Innehållsförteckning:
Video: Pure-VPN 2018 - Предоставляет ли провайдер то, что он обещает? (September 2024)
"VPN-loggar hjälpte till att avslöja påstådda" netstalker "är en oroande rubrik, eftersom hela poängen med att använda ett virtuellt privat nätverk är att surfa obemärkt.
Men som The Register rapporterar, det var vad som hände med en man som hette Ryan Lin, som arresterades för att ha fångat sin tidigare rumskamrat delvis eftersom Lins VPN-leverantör, PureVPN, hjälpte feds i deras utredning genom att lämna över stockar. Det låter dåligt, men i det här fallet verkar PureVPN ha handlat inom den angivna integritetspolicyn. Du kan fortfarande lita på VPN så mycket som du någonsin gjort.
Låt mig först vara tydlig: Lins påstådda beteende är grovt. Enligt uppgift gick han enormt för att trakassera och demoralisera en kvinna. Polisen som samarbetar med teknikföretag för att gripa honom är ett exempel på att systemet fungerar, och det faktum att han arresterades visar hur långt vi har kommit in beträffande onlineaktiviteter som faktiska brott. För bara några år sedan skulle doxxing någon inte ha inkluderats i en lista över svåra kriminella aktiviteter. Jag hoppas att alla som skulle efterlikna sina handlingar tänker bättre på det som ett resultat.
Med det åt sidan verkar det tydligt att den här mannen skulle ha arresterats utan den information som skaffats från PureVPN. Registeret rapporterar:
"Klagomålet avslöjade, han gjorde ett grundläggande fel genom att använda en arbetsdator för en del av sin kampanj, och även om han hade avslutats och operativsystemet installerats på maskinen, fanns det fotspår kvar för utredarna att associera Lin med de 16 -månaderskampanj mot Smith."
Rapporten går inte i detalj om vilken information som återfanns från Lins arbetsdator, men dess engagemang är betydande. Säkerhetsforskare är alltid snabba att påpeka att om du kan få målets enhet, har du effektivt vunnit.
Här är vad registeret säger att utredare fått från PureVPN:
"Väsentligt kunde PureVPN fastställa att deras tjänst var åtkomlig av samma kund från två ursprungliga IP-adresser, " hävdar Feds (påstås, dessa IP-adresser var på Lins arbete och hemadresser)."
Det är lätt att läsa det och anta att PureVPN, och kanske alla VPN-företag, övervakar användarnas aktiviteter och är villiga att överlämna loggar till utredarna. Men jag tror inte att det är fallet. För mig låter detta som PureVPN helt enkelt bekräftade att dess tjänst var inloggad av samma kund på två olika IP-adresser. Många VPN: er registrerar information om användarnas ursprung, vanligtvis av datarutningsskäl.
Artikeln säger också "poster från PureVPN visar att samma e-postkonton har åtkomst från samma WANSecurity IP-adress." Det är mer stöt, men det låter inte som en bekräftelse på att PureVPN övervakar användarnas beteende. På det mesta delade PureVPN den ursprungliga IP-adressen, adressen som mannen anslöt från och IP-adressen till VPN-servern som användaren använde.
I sin sekretesspolicy säger PureVPN några viktiga saker.
"Vi har därför inget register över dina aktiviteter som vilken programvara du använde, vilka webbplatser du besökte, vilket innehåll du laddade ner, vilka appar du använde etc. efter att du anslutit till någon av våra servrar. Våra servrar registrerar automatiskt tiden då du ansluter till någon av våra servrar. Härifrån och framåt håller vi inga register över någonting som kan koppla någon specifik aktivitet till en specifik användare. Tiden när en framgångsrik anslutning upprättas med våra servrar räknas som en "anslutning" och den totala bandbredden som används under denna anslutning kallas 'bandbredd'. Anslutning och bandbredd hålls i register för att upprätthålla kvaliteten på vår tjänst."
PureVPNs sekretesspolicy gör två saker tydliga. Först att företaget samlar in e-postadresser (det är en del av din inloggning och företagets faktureringssystem). Det är egentligen inte en "ingen logg" -policy och gör inget krav på att vara det. Den samlar information om anslutningar i sitt nätverk, men inte innehållet i användaraktiviteter. För det andra verkar företaget ha information om vilka av sina servrar som kunderna har åtkomst till.
