Odhalení temné stránky (bezplatných) VPN

Očekávat naprostou dokonalost od VPN, která je stoprocentně zdarma, je naivní, když i některé placené VPN služby mají problémy s ochranou soukromí svých uživatelů.

Bezplatná VPN se jeví jako lákavá volba. Sám jednu takovou (a prozradím vám, kterou) používám pro běžné vyhledávání, abych si ověřil mezinárodní verze některých webů.

V tomto textu se podělím o rady, jak si vybrat bezplatnou VPN a jaká rizika s takovými službami souvisejí. Dozvíte se také, zda existují nějaké skutečně bezplatné VPN společnosti. Navíc se zmíním o skutečných případech, které odhalily pochybení některých VPN firem v oblasti ochrany osobních údajů.

Nakonec se zaměříme na VPN obecně, protože i placené varianty nejsou tak bezúhonné, jak bychom si přáli.

Začněme!

VPN a ochrana soukromí

VPN, ať už bezplatné nebo placené, bych nepovažoval za produkty zaměřené na absolutní soukromí.

Sice získáte určité zabezpečení, ale stoprocentní soukromí se stává iluzí, jakmile se připojíte k internetu, a to i s těmi nejlepšími VPN bez záznamů. Jejich zásady ochrany osobních údajů obsahují spoustu detailů a informací ukrytých za složitými firemními strukturami, takže lze říci, že úplná anonymita je nereálná.

Navíc se domnívám, že poskytování takových internetových služeb bez jakéhokoli zaznamenávání není vůbec možné.

Upřímně řečeno, je to volba mezi dvěma zly. Pokud nedůvěřujete svému poskytovateli internetu a vládě, svěřujete se někomu se sídlem v cizí zemi, o kom nic nevíte. Možná jsem to vyjádřil příliš tvrdě.

Měli byste si být vědomi toho, že použití VPN by mělo být vědomým rozhodnutím, s plným vědomím, že vždy dochází k určitému sdílení dat. Takže až budete příště hledat VPN pro streamování, budete vědět, na co si dát pozor.

Běžný uživatel, který se nepouští do nelegálních aktivit, se ale nemusí bát a s klidem se může spolehnout na kvalitní VPN.

Ideální využití VPN by mělo zahrnovat neomezenou zábavu, zabezpečení veřejné Wi-Fi, obecnou (nikoli absolutní) ochranu soukromí a přístup ke konkrétním zdrojům pro osoby, které žijí v zemích s omezeným přístupem k internetu.

Ale to jsme mluvili o kvalitních VPN, z nichž většina je placených. A co ty ostatní?

Bezplatné VPN služby

Myslím, že se nevyhneme frázi „Když je něco zdarma, produktem jste vy sami”.

Pojďme se podívat na skutečný příklad, jak tyto společnosti hrají chytré triky.

Zde je výňatek z často kladených dotazů (FAQ) služby Hola VPN, která nabízí bezplatnou verzi:


Zdroj: Hola

Zde jasně uvádějí, že uživatelé bezplatné verze Hola VPN sdílejí svou nevyužitou šířku pásma s ostatními uživateli (chvála za transparentnost, ale počkat…). Dále uvádějí, že budou přesměrovány pouze specifické požadavky ze stránek, které jsou na seznamu povolených (bez dalších detailů).

Jako uživatel bych chtěl lépe rozumět tomu, co znamená „používání některých zdrojů mého zařízení“. Jaký je to rozsah? A jak přesně využívají prostředky mého zařízení? Používá někdo internet k různým věcem s mou IP adresou?

Dále odkazují uživatele na jejich Smluvní podmínky (Terms of Service), kde jsem našel zmínku o tom, jak udržují službu zdarma:

Uvedli, že uživatel bezplatné verze „může“ být zapojen jako uzel (peer) v síti Bright Data (spoluzakládané stejným vlastníkem), která nabízí řešení webového proxy a data scraping.

Navíc uvádějí, že bezplatní uživatelé automaticky přijímají smlouvu Bright Data SDK SLA. Odkaz mě dovedl k licenční smlouvě s koncovým uživatelem Bright Data SDK (EULA), která také předpokládá, že uživatel akceptuje jejich Zásady ochrany osobních údajů. Prošel jsem obojí, ale nenašel jsem tam slovo „Hola“.

