VPN’s gebruiken virtuele serverlocaties: wat u moet weten

Virtual Private Networks (VPN's) bieden een service waarmee u kunt doen alsof u zich in een ander land bevindt. Hiermee kunt u eventuele lokale netwerkbeperkingen van internetproviders, werkplekken en andere netwerkbeheerders omzeilen. Bovendien kunt u met VPN's de censuur overwinnen die veel draconische regeringen opleggen. Ten slotte staan ​​ze u ook toe om (privé en veilig) geografische beperkingen te omzeilen (geografische websitebeperkingen), zodat u toegang hebt tot buitenlandse services en website-inhoud.

Eerder deze maand kwam er nieuws uit een onderzoek dat beweerde dat VPN-providers (inclusief PureVPN, HMA en ExpressVPN) onduidelijk waren over sommige van hun serverlocaties. Dit leidde tot enige negatieve publiciteit over die VPN's, niet alleen vanwege een waargenomen gebrek aan transparantie, maar ook vanwege beveiligingsproblemen die voortvloeien uit de niet-openbaarmaking van daadwerkelijke serverlocaties.

Sinds het nieuws is gekomen, werkt ProPrivacy.com samen met beveiligingsexperts en de betrokken VPN's om na te gaan of er sprake is van een misstand. Consumenten willen weten of ze in gevaar zijn gebracht. Ze willen ook weten waarom VPN's dit hebben gedaan. Zou er een legitieme reden kunnen zijn?

Virtuele locaties: waarom?

Het oorspronkelijke rapport beweerde dat VPN's niet duidelijk waren over serverlocaties om er beter uit te zien dan ze in werkelijkheid zijn en meer klanten te krijgen. In werkelijkheid zijn deze motieven niet waar voor de meeste aanbieders in kwestie. We communiceerden rechtstreeks met ExpressVPN, wat de beste VPN is waarnaar in het rapport wordt verwezen. We vroegen waarom er naar verluidt reclame was gemaakt voor valse serverlocaties. Het antwoord maakte duidelijk dat dit alleen was gebeurd om de consument een betere service te bieden.

Ten eerste vertelde ExpressVPN ons dat slechts 3% van zijn servers (die 1% van zijn totale verkeer vertegenwoordigen) zich op een andere locatie bevinden dan de geadverteerde. In elk van die gevallen leverde een verbinding met de server een IP-adres op dat zich op de eindpuntlocatie bevond die de consument wilde. Dit wordt bereikt met wat wordt aangeduid als "virtuele serverlocaties". Dit is wat ExpressVPN ons vertelde:

“ExpressVPN heeft strenge normen voor servers om ervoor te zorgen dat gebruikers veilig, betrouwbaar en met consistent hoge snelheden verbinding kunnen maken. In sommige landen kan het moeilijk zijn om servers te vinden die aan deze kwalificaties voldoen. Met virtuele serverlocaties kunnen gebruikers verbinding maken met dergelijke landen, terwijl ze toch de verbindingskwaliteit bieden die ze van ExpressVPN verwachten.

"Sommige van onze gebruikers hebben bijvoorbeeld om Bengaalse IP-adressen gevraagd om toegang te krijgen tot Bengaalse inhoud, maar we konden fysiek geen betrouwbare servers vinden in Bangladesh. Om aan de behoeften van deze klanten te voldoen en ook een redelijke snelheid en betrouwbaarheid te bieden, hebben we besloten een virtuele oplossing voor hen te bieden. Het alternatief zou deze service helemaal niet bieden, of snelheden van minder dan 1 Mbps bieden vanaf een fysiek gelokaliseerde server. "

Expressvpn Veiligheid

Onmogelijke locaties

ExpressVPN heeft ons verzekerd dat het alleen virtuele serverlocaties heeft geïmplementeerd in reactie op verzoeken van consumenten. Die consumenten hadden specifiek om eindpunt-IP-adressen gevraagd in landen waar het bedrijf geen goed genoeg servers kon krijgen.

ExpressVPN had nog twee opties: ofwel geen IP-adres in die landen opgeven; of om een ​​server in de buurt te gebruiken om een ​​virtuele serverlocatie te bieden. Laatstgenoemde stond zijn abonnees toe een IP-adres op de gewenste eindpuntlocatie te krijgen. ExpressVPN heeft besloten de dienst te verlenen. Het wist dat hierdoor mensen die geo-beperkte services uit die landen nodig hadden, dit zouden kunnen doen.

Virtuele serverlocaties

Valse aantijgingen?

ExpressVPN gelooft dat het virtuele serverlocaties levert voor de verbetering van zijn service. Het bedrijf vertelde ons dat het niet verhult dat het virtuele serverlocaties gebruikt:

“We hebben een pagina op onze website waarin wordt uitgelegd wat virtuele serverlocaties zijn, hoe ze werken en welke landen virtuele serverlocaties hebben. Een korte beschrijving van virtuele serverlocaties en een link naar de bovengenoemde pagina zijn ook te vinden op de pagina met serverlocaties. ”

Helaas is het probleem met de opmerking van ExpressVPN dat wanneer u de software gebruikt, niet wordt onthuld dat u een virtuele serverlocatie gebruikt. Voor mij roept dit vragen op. Minder technische consumenten gaan er gewoon van uit dat hun gegevens worden verwerkt door servers in het land dat ze hebben gekozen.

