Suspekte VPN-udbydere forsøger at lukrere på privacy-panik
»Folk spørger mig ofte, hvad jeg mener om én eller anden VPN-udbyder, og der er et enkelt svar: Jeg har ingen anelse. Jeg har truffet min egen beslutning ud fra tillid snarere end noget andet,« skriver sikkerhedseksperten Troy Hunt i et blogindlæg.
De seneste dage har en VPN-udbyder under flere navne udsendt reklamemails, hvori der henvises til blandt andet det kontroversielle forslag om at give internetudbydere lov til at videresælge data om kundernes internethistorik.
En VPN-forbindelse er en oplagt måde at sikre sig mod denne form for kommerciel overvågning, men i det konkrete tilfælde er det svært at have tillid til VPN-udbyderen. Vice Motherboard har afdækket kommunikationen med udbyderen på baggrund af kampagnen og en hjemmeside, som blandt andet ikke brugte SSL-kryptering, når man skulle betale.
Både Troy Hunts blogindlæg og artiklen fra Motherboard dokumenterer en noget usædvanlig kommunikationsstrategi, hvor firmaet modsiger anerkendte sikkerhedseksperter om blandt andet SSL-kryptering.
Samtidig benytter firmaet i dets reklamemails sig af henvisninger til to firmaer, Boxee og Plex, som begge nægter at samarbejde med den pågældende VPN-udbyder. Ifølge Troy Hunt er det muligt, at VPN-udbyderen benytter sig af mailadresser, som er fremskaffet efter tidligere datalæk hos de pågældende firmaer.
VPN-udbyderen er desuden registreret til en adresse i Canada, hvor der ifølge Google ser ud til at ligge en vietnamesisk restaurant.
Beskyttes dine data hos VPN-udbyderen?
I princippet kræver det ikke meget at oprette en VPN-udbyder, og et stort domicil er heller ingen garanti for, at kundernes data er beskyttet hos udbyderen.
Men det bringer os til Troy Hunts pointe. Dit valg af VPN-udbyder hænger i sidste ende sammen med dét, der er uundgåeligt i it-sikkerhed: På et tidspunkt handler det kun om tillid.
En VPN-udbyder kan ligesom internetudbyderen se, hvem du kommunikerer med - og selvom trafikken til den hjemmeside, du vil besøge, krypteres med HTTPS, så kan VPN-udbyderen stadig se, at du har forsøgt at kommunikere med den pågældende server.
Hav større tillid til VPN-udbyder end ISP
Derfor er det vigtigt at vælge en VPN-udbyder, som du har større tillid til end din internetudbyder, hvis du vil beskytte dit privatliv. Hvis du vil bruge VPN-forbindelsen til at sikre dig, når du forbinder dig til hotspots på eksempelvis hoteller eller caféer, så er det noget andet, men hvis det er din internetudbyder, du ikke stoler på, så skal du vælge en VPN-udbyder, der er troværdig.
Selvom det er forholdsvis nemt at etablere sig som VPN-udbyder - det kræver først og fremmest plads i et datacenter og en god aftale om datatrafik - så er det sværere at signalere troværdighed til kunderne.
I den konkrete sag blev troværdigheden undergravet af, at firmaet angiveligt misbrugte andre firmaers navne i markedsføringen; krypteringen manglede på hjemmesiden og firmaet modsagde troværdige personligheder på Twitter i sin eksterne kommunikation.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