Myslím, že chápete, jak fungují „komplikované firemní struktury“ a proč odborníci na zabezpečení doporučují nepoužívat bezplatné VPN služby.

Ale to není všechno.

Rizika používání (bezplatných) VPN služeb

Výše uvedený příklad je jen špička ledovce a používání bezplatné VPN může mít i další nemilé následky.

  • Pochybné pozadí společnosti: Poskytovatelé stoprocentně bezplatných VPN služeb často neuvádějí žádné vazby na skutečné osoby. Navíc mohou být známy neetickými obchodními praktikami, které by měly uživatele varovat.
  • Zaznamenávání a sdílení dat: Aby si vynahradili poskytování „bezplatné služby“, mohou sdílet osobní údaje s třetími stranami (nejčastěji s inzerenty) nebo je prodávat na dark webu.
  • Nedostatečné zabezpečení: Jak si mohou dovolit zaměstnávat zkušené vývojáře, když svým uživatelům neustále nabízejí stoprocentně bezplatné služby? To se odráží v nedbalém přístupu k uživatelskému rozhraní a podprůměrných bezpečnostních protokolech.
  • Šíření malwaru: To je závažný vedlejší účinek používání bezplatné VPN služby. Může se zdát, že služba funguje bezchybně, ale skrytě probíhá proces instalace malwaru. To může infikovat vaše zařízení spywarem nebo ransomwarem, s vážnými budoucími následky.
  • Sdílení zdrojů: I když to Hola dopředu uvedla ve svých často kladených dotazech, tato informace může být ukryta i v podmínkách služby a zásadách ochrany osobních údajů, které si většina uživatelů nikdy nečte.
  • Reklamy: Bezplatná VPN služba může být zaplavena reklamami. Tyto reklamy se mohou zobrazovat v uživatelském rozhraní, v prohlížeči nebo mohou uživatele přesměrovávat na jiné webové stránky.
  • Omezený výkon: To je nevyhnutelný důsledek legálních bezplatných VPN služeb. Často poskytují uživatelům bezplatné základní plány v naději, že někteří přejdou na placené verze.

To jsou některá rizika spojená s používáním bezplatných služeb.

Nyní se podívejme na některé případy, které ukazují, co se může u VPN společnosti pokazit, ať už je bezplatná nebo placená.

IPVanish

VPN se sídlem v USA, která se prezentuje jako „nezávisle auditovaná bez protokolování“, IPVanish, v roce 2016 spolupracovala s Ministerstvem vnitřní bezpečnosti USA a poskytla jim osobní údaje uživatele, včetně jména, e-mailu, IP adresy atd.

Případ se týkal držení a distribuce dětské pornografie a jsem rád, že se pachatelé dostali před spravedlnost.

Tento případ však ukázal, že IPVanish si vedla záznamy, i když tvrdila opak.

Po tomto incidentu byla společnost IPVanish v roce 2017 prodána společnosti StackPath.

PureVPN

PureVPN je další společnost, která spolupracovala s orgány činnými v trestním řízení (FBI), což vedlo k zatčení jednoho z jejich uživatelů.

Tentokrát šlo o kybernetického stalkera, který využíval jejich VPN službu „bez protokolování“. Poskytovatel VPN ale byl schopen předat všechny potřebné osobní údaje, včetně skutečné IP adresy, což nakonec spojilo protiprávní aktivitu s pachatelem.

Opět, chvála orgánům činným v trestním řízení za dopadení zločince.

To však vyvolává pochybnosti, zda má fráze „bez protokolování“ pro VPN společnosti nějaký význam kromě marketingového triku na přilákání zákazníků.

HideMyAss

Tentokrát to byl člen hacktivistické skupiny LulzSec, který si myslel, že používání VPN je vstupenka k beztrestnému chování na internetu.

Konkrétně člen LulzSec provedl kybernetický útok na Sony Pictures Entertainment při používání služby HideMyAss (HMA) VPN v roce 2011.

HMA už věděla o členech této hackerské skupiny, kteří využívali jejich služby, díky úniku informací, ale nezasáhla, protože neměla důkazy o protiprávní činnosti.

Soudní příkaz to změnil a sága skončila zatčením hackera díky spolupráci HMA s FBI.

