VPN’er bruger virtuelle serverplaceringer: Hvad du skal vide

Virtuelle private netværk (VPN'er) leverer en service, der giver dig mulighed for at foregive at være i et andet land. Dette giver dig mulighed for at overvinde alle lokale netværksbegrænsninger, som internetudbydere (ISP'er), arbejdspladser og andre netværksadministratorer har indført. Derudover giver VPN dig mulighed for at overvinde den censur, som mange drakoniske regeringer pålægger. Endelig giver de dig også mulighed for (privat og sikkert) at omgå geobegrænsninger (geografiske webstedsbegrænsninger), så du kan få adgang til udenlandske tjenester og webstedsindhold.

Tidligere denne måned kom der nyheder om en undersøgelse, der hævdede, at VPN-udbydere (inklusive PureVPN, HMA og ExpressVPN) havde været uklare om nogle af deres serverplaceringer. Dette førte til en vis negativ reklame om disse VPN'er, ikke kun på grund af en opfattet mangel på gennemsigtighed, men også på grund af sikkerhedsproblemer, der opstår som følge af ikke-afsløringen af ​​faktiske serverplaceringer.

Siden nyheden brød, har ProPrivacy.com samarbejdet med sikkerhedseksperter og de involverede VPN'er for at undersøge, om der har været noget forkert. Forbrugerne vil vide, om de er sat i fare. De vil også vide, hvorfor VPN'er har gjort dette. Kan der være en legitim grund?

Virtuelle placeringer: Hvorfor?

Den oprindelige rapport hævdede, at VPN'er ikke havde været klar over serverplaceringer for at se bedre ud end de faktisk er og få flere kunder. I virkeligheden er disse motiver usande for de fleste af de pågældende udbydere. Vi kommunikerede direkte med ExpressVPN, som er den bedste af de VPN'er, der er nævnt i rapporten. Vi spurgte, hvorfor det angiveligt havde annonceret falske serverplaceringer. Svaret gjorde det klart, at det kun havde gjort det for at yde en bedre service for forbrugerne.

For det første fortalte ExpressVPN, at kun 3% af dets servere (der repræsenterer 1% af dets samlede trafik) befinder sig et andet sted end det, der blev annonceret. I hvert enkelt af disse tilfælde leverede forbindelse til serveren en IP-adresse placeret i det endepunkt, som forbrugeren ønskede. Dette opnås med det, der benævnes "virtuelle serverplaceringer". Dette er, hvad ExpressVPN fortalte os:

”ExpressVPN har strenge standarder for servere for at sikre, at brugere er i stand til at oprette forbindelse sikkert, pålideligt og ved konstant hurtige hastigheder. I nogle lande kan det være vanskeligt at finde servere, der opfylder disse kvalifikationer. Virtuelle serverplaceringer gør det muligt for brugere at oprette forbindelse til sådanne lande, mens de stadig leverer den forbindelseskvalitet, de forventer af ExpressVPN.

"For eksempel anmodede nogle af vores brugere Bangladeshs IP-adresser om at få adgang til Bangladeshs indhold, men alligevel kunne vi ikke finde pålidelige servere fysisk i Bangladesh. For at imødekomme disse kunders behov og også give rimelig hastighed og pålidelighed besluttede vi at tilbyde en virtuel løsning til dem. Alternativet er overhovedet ikke at levere denne service eller levere hastigheder på mindre end 1 Mbps fra en fysisk placeret server. ”

Expressvpn sikkerhed

Umulige placeringer

ExpressVPN har forsikret os om, at det kun nogensinde har implementeret virtuelle serverplaceringer som svar på anmodninger fra forbrugere. Disse forbrugere havde specifikt bedt om IP-adresser for endpoint i lande, hvor firmaet ikke kunne få gode nok servere.

ExpressVPN havde to muligheder: enten ikke at angive en IP-adresse i disse lande; eller til at bruge en server i nærheden til at give en virtuel serverplacering. Sidstnævnte gjorde det muligt for sine abonnenter at få en IP-adresse i den ønskede slutpunkt lokalitet. ExpressVPN besluttede for at levere tjenesten. Den vidste, at det ville gøre det muligt for mennesker, der havde brug for at bruge geobegrænsede tjenester fra disse lande.

Virtuelle serverplaceringer

Falske påstande?

ExpressVPN mener, at det leverer virtuelle serverplaceringer til forbedring af sin service. Virksomheden fortalte os, at det ikke skjuler det faktum, at det bruger virtuelle serverplaceringer:

”Vi har en side på vores hjemmeside, der forklarer, hvad virtuelle serverplaceringer er, hvordan de fungerer, og hvilke lande der har virtuelle serverplaceringer. En kort beskrivelse af virtuelle serverplaceringer og et link til ovennævnte side findes også på serverlistens serverplaceringer. ”

Desværre er problemet med ExpressVPNs kommentar, at når du bruger dets software, afslører det ikke, at du bruger en virtuel serverplacering. For mig rejser dette spørgsmål. Mindre tekniske kunder vil ganske enkelt antage, at deres data behandles af servere i det land, de valgte.

