Server ExpressVPN zabavený v Turecku neobjeví nic v případu atentátu a ověřuje politiku „žádné protokoly“.
Turecké úřady zabavily server VPN provozovaný ExpressVPN, o kterém tvrdí, že byl použit ke skrytí podrobností týkajících se atentátu na ruského velvyslance v Turecku Andrei Karlova. Server neměl žádné užitečné informace pro úřady, které vyšetřovaly smazání možných důkazů na Facebooku a Gmailu.
Turecká policie mimo službu zastřelila Karlova v prosinci 2016 na umělecké výstavě v tureckém hlavním městě Ankaře. Server byl zabaven někdy v lednu 2017, ale podrobnosti týkající se ExpressVPN byly odhaleny teprve nedávno. Případ je v době psaní tohoto článku stále otevřený.
Úřady provedly razii v datovém centru a zabavily server v naději, že se jim podaří vystopovat dosud neznámou osobu, která smazala atentátníkovy účty na Facebooku a Gmailu, spolu s konverzacemi, které mohly být užitečné pro vyšetřování. Tato osoba tak učinila pod rouškou připojení ExpressVPN, které maskuje skutečnou IP adresu uživatele a šifruje internetový provoz. ExpressVPN říká, že neuchovává žádné záznamy o aktivitě svých uživatelů ani žádné jiné identifikační údaje.
ExpressVPN vydal oficiální odpověď tady .
„Jak jsme uvedli tureckým úřadům v lednu 2017, ExpressVPN nemá a nikdy nevlastnila žádné protokoly připojení zákazníků, které by nám umožnily zjistit, který zákazník používal konkrétní IP adresy citované vyšetřovateli. Kromě toho jsme nebyli schopni zjistit, kteří zákazníci přistupovali k Gmailu nebo Facebooku během inkriminované doby, protože neuchováváme protokoly aktivit. Věříme, že zabavení a kontrola dotyčného VPN serveru vyšetřovateli tyto body potvrdila.“
ExpressVPN spolupracovala s úřady, ale jednoduše neměla k případu žádné informace. Společnost je registrována na Britských Panenských ostrovech, které nemají žádné povinné požadavky na uchovávání údajů. Takové záchvaty nejsou neobvyklé, říká mluvčí ExpressVPN Comparitech.
„Není to poprvé, co úředníci donucovacích orgánů fyzicky zabavili server,“ vysvětluje mluvčí. „Přístupy ze strany orgánů činných v trestním řízení jsou součástí běžného podnikání velkého poskytovatele VPN, a to je jeden z důvodů, proč tvrdě pracujeme na tom, abychom zajistili, že žádný z našich serverů nebude obsahovat data, která by komukoli umožnila propojit online aktivitu s konkrétními uživateli.“
Podmínky použití ExpressVPN zakazují používání její služby pro nezákonné aktivity, ale protože nesleduje ani neeviduje, co zákazníci dělají, když jsou připojeni k VPN, má jen málo prostředků k vynucení.
I když jsou okolnosti nešťastné, případ podporuje tvrzení ExpressVPN o neúprosném soukromí pro své uživatele. Služba fungovala přesně tak, jak bylo zamýšleno a slíbeno v době, kdy mnoho kritiků VPN, mezi nimi Edward Snowden, taková tvrzení zpochybňovalo.
VPN jsou dobré, ale jejich slabinou je jediný bod selhání: hacknutí nebo předvolání k soudu, abyste viděli všechno. https://t.co/iUxkbJsoK2
— Edward Snowden (@Snowden) 30. prosince 2015
Zásady protokolování: čtěte mezi řádky
Ale ne všechny VPN jsou tak seriózní. V říjnu 2017 policie zatkla zákazníka PureVPN o obvinění z kybernetického stalkingu. Ryan Lin použil PureVPN ke skrytí své identity, když pronásledoval a obtěžoval svého bývalého spolubydlícího. Když agenti FBI oslovili společnost se sídlem v Hongkongu, PureVPN předal protokoly, které Lin inkriminovaly.
Viz také: Nejlepší VPN bez přihlášení
PureVPN, stejně jako ExpressVPN, tvrdí, že neuchovává žádné protokoly.
K podobnému pozoruhodnému případu došlo v roce 2011, kdy byl zatčen hacker LulzSec v USA za svou roli v hackování společnosti Sony Pictures. Cody Kretsinger použil poskytovatele VPN HideMyAss ke skrytí své identity. Když FBI vydala soudní příkaz, HideMyAss údajně předal protokoly to Kretsingera inkriminovalo, což vedlo k jeho zatčení.
HideMyAss také tvrdil, že neuchovává žádné protokoly. Stojí za zmínku, že společnost je nyní v novém vlastnictví.
Co tedy odděluje zásady protokolování ExpressVPN a poskytovatelů, jako jsou tito? Jde o to, co přesně je definováno jako „protokol“, transparentnost a jak poskytovatelé VPN inzerují.
Když HideMyAss a PureVPN tvrdí, že jsou bez logu, ve skutečnosti tím myslí to, že nevedou záznamy o aktivitě svých uživatelů. Nezaznamenávají podrobnosti o navštívených webových stránkách, o obsahu komunikace nebo například o nákupech. Ty se často označují jako dopravní protokoly nebo protokoly aktivit.
