Chyba każdy, kto odwiedza od czasu do czasu platformę YouTube, natknął się na reklamy sieci VPN. W ostatnim czasie to jedna z najintensywniej promowanych przez internetowych twórców wirtualnych usług. Największą zaletą VPN-ów ma być przede wszystkim całkowita prywatność, jaką zapewnia ta sieć oraz możliwość zmiany lokalizacji na niemal dowolny kraj na świecie, a co za tym idzie, dostęp do treści (np. biblioteki filmów w serwisach streamingowych), które nie są dostępne w Polsce. Czy faktycznie VPN to cudowne narzędzie bez wad?
Czym jest VPN i jak działa?
VPN to skrót od virtual private network, czyli wirtualnej sieci prywatnej. W ramach VPN tworzony jest wirtualny tunel, który bezpośrednio łączy komputer odbiorcy (internauty) z siecią nadawcy (firmy odpowiedzialnej za dane rozwiązanie VPN). Tunel ten - choć w rzeczywistości znajduje się w sieci publicznej (internecie) - jest prywatnym połączeniem między odbiorcą i nadawcą, dlatego teoretycznie nikt z zewnątrz nie jest w stanie podejrzeć, jakie dane są nim przekazywane. Pod warunkiem oczywiście, że połączenie jest odpowiednio zabezpieczone (szyfrowane).
Dopiero serwery dostawcy VPN łączą się z serwerami danej witryny w sieci, którą użytkownik chce odwiedzić w internecie (to połączenie również może być szyfrowane protokołem HTTPS). Analogicznie jest w drugą stronę. Dane trafiają w pierwszej kolejności do dostawcy danego rozwiązania VPN, a następnie do użytkownika końcowego. Jeśli zatem chce on skorzystać np. z wyszukiwarki Google, serwer dostawcy VPN-a wysyła do serwerów giganta z Mountain View zapytanie, a ten odsyła odpowiedź w to samo miejsce. Dopiero później dana informacja dociera do użytkownika wspomnianym wirtualnym tunelem. W zależności od tego, gdzie znajduje się serwer usługodawcy VPN, taką lokalizację powinna zobaczyć strona, na którą wchodzi internauta.
Aby to zobrazować, można wyobrazić sobie, że osoba A chce przekazać coś osobie B, tak aby nie poznała ona tożsamości nadawcy. Normalnie można byłoby wysłać dany przedmiot pocztą lub kurierem, ale - w celu ograniczenia ryzyka ujawnienia - osoba A pakuje go kopertę i prosi zaufanego pośrednika, aby nadał go w skrytce paczkowej. Przesyłka jest następnie transportowana przez firmę kurierską do odbiorcy (osoby B), przechodząc przez ręce różnych kurierów i punkty przeładunkowe. Odbiorca otrzymuje przedmiot, ale poznaje jedynie tożsamość pośrednika i tylko do niego może wysłać coś w odpowiedzi. Prawdziwy nadawca pozostaje w ukryciu, bo kontaktuje się z pośrednikiem w bezpieczny sposób. Paczki to w tym przykładzie zapytania i odpowiedzi, które wysyła i odbiera komputer internauty. Pośrednikiem jest serwer dostawcy VPN, a odbiorcą serwer strony internetowej, którą chce odwiedzić użytkownik sieci. Kurierzy i punkty przeładunkowe to z kolei serwery pośredniczące w wymianie danych, a cała sieć dróg, budynków i miast razem tworzy internet.
Czy VPN jest bezpieczny? To nie peleryna-niewidka
Łatwo zatem odnieść wrażenie, że VPN to idealny sposób na ukrycie swojej obecności w sieci, a to nieprawda. Po pierwsze dlatego, że VPN jest tak bezpieczny, jak bezpieczne jest połączenie między użytkownikiem sieci a serwerem dostawcy takiej usługi. Dane podróżują wirtualnym tunelem, ale wciąż przekazywane są w publicznej sieci, dlatego to od szyfrowania zależy, czy pozostaną w ukryciu przed osobami trzecimi. VPN może więc "zasłonić" tożsamość użytkownika przed firmą, z której serwerami chce się połączyć, albo przypadkowym hakerem, który próbuje namierzyć dane, przekazywane podczas korzystania z darmowej sieci Wi-Fi w kawiarni. Osoba lub grupa z odpowiednimi umiejętnościami i zasobami może być w stanie złamać każde zabezpieczenie, o ile tylko cel ataku będzie tego wart. Takie osoby raczej nie będą miały jednak interesu w tym, aby poświęcać czas i środki na wykrycie, czego akurat szukał w internecie typowy Kowalski.
Po drugie, choć VPN pozwala użytkownikowi przybrać "nową tożsamość" w internecie, jednocześnie sam pośredniczy w wymianie wszystkich informacji między nim a siecią. A to oznacza, że usługodawca VPN może w rzeczywistości zbierać, zapisywać i przechowywać ogromne ilości danych na temat każdego użytkownika. Jeśli faktycznie to robi, od jego uczciwości zależy już, co dalej stanie się z takimi informacjami. W skrajnych przypadkach korzystanie z niesprawdzonych rozwiązań może jeszcze gorsze niż niekorzystanie z nich w ogóle. Podejrzani dostawcy takich usług mogą bowiem sprzedać (lub nawet stracić w wyniku włamania) taki dziennik aktywności użytkownika, który dla niektórych okaże się łakomym kąskiem. A sam internauta nawet nie dowie się, że jego dane wyciekły.
Po trzecie już, fakt, że VPN ukrywa IP użytkownika, nie oznacza jeszcze, że pozwala poczuć się zupełnie anonimowym w sieci. Samo przekierowanie ruchu nie wystarczy bowiem, aby się ukryć. Surfując po sieci, większość z nas zazwyczaj zostawia w niej mnóstwo śladów na swój temat. Co więcej, istnieje wiele informacji dotyczących samego komputera, które są przekazywane i przez reklamodawców mogą zostać powiązane z danym urządzeniem. Ponadto przeglądarki mogą zapisywać i przekazywać pliki cookies - czyli tzw. ciasteczka, zawierające dane na temat aktywności, które można łatwo powiązać z daną osobą - a nawet prawdziwą lokalizację urządzenia. Można w ten sposób przekazać nie tylko dane dotyczące aktualnej aktywności, ale niemal całą historię korzystania z sieci. Istnieje też coś takiego jak fingerprint (odciska palca) przeglądarki, czyli skrawki informacji, dzięki którym w większości przypadków można wyśledzić danego użytkownika sieci. Nawet jeśli korzysta VPN-a.
Warto pamiętać też, że VPN na nic się nie zda, jeśli użytkownik podczas przeglądania sieci sam przekaże informacje na swój temat. Chociażby, logując się na swoje konto w przeglądarce, sklepie lub portalu społecznościowym. W ten sposób dane dotyczące aktywności trafiają na serwery tych firm, niezależnie od tego, czy VPN został włączony, czy nie. Wirtualna sieć prywatna nie jest więc sposobem na całkowite ukrycie się w internecie, a może stanowić jedynie pewne zabezpieczenie np. podczas korzystania z otwartych punktów Wi-Fi lub narzędzie do skorzystania ze stron internetowych i treści, które w danym kraju są niedostępne, albo zakazane.
