Det er ingen hemmelighed, at teknologiprodukter bliver oversolgt på deres smarte featuresfor at imponere forbrugerne. Men hvad så med teknologiprodukter,som ”undersælger” deres features? VPN-tjenester er berygtede for netop dette, da mange af dem erklærer, at de ikke opbevarer logfiler, ogat de har en ”Nul logningspolitik”.
Men intet kunne være længere fra sandheden.
Så her følger en kortfattet gennemgang af, hvordan logning i virkeligheden fungerer.
“Ingen logfiler” eller ”nul logfiler” er nogle af de mest benyttede fagtermer inden for IT-sikkerhed, da disse termer jo i sandhed afhænger af den enkelte virksomheds definition på en logfil.
Typer af logfiler
True Zero Logs
Som navnet antyder, er denne tjeneste, som benytter sig af en ægte nul-logfil-politik, det mest sikre, du kan få. Tjenesten vil virkelig ikke indsamle nogen af dine data, mens du benytter softwaren, så du er virkeligen anonym bruger. Denne form for logpolitik er den allermest effektive, da den umuliggør, at dine data kan blive solgt til markedsføringsfirmaer, eller blive brugt imod dig, i forbindelse med en kriminel efterforskning. En VPN-tjeneste, der er berømt for at opretholde netop denne politik, er Private Internet Access, idet virksomheden indtil flere gange har nægtet FBI at få indsigt i brugernes logfiler, eftersom de jo i sandhed ikke har nogen.
Sessionslogning
Sessionslogning er, hvad de fleste VPN-tjenester refererer til, når de erklærer, at de fører en politik med ”ingen logning”. Sessionslogning er en relativ enkelt form for logning, som holder styr på de metadata, du har med at gøre under brugen af VPN. De metadata, som typisk bliver indsamlet, kommer fra metriske data, som f.eks. tidsforbrug, anvendt båndbredde, og hvilken VPN-server, der er benyttet.
Selvom disse logfiler faktisk indeholder nogle grundlæggende data, er de for det meste ganske harmløse. Imidlertid er de brugere, der overhovedet ikke ønsker, at nogen af deres data bliver indsamlet, bedre tjent med en ægte nul-logningstjeneste.
Aktivitetslogfiler
Aktivitetslogfiler er et skræmmende fænomen, da de kan gemme på en stor mængde data om det, du foretager dig på internettet under brugen af VPN. Aktivitetslogfiler kan indsamle metriske data, som f.eks. hvad du har søgt efter, hvilke hjemmesider du har besøgt, de filer du har været inde på eller downloadet og endda de ting, du har købt. Disse logfiler er i sandhed temmelig skræmmende, da VPN-udbydere kan sælge disse data til tredjeparts annoncører, eller anvende dem imod den enkelte borger i forbindelse med en kriminelefterforskning.
IP-adresselogfiler
IP-adresselogfiler er et lidt mindre skræmmende fænomeni forhold til aktivitetslogfiler, men er dog stadig en feature, der skal få dine alarmklokker til at ringe. IP-adresselogfiler opsamlersåledes data om din fysiske lokation, via din internet IP-adresse og ofte også fra din login-tid, hvilket potentielt kan være oplysninger nok til at identificere dig i forbindelse med en række efterforskningssituationer.
Aftaler om databeskyttelse ogdatapolitikker, der har indflydelse på logning
VPN-tjenester opbevarer normalt ikke logfiler, med mindre de er tvunget til det af statslige myndigheder, som fører en datapolitik med fokus på overvågning af borgerne. Den mest bemærkelsesværdigeaf regeringsaftalerneer ”Five-Nine-and-Fourteen-Eyes-aftalen”, som overvåger borgernes onlineaktivitet i de pågældende lande. Hvis landenes dataagenturer ikke har den juridiske ret til at udspionere deres egen befolkning, vil de simpelthen bede en af de andre regeringsmyndigheder om at gøre det for dem. Nedenstående er et udpluk af de aftaler og lande, som tager del i de omfattende dataudvekslings-/spionageaftaler.
FiveEyes-Aftalen
Den mest bemærkelsesværdige regeringsaftale om overvågning af enkeltstående personer erFiveEyes-aftalen, som er en aftale mellem USA, England, Australien, New Zealand og Canada om at udveksle data om borgerne i de pågældende lande. Aftalen kom i stand i 1946 mellem USA og England, efter 2. Verdenskrig, med henblik på at overvåge Ruslands og dets allieredes aktiviteter. Aftalens mål var at opfange signaler fra det russiske militær, men udviklede sig som årene gik til også at omfatte spionage mod landenes egne borgere,ved overvågning af telefoner, computere og faxmaskiner. Med et så stort netværk med informationer varede det ikke længe inden Canada, Australien og New Zealand også tilsluttede sig aftalen.
I nutidens moderneæraadministreres dette informationssporingssystem nu af en software kaldet ECHELON, som tillader landenes regeringer at udspionere både kommercielle og private anliggender og indsamle enorme mængder data om enkeltpersoner. Informationerne kan derefter deles mellem de enkelte medlemslande og anvendes til at spore mistænkelige personer.Det meste af nutidens datainformation stammer fra telefonsamtaler, internetaktiviteter, faxer og andre typer af digitalt kommunikationsudstyr. Derudover udsættes enkeltpersoner, bosiddende i de fem medlemslande, for massiv dataovervågning, hvis de findes mistænkelige. Netop af denne grund har regeringerne fra hvert medlemsland bemyndigelse til at afkræve information om brugeraktiviteter fraVPN-tjenester.
