Ik ben anoniem als ik een VPN gebruik – 10 mythes ontkracht

Anonimiteit betekentNiet genoemd of geïdentificeerd worden. Je bent niet anoniem als je online bent, zelfs al gebruik je privacyhulpmiddelen als Tor, Bitcoin of een VPN. Iedere dienst heeft minstens één informatiestuk dat gebruikt kan worden om verschillende gebruikers te onderscheiden, of het nu een reeks IP-adressen (VPN en Tor) of een portemonnee (Bitcoin) is. Deze informatie alleen onthult nog geen privégegevens van de gebruiker, maar het kan worden geassocieerd met andere vergelijkbare informatie om iemand uiteindelijk te identificeren.

Diverse publicaties hebben juist opgemerkt dat noch Tor noch Bitcoin je anoniem maken.

Ook een VPN maakt je niet anoniem, maar zorgt wel voor extra online privacy en veiligheid. Een VPN is vergelijkbaar met de gordijnen voor de ramen van je huis. De gordijnen bieden privacy voor de dingen die bij je thuis gebeuren – al is je huisadres algemeen bekend.

Privacy is een realistischer doel dan anonimiteit. Privacy is van nature iets persoonlijks en wordt door verschillende mensen op verschillende manieren uitgelegd, maar over het algemeen betekent privacy de mogelijkheid om informatie over jezelf uit te sluiten. Met privacy kan ook het recht om jezelf uit te drukken worden bedoeld:

[p]rivacy is je recht en mogelijkheid om jezelf te zijn en jezelf te kunnen uitdrukken zonder bang te zijn dat iemand over je schouders meekijkt en je misschien zelfs gestraft wordt omdat je jezelf bent, wat dat dan ook moge inhouden.

Evan Greer, Fight for the Future, panellid van het‘Take Back Your Internet Privacy Panel‘ van Golden Frog bij de SXSW 2014

Diensten die stellen je anoniem te maken proberen alle intentificeerbare gegevens te verwijderen (wat geen realistisch doel is, zoals besproken bij Mythe 1). Diensten die echter bedoeld zijn om privacy te beschermen helpen gebruikers om de toegang tot hun persoonlijke gegevens in de hand te houden, maar niet om alle identificeerbare gegevens te verwijderen.

Internetgebruikers kunnen gebruik maken van privébrowsers, proxy’s, Tor, cliënten voor versleutelde berichten, VPN’s en andere geweldige hulpmiddelen om hun online privacy te vergroten. Deze privacyhulpmiddelen trachten je te beschermen tegen massacontroles door regeringen of privébedrijven die zijn ‘afgevaardigd’ om gegevens te verzamelen in opdracht van de regering (in de Verenigde Staten bedrijven zoals AT&T, Verizon, Time Warner, Comcast). Maar geen van deze hulpmiddelen maken je, alleen of in combinatie, anoniem. Online privacy via veilige communicatie is een realistisch doel, maar anonimiteit is een valse belofte.

Edward Snowden moedigde internetgebruikers recent nog aan om zich steeds meer op privacy te focussen en zo ‘massacontroles’ te verslaan:

…eenvoudige stappen versleutelen je hardware en … je netwerkcommunicatie [waardoor] je…veel verder gevorderd bent dan de gemiddelde gebruiker – het wordt zo erg moeilijk voor welke soort massacontrole dan ook. Je blijft kwetsbaar voor gerichte controles. Als er sprake is van een gerechtelijk bevel of de NSA naar je op zoek is, dan krijgen ze je nog steeds te pakken! Maar bij massacontroles met een niet-doelgerichte verzamel-maar-raak-aanpak ben je een stuk veiliger.

Zoals één van de oprichters van Golden Frog zei op Usenet, “Je bent niet anoniem op het internet. Je kunt wegrennen, maar je kunt je niet verstoppen.”

Diverse VPN-providers stellen op de marketingpagina’s van hun website over een ‘anonieme dienst’ te beschikken, maar hebben voorwaarden tussen de kleine lettertjes van hun privacybeleid staan die aangeven dat ze wel degelijk gegevens bijhouden.