Osobně jsem proti jakékoli trestné činnosti, ať už online nebo offline, s použitím VPN, nebo bez ní. Nicméně cílem těchto zmínek bylo dokázat jednu věc: VPN nejsou vytvořeny, aby zajišťovaly absolutní soukromí, zvláště před orgány činnými v trestním řízení.

Navíc některé společnosti si mohou ponechávat osobní údaje uživatelů, i když je jejich web plný textu „bez protokolování“.

Bylo by ale nefér nezmínit následující události, které ukázaly, že existuje i několik společností, které jsou na tom lépe, pokud jde o ochranu soukromí uživatelů.

Neexistuje žádný pevný návod, jak definovat kvalitní VPN, nebo jak odlišit dobré od špatných.

Výběr kvalitní VPN (bezplatné nebo placené)

Mé dvouleté zkušenosti a výzkum takových nástrojů mi daly několik rad, o které se s vámi podělím.

Nebudu mluvit o funkcích VPN, na které si dávat pozor. Místo toho se zaměřím na obecné informace o společnosti, které byste měli zjistit, pokud vám na soukromí záleží více než na čemkoli jiném.

#1. Jurisdikce

Běžný uživatel o tom možná neví, ale na světě existují špionážní aliance, jejichž členské země sdílejí údaje o svých občanech. Mezi nejznámější skupiny patří aliance pěti, devíti a čtrnácti očí.

Uživatelé, kteří se zajímají o soukromí, by se měli rozhodnout pro VPN společnost, která nesídlí v těchto zemích.

Navíc by se všichni zájemci měli vyhýbat poskytovatelům VPN, kteří mají sídlo v autoritářských režimech.

#2. Stoprocentně zdarma?

Je vysoce pravděpodobné, že se setkáte s „neprofesionální“ pracovní etikou, pokud společnost nabízí pouze bezplatné VPN služby.

Jak jsem už uvedl, společnosti poskytují bezplatné služby v naději, že přejdete na jejich placené tarify. Navíc to pomáhá i v jejich propagaci ústním podáním.

To ale neznamená, že všichni placení poskytovatelé VPN jsou kvalitní.

Pokud máte zájem, ProtonVPN má trvale bezplatný tarif, který považuji za „bezpečný“. Další bezplatnou volbou je Winscribe, ale sídlí v Kanadě, zemi, která je členem aliance pěti očí.

#3. Historie společnosti

Z historie se můžeme mnohé naučit, včetně toho, kterým VPN společnostem se vyhnout.

Jako uživatel můžete rychle vyhledávat na Googlu pomocí dotazů jako „název VPN společnosti“ + odhalená uživatelská data, nebo „VPN“ + únik dat. Získáte tak vodítko, pokud vás něco znepokojuje.

Navíc se můžete podívat na Reddit a získat „nezaujaté“ názory. Nebo ještě lépe, zeptejte se svých kolegů na VPN službu, kterou používají.

Mějte na paměti, že dochází k převzetím společností, což může signalizovat kompletní změnu provozních politik. Je ale na vás, zda novým majitelům budete důvěřovat.

#4. Zakládající tým

Zkuste si prostudovat sekci „O nás“ na webových stránkách VPN a vyhledejte informace o skutečných lidech.

Velkou chybou je, pokud se vám nepodaří dohledat zakladatele nebo lidi, kteří pro společnost pracují. V ideálním případě byste měli vidět několik tváří a jejich profily na sociálních sítích.

Minimálně by VPN měla poskytnout informace o své mateřské společnosti, pokud existuje.

Osobně se neobtěžuji používat žádnou službu, natož VPN, pokud tyto informace na webu chybí.

Zkuste si pořídit kvalitní placenou VPN!

Pro náročné uživatele neexistuje alternativa k placeným VPN. Kvalitní bezplatné VPN nebo bezplatné verze prémiových VPN mají omezení, kterým se nelze vyhnout.

Zopakuji to: stoprocentně bezplatné VPN mají obvykle nějaký mechanismus, jak vydělat, i když se to na první pohled nezdá. Nemusí to být nutně peníze; mohou se pokusit pokrýt náklady jinými způsoby, jako je prodej vašich osobních údajů, šířky pásma, zobrazování reklam, instalace malwaru do vašich zařízení atd.

Buďte uživatelem, ne jejich produktem.

Odhlášení 🫡.

PS: Zajímá vás rychlost vaší VPN? Zde je návod, jak testovat rychlost VPN?