Nine Eyes-aftalen
Det varede ikke længe, før andre nationer hoppede med på FiveEyes-alliancens dataudvekslingsaftale, da den på mange måderviste sig at være et særdelesnyttigt værktøj for de oprindelige medlemslande. Derfor sluttede fire andre nationer sig til aftalen, hvilket tilføjede Holland, Frankrig, Norge og Denmark til listen. Til trods for at de nye medlemslande er fuldgyldigt med i aftalen, har nogle af dem alligevel deres egen datalovgivning, som f.eks. Holland. En del af Hollands datalovgivningspolitik beskytter indgående privatlivets fred og lægger begrænsninger på, hvilke informationerVPN-tjenester kan ligge inde med.
FourteenEyes-aftalen
På baggrund afFiveEye-aftalens og Nine Eye-aftalenseffektivitet, blev den yderligere udvidet med fem lande, som indbefattede Spanien, Tyskland, Belgien, Italien og Sverige. Disse nationer kom ligeledes med i dataudvekslingsaftalen, som tillod alliancens medlemslande at udføre effektiv spionage imod enkeltpersoner fra andre lande. Dermed dannede FourteenEyes-aftalen grundlag for det ultimative spionagesystem, som den dag i daghar en kolossal indvirkning på vurderingen af VPN-tjenesternei de pågældende lande.
Seneste sager om logning
Mens mange virksomheder erklærer, at de har en politik med ingenlogning, er detkun meget få, der helt oprigtigt mener, at de ikke indsamler nogen logfiler. Det er f.eks. tilfældet med PureVPN, som er en Hong Kong-baseret VPN-tjeneste, som for nylig overdragede en specifik brugers data til FBI.
PureVPNblev bedt om at yde støtte til FBI i forbindelse med en sag om stalking, hvor en kunde hos PureVPNtilsyneladende havde anvendt tjenesten til at begå internetkriminalitet og udføre chikane. Efter anmodning fremlagde PureVPN henholdsvis tidspunkter for login og adresser til FBI, hvilket viste, hvor den mistænkte havde logget på servicen og på hvilket tidspunkt.Sessionslogningen hjalp i sidste ende FBI i at retsforfølge den mistænkte, men fik sat PureVPN i søgelyset, da udbyderen hævdede, at de ikke opbevarede nogen logfiler.
Efter yderligere undersøgelser, var det tydeligt, at PureVPN’s privatlivspolitik havde modsatrettede udsagn, som i sidste ende tillod tjenesten at opbevare sessionslogningerne på privatpersoner, som anvender tjenesten.
Selvomsagen vedr.PureVPN er den mest bemærkelsesværdige, er det bestemt ikke det eneste eksempel på,at en VPN-tjeneste har overgivet brugerdata til myndighederne. Såvel denne sag som mange andrebeviser, hvor utrolig fleksible politikkerne om ”ingen logning” i virkeligheden kan være.
Metoder til at beskytte dig
Læs det med småt
Selvom mange virksomheder påstår, at de ikke opbevarer logfiler, siger deres erklæringer skrevet med småt ofte noget helt andet. Læs den enkelte tjenestes erklæring med småt grundigt igennem med henblik på at sikre, at der ikke er nogle af dine informationer, der bliver indsamlet til forskningsformål.
Undgå de lande, der er med i FourteenEyes-aftalen
Overordnet set er de VPN-tjenester, der kommer fra lande, der er med i FourteenEyes-aftalen, generelt mindre private, som følge af de restriktiveopbevaringspolitikker. Imidlertid ser nogle VPN-tjenester i disse lande bort fra de obligatoriske regler og nægter at opbevare nogen form for logfiler fra brugere, da de påberåber sig,at den enkeltes ret,til at kunne færdes privat på nettet, vægter højere end landets datapolitikker. Derudover er der en del lande, somhar en restriktiv lovgivning med hensyn til beskyttelse af borgernes private oplysninger, hvilket stiller spørgsmålstegn ved, om en VPN-tjeneste har lov til at benytte logning af brugernes data eller ej.
Anvend en VPNmed Tor
Anvendelse af VPN sammen med Tor, også kaldet ”The Onion Router”, kan give dig en meget høj beskyttelse af privatlivets fred, hvis det anvendeskorrekt, da det gør det næsten fuldkommen umuligtat opspore dine data, i selv de allermest restriktive lande. Hvis din VPN imidlertid ikke anvendes på en korrekt måde sammen med Tor, kan dine internetaktiviteter spores gennem Tors såkaldte ”exit nodes”, hvilket gør det mindre sikkert end før.
Konklusion
Til syvende og sidst er det dit ønske til sikkerhedsniveauet, på dine private oplysninger, der skal afgøre, hvilken form for VPN-tjeneste, der er den helt rigtige fordig. Undersøg markedet grundigt, inden du tegner abonnement på en VPN-tjeneste, og sørg for at sikre dig, at det, du vælger at abonnere på, er præcis det, du søger.