Säkerhetsklocka: hur farligt är din utländska VPN?

En historia bröt tyst tillbaka i slutet av maj som jag tuggar på sedan dess. Det berättade om hur medlemmar av den amerikanska kongressen gjorde mycket hand-vridning om hotet som utländska VPN: er. Oro från lagstiftare var att om du använder en utländsk VPN, så skulle en utländsk regering kunna lyssna på din aktivitet. Utländska företag, hävdade det, kan vara mer mottagliga för press från utländska regeringar, och att dessa utländska VPN: er kunde överlämna personlig information, eller till och med innehållet i dina onlineaktiviteter.

Det kanske allt är sant, men det är inte mindre sant för inhemska VPN: er. En VPN skapar en krypterad anslutning mellan din enhet och en server som styrs av VPN-företaget. Din trafik reser genom tunneln och döljer den från snoopers i ett lokalt nätverk och från din internetleverantör - vilket, ironiskt nog, har kongressen sagt kan spionera på dig för vinst. När din trafik når VPN-servern kommer den sedan ut till internet innan du åker tillbaka.

Detta sätter effektivt VPN: er i din ISP: s roll, genom att de potentiellt kan se allt du gör online. Det är en av de stora bekymmerna om VPN som bransch, och det är sant för alla VPN. En VPN-baserad i USA kan tjuvlyssna på din aktivitet, överlämna din information till USA: s brottsbekämpning eller ge efter för press från amerikanska underrättelsetjänster. Dessa är riskerna med att använda någon VPN, och de ändras inte väsentligt genom att helt enkelt flytta företagets kontor till en annan tidszon.

Location, Location, Location

VPN: er är grundläggande sekretessverktyg, och om de gör ett dåligt jobb som skyddar kundens integritet kommer de förhoppningsvis att göra ett dåligt jobb som konkurrerar på marknaden. Faktum är att många av de (ofta ifrågasatta) diskurserna kring VPN-företag är om de verkligen håller din information privat. VPN: n försöker i allmänhet åtminstone positionera sig som pålitliga förvaltare av din information, vanligtvis genom att definiera företagets policy som förbjuder att samla in användarinformation, publicera en sekretesspolicy som förklarar detaljerna och bygga integritet i deras faktiska produkt. En ny trend är att företag ska göra revisioner från tredje part av sin produkt för att stärka påståenden om pålitlighet.

Som ett exempel på de typer av steg som VPN-tjänster tar för att försäkra dig om din integritet, ger Private Internet Access dig ett användar-ID när du skapar ett konto. Detta är separat från den information du tillhandahåller för att behandla din prenumerationsbetalning. Om det fungerar korrekt betyder det att företaget inte kunde identifiera en enskild användare, även om det är tvingat enligt lag eller om brottsbekämpande grepp om sina servrar.

VPN finns ofta på många platser samtidigt. AnchorFree, företaget bakom Hotspot Shield VPN, är baserat i Kalifornien med ett kontor i Zürich, Schweiz. Företaget säger att det verkar under amerikansk och schweizisk juridisk jurisdiktion. Är det en utländsk VPN? AnchorFree's produkt omklassificeras och säljs av andra företag, vissa baserade i USA och andra inte. Är det utländska VPN: er?

VPN-företag har ofta kontor i ett land medan de arbetar under ett annat laglig jurisdiktion. VPN-företag har också serverflottor runt om i världen. Någon av dessa platser kan skilja sig från där VPN-företaget är under laglig jurisdiktion.

Som sagt är juridisk jurisdiktion viktig, eftersom det är ramen under vilken dina uppgifter kommer att skyddas. När man tittar på Brittiska Jungfruöarna har VPN-företag spelat upp hur lokal brottsbekämpning inte bara kommer att acceptera teckningsoptioner utfärdade från andra regeringar. Istället måste dessa teckningsoptioner hoppa igenom ytterligare bågar innan de kan tillämpas på ett företag på Brittiska Jungfruöarna. På liknande sätt har VPN-företag på platser som Tyskland och Schweiz betonat dessa lands starka sekretesslagar.

