VPN-er bruker virtuelle serverplasser: Det du trenger å vite

Virtuelle private nettverk (VPN) tilbyr en tjeneste som lar deg late som du er i et annet land. Dette lar deg overvinne alle lokale nettverksbegrensninger som Internett-leverandører (ISP), arbeidsplasser og andre nettverksadministratorer har på plass. I tillegg lar VPN deg overvinne sensuren som mange drakoniske regjeringer pålegger. Til slutt tillater de deg også (privat og sikkert) å omgå geobegrensninger (geografiske begrensninger på nettstedet), slik at du får tilgang til utenlandske tjenester og innhold på nettstedet.

Tidligere denne måneden dukket det opp nyheter om en studie som hevdet at VPN-leverandører (inkludert PureVPN, HMA og ExpressVPN) hadde vært uklare om noen av serverplasseringene sine. Dette førte til en viss negativ omtale om disse VPN-ene, ikke bare på grunn av en opplevd mangel på åpenhet, men også på grunn av sikkerhetsproblemer som oppstår som følge av ikke-avsløringen av faktiske serverplasseringer..

Siden nyhetene brøt har ProPrivacy.com samarbeidet med sikkerhetseksperter og VPN-er involvert for å undersøke om det har skjedd noe som helst feil. Forbrukerne vil vite om de er blitt utsatt for fare. De vil også vite hvorfor VPN-er har gjort dette. Kan det være en legitim grunn?

Virtuelle steder: Hvorfor?

Den opprinnelige rapporten hevdet at VPN ikke hadde vært klar over serverplasseringer for å se bedre ut enn de faktisk er og få flere kunder. I virkeligheten er disse motivene usanne for de fleste leverandørene det gjelder. Vi kommuniserte direkte med ExpressVPN, som er den beste av VPN-ene som det er referert til i rapporten. Vi spurte hvorfor det angivelig hadde annonsert falske serverplasser. Svaret gjorde det klart at det bare hadde gjort det for å tilby en bedre service for forbrukerne.

For det første fortalte ExpressVPN at bare 3% av serverne (som representerer 1% av den totale trafikken) befinner seg på et annet sted enn det som ble annonsert. I hvert enkelt tilfelle ga koble til serveren en IP-adresse som ligger i endepunktet som forbrukeren ønsket. Dette oppnås med det som blir referert til som "virtuelle serverplasseringer". Dette fortalte ExpressVPN:

ExpressVPN har strenge standarder for servere for å sikre at brukerne er i stand til å koble seg sammen sikkert, pålitelig og i jevn hastighet. I noen land kan det være vanskelig å finne servere som oppfyller disse kvalifikasjonene. Virtuelle serverplasseringer gjør det mulig for brukere å koble seg til slike land, samtidig som de gir tilkoblingskvaliteten de forventer av ExpressVPN.

"For eksempel ba noen av våre brukere Bangladesh-IP-adresser om å få tilgang til Bangladesh-innhold, men vi klarte ikke å finne pålitelige servere fysisk i Bangladesh. For å imøtekomme disse kundenes behov og også gi rimelig hastighet og pålitelighet, bestemte vi oss for å tilby en virtuell løsning for dem. Alternativet vil ikke være å tilby denne tjenesten i det hele tatt, eller tilby hastigheter på mindre enn 1 Mbps fra en fysisk lokalisert server. "

Expressvpn sikkerhet

Umulige steder

ExpressVPN har forsikret oss om at det bare noen gang har implementert virtuelle serverplasseringer som svar på forespørsler fra forbrukere. Disse forbrukerne hadde spesielt bedt om IP-adresser for endepunkt i land der firmaet ikke kunne få gode nok servere.

ExpressVPN hadde to alternativer: enten å ikke oppgi en IP-adresse i disse landene; eller for å bruke en server i nærheten for å gi en virtuell serverplassering. Sistnevnte tillot abonnentene å få en IP-adresse i ønsket endepunkt lokalitet. ExpressVPN bestemte seg for å tilby tjenesten. Den visste at det ville gjøre det mulig for folk som trengte å bruke geobegrensede tjenester fra disse landene.

Virtuelle serverplasseringer

Falske påstander?

ExpressVPN mener at det gir virtuelle serverplasser for forbedring av tjenesten. Selskapet fortalte oss at det ikke legger skjul på at det bruker virtuelle serverplasseringer:

"Vi har en side på nettstedet vårt som forklarer hva virtuelle serverplasseringer er, hvordan de fungerer og hvilke land som har virtuelle serverplasseringer. En kort beskrivelse av virtuelle serverplasseringer og en lenke til den nevnte siden kan også finnes på sidelisten over serverplasseringer. "

Dessverre er problemet med ExpressVPNs kommentar at når du bruker programvaren, avslører den ikke at du bruker en virtuell serverplassering. For meg reiser dette spørsmål. Mindre tekniske forbrukere vil ganske enkelt anta at dataene deres blir behandlet av servere i landet de valgte.