Selv tekniske brugere skulle have besøgt ExpressVPN-webstedet og landet på siden med virtuelle servere for at finde ud af oplysninger om disse virtuelle servere. Dette er langt fra ideelt.

Nøgleproblemer

Sikkerhedsmæssige implikationer

Det store spørgsmål omkring denne praksis er, om der er sikkerhedsrisici forbundet med forbrugerne. Er brugerne i fare, når de opretter forbindelse til en serverplacering, der ikke er, hvor de troede?

For at give dig et afrundet svar på dette besluttede vi at stille cybersecurity-eksperter til nogle af verdens førende firmaer, netop dette spørgsmål. Mark Nunikhoven, VP skyforskning for Trend Micro, fortalte os:

”En VPN er en krypteret forbindelse fra brugeren til udbyderen, og derefter foretager udbyderen de udgående forbindelser til resten af ​​internettet. Hvis udbyderens system sidder i et specifikt land, kan dette system beslaglægges, søges og ethvert antal andre aktiviteter, der er lovlige i denne jurisdiktion.

"Hvis du ikke kender placeringen af ​​din VPN-service, har det bestemt en indflydelse på privatlivet. Jurisdiktioner har meget forskellige forventninger til og privatlivets fred. At forvente at have dit privatliv beskyttet af en jurisdiktion kun for at finde ud af, at dine data sidder i en anden jurisdiktion, kan være katastrofalt. ”

Denne følelse blev forstærket af Mike Sandhu, direktør for produktstyring i Norton af Symantec:

”Det er muligt, at der kan være sikkerhedsproblemer, der er forbundet med dette, men at lyve om placeringen af ​​en server er også bekymrende, fordi det påvirker VPN-udbyderens troværdighed. Hvis VPN-tjenester ikke er markeret, kan de potentielt se dine data ved offload-punkt og bruge dem til en række forskellige formål, herunder profilering, reklame og endda hacking.

"I sidste ende bliver VPN-brugere bedt om at sætte deres tro på udbydere. De har tillid til, at udbyderne dirigerer deres trafik gennem en server i et land, som brugeren vælger med en sikker forbindelse. Det er en bjørnetjeneste for forbrugerne, hvis en udbyder ikke er i stand eller uvillig til at gøre dette. ”

ExpressVPN er imidlertid uenig i denne risikovurdering. De fortalte os:

"Det samme sikkerhedsniveau gælder for alle ExpressVPN-servere uanset placering. Vi har flere teknologiske forholdsregler for at sikre, at personligt identificerbare oplysninger ikke logges eller endda rammer en disk, at servere ikke er manipuleret med, og at vi ikke er sårbare over for mellem-og-mellem-angreb. Selv i tilfælde af serverbeslag fra en regering udsættes ExpressVPN-kunder ikke for fare".

Datakrampe

Det største problem omkring virtuelle serverplaceringer er, at myndighederne kunne beslaglægge brugsdata. Det kan føre til, at en VPN bliver en honeypot for myndighederne i et bestemt land. Dette vil især vedrøre, hvis for eksempel data blev behandlet af en VPN-server i USA (hvor en VPN-udbyder kunne få serveret en warrant og gag-ordre). Derudover ville det være mere problematisk, hvis den rigtige VPN-serverplacering var i et land, der er en del af 5 Eyes-overvågningsaftalen, eller i mindre grad 14 Eyes-aftalen.

Så hvor er de rigtige servere placeret, og er forbrugernes privatliv i fare?

ExpressVPN-websiden på virtuelle serverplaceringer afslører, at der i alt er 29 serverplaceringer.

Virtuel serverlokation 2 01

Liste over ExpressVPN-virtuelle serverplaceringer

  1. Andorra (via Holland)
  2. Armenien (via Holland)
  3. Bangladesh (via Singapore)
  4. Hviderusland (via Holland)
  5. Bhutan (via Singapore)
  6. Bosnien-Hercegovina (via Holland)
  7. Brunei (via Singapore)
  8. Ecuador (via Colombia)
  9. Guatemala (via Colombia)
  10. Indien (via Storbritannien)
  11. Indonesien (via Singapore)
  12. Isle of Man (via Holland)
  13. Jersey (via Holland)
  14. Laos (via Singapore)
  15. Liechtenstein (via Nederlandene)
  16. Macau (via Singapore)
  17. Makedonien (via Holland)
  18. Malta (via Holland)
  19. Monaco (via Holland)
  20. Montenegro (via Holland)
  21. Myanmar (via Singapore)
  22. Nepal (via Singapore)
  23. Pakistan (via Singapore)
  24. Peru (via Colombia)
  25. Filippinerne (via Singapore)
  26. Sri Lanka (via Singapore)
  27. Tyrkiet (via Holland)
  28. Uruguay (via Argentina)
  29. Venezuela (via Colombia)

Gør summen

I betragtning af at ExpressVPN leverer servere i 94 lande, ser det ud til at være meget mere end 3%. Så hvad giver? Det er rigtigt, at kun 3% af det samlede antal ExpressVPN's servere er virtuelle servere. Det er dog også sandt, at 30,85% af de lande, det leverer IP-adresser til, i virkeligheden bruger virtuelle servere.