Een VPN-provider in het Verenigd Koninkrijk die stelde over een ‘anonieme dienst’ te beschikken viel door de mand toen ze klantgegevens van een LulzSec-hacker doorspeelden naar de autoriteiten. Zoals je hieronder zult lezen is het beperkt registreren van VPN-gebruik niet noodzakelijkerwijs slecht, want het helpt de VPN-dienst problemen van klanten op te lossen, misbruik van IP-ruimte en netwerk te voorkomen en verschillende VPN-abonnementen te kunnen bieden (zoals een abonnement voor meerdere apparaten of voor een beperkt aantal gigabyte). Maar adverteren met de ene dienst en de andere dienst leveren is niet de bedoeling.

Hier zijn enkele voorbeelden van marketingboodschappen van VPN-providers die niet overeen blijken te komen met de kleine lettertjes van hun Privacybeleid:

• Express VPN:

  Website: “surf anoniem”

  Privacybeleid: “Naast de gegevens die u verstrekt via ons bestelformulier bewaren we mogelijk de volgende gegevens: IP-adressen, aantal verbindingen met onze dienst en de totale hoeveelheid gegevens die per dag wordt overgedragen. Wij bewaren dit om de best mogelijke ervaring te kunnen bieden. We houden deze gegevens veilig en privé. Als we klachten krijgen over het delen van auteursrechtelijk beschermd materiaal als muziek en films via ons netwerk kunnen we het verkeer filteren om te zien welk account het heeft verzonden en vervolgens dit account annuleren.”

• Pure VPN:

  Website: “PureVPN anonieme VPN-provider”; “maakt je anoniem”; “anoniem internetten”

  Privacybeleid:“…we zullen nooit iemand informatie over u of uw account geven, behalve aan personeel van rechtshandhaving met de juiste documentatie en het juiste papierwerk.”

  “Verder geeft u, of iemand anders namens u, informatie over uzelf of toegang tot uw systeem tijdens het gebruik van de PureVPN-diensten. Deze informatie kan bevatten, maar is niet beperkt tot:

  • Namen en IP-adressen
  • Besturingssystemen
  • Operationele logbestanden”

• Zenmate:

  Website: “surf anoniem”; “anoniem internetten”

  Privacybeleid: “Om aanvallen richting ZenGuard te voorkomen wordt uw IP-adres tijdelijk opgeslagen op de server zonder dat dit definitief of voor enige andere doeleinden wordt bewaard.”

  “Als u kiest voor een toegangspunt, merk dan op dat alleen deze server uw IP-adres zal verwerken en de website waar u toegang tot wilt hebben (de ‘Gewenste Website’).”

  “…op de server die u heeft geselecteerd worden uw siteverzoek en uw IP-adres ontvangen via een versleutelde verbinding.”

• CyberGhost:

  Website: “surf anoniem”; “veiligheid en anonimiteit van de bovenste plank”

  Privacybeleid: “CyberGhost houdt geen logbestanden bij die inmenging met uw IP-adres, het moment of de inhoud van uw dataverkeer mogelijk maken.”

  Opmerking: Het CyberGhost privacybeleid is recentelijk bijgewerkt maar hierin stond voorheen nog dat ze “persoonlijke gegevens mogen verwerken en gebruiken die zijn verzameld bij de configuratie en levering van de dienst (verbindingsgegevens). Hieronder vallen Klantidentificatie en gegevens aangaande de tijd en de hoeveelheid van het gebruik.” Ondanks dit privacybeleid stelden ze nog steeds dat ze een ‘anonieme’ dienst waren. Helaas is hun recentelijk bijgewerkte privacybeleid verwarrend. Ze lijken te zeggen niet de inhoud van je verkeer bij te houden, maar de verbindingsgegevens zoals het IP-adres dan? Omdat hun eerdere marketingberichten niet overeenkwamen met hun eerdere privacybeleid, zetten we onze vraagtekens bij hun huidige privacybeleid.

