Není žádným tajemstvím, že prodejci a dodavatelé technologických produktů přehánějí a nafukují tvrzení o vlastnostech a funkcích nabízených produktů, aby nalákali zákazníky. Existují však i technologické produkty, jejichž funkce nejsou dostatečně zdůrazňovány? U virtuálních privátních sítí (VPN) se setkáme s oběma případy, především u mnoha poskytovatelů tvrdících, že uplatňují ‘Zero Log Policy’, tj. že neukládají o svých uživatelích žádné logy.
Tato tvrzení jsou přitom často pravdě velmi vzdálená.
‘Žádné logy’ nebo ‘nulové logy’ patří k nejflexibilnějším pojmům v oblasti kybernetické bezpečnosti, protože závisejí především na tom, jak daná společnost definuje logy.
Zaměřme se krátce na to, jak logy ve skutečnosti fungují.
Druhy logů
TrueZeroLogs (Skutečně nulové logy)
Jak již název napovídá, VPN služba uplatňující politiku ‘truezerologging‘ (skutečně nulové logy) je nejbezpečnější dostupná možnost. Taková služba skutečně o Vás nebude při používání daného softwaru ukládat žádná data a zaručí Vám naprostou anonymitu. Tato politika ukládání logů je z pohledu uživatelů zdaleka nejúčinnější, protože je zcela nemožné, aby došlo k prodeji jakýchkoli Vašich dat pro účely reklamy či jejich použití proti Vám v policejním vyšetřování. Důsledným uplatňováním politiky nulových logů i v soudních řízeních je známá síť Private Internet Access, která opakovaně odmítla poskytnout FBI logy svých uživatelů s tím, že skutečně žádné neukládá.
Session Logs
Většina poskytovatelů VPN tvrdících, že zastávají ‘politiku neukládání logů’, má na mysli tzv. session logs Session log je relativně jednoduchý log ukládající metadata související s Vaším používáním VPN. Obvykle monitorovaná a ukládaná metadata zahrnují různé metriky, např. dobu použití, objem datového provozu či který VPN server byl použit.
Ačkoliv tyto logy skutečně zahrnují některá základní data, jsou většinou poměrně neškodné. Uživatelé, kteří chtějí mít jistotu, že o nich poskytovatelé neukládají absolutně žádná data, by tak raději měli zvolit službu zastávající politiku ‘truezerologging‘.
ActivityLogs (Logy o aktivitě)
Activitylogs (Logy aktivit) naproti tomu nahánějí hrůzu, protože mohou ukládat celou řadu nejrůznějších údajů o tom co na internetu při používání VPN děláte. Logy aktivit mohou ukládat nejrůznější metriky, včetně Vašich vyhledávání, navštívených webových stránek, souborů, ke kterým jste přistoupili nebo je stáhli, a dokonce i o tom, jaké zboží či služby jste na internetu koupili. Tyto logy patří ve skutečnosti k nejnebezpečnějším, protože je poskytovatelé VPN služeb mohou prodat třetím stranám, např. poskytovatelům reklamy, nebo mohou být použity proti uživatelům v rámci vyšetřování trestné činnosti.
IP AddressLogs (Logy IP adres)
Logování IP adres je o něco méně nebezpečné než ukládání logů aktivit, ale i tak jde o funkci, před níž byste se měli mít na pozoru. Logy IP adres ukládají např. informace o fyzickém umístění Vašeho zařízení prostřednictvím Vaší IP adresy či o tom, jak často se k VPN přihlašujete. Poskytovatel tak disponuje informacemi o historii Vaší IP adresy a době přihlášení, což by v případě nejrůznějších vyšetřování mohly být dostačující údaje k identifikaci.
Datové smlouvy a politiky ovlivňující ukládání logů
Poskytovatelé služeb obvykle neukládají logy, pokud je k tomu nenutí nějaký státní úřad či organizace zabývající se dozorem nad občany. K hlavním mezinárodním dohodám v oblasti kybernetické bezpečnosti patří dohoda Pěti, Devíti a Čtrnácti očí. Na základě těchto dohod úřady daných zemí monitorují aktivity svých občanů. Pokud úřady dané země nemají zákonné oprávnění sledovat vlastní občany, jednoduše požádají o pomoc úřady jiné země. Níže najdete seznam hlavních dohod a zemí podílejících se na dohodách o sdílení údajů a sledování občanů.
Dohoda Pěti očí
Nejvýznamnější mezistátní dohodou o sledování jednotlivců je Dohoda Pěti očí. V rámci této smlouvy se vlády Spojených států, Velké Británie, Austrálie, Nového Zélandu a Kanady dohodly na vzájemném sdílení informací o svých občanech. Tato dohoda byla uzavřena v roce 1946 mezi Spojenými státy a Velkou Británií jako prostředek ke sledování aktivit Sovětského svazu a jeho spojenců. Původním cílem dohody bylo zachytávat signály sovětských vojenských služeb, avšak postupně přerostla ve sledování telefonických rozhovorů, počítačů či faxu vlastích občanu jednotlivých zemí. K rozsáhlé informační síti se brzy připojily i Kanada, Austrálie a Nový Zéland.