Selv tekniske brukere måtte ha besøkt nettstedet ExpressVPN og havnet på siden med virtuelle servere for å finne ut informasjon om de virtuelle serverne. Dette er langt fra ideelt.

Viktige bekymringer

Sikkerhetsimplikasjoner

Det store spørsmålet rundt denne praksisen er om det er sikkerhetsrisiko involvert for forbrukerne. Står brukere i fare når de kobler seg til en serverplassering som ikke er der de trodde?

For å gi deg et godt avrundet svar på dette, bestemte vi oss for å spørre cybersecurity-eksperter hos noen av verdens ledende firmaer. Mark Nunikhoven, VP skyforskning for Trend Micro, fortalte oss:

“En VPN er en kryptert forbindelse fra brukeren til leverandøren, og deretter lager leverandøren utgående forbindelser til resten av internett. Hvis leverandørens system sitter i et bestemt land, kan dette systemet tas i bruk, søkes og alle andre aktiviteter som er lovlige i denne jurisdiksjonen.

"Å ikke vite plasseringen til VPN-tjenesten din har definitivt innvirkning på personvernet. Jurisdiksjoner har veldig forskjellige personvernforventninger og forskrifter. Å forvente å ha ditt privatliv beskyttet av en jurisdiksjon bare for å finne ut at dataene dine sitter i en annen jurisdiksjon kan være katastrofalt. "

Den følelsen ble forsterket av Mike Sandhu, direktør for produktstyring i Norton av Symantec:

“Det er mulig at det kan være sikkerhetsproblemer knyttet til dette, men det å ligge rundt serverens beliggenhet er også av betydning fordi det påvirker troverdigheten til VPN-leverandøren. Hvis ikke-sjekket, kan VPN-tjenester potensielt se dataene dine når de lastes av og bruke dem til en rekke formål, inkludert profilering, reklame og til og med hacking.

"Til slutt blir VPN-brukere bedt om å tro på leverandørene. De stoler på at leverandørene vil rute trafikken sin gjennom en server i et land brukeren velger med en sikker tilkobling. Det er en bjørnetjeneste for forbrukere hvis en leverandør ikke er i stand til eller ikke vil gjøre dette. "

ExpressVPN er imidlertid uenig i denne risikovurderingen. De fortalte oss:

"Det samme sikkerhetsnivået gjelder for alle ExpressVPN-servere uavhengig av beliggenhet. Vi har flere teknologiske tiltak for å sikre at personlig identifiserbar informasjon ikke blir logget eller til og med treffer en disk, at servere ikke tukles med, og at vi ikke er sårbare for angrep mellom mennesker. Selv i tilfelle av anfall fra en regjering, er ikke ExpressVPN-kunder utsatt for risiko".

Datakonsultasjon

Hovedproblemet rundt virtuelle serverplasseringer er at myndighetene kan gripe inn bruksdata. Det kan føre til at en VPN blir en honeypot for myndighetene i et bestemt land. Dette vil spesielt være av betydning hvis for eksempel data ble behandlet av en VPN-server i USA (hvor en VPN-leverandør kan få servert en garanti og knebleordre). I tillegg ville det være mer problematisk hvis den virkelige VPN-serverplassen var i et land som er en del av 5 Eyes-overvåkningsavtalen, eller i mindre grad 14 Eyes-avtalen.

Så, hvor er de virkelige serverne lokalisert, og er forbrukernes privatliv utsatt?

ExpressVPN-websiden på virtuelle serverplasseringer avslører at det totalt er 29 serverplasseringer.

Virtualserverlocations 2 01

Liste over ExpressVPN-virtuelle serverplasseringer

  1. Andorra (via Nederland)
  2. Armenia (via Nederland)
  3. Bangladesh (via Singapore)
  4. Hviterussland (via Nederland)
  5. Bhutan (via Singapore)
  6. Bosnia-Hercegovina (via Nederland)
  7. Brunei (via Singapore)
  8. Ecuador (via Colombia)
  9. Guatemala (via Colombia)
  10. India (via Storbritannia)
  11. Indonesia (via Singapore)
  12. Isle of Man (via Nederland)
  13. Jersey (via Nederland)
  14. Laos (via Singapore)
  15. Liechtenstein (via Nederland)
  16. Macau (via Singapore)
  17. Makedonia (via Nederland)
  18. Malta (via Nederland)
  19. Monaco (via Nederland)
  20. Montenegro (via Nederland)
  21. Myanmar (via Singapore)
  22. Nepal (via Singapore)
  23. Pakistan (via Singapore)
  24. Peru (via Colombia)
  25. Filippinene (via Singapore)
  26. Sri Lanka (via Singapore)
  27. Tyrkia (via Nederland)
  28. Uruguay (via Argentina)
  29. Venezuela (via Colombia)

Doing the Sums

Tatt i betraktning at ExpressVPN leverer servere i 94 land, ser det ut til å være mye mer enn 3%. Så, hva gir? Vel, det er sant at bare 3% av det totale antallet ExpressVPN-servere er virtuelle servere. Imidlertid er det også sant at 30,85% av landene det gir IP-adresser til, i virkeligheten bruker virtuelle servere.