Jag bör här notera att det är svårt att verifiera att användning av en tjänst på en viss plats faktiskt kommer att hjälpa till att hålla dina data säkra.

Ett sätt VPN försöker skydda kunder och marknadsföra sig själva är genom företagets plats. NordVPN är till exempel baserat i Panama, ett faktum som det annonserar som privatliv och säkerhet vädjar för kunder på grund av lokal lag. ProtonVPN vill gärna påpeka att det är schweiziskt. När jag granskar ett VPN listar jag vanligtvis dess plats och lagliga jurisdiktion tillsammans med VPN-protokollen och sekretesspolicyn, eftersom ett VPN-företags plats effektivt är en annan funktion.

Plats kan också ha känslomässigt värde. Vissa läsare har berättat för mig att de inte kan lita på företag baserade i Östeuropa på grund av deras associering med ryska hackinggrupper. Andra har sagt till mig att alla VPN-baserade i USA är oacceptabla på grund av detta lands historia om massövervakning. VPN-baserade i Hong Kong (som halvt distinkt från Kina) attackeras ofta med anklagelser om att övervakningstaten måste ha ett tätt grepp om dem. Många gör ett liknande argument mot att låta Huawei tillhandahålla internetinfrastrukturutrustning.

Dessa företag motverkar ofta med argumentet att stadens särskilda regler gör det till en utmärkt plats för privat data.

Det finns faktiskt ett starkt fall att göra att USA har en av de mest aggressiva övervaknings- och datainsamlingsoperationerna i världen. Sociala medieföretag får ibland nationella säkerhetsbrev av DHS, som kräver att de lämnar information och inte avslöjar att de har gjort det. NSA opererade vad som kanske är den största datainceptionsoperationen som världen någonsin har sett, en som drabbade amerikanska medborgare såväl som utomeuropeiska mål.

Dessutom har NSA anklagats för att ha utnyttjat USA: s kritiska position i datainfrastrukturen, knackat på linjerna genom vilka global internettrafik flyter och påstås kopiera den i realtid - kanske ironiskt, med tanke på att USA gör samma argument mot Huawei, som nämnts ovan. Det är för att inte tala om informationsdelningsavtalen som gör att många allierade länder, inklusive USA, kan byta underrättelse oavsett plats. Med tanke på allt detta är det svårt att argumentera med människor som ser USA-baserade VPN-företag som en potentiell risk.

Det betyder (och inte) saken

Om allt fungerar korrekt, bör det vara liten skillnad mellan en utländsk VPN och en som har några eller alla sina kontor i USA. Matematiken som gör krypteringsarbete respekterar inte gränserna. På samma sätt förstås åtgärderna för att skydda användarnas integritet och säkerhet och kan genomföras var som helst. Många VPN-företag väljer var de ska basera sina företag för att dra nytta av lokala sekretesslagar, eller kanske för att vädja till ett känslomässigt svar från konsumenternas sida.

• Backstabbing, Disinformation och dålig journalistik: VPN-branschens tillstånd Backstabbing, Disinformation och Bad Journalism: VPN-branschens tillstånd
• Online-integritet är en rättighet, inte en lyx Online-integritet är en rättighet, inte en lyx
• För att spara internet måste vi bryta det för att spara internet, vi måste bryta det

Det som är viktigt är när VPN-företag inte krypterar saker ordentligt, eller när de av okunnighet eller uppsåtlighet inte följer bästa praxis för att skydda användarnas integritet. En dåligt säkrad VPN kanske är utländsk , men den kan också ha huvudkontor längs gatan från mig. I stället för att undra var företag har sitt huvudkontor eller vilka "värden" de har, bör kongressen stödja metoder för användare och forskare för att verifiera påståenden från VPN-företag.

Säkerhetsindustrin är full av marknadsföring byggd kring rädsla, osäkerhet och tvivel - gemensamt kallad FUD. En lång diskussion om utländska VPN: er i kongresshallarna faller i den kategorin, särskilt när gruppen drar slutsatsen att oavsett hot finns minimalt. FUD har alltid ett syfte, och i stället för att fråga var det bästa stället är att sätta ett VPN, kanske vi borde fokusera på varför denna konversation hände i första hand.