Het is geen geheim dat technologische producten hun functies overdrijven, zodat ze indruk op de consument kunnen maken. Maar hoe zit het met technologische producten die hun functies 'bagatelliseren'? VPN-diensten zijn hiervoor berucht, omdat velen beweren dat ze geen logs bijhouden of een 'Zero Log Policy' hebben.
Maar de waarheid ligt anders.
'Geen logboeken' of 'zero logs' zijn de meest variabele termen in cyberbeveiliging, omdat de voorwaarden echt afhankelijk zijn van de definitie van elk logbestand van elke onderneming.
Dus hier is een kort overzicht van hoe loggen werkt.
De soorten logbestanden
True Zero Logs
Zoals de naam al doet vermoeden, een dienst met een waar nul-logbeleid is het veiligste. De dienst verzamelt echt geen gegevens wanneer u de software gebruikt, dus u bent echt een anonieme gebruiker. Dit soort logbeleid is verreweg het meest effectief omdat het onmogelijk is om uw gegevens ooit aan adverteerders te verkopen of tegen u te gebruiken in het geval van een strafrechtelijk onderzoek. Een VPN bekend voor het handhaven van dit beleid voor de rechtbank is Private Internet Access omdat het bedrijf herhaaldelijk de FBI toegang heeft geweigerd tot gebruikerslogbestanden omdat ze deze echt niet bewaren.
Sessie logs
Sessielogboeken zijn waar de meeste VPN's naar verwijzen als ze zeggen dat ze een 'no logging policy' hebben. Een sessielog is een relatief eenvoudig logbestand dat de metagegevens bijhoudt die u gebruikt tijdens het gebruik van de VPN. De metadata die doorgaans worden verzameld, zijn afkomstig van statistieken zoals gebruikstijd, gebruikte bandbreedte en welke VPN-server werd gebruikt.
Hoewel deze logs in feite een aantal basisgegevens bevatten, zijn ze voor het grootste deel vrij ongevaarlijk. Gebruikers die absoluut geen gegevens willen, zijn echter beter af op zoek naar een echte zero-logging-service.
Activiteitenlogs
Activiteitenlogs zijn een beangstigend iets, omdat ze een grote hoeveelheid gegevens kunnen opslaan die betrekking hebben op wat u op internet doet tijdens het gebruik van een VPN. Activiteitenlogs kunnen statistieken verzamelen zoals wat u hebt gezocht, de websites die u hebt bezocht, de bestanden die u hebt bezocht / gedownload en zelfs de items die u hebt gekocht. Deze logs zijn eigenlijk heel beangstigend, omdat de gegevens door VPN-bedrijven aan externe adverteerders kunnen worden verkocht of tegen personen kunnen worden gebruikt in het geval van een strafrechtelijk onderzoek.
IP-adreslogbestanden
IP-adreslogbestanden zijn iets minder eng ten opzichte van activiteitenlogs, maar nog steeds een functie die alarmbellen moet doen rinkelen. IP-adreslogbestanden verzamelen uw fysieke locatie via uw internet-IP-adres en vaak de tijd dat u zich hebt aangemeld bij de VPN. De dienst heeft dus een geschiedenis van uw IP-adres en inlogtijd, wat mogelijk voldoende informatie kan zijn om u te identificeren in een aantal onderzoekssituaties.
Gegevensovereenkomsten en het beleid die van invloed zijn op loggen
Diensten houden meestal geen logbestanden bij, tenzij ze worden gedwongen door een overheidsinstantie die een beleid heeft dat is gericht op het monitoren van burgers. De opmerkelijkste regeringsakkoorden zijn de Five, Nine en FourteenEyes die toezicht houden op de activiteiten van burgers die in deze landen wonen. Als de gegevensbureaus van het land niet de wettelijke jurisdictie hebben om hun eigen mensen te bespioneren, zullen ze eenvoudigweg een van de andere regeringen vragen om dit voor hen te doen. Hieronder vindt u een overzicht van de overeenkomsten en landen die deel uitmaken van de enorme gegevensuitwisseling / spionage overeenkomsten.
Five Eyes Overeenkomst
De opmerkelijkste van de regeerakkoorden om individuen te monitoren is de Five Eyes-overeenkomst, een overeenkomst tussen de VS, het VK, Australië, Nieuw-Zeeland en Canada om gegevens te delen over de burgers van elk land. Het beleid ontstond in 1946 tussen de VS en het VK na de Tweede Wereldoorlog als middel om toezicht te houden op de activiteiten van de Sovjet-Unie en haar bondgenoten. De overeenkomst was gericht op het onderscheppen van signalen van Sovjetlegers, maar ontwikkelde in de loop der jaren de mogelijkheid om telefoons, computers en faxapparaten voor binnenlandse burgers te bespioneren. Met zo'n breed netwerk aan informatie duurde het niet lang voordat Canada, Australië en Nieuw-Zeeland zich bij de overeenkomst aansloten.
