VPN använder virtuella serverplatser: Vad du behöver veta

Virtuella privata nätverk (VPN) tillhandahåller en tjänst som låter dig låtsas vara i ett annat land. Detta gör att du kan övervinna alla lokala nätbegränsningar som Internetleverantörer (ISP: er), arbetsplatser och andra nätverksadministratörer sätter på plats. Dessutom tillåter VPN: er att övervinna den censur som många drakoniska regeringar inför. Slutligen tillåter de dig också att (privat och säkert) kringgå geo-restriktioner (geografiska webbplatsbegränsningar), så att du kan få tillgång till utländska tjänster och webbplatsinnehåll.

Tidigare denna månad framkom nyheter om en studie som påstod att VPN-leverantörer (inklusive PureVPN, HMA och ExpressVPN) hade varit oklara om några av deras serverplatser. Detta ledde till en viss negativ reklam om VPN: er, inte bara på grund av en uppfattad brist på transparens utan också på grund av säkerhetsproblem som uppstår genom att avslöja faktiska serverplatser.

Sedan nyheten bröt har ProPrivacy.com samarbetat med säkerhetsexperter och VPN: s inblandade för att få reda på om det har förekommit något fel. Konsumenterna vill veta om de har riskerats. De vill också veta varför VPN: er har gjort detta. Kan det finnas ett legitimt skäl?

Virtuella platser: Varför?

Den ursprungliga rapporten hävdade att VPN inte hade varit tydliga om serverplatser för att se bättre ut än de faktiskt är och få fler kunder. I själva verket är dessa motiv osannade för majoriteten av de aktuella leverantörerna. Vi kommunicerade direkt med ExpressVPN, vilket är det bästa av VPN: er som det hänvisas till i rapporten. Vi frågade varför det påstås ha annonserat falska serverplatser. Svaret klargjorde att det bara hade gjort det för att tillhandahålla en bättre service för konsumenterna.

För det första berättade ExpressVPN att endast 3% av dess servrar (som representerar 1% av dess totala trafik) befinner sig på en annan plats än den som annonseras. I varje enskilt av dessa fall tillhandahöll anslutning till servern en IP-adress belägen på den slutpunktplats som konsumenten ville ha. Detta uppnås med det som kallas ”virtuella serverplatser”. Så berättade ExpressVPN:

”ExpressVPN har stränga standarder för servrar för att säkerställa att användare kan ansluta säkert, tillförlitligt och med konsekvent snabba hastigheter. I vissa länder kan det vara svårt att hitta servrar som uppfyller dessa kvalifikationer. Virtuella serverplatser gör det möjligt för användare att ansluta till sådana länder, medan de fortfarande ger den anslutningskvalitet de förväntar sig från ExpressVPN.

"Till exempel begärde några av våra användare Bangladeshs IP-adresser för att få tillgång till Bangladeshs innehåll, men vi kunde ändå inte hitta pålitliga servrar fysiskt i Bangladesh. För att tillgodose dessa kunders behov och även ge rimlig hastighet och tillförlitlighet beslutade vi att erbjuda en virtuell lösning för dem. Alternativet skulle inte vara att tillhandahålla den här tjänsten alls, eller att tillhandahålla hastigheter på mindre än 1 Mbps från en fysiskt lokaliserad server. "

Expressvpn säkerhet

Omöjliga platser

ExpressVPN har försäkrat oss om att det bara någonsin implementerat virtuella serverplatser som svar på konsumenternas förfrågningar. Dessa konsumenter hade specifikt begärt IP-adresser för endpoint i länder där företaget inte kunde få tillräckligt bra servrar.

ExpressVPN satt kvar med två alternativ: antingen att inte ange en IP-adress i dessa länder; eller för att använda en server i närheten för att tillhandahålla en virtuell serverplats. Den senare gjorde det möjligt för sina prenumeranter att få en IP-adress i önskad endpoint-lokalitet. ExpressVPN beslutade för att tillhandahålla tjänsten. Den visste att det skulle göra det möjligt för människor som behövde använda geobegränsade tjänster från dessa länder.

Virtuella serverplatser

Falska påståenden?

ExpressVPN anser att det tillhandahåller virtuella serverplatser för att förbättra sin tjänst. Företaget berättade för oss att det inte döljer det faktum att det använder virtuella serverplatser:

”Vi har en sida på vår webbplats som förklarar vad virtuella serverplatser är, hur de fungerar och vilka länder som har virtuella serverplatser. En kort beskrivning av virtuella serverplatser och en länk till ovan nämnda sida kan också hittas på serverlistans serverplatser. ”

Problemet med ExpressVPNs kommentar är tyvärr att när du använder programvaran avslöjar det inte att du använder en virtuell serverplats. För mig väcker detta frågor. Mindre tekniska konsumenter antar helt enkelt att deras data behandlas av servrar i det land de valde.

