapytaliśmy, dlaczego rzekomo reklamuje fałszywe lokalizacje serwerów. Odpowiedź wyjaśniła, że ​​uczyniła to tylko w celu zapewnienia lepszej obsługi konsumentów.

Po pierwsze, ExpressVPN powiedział nam, że tylko 3% jego serwerów (reprezentujących 1% całkowitego ruchu) znajduje się w innym miejscu niż ten reklamowany. W każdym z tych przypadków połączenie z serwerem zapewniło adres IP znajdujący się w docelowej lokalizacji docelowej przez konsumenta. Osiąga się to dzięki tak zwanym „lokalizacjom serwerów wirtualnych”. Oto, co powiedział nam ExpressVPN:

„ExpressVPN ma rygorystyczne standardy dla serwerów, aby zapewnić użytkownikom bezpieczne, niezawodne i niezmiennie szybkie połączenia. W niektórych krajach znalezienie serwerów spełniających te kwalifikacje może być trudne. Lokalizacje serwerów wirtualnych umożliwiają użytkownikom łączenie się z takimi krajami, zapewniając jednocześnie jakość połączenia, jakiej oczekują od ExpressVPN.

"Na przykład niektórzy z naszych użytkowników poprosili adresy IP Bangladeszu o dostęp do treści Bangladeszu, ale nie byliśmy w stanie fizycznie znaleźć wiarygodnych serwerów w Bangladeszu. Aby zaspokoić potrzeby tych klientów oraz zapewnić rozsądną szybkość i niezawodność, postanowiliśmy zaoferować im wirtualne rozwiązanie. Alternatywą byłoby w ogóle nie oferowanie tej usługi lub zapewnienie prędkości mniejszej niż 1 Mb / s z fizycznie zlokalizowanego serwera. ”

Bezpieczeństwo Expressvpn

Niemożliwe lokalizacje

ExpressVPN zapewnił nas, że implementował lokalizacje serwerów wirtualnych tylko w odpowiedzi na żądania klientów. Ci konsumenci specjalnie prosili o adresy IP punktów końcowych w krajach, w których firma nie mogła uzyskać wystarczającej liczby serwerów.

ExpressVPN pozostawiono z dwiema opcjami: albo nie podawać adresu IP w tych krajach; lub użyć pobliskiego serwera w celu zapewnienia wirtualnej lokalizacji serwera. Ten ostatni pozwolił abonentom uzyskać adres IP w pożądanej lokalizacji punktu końcowego. ExpressVPN zdecydował się na świadczenie usługi. Wiedział, że dzięki temu ludzie, którzy będą musieli korzystać z usług ograniczonych geograficznie z tych krajów, będą mogli to zrobić.

Lokalizacje serwerów wirtualnych

Fałszywe zarzuty?

ExpressVPN uważa, że ​​zapewnia lokalizacje serwerów wirtualnych w celu ulepszenia swoich usług. Firma powiedziała nam, że nie ukrywa faktu, że korzysta z lokalizacji serwerów wirtualnych:

„W naszej witrynie znajduje się strona wyjaśniająca, jakie są lokalizacje serwerów wirtualnych, jak działają i jakie kraje mają lokalizacje serwerów wirtualnych. Krótki opis lokalizacji serwerów wirtualnych i link do wyżej wymienionej strony można również znaleźć na stronie z listą lokalizacji serwerów. ”

Niestety problem z komentarzem ExpressVPN polega na tym, że podczas korzystania z jego oprogramowania nie ujawnia on, że używasz lokalizacji serwera wirtualnego. Dla mnie rodzi to pytania. Mniej zaawansowani klienci po prostu zakładają, że ich dane są przetwarzane przez serwery w wybranym przez nich kraju.

Nawet zaawansowani użytkownicy musieliby odwiedzić witrynę ExpressVPN i wylądować na stronie serwerów wirtualnych, aby uzyskać informacje na temat tych serwerów wirtualnych. To jest dalekie od ideału.

Kluczowe obawy

Implikacje bezpieczeństwa

Wielkim pytaniem związanym z tą praktyką jest to, czy konsumenci ponoszą ryzyko związane z bezpieczeństwem. Użytkownicy są narażeni na ryzyko, gdy łączą się z lokalizacją serwera, która nie jest tam, gdzie myśleli?

Aby udzielić ci wyczerpującej odpowiedzi na to pytanie, postanowiliśmy zapytać o to ekspertów z cyberbezpieczeństwa w wiodących firmach na świecie. Mark Nunikhoven, wiceprezes ds. Badań w chmurze dla Trend Micro, powiedział nam:

„VPN to szyfrowane połączenie między użytkownikiem a dostawcą, a następnie dostawca wykonuje połączenia wychodzące z resztą Internetu. Jeśli system dostawcy znajduje się w określonym kraju, można go przejąć, przeszukać i dowolną liczbę innych działań legalnych w tej jurysdykcji.

