Nincs abban semmi meglepő, hogy a műszaki termékek gyártói a valósnál sokkal több funkcióval hirdetik termékeiket, hogy így próbálják lenyűgözni a potenciális vásárlókat. Mi a helyzet azonban bizonyos funkciók „elhallgatásával”? A VPN szolgáltatók tipikus elhallgatott funkciója a naplózásmentesség, avagy a „Nem logolunk semmit irányelv”.
Lássuk be, hogy ez hazugság.
A „logolásmentesség” vagy „naplózásmentesség” meglehetősen homályos fogalom a kiberbiztonság területén, ugyanis minden vállalat a saját elgondolása szerint értelmezi a kifejezést.
A következőkben azt fogjuk bemutatni, hogy hogyan is működik a naplózás.
A naplózás típusai
Valódi naplózásmentesség
Amint azt az elnevezés is sugallja, a szolgáltató semmilyen módon nem logolja a felhasználók tevékenységét. Mivel a szolgáltató nem gyűjt adatokat a felhasználókról, azok teljesen névtelenül használhatják a szoftvert. Pillanatnyilag ez a leghatékonyabb módja annak, hogy személyes adataid ne kerülhessenek reklámcégek birtokába, illetve hogy az adatokat ne lehessen ellened felhasználni egy esetleges bűnügyi nyomozás során. A VPN szolgáltatók közül a Private Internet Acces követi leginkább a valódi naplózásmentesség gyakorlatát – már számos alkalommal próbált tőlük személyes adatokat kikérni az FBI, de hiába, hiszen a vállalat semmilyen módon nem logolja a felhasználók tevékenységét.
Munkamenet-naplózás
Amikor egy VPN szolgáltató naplózásmentesnek hirdeti magát, legtöbbször erre a gyakorlatra gondol. A munkamenet-naplózás egy alapszintű logolást jelet, amely során a VPN használat alatt gyűjtött metaadatok kerülnek rögzítésre. A metaadatok közé olyan mutatók tartoznak, mint például az időpont, a sávszélesség vagy a VPN szerver adatai.
Bár ezek a logok tartalmaznak néhány alapvető információt, összességében nézve nem okozhatnak túl sok problémát. Ha azonban tényleg ragaszkodsz ahhoz, hogy semmilyen információ ne kerüljön naplózásra, mialatt VPN-t használsz, válassz olyan szolgáltatót, amelyik valódi naplózásmentességet ígér.
Tevékenységnaplózás
A tevékenységnaplózás azért hangozhat ijesztőnek, mert a VPN szolgáltató nagy mennyiségű adatot rögzíthet felhasználóinak tevékenységéről. Az online tevékenység naplózásakor olyan mutatók kerülnek gyűjtésre, mint például a felhasználó által begépelt keresőszavak, a meglátogatott weboldalak, a megosztott vagy letöltött fájlok, sőt, még az interneten vásárolt termékek vagy szolgáltatások adatai is. A veszély abban rejlik, hogy a VPN szolgáltató esetleg továbbadhatja ezeket az adatokat reklámcégeknek vagy egy nyomozáshoz kapcsolódóan átadhatja azokat a hatóságoknak.
IP cím naplózás
Az IP cím naplózása egy fokkal talán elfogadhatóbbnak hangzik, mint a tevékenységnaplózás, de ennek is megvannak a hátulütői. Ezek a logok a VPN programban megadott internetes IP címeden keresztül érik el és naplózzák a földrajzi helyzetedet és többnyire a VPN-re történő csatlakozás időpontját is. Vagyis naplózásra kerül az IP címed és a bejelentkezéseid időpontja, ami elegendő információ lehet arra, hogy egy nyomozás során beazonosítsanak.
A naplózást érintő adatkezelési megállapodások és rendelkezések
Ritka az az eset, mikor egy szolgáltató önmaga dönt úgy, hogy naplózza a felhasználók tevékenységét. Sokkal jellemzőbb eset, hogy a hivatalos szervek rendelkeznek ennek szükségességéről az állampolgárok megfigyeléséhez. A legismertebb államközi megállapodás az Öt, a Kilenc, illetve a Tizennégy Szem Szövetsége. A szövetségbe tartozó országok „jogszerű hozzáférést” adnak egymásnak egy másik szövetséges ország területén élő állampolgáraik megfigyeléséhez. Ha egy ország hírszerző ügynöksége nem rendelkezik illetékességgel, hogy kémkedjen saját állampolgárai után, egyszerűen csak megkérik a szövetség egy másik tagját, hogy tegye meg helyette. Az alábbiakban bemutatjuk, hogy mire is terjednek ki ezek a szerződések, és hogy mely országok tagjai ezekeknek a hatalmas adatmegosztási/kémkedési megállapodásoknak.
Öt Szem Szövetsége
Az állampolgárok megfigyelésére irányuló egyik legismertebb nemzetközi hírszerzési szövetség az Öt Szem Szövetség. Tagjai: USA, Egyesült Királyság, Ausztrália, Új-Zéland és Kanada. A megállapodást a második világháború után, 1946-ban írta alá az USA és az Egyesült Királyság. Céljuk az volt, hogy megfigyelés alatt tarthassák a Szovjetunió és szövetségeseinek tevékenységét. A szövetség eredetileg a szovjet hadsereg üzeneteit volt hivatott elfogni, de idővel ráálltak a civil telefonbeszélgetések és faxüzenetek lehallgatására is. A rendelkezésre álló hatalmas információanyag hamar a szövetségbe csábította Kanadát, Ausztráliát és Új-Zélandot is.
