Onaj ko živi u autoritarnoj državi, a ipak želi biti objektivno informiran o situaciji u svojoj zemlji, suočava se s teškoćama. Opozicioni mediji su zabranjeni, a strane web stranice često su blokirane.

Izlaz iz te situacije: VPN veza ili virtualna privatna mreža. To ima dvije prednosti: IP adrese su maskirane, a sadržaj je šifriran. To omogućuje pristup čak i blokiranim web stranicama, čime se ispunjava ljudsko pravo na slobodu medija i informiranja. Stotine milijuna ljudi koriste ga širom svijeta.

Alarmantni nedostaci

Zato su takve mreže ilegalne ili barem strogo ograničene u zemljama poput Kine, Rusije, Bjelorusije, Irana i Sjeverne Koreje. Oni koji ih tamo koriste to čine diskretno – i očekuju da će pružatelj usluga diskretno rukovati i dobivenim podacima. Ali je li to slučaj svugdje?

Nažalost, ne! Sveobuhvatna studija Fonda za otvorenu tehnologiju, neovisne neprofitne organizacije posvećene promicanju globalne slobode interneta, otkriva alarmantne nedostatke kod nekih pružatelja VPN-ova. Posljedice koje bi, u najgorem slučaju, mogle dovesti do zatvora za neiskusne korisnike.

Kad Kina preuzme kontrolu

Popis nedostataka počinje s netransparentnim vlasničkim strukturama: „Mnoge VPN usluge prikrivaju svoje prave vlasnike kroz složene korporativne strukture“, navodi se u studiji. Drugim riječima, ko zapravo utječe na tvrtke često je nejasno.

Na primjer, tvrtke Innovative Connecting PTE, Autumn Breeze PTE i Lemon Clove PTE tvrde da su registrirane u Singapuru. U stvarnosti, njima upravljaju kineski državljani iz Kine i stoga podliježu kineskim zakonima o kontroli informacija, pišu autori. Drugo izvješće došlo je do vrlo sličnog zaključka. U njemu se navodi: „Mnogi VPN-ovi osnivaju fiktivne tvrtke u zemljama s labavim zakonima o pohranjivanju podataka." 

Osam pružatelja usluga, 16 VPN-ova "vrlo problematično"

Nadalje, brojne VPN usluge razvijaju iste tvrtke: "Mali broj tvrtki kontrolira nesrazmjeran udio VPN tržišta putem rješenja s bijelom oznakom." Rješenje s bijelom oznakom je proizvod koji je razvio treći pružatelj usluga, a zatim ga prodaje druga tvrtka pod vlastitom robnom markom.

Studija je identificirala osam vrlo problematičnih pružatelja VPN-ova sa 16 VPN aplikacija i ukupno više od 700 milijuna preuzimanja na Google Play Storeu, koji prikrivaju svoje međusobne veze. Dalje se navodi: "Aplikacije koje distribuiraju ovi pružatelji usluga također imaju probleme s privatnošću i sigurnošću koji izlažu korisnike riziku od nadzora."

Stotine milijuna korisnika su potencijalno u opasnosti

Među aplikacijama označenima kao "vrlo zabrinjavajuće" su Turbo VPN, VPN Proxy Master, XY VPN i 3X VPN – Smooth Browsing, a svaka od njih je preuzeta 100 milijuna puta s Google Play trgovine.

Zbog toga stotine milijuna korisnika interneta vjeruju da su zaštićeni sigurnošću koja ne postoji. "Jer pružatelji usluga koriste takozvani Shadowsocks protokol tuneliranja (koji nije dizajniran za privatnost) za uspostavljanje VPNtunela i tvrde da su veze njihovih korisnika sigurne."

Trajno kodirane lozinke predstavljaju sigurnosni rizik

Ali to nije sve: Prema studiji "Onaj ko posjeduje, upravlja i razvija vaš VPN je važan", obje skupine pružatelja usluga koriste Shadowsocks protokol s trajno kodiranim lozinkama pohranjenim u aplikacijama, što je ozbiljan sigurnosni propust. Napadači mogu pročitati te lozinke i tako dešifrirati i presresti svu komunikaciju.

Osim toga, mnogi pružatelji usluga koriste iznajmljene poslužitelje u podatkovnim centrima bez potpune kontrole nad hardverom. I: Neke VPN aplikacije potajno prikupljaju podatke o lokaciji, unatoč tome što njihove politike privatnosti tvrde drugačije. 

Je li i moja VPN aplikacija pogođena?

Zaključak studije navodi: "Nažalost, VPN-ovi mogu, u najboljem slučaju, dati lažni osjećaj sigurnosti, a u najgorem slučaju potpuno ugroziti privatnost i sigurnost. U slučaju Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology i Yolo Mobile Technology Limited, svaki korisnik ovih aplikacija je u velikoj opasnosti jer aplikacije imaju ozbiljne probleme s privatnošću i sigurnošću." Umjesto toga, autori preporučuju plaćanje VPN-ova, koji se općenito smatraju pouzdanijim i sigurnijim. Na primjer, nisu pronašli ozbiljne probleme s privatnošću ili sigurnošću s Lantern, Psiphon, ProtonVPN ili Mullvad. 

„Katastrofalno za sigurnost korisnika"

Benjamin Mixon-Baca, jedan od autora studije, ima oštre riječi na temelju ovih nalaza: „Ovo je katastrofalno za privatnost i sigurnost ovih korisnika. Bez obzira na zemlju korisnika, ranjivosti koje smo identificirali pokazuju da VPN-ovi ne nude privatnost ni sigurnost, što je u suprotnosti s tvrdnjama koje ovi pružatelji usluga iznose na svojim web stranicama. Korisnici imaju lažni osjećaj sigurnosti jer državni akter može vidjeti sve što korisnici ovih proizvoda rade.“ S obzirom na to koliko su daleko pružatelji usluga uložili kako bi prikrili svoje prave identitete i činjenicu da prikupljaju geografske podatke unatoč svojim tvrdnjama o suprotnom, ovo su „ozbiljna kršenja povjerenja korisnika“.

Apel operaterima koji prodaju aplikacije

Zaključak: "Korisnici bi trebali preferirati VPN pružatelje usluga koji nude potpunu transparentnost u pogledu vlasništva, infrastrukture i nadležnosti." Rješenja otvorenog koda i neovisne revizije ključni su pokazatelji kvalitete.

Autori snažno preporučuju operaterima koji prodaju aplikacije da obrate više pozornosti na sigurnosne nedostatke pri odabiru aplikacija. Inače, simbol VPN-a dostupan u Trgovini Google Play daje korisnicima osjećaj sigurnosti koji nije potkrijepljen činjenicama.

Posljednje rješenje: Tor browser

Za Mixona-Bacu postoji temeljna kontradikcija kada su u pitanju VPN rješenja: „Privatnost i sigurnost, što ljudi očekuju od ovih proizvoda ili vjeruju da će imati koristi, u izravnom su sukobu s oglašavanjem i monetizacijom. Mi i drugi smo otkrili da miješanje privatnosti s oglašavanjem radi monetizacije ne funkcionira dobro.“ Iako bi javno financirano VPN rješenje slično aplikaciji za razmjenu poruka Signal bilo izvrsno, on vjeruje da ne bi riješilo temeljna ograničenja u vezi s privatnošću i sigurnošću, koja čak ne može riješiti ni javno financiranje. Svako ko zaista želi igrati na sigurno trebao bi koristiti Tor preglednik. „Tor, kao i sve ostalo, ima svoja ograničenja, ali ako vam je privatnost glavna briga, Tor je prvi izbor.“