"Brak znajomości lokalizacji Twojej usługi VPN z pewnością ma wpływ na prywatność. Jurysdykcje mają bardzo różne oczekiwania dotyczące prywatności i przepisy. Oczekiwanie, że Twoja prywatność będzie chroniona przez jedną jurysdykcję, a dowiesz się, że Twoje dane znajdują się w innej jurysdykcji, może być katastrofalne ”.

Ten sentyment wzmocnił Mike Sandhu, dyrektor ds. Zarządzania produktem w Norton przez Symantec:

„Możliwe, że związane są z tym problemy związane z bezpieczeństwem, ale kłamstwo na temat lokalizacji serwera jest również niepokojące, ponieważ wpływa to na wiarygodność dostawcy VPN. Jeśli nie zostanie zaznaczone, usługi VPN mogą potencjalnie wyświetlać dane w punkcie odciążenia i wykorzystywać je do różnych celów, w tym profilowania, reklamy, a nawet hakowania.

"Ostatecznie użytkownicy VPN proszeni są o zaufanie do dostawców. Ufają, że dostawcy będą kierować swój ruch przez serwer w kraju wybranym przez użytkownika za pomocą bezpiecznego połączenia. To szkoda dla konsumentów, jeśli dostawca nie jest w stanie lub nie chce tego zrobić ”.

Jednak ExpressVPN nie zgadza się z tą oceną ryzyka. Oni nam powiedzieli:

"Ten sam poziom bezpieczeństwa dotyczy wszystkich serwerów ExpressVPN niezależnie od lokalizacji. Wprowadziliśmy wiele środków technologicznych, aby zapewnić, że dane osobowe nie są rejestrowane, a nawet nie trafiają na dysk, że serwery nie są modyfikowane i że nie jesteśmy narażeni na ataki typu man-in-the-middle. Nawet w przypadku zajęcia serwera przez rząd klienci ExpressVPN nie są narażeni na ryzyko".

Przechwycenie danych

Główny problem związany z lokalizacjami serwerów wirtualnych polega na tym, że władze mogą przejąć dane o użytkowaniu. Może to doprowadzić do tego, że VPN stanie się honeypotem dla władz danego kraju. Byłoby to szczególnie niepokojące, jeśli na przykład dane byłyby przetwarzane przez serwer VPN w Stanach Zjednoczonych (gdzie dostawcy VPN mogliby zostać doręczeni nakaz i nakaz). Ponadto bardziej problematyczne byłoby, gdyby prawdziwa lokalizacja serwera VPN znajdowała się w kraju objętym umową o nadzorze 5 Eyes lub, w mniejszym stopniu, umową o 14 Eyes.

Gdzie znajdują się prawdziwe serwery i czy zagrożona jest prywatność konsumentów?

Strona ExpressVPN na lokalizacjach serwerów wirtualnych pokazuje, że łącznie jest 29 lokalizacji serwerów.

Virtualserverlocations 2 01

Lista lokalizacji serwerów wirtualnych ExpressVPN

  1. Andora (przez Holandię)
  2. Armenia (przez Holandię)
  3. Bangladesz (przez Singapur)
  4. Białoruś (przez Holandię)
  5. Bhutan (przez Singapur)
  6. Bośnia i Hercegowina (przez Holandię)
  7. Brunei (przez Singapur)
  8. Ekwador (przez Kolumbię)
  9. Gwatemala (przez Kolumbię)
  10. Indie (przez Wielką Brytanię)
  11. Indonezja (przez Singapur)
  12. Wyspa Man (przez Holandię)
  13. Jersey (przez Holandię)
  14. Laos (przez Singapur)
  15. Liechtenstein (przez Holandię)
  16. Makau (przez Singapur)
  17. Macedonia (przez Holandię)
  18. Malta (przez Holandię)
  19. Monako (przez Holandię)
  20. Czarnogóra (przez Holandię)
  21. Birma (przez Singapur)
  22. Nepal (przez Singapur)
  23. Pakistan (przez Singapur)
  24. Peru (przez Kolumbię)
  25. Filipiny (przez Singapur)
  26. Sri Lanka (przez Singapur)
  27. Turcja (przez Holandię)
  28. Urugwaj (przez Argentynę)
  29. Wenezuela (przez Kolumbię)

Robić sumy

Biorąc pod uwagę, że ExpressVPN zapewnia serwery w 94 krajach, wydaje się, że jest to znacznie więcej niż 3%. Co więc daje? Cóż, prawdą jest, że tylko 3% całkowitej liczby serwerów ExpressVPN to serwery wirtualne. Jednak prawdą jest również to, że 30,85% krajów, dla których zapewnia adresy IP, w rzeczywistości korzysta z serwerów wirtualnych.