Även tekniska användare måste ha besökt ExpressVPN-webbplatsen och landat på sidan med virtuella servrar för att ta reda på information om dessa virtuella servrar. Detta är långt ifrån idealiskt.

Nyckelfrågor

Säkerhetsimplikationer

Den stora frågan kring denna praxis är om det finns säkerhetsrisker för konsumenterna. Är användare i riskzonen när de ansluter till en serverplats som inte är där de trodde?

För att ge dig ett väl avrundat svar på detta beslutade vi att fråga cybersecurity-experter på några av världens ledande företag som just ifrågasätter. Mark Nunikhoven, VP molnforskning för Trend Micro, berättade för oss:

”En VPN är en krypterad anslutning från användaren till leverantören och sedan gör leverantören utgående anslutningar till resten av internet. Om leverantörens system sitter i ett specifikt land kan det systemet beslagtas, sökas och valfritt antal andra aktiviteter som är lagliga i denna jurisdiktion.

"Att inte veta var din VPN-tjänst är, har definitivt en sekretesspåverkan. Jurisdiktioner har mycket olika integritetsförväntningar och förordningar. Att förvänta sig att ha din integritet skyddad av en jurisdiktion bara för att ta reda på att dina uppgifter sitter i en annan jurisdiktion kan vara katastrofalt. ”

Den känslan förstärktes av Mike Sandhu, Director of Product Management på Norton av Symantec:

”Det kan hända att det kan vara säkerhetsproblem i samband med detta, men att ljuga om en server är också beroende på det eftersom det påverkar VPN-leverantörens trovärdighet. Om det inte avmarkeras kan VPN-tjänster potentiellt visa dina data vid avlastningspunkten och använda dem för en mängd olika syften, inklusive profilering, reklam och till och med hacking.

"I slutändan uppmanas VPN-användare att tro på leverantörer. De litar på att leverantörerna kommer att dirigera sin trafik genom en server i ett land som användaren väljer med en säker anslutning. Det är en tjänst för konsumenterna om en leverantör inte kan eller inte vill göra det. "

ExpressVPN håller dock inte med om denna riskbedömning. De sa till oss:

"Samma säkerhetsnivå gäller alla ExpressVPN-servrar oavsett plats. Vi har flera tekniska åtgärder för att säkerställa att personlig identifierbar information inte loggas eller till och med träffar på en disk, att servrar inte manipuleras med och att vi inte är sårbara för attacker mellan människor. Även i fråga om serverbeslag av en regering riskerar inte ExpressVPN-kunder".

Datakramp

Det huvudsakliga problemet kring virtuella serverplatser är att myndigheterna skulle kunna utnyttja användningsdata. Det kan leda till att en VPN blir en honeypot för myndigheterna i ett visst land. Detta gäller särskilt om till exempel data bearbetas av en VPN-server i USA (där en VPN-leverantör kunde få en garanti och gagorder). Dessutom skulle det vara mer problematiskt om den verkliga VPN-serverplatsen var i ett land som ingår i övervakningsavtalet 5 Eyes, eller i mindre grad 14 Eyes-avtalet.

Så var ligger de verkliga servrarna och är konsumenternas integritet i fara?

ExpressVPN-webbsidan på virtuella serverplatser avslöjar att det totalt finns 29 serverplatser.

Virtualserverlocations 2 01

Lista över virtuella serverplatser för ExpressVPN

  1. Andorra (via Nederländerna)
  2. Armenien (via Nederländerna)
  3. Bangladesh (via Singapore)
  4. Vitryssland (via Nederländerna)
  5. Bhutan (via Singapore)
  6. Bosnien och Hercegovina (via Nederländerna)
  7. Brunei (via Singapore)
  8. Ecuador (via Colombia)
  9. Guatemala (via Colombia)
  10. Indien (via Storbritannien)
  11. Indonesien (via Singapore)
  12. Isle of Man (via Nederländerna)
  13. Jersey (via Nederländerna)
  14. Laos (via Singapore)
  15. Liechtenstein (via Nederländerna)
  16. Macau (via Singapore)
  17. Makedonien (via Nederländerna)
  18. Malta (via Nederländerna)
  19. Monaco (via Nederländerna)
  20. Montenegro (via Nederländerna)
  21. Myanmar (via Singapore)
  22. Nepal (via Singapore)
  23. Pakistan (via Singapore)
  24. Peru (via Colombia)
  25. Filippinerna (via Singapore)
  26. Sri Lanka (via Singapore)
  27. Turkiet (via Nederländerna)
  28. Uruguay (via Argentina)
  29. Venezuela (via Colombia)

Doing the Sums

Med tanke på att ExpressVPN tillhandahåller servrar i 94 länder verkar det vara mycket mer än 3%. Så, vad ger? Det är sant att endast 3% av det totala antalet ExpressVPN: s servrar är virtuella servrar. Det är emellertid också sant att 30,85% av länderna som den tillhandahåller IP-adresser i själva verket använder virtuella servrar.