PureVPN: s sekretesspolicy har också detta att säga i ämnet att samarbeta med utredningar:
"PureVPN är engagerad i frihet och stöder inte brott, vi kommer bara att dela information med myndigheter som har giltiga stämningar, teckningsoptioner, andra juridiska handlingar eller med påstådda offer som har tydligt bevis på sådan verksamhet. När och om en behörig domstol beställer oss eller ett påstådd offer begär oss (att vi noggrant självutvärderar) att släppa viss information, med korrekt bevis, om att våra tjänster användes för alla aktiviteter som du gick med på att inte hänge dig till när du gick med på vårt serviceavtal, då kommer vi endast att presentera specifik information om den specifika aktiviteten, förutsatt att vi har registrerat en sådan aktivitet."
Kort sagt, PureVPN kommer att samarbeta med utredare som presenterar en giltig order. Efter att ha utvärderat internoptionen kommer PureVPN att besluta om att följa eller inte. Den säger också att den bara kommer att överlämna information den har till hands - inte att den kommer att tillåta dess nätverk att användas för att spionera på påstådda brottslingar. Det är viktigt att PureVPN är baserat i Hong Kong. För VPN-användare är detta faktiskt ganska bra eftersom Hong Kong inte har lagar om datalagring, vilket frigör PureVPN att bestämma vad de ska lagra och hur länge.
Jag är inte en juridisk expert, men det verkar betydande att ett Kina-baserat företag följde amerikanska utredare. Det föreslår för mig att företaget samarbetade baserat på utredningens meriter och inte var juridiskt skyldiga att göra det, men det är spekulationer från min sida.
För mig låter det mycket som metadata. Det är datum och tid för anslutningen, och troligtvis en del information om in- och utgående IP-adresser. Det är inte, viktigare, information om var användare gick därifrån. Det betyder att utredarna måste få informationen någon annanstans och matchade den med vilken information som erhölls från PureVPN.
Inget av detta är att bagatellisera betydelsen av metadata. NSA: s massmetadatasamling var stötande på grund av dess omfattning och det faktum att oskyldiga människor drabbades. Det verkar inte vara fallet här.
Är VPN: s pålitliga?
Gör inget misstag: När du använder ett VPN litar du på dem med enastående tillgång till din information. Det är därför jag tar det mycket på allvar när ett VPN-företag anklagas för eller manipulerar med användardata när det passerar genom företagets system. Det är också därför det är så viktigt att läsa ett företags integritetspolicy. Om du inte hittar det eller är så komplicerat att det är oläsligt kanske det företaget inte är värt din tid. En integritetspolicy är naturligtvis bara ord, men vi måste börja någonstans.
Det är också mycket viktigt att komma ihåg att inget säkerhetsverktyg är en magisk kula, och att en riktad attack eller utredning nästan alltid kommer att vara framgångsrik. VPN: er är bäst på att skydda dina data från att fångas upp i ditt lokala nätverk och förhindra att din information sveps i massövervakningsinsatser. Om utredarna redan tittar på dig som misstänkt och har tillgång till andra bevis, har dessa skydd redan funnits.
I fallet med PureVPN verkar det inte som om företaget har åsidosatt användarnas förtroende - inte ens Lin, som påstås använda tjänsten för kriminella handlingar. Jag kommer att kontakta företaget för förtydligande (och kommer att uppdateras vid behov), men för mig låter det som ett bästa fall. En brottsling, en specifik person, var riktad för utredning och ett teknikföretag överlämnade den begränsade informationen den hade.
Jag vill inte bli en ren PureVPN-försvarare. Snarare vill jag ha ett modik av lugn och förståelse kring säkerhetsverktyg. Internet byggdes inte med integritet och säkerhet i åtanke, vilket sätter användarna på att skydda sig själva. Vi kan inte vara rädda för dessa verktyg, och vi måste alla lära oss vad de gör och hur vi bäst använder dem.