Zelfs technische gebruikers zouden de ExpressVPN-website moeten hebben bezocht en op de pagina van de virtuele servers zijn beland om informatie over die virtuele servers te vinden. Dit is verre van ideaal.

Belangrijkste zorgen

Beveiligingsimplicaties

De grote vraag rond deze praktijk is of er beveiligingsrisico's zijn voor consumenten. Lopen gebruikers risico wanneer ze verbinding maken met een serverlocatie die niet is waar ze dachten?

Om u een goed afgerond antwoord hierop te geven, hebben we besloten om cybersecurity-experts bij enkele van 's werelds toonaangevende bedrijven die vraag te stellen. Mark Nunikhoven, VP cloud-onderzoek voor Trend Micro, vertelde ons:

“Een VPN is een gecodeerde verbinding van de gebruiker naar de provider en vervolgens maakt de provider de uitgaande verbindingen met de rest van het internet. Als het systeem van de provider zich in een specifiek land bevindt, kan dat systeem in beslag worden genomen, worden doorzocht en een aantal andere activiteiten die legaal zijn in dat rechtsgebied.

"Niet weten wat de locatie van uw VPN-service is, heeft absoluut een privacyimpact. Jurisdicties hebben zeer verschillende privacyverwachtingen en voorschriften. Het kan rampzalig zijn om te verwachten dat uw privacy slechts door één rechtsgebied wordt beschermd om erachter te komen dat uw gegevens zich in een ander rechtsgebied bevinden. "

Dat sentiment werd versterkt door Mike Sandhu, directeur Productbeheer bij Norton by Symantec:

“Het is mogelijk dat hier beveiligingsproblemen aan verbonden zijn, maar liegen over de locatie van een server is ook zorgwekkend omdat dit de geloofwaardigheid van de VPN-provider beïnvloedt. Indien niet aangevinkt, kunnen VPN-services uw gegevens mogelijk bekijken op het moment van ontladen en gebruiken voor verschillende doeleinden, waaronder profileren, adverteren en zelfs hacken.

"Uiteindelijk worden VPN-gebruikers gevraagd hun vertrouwen in providers te stellen. Ze vertrouwen erop dat de providers hun verkeer zullen routeren via een server in een land dat de gebruiker kiest met een beveiligde verbinding. Het is een slechte service voor consumenten als een aanbieder dit niet kan of wil doen. "

ExpressVPN is het echter niet eens met deze risicobeoordeling. Ze hebben ons verteld:

"Hetzelfde beveiligingsniveau is van toepassing op alle ExpressVPN-servers, ongeacht de locatie. We hebben meerdere technologische maatregelen om ervoor te zorgen dat persoonlijk identificeerbare informatie niet wordt vastgelegd of zelfs een schijf raakt, dat er niet met servers wordt geknoeid en dat we niet kwetsbaar zijn voor man-in-the-middle-aanvallen. Zelfs in het geval van serverbeslag door een overheid, lopen ExpressVPN-klanten geen risico".

Gegevensbeslag

Het grootste probleem met virtuele serverlocaties is dat de autoriteiten gebruiksgegevens kunnen grijpen. Dat kan ertoe leiden dat een VPN een honeypot wordt voor de autoriteiten van een bepaald land. Dit zou met name het geval zijn als gegevens bijvoorbeeld worden verwerkt door een VPN-server in de VS (waar een VPN-provider een bevel tot warrant en gag kan krijgen). Bovendien zou het problematischer zijn als de echte VPN-serverlocatie zich in een land bevindt dat deel uitmaakt van de 5 Eyes surveillance-overeenkomst, of in mindere mate de 14 Eyes-overeenkomst.

Dus waar zijn de echte servers en de privacy van consumenten loopt gevaar?

De ExpressVPN-webpagina op virtuele serverlocaties onthult dat er in totaal 29 serverlocaties zijn.

Virtualserverlocaties 2 01

Lijst met virtuele serverlocaties van ExpressVPN

  1. Andorra (via Nederland)
  2. Armenië (via Nederland)
  3. Bangladesh (via Singapore)
  4. Wit-Rusland (via Nederland)
  5. Bhutan (via Singapore)
  6. Bosnië en Herzegovina (via Nederland)
  7. Brunei (via Singapore)
  8. Ecuador (via Colombia)
  9. Guatemala (via Colombia)
  10. India (via het VK)
  11. Indonesië (via Singapore)
  12. Isle of Man (via Nederland)
  13. Jersey (via Nederland)
  14. Laos (via Singapore)
  15. Liechtenstein (via Nederland)
  16. Macau (via Singapore)
  17. Macedonië (via Nederland)
  18. Malta (via Nederland)
  19. Monaco (via Nederland)
  20. Montenegro (via Nederland)
  21. Myanmar (via Singapore)
  22. Nepal (via Singapore)
  23. Pakistan (via Singapore)
  24. Peru (via Colombia)
  25. Filippijnen (via Singapore)
  26. Sri Lanka (via Singapore)
  27. Turkije (via Nederland)
  28. Uruguay (via Argentinië)
  29. Venezuela (via Colombia)

De bedragen doen

Gezien het feit dat ExpressVPN servers in 94 landen levert, lijkt dat veel meer dan 3% te zijn. Dus wat geeft? Welnu, het is waar dat slechts 3% van het totale aantal servers van ExpressVPN virtuele servers zijn. Het is echter ook waar dat 30,85% van de landen waarvoor het IP-adressen verstrekt, in werkelijkheid virtuele servers gebruikt.