For meg føles dette som ExpressVPN bruker smutthullstekniskhet for å underbygge situasjonen. Det plager meg med tanke på åpenhet. Jeg er den første som er enig i at ExpressVPN er en topp service. Det er tydelig fra brukerens tilbakemelding vi får om tjenesten at det kjører et tett skip. I tillegg har ExpressVPN infrastrukturen på plass for å kunne takle tilstrekkelig med et stort antall nye abonnenter (ikke alle VPN-er har plass til det store antallet forbrukere som ExpressVPN takler - faktisk er det veldig få som kan).

ExpressVPN har også utmerket, fullt utstyrt programvare. Den har en god personvernpolitikk, og selv om den holder minimale tilkoblingslogger, er disse samlet og kan ikke festes til en bestemt bruker. I tillegg tviler jeg ikke på at ExpressVPN i det hele tatt forsøkte å imøtekomme behovene til forbrukerne (og deres ønske om IP-adresser på bestemte steder).

Nærmere blikk

En nærmere titt

Imidlertid har cybersecurity-ekspertene hos Trend Micro og Symantec rett. Å vite at du bruker en virtuell server er et sikkerhetsproblem. Det utsetter data for andre jurisdiksjoner enn de du tror behandler dataene dine.

Heldigvis listet åtte av de virtuelle serverplasseringene prosessdata i Nederland. Dette landet er veldig trygt når det gjelder personvern av data.

Selv om Singapore generelt er autoritær og hard i forhold til beskyttelse av copyright, har ikke obligatorisk lov om oppbevaring av data. Det er også generelt betraktet som sikkert når det gjelder personvern av data, men det er ikke ideelt.

Serverne i Venezuela, Equador og Guatemala er faktisk i Colombia. Med den nåværende politiske situasjonen i Venezuela, vil jeg stikke nakken ut og si at data som blir lagret i Colombia er en fordel. Jeg sier dette til tross for at Colombia er et forferdelig sted for digitalt personvern. Man antar at serveren er plassert der for å gi brukere raske nok tilkoblingshastigheter. Ellers ville Colombia være et forferdelig valg. For brukere som ønsker å koble seg til Guatemala og Equador, er dette ikke gode nyheter.

Argentina, der Uruguay-serveren ligger, er også et dårlig sted for en VPN-server. Argentina vedtok obligatoriske lover om dataoppbevaring i 2013. Uruguay har mye bedre personvernlovgivning for data. Som sådan kan dette definitivt sees på som et sikkerhetsproblem.

Den indiske IP-adressen som behandles av britiske servere, ringer ikke for mange alarmklokker. Imidlertid har Storbritannia GCHQ, er en aktiv partner i NSA, og er medlem av overvåkningsavtalen 5 Eyes. Med det i bakhodet er det ikke ideelt, men ExpressVPN fortalte oss at de også har India-serverplasser fysisk i India, og at India (via Storbritannia) er tydelig merket som sådan i appene sine. Det er derfor viktig at forbrukere som bruker den indiske IP-adressen, sjekker dette slik at de kan ta en informert beslutning.

Mer åpenhet!

Selv om ExpressVPN avslører bruken av virtuelle servere, og ikke skjuler det for brukerne, reklamerer de heller ikke etter det. Åpenhet er utrolig viktig, spesielt når det gjelder forbrukernes digitale personvern.

Av denne grunn oppfordrer vi ExpressVPN, HMA, PureVPN og alle andre VPN-er som bruker virtuelle serverlokasjoner for å gjøre det klart nøyaktig hvilke servere som er virtuelle og hvor abonnenter faktisk kobler til.

På slutten av dagen er dette ikke en skandale. Så vidt jeg kan si, har denne praksisen ikke skadet noen forbrukere ennå. Imidlertid er det ingen tvil om at mer åpenhet vil være bra for forbrukerne, bra for VPN-ernes omdømme og bra for VPN-bransjen som helhet.

Meninger er forfatterens egne.

Bildekreditter: christitzeimaging.com/Shutterstock.com,

Creative Stall / Shutterstock.com, igorstevanovic / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me