In het moderne tijdperk van vandaag wordt dat systeem van informatie-tracking nu bestuurd door een software die bekendstaat als ECHELON, waarmee overheden zowel commerciële als privé-operaties kunnen bespioneren en massale hoeveelheden gegevens over individuen verzamelen. Deze informatie kan vervolgens worden gedeeld tussen elk van de lidstaten en worden gebruikt om verdachte personen op te sporen. De meeste gegevens van vandaag komen voort uit telefoongesprekken, webactiviteiten, faxen en elk ander type digitaal communicatieapparaat. Personen die in de vijf deelnemende landen wonen, zijn dus onderworpen aan een massale hoeveelheid gegevensonderschepping als ze verdacht worden bevonden. Om deze reden hebben de regeringen van elk land de bevoegdheid om gebruikersactiviteitsinformatie van VPN-diensten te eisen.
NineEyes Overeenkomst
Het duurde niet lang voordat andere landen aan boord gingen met de Five Eyes-overeenkomst voor het delen van gegevens, omdat het in veel opzichten een zeer nuttig hulpmiddel werd voor de oorspronkelijke lidstaten. Zo sloten nog vier landen zich aan bij de overeenkomst, waarmee Nederland, Frankrijk, Noorwegen en Denemarken werden toegevoegd. Hoewel de nieuwe leden feitelijk deel uitmaken van de overeenkomst, hebben sommigen hun eigen wetgeving inzake gegevensbescherming, zoals Nederland. Een deel van het Nederlandse gegevensbeschermingsbeleid beschermt de persoonlijke privacy strikt en beperkt de informatie die door VPN's kan worden bewaard.
FourteenEyes Overeenkomst
Vanwege de efficiëntie van de Five andNineEyes-overeenkomst is het opnieuw uitgebreid met nog eens vijf landen, Spanje, Duitsland, België, Italië en Zweden zijn toegevoegd. Deze landen werden ook onderworpen aan gegevensuitwisseling, waardoor de groep landen de individuen van andere landen effectief kon bespioneren. Aldus vormt de FourteenEyes overeenkomst het ultieme spioneersysteem, dat nu een dramatische invloed heeft op de bruikbaarheid van VPN's in die landen.
Recente gevallen met loggen
Terwijl zoveel bedrijven beweren dat ze een 'geen logbestanden beleid' hebben, zijn er maar weinig die het menen dat ze geen logs verzamelen. Dat is het geval met PureVPN; een in Hong Kong gevestigde VPN die onlangs de gegevens van een specifieke gebruiker heeft overgedragen aan de FBI.
PureVPN werd gevraagd om de FBI te helpen in een stalkingzaak waarin een klant van PureVPN blijkbaar de dienst had gebruikt om cybercriminaliteit en intimidatie te plegen. Op verzoek heeft PureVPN aanmeldtijden en locaties aan de FBI verstrekt, waarmee wordt aangegeven waar de verdachte zich op en vanaf welk tijdstip bij de service had aangemeld. De sessielogbestanden hielpen de FBI uiteindelijk bij de vervolging van de verdachte, maar plaatsten PureVPN in de schijnwerpers omdat de dienst beweerde dat ze geen logs bijhield.
Na verdere inspectie werd het duidelijk dat het privacybeleid van PureVPN tegenstrijdige verklaringen bevatte, waardoor de dienst uiteindelijk sessielogbestanden kon bijhouden van de personen die de dienst gebruikten.
Hoewel de zaak PureVPN de meest opvallende is, is het zeker niet het enige geval waarin een VPN gebruikersgegevens aan autoriteiten heeft overgedragen. Deze zaak, evenals vele andere, bewijst hoe variabel 'no logging'-beleid in werkelijkheid kan zijn.
Manieren om uzelf te beschermen
Lees de kleine lettertjes
Hoewel veel bedrijven beweren dat ze geen logs bijhouden, zeggen hun kleine lettertjes vaak iets anders. Lees de kleine lettertjes van elke dienst zorgvuldig door om ervoor te zorgen dat geen van uw gegevens worden vastgelegd voor onderzoeksdoeleinden.
Vermijd de FourteenEyes landen
Over het geheel genomen zijn de VPN's die afkomstig zijn van de FourteenEyes landen doorgaans minder privé vanwege het strenge beleid inzake gegevensbewaring. Sommige VPN's in deze landen negeren echter de verplichte regels en weigeren logboeken van gebruikers te bewaren, aangezien zij beweren dat het recht van de mens op privétoegang tot informatie boven het beleid staat. Bovendien hebben sommige landen strikte privacybeschermingswetten voor burgers, waardoor het twijfelachtig is of een VPN gebruikersgegevens moet registreren of niet.
Gebruik een VPN met Tor
Het gebruik van een VPN met Tor (de onion router) kan een extreme mate van privacy bieden als het correct wordt gedaan, waardoor het bijna onmogelijk wordt om uw gegevens zelfs in de strengste landen bij te houden. Als uw VPN echter niet op de juiste manier met Tor wordt gebruikt, kan uw webactiviteit worden getraceerd via de exit-knooppunten van Tor, waardoor u nog minder veilig bent dan voorheen.
Conclusie
Aan het eind van de dag moet het privacyniveau dat u wenst, helpen bepalen welk type VPN-dienst geschikt voor u is. Doe uw onderzoek voordat u zich abonneert op een VPN en zorg ervoor dat alles waar u zich voor aanmeldt, precies is waarnaar u op zoek bent.