Mai modern világunkban az információs rendszerek lehallgatását az ECHELON nevű szoftver végzi, amelynek segítségével a kormányzatok kereskedelmi és magántevékenységeket is megfigyelhetnek. Az összegyűjtött információkat a szövetség tagjai szabadon megoszthatják egymással, így a gyanúsnak vélt személyek könnyen nyomon követhetővé válnak. Az adatok főleg mobiltelefonokról, webes aktivitásokból, faxüzenetekből és más digitális kommunikációs eszközről származnak. Ha tehát valaki ennek az öt országnak az egyikében él és felkelti a hatóságok érdeklődését, szinte minden információt be tudnak róla szerezni. A megállapodás értelmében a kormányzatoknak jogában áll elkérni a VPN szolgáltatóktól is a felhasználók aktivitási adatait.
Kilenc Szem Szövetsége
Az Öt Szem Szövetségének sikerét és a benne rejlő lehetőségeket látva még több ország jelentkezett tagságért, így hamarosan további négy tag – Hollandia, Franciaország, Norvégia és Dánia – is aláírta az egyezményt. Bár az új tagok teljes jogú tagjai a szövetségnek, némelyikük (például Hollandia) megtartotta a saját szigorú adatvédelmi törvényeit, ezért például a VPN szolgáltatók a felhasználók személyes adatainak csupán egy korlátozott körét tárolhatják.
Tizennégy Szem Szövetsége
Az öt, majd kilenc tagú szövetség sikerét látva újabb öt ország csatlakozott az egyezményhez. Ezúttal Spanyolország, Németország, Belgium, Olaszország és Svédország kötött kölcsönös hírszerzési megállapodást. A tagok megegyeztek az információk megosztásáról is, tehát egy adott tagország egy másik tagország állampolgára után is szabadon kémkedhet. Ahogy az látható, a Tizennégy Szem Szövetsége egy tökéletes kémhálózattá alakult, ami önmagában veszélyezteti a VPN szolgáltatók működését ezeknek az országoknak a területén.
A naplózás legutóbbi esetei
Annak ellenérre, hogy sok vállalat hirdeti azt magáról, hogy nem naplózza felhasználóinak tevékenységét, a valóságban ez nem mindig történik így. A hongkongi székhelyű PureVPN-nek például a közelmúltban volt egy olyan esete, amely során eleget tett az FBI kérésének és kiadta egy felhasználója adatait.
Az FBI egy zaklatási ügyben kérte a PureVPN közreműködését, mivel a VPN szolgáltató egyik ügyfele a VPN szolgáltatás névtelenséget biztosító álcája mögé bújva követett el online bűncselekményeket. A nyomozást segítendő, a PureVPN bejelentkezési helyszíneket és időpontokat tartalmazó listát adott át az FBI ügynökeinek. A szolgáltató által átadott tevékenységnaplóknak köszönhetően a nyomozók végül sikeresen elfogták a gyanúsítottat, de a PureVPN meglehetősen kellemetlen helyzetbe került, korábban ugyanis azt állította magáról, hogy nem naplózza felhasználóinak tevékenységét.
Az adatvédelmi irányelvek tanulmányozása után világossá vált, hogy a PureVPN adatvédelmi irányelvei egymásnak ellentmondó rendelkezéseket tartalmaznak, így végül az is kiderült, hogy a vállalat jogosan naplózta felhasználóinak tevékenységét.
A PureVPN esete kapta talán a legnagyobb nyilvánosságot, de számos más esetről is tudni, ahol a VPN szolgáltató adatokat adott át a hivatalos szervek kérésére. Ebből is látható, hogy a „Nem logolunk semmit irányelv” milyen tágan értelmezhető.
Mit tehetsz saját magad védelmében
Olvasd el a kisbetű részeket
Bár sok vállalat állítja, hogy szolgáltatása teljes mértékben naplózásmentes, a szerződés kisbetűs részeiben ennek pont az ellenkezője szerepel. Mindig olvasd el, mit írsz alá. Győződj meg róla, hogy a választott szolgáltató milyen módon használja személyes adataidat.
Kerüld el a Tizennégy Szem Szövetségét
Általánosságban igaz, hogy a Tizennégy Szem országaiban székelő VPN szolgáltatók kevésbé szigorú adatvédelmi irányelvekkel dolgoznak. Néhány „renitens” szolgáltató viszont önhatalmúlag nem tesz eleget a kormányzat kérésének, és nem naplózza felhasználóinak tevékenységét, mondván, hogy az információkhoz való privát hozzáférés joga előrébbvaló, mint bármilyen kormányzati rendelkezés. Van pár ország, ahol olyan szigorú adatvédelmi szabályok vonatkoznak az állampolgárokra, hogy még a VPN szolgáltatók számára sem egyértelmű, hogy jogosan logolnák-e felhasználóik adatait vagy sem.
Használj Tort VPN-ezéshez
Megfelelően használva a Tor, vagyis a Hagyma elosztó (The Onion Router) tökéletes védelmet nyújt személyes adataidnak, gyakorlatilag lenyomozhatatlan még a legszigorúbb adatvédelmi törvényekkel rendelkező országokban is. Ha viszont nem megfelelően állítod be a Tort és a VPN-edet, a Tor kilépési csomópontjain lenyomozhatóvá válnak az adataid, és sebezhetőbb lesz a védelmi rendszered, mint amilyen a Tor nélkül volt.
Összefoglalás
Végső soron az adatvédelmi igényeid döntik el, hogy milyen VPN szolgáltató lesz a legmegfelelőbb számodra. Mielőtt szerződést kötnél bármelyikkel, olvass utána és tájékozódj, hogy minden feltétel megfelel-e az elvárásaidnak.