Dnes, v moderní éře, probíhá sledování pomocí softwarového systému ECHELON, který umožňuje vládním úřadům monitorovat komerční i soukromé aktivity a který sbírá o jednotlivcích obrovské množství údajů. Tyto informace pak mezi sebou mohou členské země sdílet a využívat ke sledování podezřelých osob. Většina údajů dnes pochází z telefonických hovorů, aktivity na internetu, faxů či jiné digitální komunikace. Osoby sídlící v jedné z pěti výše uvedených zemí tak při podezření mohou být předmětem sledování a odposlouchávání a je o nich shromážděno obrovské množství údajů. Z tohoto důvodu jsou úřady těchto zemí oprávněny požadovat od poskytovatelů VPN sítí informace o aktivitách jejich uživatelů.
Dohoda Devíti očí
Netrvalo dlouho a k původní Dohodě Pěti očí, která se stala pro členské země v mnoha ohledech velmi výhodným nástrojem, se začaly přidávat další státy. V další vlně se k původnímu spolku připojily Nizozemí, Francie, Norsko a Dánsko. Ačkoliv se tito noví členové připojili ke stejné dohodě, některé země, jako např. Nizozemí, mají své vlastní zákony na ochranu dat. Mnohé z holandských norem na ochranu dat striktně definují ochranu soukromí uživatelů. Z tohoto důvodu omezují rozsah informací, které o svých uživatelích mohou VPN ukládat.
Dohoda Čtrnácti očí
Díky účinnosti Dohod Pěti a Devíti očí se k systému brzy přidalo dalších pět zemí – Španělsko, Německo, Belgie, Itálie a Švédsko. Tyto země přistoupily i k dohodě o sdílení informací, čímž celé skupině umožnily účinně sledovat aktivity občanů všech ostatních členských zemí. Dohoda Čtrnácti očí tak tvoří nejrozsáhlejší systém ke sledování občanů, který dramaticky snižuje účinnost a spolehlivost VPN sídlících v těchto zemí.
Případy ukládání logů nedávné minulosti
Ačkoliv mnoho společností tvrdí, že zastávají politiku neukládání logů, jen málo z nich skutečně neukládá vůbec žádné logy. Příkladem může být hongkongská PureVPN, která navzdory tvrzením o tom, že neukládá žádné údaje, nedávno předala informace o konkrétním uživateli své sítě FBI.
FBI požádala PureVPN o spolupráci na vyšetřování případu stalkingu, kdy uživatel PureVPN údajně používal tuto službu ke kybernetickým zločinům a obtěžování jiné osoby. PureVPN proto na vyžádání poskytla FBI časy přihlášení a lokalitu daného uživatele. Tyto session logy pomohly FBI ve sledování podezřelého, ale zároveň se pozornost počítačové veřejnosti zaměřila na PureVPN, která do té doby tvrdila, že o svých uživatelích neukládá žádné logy.
Při bližším průzkumu vyšlo najevo, že zásady PureVPN na ochranu soukromí uživatelů obsahují protichůdná ustanovení, která ve svém důsledku umožňují poskytovateli služby uchovávat session logy o jednotlivých uživatelích využívajících tuto virtuální privátní síť.
I když kauza PureVPN patří k nejvýraznějším, nejde rozhodně o jediný případ, kdy některý poskytovatel VPN služeb odevzdal údaje o uživatelích úřadům. Tento i mnoho dalších případů prokazují, jak flexibilní může být definice ‘žádných logů’.
Jak se chránit
Čtěte i ustanovení psaná malým písmem
Ačkoliv mnoho poskytovatelů tvrdí, že neukládají vůbec žádné logy, v ustanoveních psaných malým písmem se často dozvíte něco úplně jiného. Přečtěte si podrobně veškeré podmínky poskytovaných služeb, včetně ustanovení psaných malým písmem, abyste se ujistili, že nic z Vašich informací není ukládáno.
Vyhněte se členským zemím Spolku Čtrnácti očí
Obecně VPN sídlící v některé z členských zemí Spolku Čtrnácti očí poskytují nižší úroveň ochrany soukromí kvůli striktním pravidlům pro ukládání údajů. Některé VPN sídlící v těchto zemích však nedodržují povinná pravidla a odmítají ukládat logy o svých uživatelích s tím, že dle nich lidské právo na ochranu soukromých informací stojí nad jakoukoli vládní politikou. Některé z těchto zemí navíc mají přísné zákony na ochranu soukromí občanů. Ve světle ustanovení těchto zákonů je minimálně sporné, zda VPN musejí či nemusejí ukládat logy o uživatelích.
Používejte VPN se systémem Tor
Používání VPN spolu se softwarovým systémem Tor zajišťujícím anonymizaci uživatele při pohybu na internetu dokáže při správném nastavení zajistit velmi vysokou úroveň zabezpečení a zajistit, že bude prakticky nemožné monitorovat Vaše data i v zemích s nejpřísnějšími pravidly. Pokud však Vaše VPN není nastavena pro propojení s Torem správně, je možné Vaši aktivitu sledovat na výstupních místech Toru, a v důsledku jste tak zabezpečeni ještě méně než dříve.
Závěr
Úroveň požadované ochrany soukromí je nejdůležitějším faktorem ovlivňujícím výběr pro Vás nejvhodnější VPN služby. Dříve, než si předplatíte některou z virtuálních privátních sítí, se ujistěte, že ať už si vyberete kteroukoli z nabízených služeb, bude to pro Vás ta pravá.