VPN Services: Det er dårlige nyheter om alle de gode vurderingene

Omtrent en fjerdedel av Internett-brukere bruker et virtuelt privat nettverk, et programvareoppsett som lager en sikker, kryptert datatilkobling mellom egen datamaskin og en annen på andre steder på internett. Mange bruker dem til å beskytte deres privatliv når de bruker wifi-hotspots, eller å koble seg sikkert til arbeidsnettverk mens de er på reise. Andre brukere er opptatt av overvåkning fra regjeringer og internettleverandører.

Mange VPN-selskaper lover å bruke sterk kryptering for å sikre data, og si at de beskytter brukernes personvern ved ikke å lagre oversikt over hvor folk får tilgang til tjenesten eller hva de gjør mens de er tilkoblet. Hvis alt virket som det skulle, ville noen som snooping på personens datamaskin ikke se all sin internettaktivitet - bare en uforståelig forbindelse til den ene datamaskinen.Ethvert selskap, regjering eller hackere som spionerer på den totale internettrafikken, kan fortsatt se en datamaskin som sender sensitiv informasjon eller surfer Facebook på kontoret - men tror at aktiviteten skjedde på en annen datamaskin enn den personen personen virkelig bruker.

Se også: Datasikkerhetsdag: Sjekk sikkerhetsinnstillingene dine på e-post, Facebook og Google

Imidlertid har de fleste - inkludert VPN-kunder - ikke ferdighetene til å dobbeltsjekke at de får det de betalte for. En gruppe forskere jeg var del av, har disse ferdighetene, og vår undersøkelse av tjenestene fra 200 VPN-selskaper fant at mange av dem villede kundene om viktige aspekter ved deres brukerbeskyttelse.

Forbrukerne er i mørket

Forskningen vår fant at det er svært vanskelig for VPN-kunder å få upartisk informasjon. Mange VPN-leverandører betaler tredjeparts gjennomgangssider og blogger for å markedsføre sine tjenester ved å skrive positive vurderinger og rangere dem sterkt i bransjeundersøkelser. Disse beløper seg til annonser til folk som vurderer å kjøpe VPN-tjenester i stedet for uavhengige og objektive vurderinger. Vi studerte 26 gjennomgang nettsteder; 24 av dem fikk noen form for tilbakebetaling for positive vurderinger.

Et typisk eksempel var et nettsted med hundrevis av VPN-selskaper som vurdert mer enn 90 prosent av dem som 4 av 5 eller høyere. Dette er ikke ulovlig, men det skjelner evalueringer som kan være uavhengige. Det gjør også konkurranse mye vanskeligere for nyere og mindre VPN-leverandører som kan ha bedre service, men lavere budsjetter for å betale for god publisitet.

Vag på datasikkerhet

Vi lærte også at VPN-selskaper ikke alltid gjør mye for å beskytte brukernes data, til tross for reklame som de gjør. Av de 200 selskapene vi så på, hadde 50 ingen personvernpolitikk lagt ut på Internett i det hele tatt - til tross for lover som krever at de skal gjøre det.

Bedriftene som gikk etter personvernreglene varierte mye i sine beskrivelser av hvordan de håndterer brukernes data. Noen politikker var så korte som 75 ord, langt fra flersidige juridiske dokumenter som standard på bank- og sosiale medier. Andre bekreftet ikke formelt hva annonsene deres foreslo, slik at de kunne spionere på brukere selv etter å ha lovet å ikke.

Lekkasje eller overvåking av trafikk

Mye av sikkerheten til et VPN er avhengig av at alle brukerens internettrafikk går gjennom en kryptert forbindelse mellom brukerens datamaskin og VPN-serveren. Men programvaren er skrevet av mennesker, og mennesker gjør feil. Da vi testet 61 VPN-systemer, fant vi programmerings- og konfigurasjonsfeil i 13 av dem som tillot internettrafikk å reise utenfor kryptert tilkobling - beseiret formålet med å bruke en VPN og forlater brukerens onlineaktivitet utsatt for eksterne spioner og observatører.

Også fordi VPN-selskaper kan, hvis de velger, overvåke all nettaktivitet brukerne bruker, vi sjekket for å se om noen gjorde det. Vi fant seks av de 200 VPN-tjenestene vi studerte, faktisk overvåket brukerens trafikk selv. Dette er forskjellig fra utilsiktet lekkasje, fordi det innebærer aktivt å se på brukernes aktivitet - og muligens beholde data om hva brukerne gjør.

Oppfordret av annonser som fokuserer på personvern, stoler brukerne på at disse selskapene ikke gjør dette, og ikke å dele det de finner med datameglere, reklamebyråer, og politiet eller andre offentlige etater. Likevel har disse seks VPN-selskapene ikke lovlig å beskytte brukere, uavhengig av deres løfter.

Ligger om steder

Et stort salgsargument for mange VPN-er er at de hevder at kundene kan koble seg til internett som om de var i andre land enn de de egentlig er. Noen brukere gjør dette for å unngå opphavsrettsbegrensninger, enten ulovlig eller kvasi-lovlig, som å se på US Netflix-show mens de er på ferie i Europa. Andre gjør dette for å unngå censur eller andre nasjonale regler som styrer internettaktiviteter.

Vi fant imidlertid at de påstandene om internasjonal tilstedeværelse ikke alltid er sanne. Våre mistenkelser ble først reist da vi så VPN-er som hevdet å la folk bruke internett som om de var i Iran, Nord-Korea og mindre øya-områder som Barbados, Bermuda og Cape Verde - steder der det er svært vanskelig å få tilgang til Internett, hvis ikke umulig for utenlandske selskaper.

Når vi undersøkte, fant vi noen VPN-er som hevder å ha et stort antall forskjellige Internett-tilkoblinger, egentlig bare noen få servere gruppert i et par land. Vår undersøkelse fant at de manipulerer internettruteringsoppføringer slik at de ser ut til å yte tjenester på andre steder. Vi fant minst seks VPN-tjenester som hevder å rute deres trafikk gjennom ett land, men virkelig formidle det gjennom en annen. Avhengig av brukerens aktivitet og landets lover, kan dette være ulovlig eller til og med livstruende - men i det minste er det misvisende.

Retningslinjer for VPN-brukere

Teknisk tenkende kunder som fortsatt er interessert i VPN, kan vurdere å sette opp sine egne servere, enten ved hjelp av cloud computing-tjenester eller deres hjemme-internettforbindelse. Personer med litt mindre teknisk komfort kan vurdere å bruke Tor-nettleseren, et nettverk av Internett-tilkoblede datamaskiner som bidrar til å beskytte brukerens privatliv.

Disse metodene er vanskelige og kan være sakte. Når vi velger en kommersiell VPN-tjeneste, er vårt beste råd, informert av vår forskning, å lese nettstedets retningslinjer for personvern nøye og kjøpe korte abonnementer, kanskje måned for måned i stedet for lengre, slik at det er lettere å bytte om du finner noe bedre.

Denne artikkelen ble opprinnelig publisert på The Conversation av Mohammed Taha Khan og Narseo Vallina-Rodriguez. Les den opprinnelige artikkelen her.