Als een VPN-provider alleen zegt dat ze ‘niets registreren’ garandeert dit nog niet je online anonimiteit of privacy. Iedere systeem- of netwerkbeheerder zal bevestigen dat beperkt bijhouden van gegevens vereist is om de systemen of het netwerk op juiste wijze te onderhouden en te optimaliseren. In feite moet je je bij iedere provider die zegt ‘niets bij te houden’ onmiddellijk afvragen wat er gebeurt met je privégegevens. Als een VPN-provider absoluut geen logbestanden bij zou houden, zou deze niet in staat zijn om:

• Abonnementen aan te bieden met beperkingen aangaande het aantal GB of gebruikers
• VPN-verbindingen te beperken tot 1, 3 of 5 per gebruiker
• Problemen met je verbinding op te lossen of ondersteuning te bieden bij servergerelateerde problemen
• Om te gaan met je DNS-verzoeken bij het gebruik van de VPN-provider. Mogelijk vertrouwen ze op een derde partij als DNS-provider die wel DNS-verzoeken bijhoudt.
• Misbruik, zoals door spammers, poortscanners en DDOS-aanvallers te voorkomen om hun VPN-provider en hun gebruikers te beschermen

Het probleem van het bijhouden is te ingewikkeld om één enkele regel in je privacybeleid te plaatsen waarin staat ‘wij houden niets bij’ en vervolgens je provider als ‘anoniem’ op de markt te zetten. Er zijn te veel gevallen geweest waarin gebruikersinformatie is overgedragen door VPN-providers die ‘niets registreerden’ en toch een anonieme dienst blijven beloven. Een VPN-provider die ‘niets registreerde’ gaf bijvoorbeeld recentelijk toe dat het een programma voor het analyseren van netwerkverkeer gebruikte om klantverkeer in de gaten te houden en misbruik te voorkomen. VPN-gebruikers zouden hun VPN-providers om meer transparantie moeten vragen.

Iedereen die over een serverinfrastructuur beschikt weet dat het exploiteren van een serverinfrastructuur ZONDER logbestanden extreem ingewikkeld is, zo niet onmogelijk. Stel je nu voor hoe moeilijk het zou zijn om het registreren onmogelijk te maken als je NIET over eigen infrastructuur beschikt en in plaats daarvan je VPN-servers en netwerk bij derden huurt! Buiten Golden Frog om beschikt vrijwel geen enkele VPN-provider over een eigen infrastructuur. In plaats daarvan ‘huren’ VPN-providers hun servers en netwerk van een ‘huurbaas’, zoals een hostingprovider of een datacentrum. Als de VPN-provider ‘huurt’ in plaats van ‘eigenaar is’, hoe kan hij dan garanderen dat de ‘huurbaas’ de privacy van zijn VPN-gebruikers respecteert?

Afgelopen jaar nog werd een Nederlandse klant van een ‘registratievrije’ VPN-provider opgespoord door de autoriteiten met behulp van de logbestanden van de VPN-verbinding nadat hij de ‘registratievrije’ VPN-provider gebruikte om een bommelding te doen. Het datacentrum van de VPN-provider (‘huurbaas’) nam klaarblijkelijk de VPN-server in beslag op bevel van de autoriteiten. Het datacentrum hield ook logbestanden met verkeersoverdrachten van de VPN-provider bij.

De VPN-provider zegt het contract met het datacentrum geannuleerd te hebben maar heeft vreemd genoeg niets gedaan met de meer dan 100 andere locaties waar ze vermoedelijk VPN-servers huren. Hebben ze hun contracten met deze datacentra ook geannuleerd? Zoals te voorspellen was, verkoopt deze VPN-provider zichzelf nog steeds prominent als ‘anonieme VPN-provider’ en claimt hij ‘absoluut geen logbestanden’ te bewaren.

Op het forum van een andere VPN-provider verdween een bericht waarin een gebruiker zich afvroeg of gebruikers datacentra er op konden vertrouwen dat ze niets zouden bijhouden op onverklaarbare wijze.

Een aantal vragen om te stellen aan VPN-providers die servers ‘huren’ zijn:

• Hoe kan de ‘serverhuurder/cloud’ haar gebruikers beschermen tegen hoe haar hostingbedrijven momentopnames van hun machines maken ten behoeve van het maken van back-ups, het voorkomen van DDOS-aanvallen of in de richting van wetshandhaving?
• Hoe kan de ‘serverhuurder’ een live migratie van de gehoste VPN-server voorkomen, waarbij de hele computer in beeld wordt gebracht, inclusief besturingssysteem, geheugen en harde schijf, zeker aangezien live migraties onzichtbaar kunnen zijn voor de VPN-provider?
• Wat gebeurt er met de gegevens als de gehoste machine niet langer wordt gebruikt door de VPN-provider?
• Als jullie geen eigen server hebben, hoe kunnen jullie er dan zeker van zijn dat jullie huurbaas geen sleutel heeft of achterdeurtje kent van de gehoste server?