For mig føles dette som om ExpressVPN bruger en smuthulstekniskhed til at underbygge situationen. Det generer mig med hensyn til gennemsigtighed. Jeg er den første til at acceptere, at ExpressVPN er en top-end-tjeneste. Det fremgår af brugerens feedback, vi får om tjenesten, at det kører et stramt skib. Derudover har ExpressVPN den infrastruktur, der er tilstrækkelig til at klare et stort antal nye abonnenter (ikke alle VPN'er kan rumme det store antal forbrugere, som ExpressVPN klarer - faktisk er det meget få, der kan).

ExpressVPN har også fremragende, fuldt udstyret software. Det har en god politik til beskyttelse af personlige oplysninger, og selv om den holder minimale forbindelseslogfiler, er disse samlet og kan ikke fastgøres til en bestemt bruger. Derudover tvivler jeg ikke på, at ExpressVPN samlet set forsøgte at imødekomme forbrugernes behov (og deres ønske om IP-adresser på bestemte placeringer).

Tættere på

Et nærmere look

Cybersecurity-eksperterne hos Trend Micro og Symantec har dog ret. At ikke vide, at du bruger en virtuel server, er et sikkerhedsproblem. Det udsætter data for forskellige jurisdiktioner end dem, du mener at behandler dine data.

Heldigvis listede otte af de virtuelle serverplaceringer procesdata i Holland. Dette land er meget sikkert med hensyn til databeskyttelse.

Selvom Singapore generelt er autoritær og hård på beskyttelsen af ​​ophavsretten, er der ikke obligatorisk lov om opbevaring af data. Det betragtes også generelt som sikkert med hensyn til databeskyttelse, men det er ikke ideelt.

Serverne i Venezuela, Equador og Guatemala er faktisk i Colombia. Med den nuværende politiske situation i Venezuela vil jeg stikke min hals ud og sige, at data, der gemmes i Colombia, er en fordel. Jeg siger dette på trods af det faktum, at Colombia er et forfærdeligt sted for digitalt privatliv. Man antager, at serveren er placeret der for at give brugerne hurtige tilslutningshastigheder. Ellers ville Colombia være et forfærdeligt valg. For brugere, der ønsker at oprette forbindelse til Guatemala og Equador, er dette ikke gode nyheder.

Argentina, hvor Uruguay-serveren er placeret, er også et dårligt sted for en VPN-server. Argentina vedtog obligatoriske love om datalagring i 2013. Uruguay har meget bedre lovgivning om databeskyttelse. Som sådan kan dette bestemt ses som et sikkerhedsmæssigt problem.

Den indiske IP-adresse, der behandles af britiske servere, ringer ikke for mange alarmklokker. Det Forenede Kongerige har imidlertid GCHQ, er en aktiv partner i NSA og er medlem af 5 Eyes-overvågningsaftalen. Med det i tankerne er det ikke ideelt, men ExpressVPN fortalte os, at de også har indiske serverplaceringer fysisk også i Indien, og at indstillingen Indien (via UK) klart er mærket som sådan i deres apps. Det er derfor vigtigt for forbrugere, der bruger den indiske IP-adresse, at kontrollere dette, så de kan tage en informeret beslutning.

Mere gennemsigtighed tak!

Selvom ExpressVPN afslører brugen af ​​virtuelle servere og ikke skjuler denne kendsgerning for sine brugere, reklamerer de efter min mening heller ikke det godt. Gennemsigtighed er utroligt vigtigt, især når det drejer sig om forbrugernes digitale privatliv.

Af denne grund opfordrer vi ExpressVPN, HMA, PureVPN og alle andre VPN'er, der bruger virtuelle serverplaceringer for at gøre det nøjagtigt, hvilke servere der er virtuelle, og hvor abonnenter faktisk forbinder.

I slutningen af ​​dagen er dette ikke en skandale. Så vidt jeg kan sige, har denne praksis ikke skadet nogen forbrugere endnu. Der er dog ingen tvivl om, at mere gennemsigtighed ville være godt for forbrugerne, godt for VPN'ernes omdømme og godt for VPN-branchen som helhed.

Meningerne er forfatterens egne.

Billedkreditter: christitzeimaging.com/Shutterstock.com,

Creative Stall / Shutterstock.com, igorstevanovic / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me