Dla mnie to wydaje się, że ExpressVPN wykorzystuje lukę techniczną, aby nie uwzględniać sytuacji. Martwi mnie to pod względem przejrzystości. Jestem pierwszym, który zgodził się, że ExpressVPN jest usługą najwyższej klasy. Z opinii użytkowników wynika, że ​​usługa ta zapewnia ciasny statek. Ponadto ExpressVPN ma odpowiednią infrastrukturę, aby odpowiednio radzić sobie z dużą liczbą nowych subskrybentów (nie wszystkie sieci VPN mogą pomieścić dużą liczbę klientów, z którymi ExpressVPN radzi sobie - w rzeczywistości bardzo niewielu może).

ExpressVPN posiada również doskonałe, w pełni funkcjonalne oprogramowanie. Ma dobrą politykę prywatności i chociaż utrzymuje minimalne dzienniki połączeń, są one agregowane i nie można ich przypiąć do żadnego konkretnego użytkownika. Ponadto nie mam wątpliwości, że ogólnie ExpressVPN starał się zaspokoić potrzeby konsumentów (i ich pragnienie adresów IP w określonych lokalizacjach).

Bliższe spojrzenie

Bliższe spojrzenie

Jednak eksperci od cyberbezpieczeństwa w Trend Micro i Symantec mają rację. Brak wiedzy o tym, że korzystasz z serwera wirtualnego, stanowi problem bezpieczeństwa. Udostępnia dane innym jurysdykcjom niż te, które Twoim zdaniem przetwarzają Twoje dane.

Na szczęście osiem lokalizacji serwerów wirtualnych zawierało dane przetwarzania w Holandii. Ten kraj jest bardzo bezpieczny pod względem prywatności danych.

Singapur, choć ogólnie autorytarny i surowy w zakresie ochrony praw autorskich, nie ma obowiązkowych przepisów dotyczących zatrzymywania danych. Jest również ogólnie uważany za bezpieczny pod względem prywatności danych, ale nie jest idealny.

Serwery Wenezueli, Equadoru i Gwatemali znajdują się w Kolumbii. Biorąc pod uwagę obecną sytuację polityczną w Wenezueli, wyciągnę szyję i powiem, że przechowywanie danych w Kolumbii jest zaletą. Mówię to pomimo faktu, że Kolumbia to straszne miejsce dla cyfrowej prywatności. Zakłada się, że serwer znajduje się tam, aby zapewnić użytkownikom wystarczająco szybkie prędkości połączenia. W przeciwnym razie Kolumbia byłaby okropnym wyborem. Dla użytkowników chcących połączyć się z Gwatemalą i Equadorem nie jest to dobra wiadomość.

Argentyna, gdzie znajduje się serwer Urugwaju, jest również złym miejscem dla serwera VPN. Argentyna przyjęła obowiązkowe przepisy dotyczące zatrzymywania danych w 2013 r. Urugwaj ma znacznie lepsze przepisy dotyczące prywatności danych. Jako takie, z pewnością może to być postrzegane jako zagrożenie bezpieczeństwa.

Indyjski adres IP przetwarzany przez serwery w Wielkiej Brytanii nie dzwoni zbyt wiele dzwonków alarmowych. Jednak Wielka Brytania ma GCHQ, jest aktywnym partnerem NSA i jest członkiem umowy o nadzorze 5 Eyes. Mając to na uwadze, nie jest to idealne, jednak ExpressVPN powiedział nam, że mają także fizyczne lokalizacje serwerów w Indiach, również w Indiach, oraz że opcja Indie (przez Wielką Brytanię) jest wyraźnie oznaczona jako taka w swoich aplikacjach. Dlatego ważne jest, aby konsumenci korzystający z indyjskiego adresu IP sprawdzili to, aby mogli podjąć świadomą decyzję.

Proszę o większą przejrzystość!

Mimo że ExpressVPN ujawnia wykorzystanie serwerów wirtualnych i nie ukrywa tego faktu przed użytkownikami, moim zdaniem też nie reklamują go wystarczająco dobrze. Przejrzystość jest niezwykle ważna, szczególnie gdy dotyczy prywatności cyfrowej konsumentów.

Z tego powodu zalecamy ExpressVPN, HMA, PureVPN i wszelkie inne sieci VPN korzystające z lokalizacji serwerów wirtualnych, aby wyjaśnić, które serwery są wirtualne i gdzie faktycznie łączą się subskrybenci.

Ostatecznie to nie jest skandal. O ile wiem, ta praktyka nie zaszkodziła jeszcze żadnym konsumentom. Nie ma jednak wątpliwości, że większa przejrzystość byłaby korzystna dla konsumentów, dobra dla reputacji VPN i dobra dla całej branży VPN.

Opinie należą do autora.

Zdjęcia: christitzeimaging.com/Shutterstock.com,

Creative Stall / Shutterstock.com, igorstevanovic / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me