Zaznamenávají však informace ojakbyla použita VPN, například kdy se uživatel připojuje a odpojuje, kolik dat se přenáší a především skutečné IP adresy uživatelů. Jsou známé jako protokoly metadat nebo protokoly relací. Většina těchto informací je poměrně vlídná; nemůže přímo identifikovat uživatele.
Ale IP adresy jsou různé. IP adresa je řetězec čísel a desetinných míst, který je jedinečný pro konkrétní zařízení. VPN maskují skutečné IP adresy uživatelů, ale pokud společnost VPN zaznamená jejich skutečnou IP adresu, mohou úřady tyto informace použít ke sledování známé aktivity zpět ke konkrétnímu zařízení a osobě, která je vlastní. IP adresa nemusí právně představovat identitu, ale lze ji použít k potvrzení jiných důkazů.
HideMyAss a PureVPN sice tvrdí, že do své reklamy nezaznamenávají žádné protokoly, ale zaznamenávají skutečné IP adresy uživatelů. Jejich skutečné zásady protokolování jsou pohřbeny v drobném písmu jejich příslušných zásad ochrany osobních údajů, které se většina uživatelů nebude obtěžovat čtením.
ExpressVPN, stejně jako většina sítí VPN, které doporučujeme na Comparitech, neukládají protokoly aktivit ani adresy IP. Hrstka poskytovatelů tvrdí, že jsou „nulovými protokoly“, což znamená, že nezaznamenávají vůbec žádné informace o tom, co jejich zákazníci dělají online. I když je to ideální, potenciální zákazníci VPN by měli být k takovým tvrzením skeptičtí, zejména od VPN, které jsou nové, bezplatné, mají málo zákazníků nebo mají historii protokolování.
ExpressVPN zaznamenává některá metadata, včetně „úspěšně aktivovaných aplikací a verzí aplikací, dat (nikoli časů) při připojení ke službě VPN, výběru umístění serveru VPN a celkového množství (v MB) přenesených dat za den. Nic z toho neshledaly turecké úřady v případu Karlov jako užitečné.
Virtuální místa, nedokonalé řešení
V létě 2017 byl ExpressVPN ostře kritizován za používání „virtuálních umístění“. Uživatelé, kteří věřili, že jejich internetový provoz je směrován přes server VPN v místě, jako je Pákistán nebo Srí Lanka, byli ve skutečnosti připojeni k serverům v jiných zemích. Zatímco IP adresa přiřazená serveru je adresou zvolené země, fyzický server je umístěn jinde.
Výzkumníci tvrdili, že ExpressVPN spolu s PureVPN a HideMyAss zkreslily své služby. Kritici tvrdí, že by to mohlo být katastrofální pro lidi, kteří věří, že se připojují ke skutečnému serveru v určité zemi. ExpressVPN tehdy odpověděl takto:
„U méně než 3 % serverů ExpressVPN se registrovaná IP adresa shoduje se zemí, ke které jste se rozhodli připojit, zatímco server je fyzicky umístěn v jiné zemi, obvykle poblíž. Říká se jim umístění virtuálních serverů a pomáhají zajistit rychlé, bezpečné a spolehlivé připojení.“
Po zabavení svých serverů v Turecku přestal ExpressVPN používat fyzické servery v Turecku a místo toho přešel na virtuální umístění. V aplikaci ExpressVPN je Turecko stále uvedeno jako místo a připojení k němu poskytne uživatelům tureckou IP adresu, ale fyzický server se nachází v Nizozemsku.
Na rozdíl od toho, co řekli kritici, incident v Karlově podporuje zdůvodnění ExpressVPN pro použití virtuálních míst. V zemích, kde třetí strany, jako jsou zpravodajské agentury, mohou ohrozit bezpečnost a soukromí datových center – kde sídlí většina serverů – má smysl vytvořit virtuální umístění s fyzickým serverem v zemi s přísnějšími předpisy na ochranu soukromí pro spotřebitele.
„Máme přísné standardy pro servery, které pokrývají nejen schopnost připojit se spolehlivě a trvale vysokou rychlostí, ale také fyzickou bezpečnost a právní jurisdikci,“ říká mluvčí. „V některých zemích může být obtížné najít servery, které splňují tyto požadavky. Umístění virtuálních serverů umožňuje uživatelům připojit se k takovým zemím, přičemž stále poskytují soukromí, zabezpečení a kvalitu připojení, kterou očekávají od ExpressVPN.“
Virtuální místa slouží jako nedokonalé řešení pro zákazníky, kteří se chtějí připojit k nějaké zemi, ale zároveň se chtějí ujistit, že dostanou soukromí, za které si zaplatili. Spíše než plošné prohlášení o tom, jak jsou všechna virtuální místa nějakým způsobem nečestná, je možná relevantnějším problémem nedostatek transparentnosti. Zatímco ExpressVPN nyní uvádí, která umístění jsou virtuální a která ne na svých webových stránkách , samotná aplikace ExpressVPN mezi těmito dvěma nerozlišuje.
Aktualizace 21. prosince 2017:Přidány citace mluvčího ExpressVPN.
Nejlepší obrazový kredit: prezident Ruska