De meeste VPN-providers (met uitzondering van Golden Frog natuurlijk!) beheren hun eigen netwerk niet en laten dit in plaats hiervan doen door hostingproviders. Het ‘beheren van je eigen netwerk’ betekent dat je de router en schakelaars bezit en beheert. Als je VPN-provider geen eigen netwerk beheert, ben je vatbaar voor het afluisteren van je verkeer door je hostingprovider, zowel bij inkomende als bij uitgaande verbindingen. Het afluisteren van internetverkeer kan resulteren in een enorme hoeveelheid correlatie en identificatie van je gebruikersgegevens.

Als je bijvoorbeeld een gesprek tussen twee mensen in een restaurant afluistert kan je identificeren wie er in het gesprek deelneemt – zelfs als het onbekenden voor je waren toen je begon met luisteren. Als een VPN-provider niet beschikt over haar eigen routers kan deze niet in de hand houden wie er naar zijn gebruikers luistert. Erger nog, een ‘registratievrije’ VPN-provider gaf recentelijk toe dat het een programma voor het analyseren van netwerkverkeer gebruikte om misbruik te voorkomen.

Door een minimale hoeveelheid gegevens te registreren kunnen VPN-providers je ervaring met het gebruik van een VPN enorm verbeteren. VPN-providers zouden alleen een minimale hoeveelheid gegevens moeten registreren om hun bedrijf te laten opereren en deze gegevens zodra ze niet meer nodig zijn moeten verwijderen.

Edward Snowden zei recentelijk op SXSW 2014:

“Een van de dingen die ik zou zeggen aan een groot bedrijf is niet dat je helemaal geen gegevens kunt verzamelen [maar] dat je alleen de gegevens moet verzamelen en bewaren zolang als dat nodig is voor het exploiteren van je bedrijf.”

Minimaal bijhouden geeft VPN-gebruikers de volgende voordelen:

• Verbeterde snelheid en prestaties door VPN-providers toe te staan netwerkverbindingen te optimaliseren
• Verbeterde betrouwbaarheid door VPN-providers toe te staan serviceproblemen op een laag niveau te identificeren en zo storingen te voorkomen
• Oplossen van specifieke klantproblemen, waaronder snelheids-, verbindings- en toepassingsproblemen
• Verschillende accountniveaus om aan de wensen van klanten tegemoet te komen, zoals accounts met een beperkt aantal verbindingen of een beperkt aantal bytes
• Bescherming tegen misbruik door spammers, poortscanners, DDOS-aanvallen en zo verder, zodat VPN-providers klanten kunnen verwijderen die problemen veroorzaken voor andere internetgebruikers
• Verwijderen van kwaadaardige gebruikers zodat VPN’s gerespecteerde internethulpmiddelen blijven voor het behouden van het recht op privacy van gebruikers, en zodat VPN-gebruikers niet worden geblokkeerd van websites en diensten

We hebben een verontrustende trend opgemerkt van ‘zogenaamde’ privacybedrijven die gratis diensten aanbieden zodat ze hun gebruikers kunnen afluisteren. Alleen omdat een bedrijf een privacyproduct of -dienst biedt betekent dit nog niet dat ze je gegevens privé zullen houden. Dit is in het bijzonder het geval bij bedrijven die gratis diensten bieden aan hun gebruikers. Als je een privacyhulpmiddel gebruikt word je vaak om meer gegevens gevraagd dan het hulpmiddel kan beschermen, dus je moet het bedrijf vertrouwen. Marketingbedrijven zijn het privacydomein ingesneld en maken misbruik van dit vertrouwen. Hier zijn enkele voorbeelden:

• Onavo (van Facebook)

  Facebookkocht in 2013 een VPN-app genaamd Onavo. Waarom zou Facebook een VPN-app kopen? Omdat de VPN-functionaliteit de app zicht geeft op de netwerkverbinding van de gehele mobiel. Het gevolg is dat gegevens zoals internetpagina’s en gebruik van apps worden blootgesteld, en Facebook gebruikersactiviteit kan onderzoeken voor hun eigen doeleinden. De prijs van gratis is gewoon te hoog.

  Privacybeleid: “Als u de apps gebruikt, kiest u ervoor om al uw mobiele dataverkeer via of naar de servers van Onavo te laten verlopen. Als gevolg daarvan ontvangen we informatie over u, uw online activiteiten en uw apparaat of browser wanneer u van de Diensten gebruik maakt.”

