Sommario:
Video: VPN | COS'È, COME E PERCHÈ USARLA (Settembre 2024)
"I registri VPN hanno aiutato a smascherare il presunto" net stalker "è un titolo allarmante, poiché il punto centrale dell'utilizzo di una rete privata virtuale è navigare inosservati.
Ma come riporta The Register, è quello che è successo con un uomo di nome Ryan Lin, che è stato arrestato per aver cyberstalking il suo ex compagno di stanza in parte perché il provider VPN di Lin, PureVPN, ha aiutato i federali nelle loro indagini consegnando i registri. Sembra male, ma almeno in questo caso, PureVPN sembra aver agito all'interno della sua politica sulla privacy dichiarata. Puoi ancora fidarti delle VPN tanto quanto hai mai fatto.
Innanzitutto, vorrei essere chiaro: il presunto comportamento di Lin è grossolano. Secondo quanto riferito, ha fatto di tutto per molestare e demoralizzare una donna. La polizia che collabora con aziende tecnologiche per arrestarlo è un esempio del funzionamento del sistema e il fatto che sia stato arrestato mostra quanto siamo arrivati a considerare le attività online come crimini reali. Solo pochi anni fa, denunciare qualcuno non sarebbe stato incluso in un elenco di vili attività criminali. Spero che chiunque voglia emulare le sue azioni ci pensi meglio di conseguenza.
A parte questo, sembra chiaro che quest'uomo sarebbe stato arrestato senza le informazioni acquisite da PureVPN. Il registro riporta:
"La denuncia ha rivelato che ha commesso un errore fondamentale utilizzando un computer di lavoro per alcune delle sue campagne e, sebbene fosse stato chiuso e il sistema operativo reinstallato sulla macchina, c'erano delle impronte lasciate agli investigatori per associare Lin ai 16 -monima campagna contro Smith ".
Il rapporto non fornisce dettagli su quali informazioni siano state recuperate dal computer di lavoro di Lin, ma il suo coinvolgimento è significativo. I ricercatori della sicurezza sono sempre pronti a sottolineare che se riesci a ottenere il dispositivo del bersaglio, hai effettivamente vinto.
Ecco cosa dice il registro che gli investigatori hanno ricevuto da PureVPN:
"'Significativamente, PureVPN è stato in grado di determinare che lo stesso cliente ha avuto accesso al loro servizio da due indirizzi IP di origine', affermano i federali (presumibilmente, quegli indirizzi IP erano presso gli uffici di Lin e di lavoro)."
È facile da leggere e supporre che PureVPN, e forse tutte le società VPN, stiano monitorando le attività degli utenti e siano disposti a consegnare i registri agli investigatori. Ma non credo sia così. Per me, sembra che PureVPN abbia semplicemente confermato che il suo servizio è stato effettuato dallo stesso cliente con due indirizzi IP diversi. Molte VPN registrano informazioni sulle origini degli utenti, di solito per motivi di routing dei dati.
L'articolo dice anche "i record di PureVPN mostrano che gli stessi account e-mail sono stati raggiunti dallo stesso indirizzo IP WANSecurity". È più ottuso, ma non sembra la conferma che PureVPN stia monitorando il comportamento dell'utente. Al massimo, PureVPN ha condiviso l'indirizzo IP di origine, l'indirizzo da cui l'uomo si è connesso e l'indirizzo IP del server VPN utilizzato dall'utente.
Nella sua politica sulla privacy, PureVPN dice alcune cose importanti.
"Pertanto non abbiamo alcuna registrazione delle tue attività come il software che hai utilizzato, i siti Web visitati, i contenuti scaricati, quali app utilizzate, ecc. Dopo la connessione a uno dei nostri server. I nostri server registrano automaticamente l'ora in cui ci si connette a uno dei nostri server. Da qui in avanti, non conserviamo alcuna documentazione relativa a qualsiasi cosa che possa associare un'attività specifica a un utente specifico. Il tempo in cui viene stabilita una connessione corretta con i nostri server viene conteggiato come una "connessione" e la larghezza di banda totale utilizzata durante questa connessione è chiamata "larghezza di banda". La connessione e la larghezza di banda sono registrate per mantenere la qualità del nostro servizio ".