För mig känns detta som att ExpressVPN använder ett teknik för kryphål för att underligga situationen. Det stör mig när det gäller transparens. Jag är den första som håller med om att ExpressVPN är en toppservice. Det framgår av användarens feedback vi får om tjänsten att det kör ett tätt fartyg. Dessutom har ExpressVPN infrastrukturen på plats för att hantera ett stort antal nya abonnenter på ett adekvat sätt (inte alla VPN: er kan rymma det stora antalet konsumenter som ExpressVPN hanterar - i själva verket är det mycket få som kan).

ExpressVPN har också utmärkt, fullt utrustad programvara. Den har en bra sekretesspolicy och även om den har minimala anslutningsloggar är de aggregerade och kan inte fästas till någon specifik användare. Dessutom tvivlar jag inte på att ExpressVPN i stort sett försökte tillgodose behoven hos konsumenterna (och deras önskan om IP-adresser på specifika platser).

Närmare titt

En närmare titt

Men cybersecurity-experterna på Trend Micro och Symantec har rätt. Att inte veta att du använder en virtuell server är ett säkerhetsproblem. Den exponerar data för andra jurisdiktioner än de du tror behandlar dina uppgifter.

Tack och lov listade åtta av de virtuella serverplatserna processdata i Nederländerna. Det landet är väldigt säkert när det gäller datasekretess.

Singapore, även om det generellt är auktoritärt och hårt när det gäller upphovsrättsskydd, har inte obligatorisk lagring av uppgifter. Det anses också generellt som säkert när det gäller dataskydd, men det är inte idealiskt.

Servrarna i Venezuela, Equador och Guatemala finns faktiskt i Colombia. Med den nuvarande politiska situationen i Venezuela kommer jag att sticka ut min hals och säga att data som lagras i Colombia är en fördel. Jag säger detta trots att Colombia är en fruktansvärd plats för digital integritet. En förutsätter att servern finns där för att ge användare tillräckligt snabba anslutningshastigheter. Annars skulle Colombia vara ett hemskt val. För användare som vill ansluta till Guatemala och Equador är detta inte bra nyheter.

Argentina, där Uruguay-servern är belägen, är också en dålig plats för en VPN-server. Argentina antog obligatoriska lagar om datalagring 2013. Uruguay har mycket bättre datalagar. Som sådan kan detta definitivt ses som ett säkerhetsproblem.

Den indiska IP-adressen som behandlas av UK-servrar ringer inte för många larmklockor. Storbritannien har dock GCHQ, är en aktiv partner i NSA och är medlem i övervakningsavtalet 5 Eyes. Med det i åtanke är det inte idealt men ExpressVPN berättade också för oss att de också har Indien-serverplatser fysiskt i Indien, och att alternativet Indien (via Storbritannien) tydligt märks som sådana i sina appar. Det är därför viktigt för konsumenter som använder den indiska IP-adressen att kontrollera detta så att de kan fatta ett informerat beslut.

Mer öppenhet snälla!

Även om ExpressVPN avslöjar användningen av virtuella servrar och inte döljer det faktum för sina användare, så anser de att jag anser inte att det heller är tillräckligt bra. Öppenhet är oerhört viktigt, särskilt när det gäller konsumenternas digitala integritet.

Av denna anledning uppmanar vi ExpressVPN, HMA, PureVPN och alla andra VPN som använder virtuella serverplatser för att göra det klart vilka servrar som är virtuella och var abonnenter som faktiskt ansluter.

I slutet av dagen är detta inte en skandal. Så vitt jag kan säga har denna praxis inte skadat några konsumenter än. Det finns dock ingen tvekan om att mer transparens skulle vara bra för konsumenterna, bra för VPN: s rykte och bra för VPN-industrin som helhet.

Åsikter är författarens egna.

Bildkrediter: christitzeimaging.com/Shutterstock.com,

Creative Stall / Shutterstock.com, igorstevanovic / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me