• Hola

  Hola is een volgende zondaar die zich vermomt als privacybedrijf. Hola biedt haar gebruikers ‘veilig surfen’, maar recentelijk werd bekend dat het de bandbreedte van de gratis gebruikers verkoopt zonder hun medeweten, waardoor ze dus in feite in een botnet veranderen.

  Privacybeleid: “De Persoonlijke Gegevens die we verzamelen en bewaren omvatten uw IP-adres, uw naam en e-mailadres in het geval dat u deze aan ons verschaft (bijvoorbeeld wanneer u een account opent of als u ons benadert via de ‘neem contact met ons op’-mogelijkheid), schermnaam, betaal- en factureringsgegevens (als u premiumdiensten aanschaft) of andere gegevens waar we van tijd tot tijd om kunnen vragen indien vereist voor het leveren van de Diensten.”

• VPN Defender (van App Annie)

  App Annie is een mobiel analysebedrijf dat gebruiksgegevens van apps verzamelt en verkoopt aan bedrijven, zoals durfkapitalisten, voor concurrerend onderzoek. App Annie kocht VPN Defender waarschijnlijk afgelopen jaar, net als Facebook, zodat ze meer gebruiksgegevens van apps konden verzamelen. In de analysesector wordt deze strategie ‘verkoop van binnenuit’ genoemd.

  Privacybeleid: “Het analyseren van uw gebruik van mobiele apps en gegevens, waaronder ook het combineren van dergelijke gegevens kan vallen (waaronder persoonlijk identificeerbare gegevens) met de gegevens die we ontvangen van Partners of derde partijen; Marktanalyses, bedrijfsintelligentie en gerelateerde diensten aan Partners en derde partijen verschaffen; De Diensten exploiteren, zoals virtuele privénetwerken en monitoren van apparaten.”

• Proxydiensten op internet

  De meeste proxy’s versleutelen je internetverbinding niet en om te kunnen werken hebben ze toegang tot iedere URL die je bezoekt. Een recent blogbericht dat de veiligheid van gratis proxydiensten analyseerde bepaalde dat slechts 21% van de meer dan 400 onderzochte diensten niet ‘schimmig’ was en meer dan 25% van de proxy’s de internetcode aanpaste om advertenties te injecteren. De meeste bedrijven die diensten aanbieden om je te helpen ‘anoniem’ te zijn op het web verzamelen een heleboel persoonlijke en identificerende gegevens van hun gebruikers – gegevens die ze kunnen verkopen.

Zoals bleek uit een recent onderzoek kunnen sommige VPN-producten last hebben van IPv6-lekken en DNS-kwetsbaarheden, waardoor veel gebruikers wel twee keer nadenken voor ze vertrouwen op een VPN om ze online te beschermen. Niet alle VPN’s zijn echter hetzelfde. Als het aankomt op de IPv6-lekken, dan zijn alleen VPN’s die werken via IPv6 in gevaar en degenen die cliënten van derden gebruiken (wat Golden Frog niet doet) lopen nog het meeste risico. Als het aankomt op de DNS-kwetsbaarheden, dan beschikken de meeste niet over hun eigen DNS-servers zoals Golden Frog. Als DNS-verzoeken worden verzonden over netwerken van derden naar DNS-servers van derden zijn gebruikers kwetsbaarder voor monitoring, registratie of manipulatie.

Tor wordt vaak genoemd als alternatief voor het gebruik van een VPN. Echter, zoals juist gesteld door diverse organisaties, maakt Tor je niet anoniem. Zelfs Tor zelf geeft toe dat het niet alle anonimiteitsproblemen op kan lossen en waarschuwt gebruikers om hiernaar te handelen. Tor is voor de gemiddelde internetgebruiker moeilijk aan de praat te krijgen, en gebruikers klagen vaak dat Tor traag is. Een publicatie zei zelfs “Als je Tor nog steeds vertrouwt om je veilig te houden, dan ben je niet goed bij je hoofd. ”

Tor heeft de FBI er zelfs van beschuldigd dat ze Carnegie Melon een miljoen dollar betaalden om zijn ‘Tor-brekende onderzoek’ te gebruiken om de identiteit van enkele gebruikers van de dienst te onthullen.