La politica sulla privacy di PureVPN chiarisce due cose. Innanzitutto, la società raccoglie gli indirizzi e-mail (fa parte del tuo login e del sistema di fatturazione della società). Non è in realtà una politica "no log" e non pretende di esserlo. Raccoglie informazioni sulle connessioni sulla sua rete, ma non sul contenuto delle attività dell'utente. In secondo luogo, la società sembra avere informazioni su quali dei suoi server sono accessibili dai clienti.
La politica sulla privacy di PureVPN ha anche questo da dire in merito alla collaborazione con le indagini:
"PureVPN si impegna per la libertà e non supporta il crimine, condivideremo le informazioni solo con le autorità che hanno citazioni in giudizio, warrant, altri documenti legali validi o con presunte vittime che hanno prove chiare di tali attività. Quando e se un tribunale competente ordina a noi o a una presunta vittima di richiederci (che autodichiamo rigorosamente) di rilasciare alcune informazioni, con prove adeguate, che i nostri servizi sono stati utilizzati per qualsiasi attività che hai accettato di non indulgere quando hai accettato i nostri Termini di servizio, quindi presenteremo solo informazioni specifiche solo su quella specifica attività, a condizione che abbiamo la documentazione di tale attività."
In breve, PureVPN lavorerà con gli investigatori che presentano loro un mandato valido. Dopo aver valutato il mandato internamente, PureVPN deciderà se conformarsi o meno. Dice anche che consegnerà solo le informazioni che ha a portata di mano, non che consentirà alle sue reti di essere utilizzate per spiare presunti criminali. È importante sottolineare che PureVPN ha sede a Hong Kong. Per gli utenti VPN, questo è abbastanza buono perché Hong Kong non ha leggi sulla conservazione dei dati, liberando PureVPN per decidere cosa conservare e per quanto tempo.
Non sono un esperto legale, ma sembra significativo che una società con sede in Cina abbia aderito agli investigatori americani. Mi suggerisce che la società abbia collaborato in base ai meriti dell'indagine e non fosse legalmente obbligata a farlo, ma questa è una mia speculazione.
Per me, questo assomiglia molto ai metadati. È la data e l'ora della connessione e probabilmente alcune informazioni sull'indirizzo IP in entrata e in uscita. Non è, soprattutto, informazioni su dove gli utenti sono andati da lì. Ciò significa che gli investigatori hanno dovuto ottenere tali informazioni altrove e abbinarle a qualsiasi informazione ottenuta da PureVPN.
Niente di tutto ciò è minimizzare l'importanza dei metadati. La raccolta di metadati di massa da parte della NSA era offensiva a causa delle sue dimensioni e del fatto che persone innocenti ne erano colpite. Questo non sembra essere il caso qui.
Le VPN sono affidabili?
Non commettere errori: quando usi una VPN, ti stai fidando di loro con un accesso senza precedenti alle tue informazioni. Questo è il motivo per cui lo prendo molto sul serio quando una società VPN viene accusata o manomette i dati degli utenti mentre passano attraverso il sistema dell'azienda. Questo è anche il motivo per cui è così importante leggere l'informativa sulla privacy di un'azienda. Se non riesci a trovarlo o è così complicato da essere illeggibile, quell'azienda potrebbe non valere la pena. Una politica sulla privacy è solo parole, ovviamente, ma dobbiamo iniziare da qualche parte.
È anche molto importante ricordare che nessuno strumento di sicurezza è un proiettile magico e che un attacco o un'indagine mirati avranno quasi sempre successo. Le VPN sono le migliori per proteggere i tuoi dati dall'intercettazione sulla tua rete locale e per impedire che le tue informazioni vengano trascinate negli sforzi di sorveglianza di massa. Se gli investigatori ti stanno già guardando come sospetto e hanno accesso ad altre prove, queste protezioni sono già controverse.
Nel caso di PureVPN, non sembra che la società abbia violato la fiducia dei suoi utenti, nemmeno Lin, che presumibilmente stava usando il servizio per atti criminali. Contatterò l'azienda per chiarimenti (e aggiornerò se necessario), ma per me questo sembra uno scenario ottimale. Un criminale, un individuo specifico, è stato preso di mira per le indagini, e una società tecnologica ha consegnato le informazioni limitate che aveva.
Non voglio diventare un difensore di PureVPN. Piuttosto, voglio un minimo di calma e comprensione intorno agli strumenti di sicurezza. Internet non è stato realizzato pensando alla privacy e alla sicurezza, il che mette a rischio gli utenti di proteggersi. Non possiamo avere paura di questi strumenti e tutti dobbiamo imparare cosa fanno e come sfruttarli al meglio.
