Er din VPN sikker?

Omkring en fjerdedel af internetbrugere bruger et virtuelt privat netværk, en softwareopsætning, der skaber en sikker, krypteret dataforbindelse mellem deres egen computer og en anden et andet sted på internettet. Mange mennesker bruger dem til at beskytte deres privatliv, når de bruger Wi-Fi-hotspots, eller for at oprette en sikker forbindelse til arbejdspladsens netværk, mens du rejser. Andre brugere er bekymrede over overvågning fra regeringer og internetudbydere.

Mange VPN-virksomheder lover at bruge stærk kryptering til at sikre data, og siger, at de beskytter brugernes privatliv ved ikke at gemme registreringer af, hvor folk får adgang til tjenesten, eller hvad de gør, mens de er tilsluttet. Hvis alt fungerede som det skulle, nogen, der lurer på personens computer, vil ikke se al deres internetaktivitet – bare en uforståelig forbindelse til den ene computer. Eventuelle virksomheder, regeringer eller hackere, der spionerer på den samlede internettrafik, kan stadig se en computer, der transmitterer følsomme oplysninger eller surfer på Facebook på kontoret – men ville tro, at aktiviteten foregik på en anden computer end den, personen i virkeligheden bruger.

Imidlertid, de fleste mennesker – inklusive VPN-kunder – har ikke evnerne til at dobbelttjekke, at de får, hvad de har betalt for. En gruppe forskere, jeg var en del af, har de færdigheder, og vores undersøgelse af tjenesterne leveret af 200 VPN-virksomheder viste, at mange af dem vildleder kunder om nøgleaspekter af deres brugerbeskyttelse.

Forbrugerne er i mørke

Vores forskning viste, at det er meget svært for VPN-kunder at få upartisk information. Mange VPN-udbydere betaler tredjeparts anmeldelseswebsteder og blogs for at promovere deres tjenester ved at skrive positive anmeldelser og rangere dem højt i brancheundersøgelser. Disse udgør reklamer til folk, der overvejer at købe VPN-tjenester, snarere end uafhængige og uvildige anmeldelser. Vi undersøgte 26 anmeldelseswebsteder; 24 af dem fik en form for returbetaling for positive anmeldelser.

Et typisk eksempel var et websted med hundredvis af VPN-virksomheder, der vurderede mere end 90 procent af dem som 4 ud af 5 eller højere. Dette er ikke ulovligt, men det skævvrider evalueringer, der kunne være uafhængige. Det gør også konkurrencen meget sværere for nyere og mindre VPN-udbydere, der måske har bedre service, men lavere budgetter, til at betale for god omtale.

Uklar om databeskyttelse

Vi lærte også, at VPN-virksomheder ikke altid gør meget for at beskytte brugernes data, på trods af reklamer, som de gør. Af de 200 virksomheder, vi kiggede på, 50 havde overhovedet ingen privatlivspolitik lagt ud på nettet - på trods af love, der kræver, at de gør det.

De virksomheder, der udsendte privatlivspolitikker, varierede meget i deres beskrivelser af, hvordan de håndterer brugernes data. Nogle politikker var så korte som 75 ord, langt fra standarden for flersidede juridiske dokumenter på bank- og sociale medier. Andre bekræftede ikke formelt, hvad deres annoncer foreslog, efterlader plads til at udspionere brugere, selv efter at have lovet at lade være.

Lækker eller overvågning af trafik

Meget af sikkerheden ved en VPN afhænger af at sikre, at al brugerens internettrafik går gennem en krypteret forbindelse mellem brugerens computer og VPN-serveren. Men softwaren er skrevet af mennesker, og mennesker laver fejl. Da vi testede 61 VPN-systemer, vi fandt programmerings- og konfigurationsfejl i 13 af dem, der gjorde det muligt for internettrafik at rejse uden for den krypterede forbindelse – hvilket besejrede formålet med at bruge en VPN og efterlod brugerens onlineaktivitet udsat for udefrakommende spioner og observatører.

Også, fordi VPN-virksomheder kan, hvis de vælger, overvåge al onlineaktivitet, som deres brugere engagerer sig i, vi tjekkede om nogen gjorde det. Vi fandt, at seks af de 200 VPN-tjenester, vi undersøgte, faktisk overvågede brugernes trafik selv. Dette er forskelligt fra utilsigtet lækage, fordi det går ud på, at man aktivt ser på brugernes aktivitet – og eventuelt opbevarer data om, hvad brugerne laver.

Opmuntret af annoncer, der fokuserer på privatliv, brugere stoler på, at disse virksomheder ikke gør dette, og ikke at dele, hvad de finder med datamæglere, reklamevirksomheder og politi eller andre offentlige myndigheder. Alligevel forpligter disse seks VPN-virksomheder sig ikke lovligt til at beskytte brugere, uanset deres løfter.

Løj om placeringer

Et stort salgsargument for mange VPN'er er, at de hævder at tillade kunder at oprette forbindelse til internettet, som om de var i andre lande, end hvor de virkelig er. Nogle brugere gør dette for at undgå copyright-begrænsninger, enten ulovligt eller kvasi-lovligt, som at se amerikanske Netflix-shows, mens du er på ferie i Europa. Andre gør dette for at undgå censur eller andre nationale regler for internetaktiviteter.

Vi fandt, selvom, at disse påstande om international tilstedeværelse ikke altid er sande. Vores mistanke blev først rejst, da vi så VPN'er, der hævdede at lade folk bruge internettet, som om de var i Iran, Nordkorea og mindre ø-territorier som Barbados, Bermuda og Kap Verde – steder, hvor det er meget svært at få internetadgang, hvis ikke umuligt for udenlandske virksomheder.

Da vi undersøgte, vi fandt nogle VPN'er, der hævder at have et stort antal forskellige internetforbindelser, der virkelig kun har nogle få servere samlet i et par lande. Vores undersøgelse viste, at de manipulerer internet-routing-registreringer, så de ser ud til at yde service andre steder. Vi fandt mindst seks VPN-tjenester, der hævder at dirigere deres trafik gennem ét land, men virkelig formidler den gennem et andet. Afhængigt af brugerens aktivitet og landets love, dette kan være ulovligt eller endda livstruende – men det er i det mindste vildledende.

Retningslinjer for VPN-brugere

Teknisk indstillede kunder, der stadig er interesserede i VPN'er, kan overveje at opsætte deres egne servere, enten ved hjælp af cloud computing-tjenester eller deres hjemmeinternetforbindelse. Folk med lidt mindre teknisk komfort kan overveje at bruge Tor-browseren, et netværk af internetforbundne computere, der hjælper med at beskytte brugernes privatliv.

Disse metoder er vanskelige og kan være langsomme. Når du vælger en kommerciel VPN-tjeneste, vores bedste råd, informeret af vores forskning, er at læse webstedets privatlivspolitik omhyggeligt, og køb korte abonnementer, måske måned for måned, snarere end længere, så det er nemmere at skifte, hvis du finder noget bedre.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.