Voor mij voelt dit alsof ExpressVPN een maas in de wet gebruikt om de situatie te ondermijnen. Ik heb last van transparantie. Ik ben de eerste die het erover eens is dat ExpressVPN een topservice is. Uit de feedback van gebruikers die we over de service krijgen, blijkt duidelijk dat het een strak schip is. Bovendien beschikt ExpressVPN over de infrastructuur om adequaat om te gaan met grote aantallen nieuwe abonnees (niet alle VPN's bieden ruimte aan het grote aantal consumenten waarmee ExpressVPN omgaat - in feite kunnen slechts weinigen dat).

ExpressVPN heeft ook uitstekende, volledig functionele software. Het heeft een goed privacybeleid en hoewel het minimale verbindingslogboeken bijhoudt, worden deze geaggregeerd en kunnen ze niet aan een specifieke gebruiker worden vastgemaakt. Bovendien twijfel ik er niet aan dat ExpressVPN over het algemeen probeerde te voldoen aan de behoeften van consumenten (en hun verlangen naar IP-adressen op specifieke locaties).

Dichterbij kijken

Onder de loep

De cybersecurity-experts van Trend Micro en Symantec hebben echter gelijk. Niet weten dat u een virtuele server gebruikt, is een beveiligingsprobleem. Het stelt gegevens bloot aan verschillende rechtsgebieden dan die waarvan u denkt dat ze uw gegevens verwerken.

Gelukkig vermeldden acht van de virtuele serverlocaties procesgegevens in Nederland. Dat land is erg veilig in termen van gegevensprivacy.

Hoewel Singapore over het algemeen autoritair en streng is wat betreft auteursrechtbescherming, heeft het geen verplichte gegevensbewaringswetgeving. Het wordt over het algemeen ook als veilig beschouwd in termen van gegevensprivacy, maar het is niet ideaal.

De servers van Venezuela, Equador en Guatemala bevinden zich eigenlijk in Colombia. Met de huidige politieke situatie in Venezuela, zal ik mijn nek uitsteken en zeggen dat het opslaan van gegevens in Colombia een voordeel is. Ik zeg dit ondanks het feit dat Colombia een vreselijke plek is voor digitale privacy. Men gaat ervan uit dat de server zich daar bevindt om gebruikers snel genoeg verbindingssnelheden te bieden. Anders zou Colombia een vreselijke keuze zijn. Voor gebruikers die verbinding willen maken met Guatemala en Equador, is dit geen goed nieuws.

Argentinië, waar de Uruguay-server zich bevindt, is ook een slechte plek voor een VPN-server. Argentinië heeft in 2013 verplichte gegevensbewaarwetten aangenomen. Uruguay heeft veel betere gegevensprivacywetten. Als zodanig kan dit absoluut als een beveiligingsprobleem worden gezien.

Het Indiase IP-adres dat wordt verwerkt door Britse servers geeft niet te veel alarmbellen. Het VK heeft echter GCHQ, is een actieve partner van de NSA en is lid van de 5 Eyes surveillance-overeenkomst. Met dat in gedachten is het niet ideaal, maar ExpressVPN vertelde ons dat ze ook fysiek India-serverlocaties in India hebben en dat de optie India (via het VK) duidelijk als zodanig in hun apps is gelabeld. Het is daarom belangrijk voor consumenten die het Indiase IP-adres gebruiken om dit te controleren, zodat ze een weloverwogen beslissing kunnen nemen.

Meer transparantie alstublieft!

Hoewel ExpressVPN het gebruik van virtuele servers onthult en dat feit niet verbergt voor zijn gebruikers, adverteren ze naar mijn mening ook niet goed genoeg. Transparantie is ongelooflijk belangrijk, vooral als het gaat om de digitale privacy van consumenten.

Om deze reden dringen we erop aan ExpressVPN, HMA, PureVPN en andere VPN's die virtuele serverlocaties gebruiken om duidelijk te maken welke servers virtueel zijn en waar abonnees daadwerkelijk verbinding maken.

Uiteindelijk is dit geen schandaal. Voor zover ik weet, heeft deze praktijk nog geen schade berokkend aan consumenten. Er is echter geen twijfel dat meer transparantie goed zou zijn voor consumenten, goed voor de reputatie van de VPN's en goed voor de VPN-industrie als geheel.

De meningen zijn van de schrijver.

Afbeelding credits: christitzeimaging.com/Shutterstock.com,

Creative Stall / Shutterstock.com, igorstevanovic / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me