Ostatnio pojawia się wiele reklam VPN-ów, które krzyczą: “Chroń swoją prywatność!”, “Jesteś inwigilowany!” albo “Źli hakerzy zaraz Cię okradną bez VPN-a!” Na mojej twarzy pojawia się wtedy uśmiech zażenowania, ale najwyraźniej to działa – budżet marketingowy się spina, firmy sponsorują influencerów i stale rozwijają ofertę. Sęk w tym, że wiele z tych reklam jest po prostu kłamstwem.
Czym w ogóle jest VPN?
VPN, czyli Virtual Private Network, jest mechanizmem umożliwiającym utworzenie bezpiecznego tunelu, przez który możemy przesyłać dane. To prosta definicja, ponieważ cała technologia jest całkiem ciekawa i można by o niej dużo debatować, ale nie o to tutaj chodzi. Założenie jest proste: możesz podłączyć się do sieci prywatnej w sposób niejawny, gdzie Twoja komunikacja jest szyfrowana i niewidoczna dla podglądaczy. Brzmi całkiem bezpiecznie, prawda? Ale to nie koniec historii.
Sieć „prywatna” nie znaczy bezpieczna
Łącząc się z infrastrukturą firmy świadczącej usługi VPN, nadal łączymy się z siecią, którą ktoś zarządza. O ile komunikacja od nas do serwerów dostawcy jest przeważnie szyfrowana i bezpieczna, tak ruch w sieci operatora VPN nie musi taki być. Faktem jest, że większość stron internetowych i serwisów, których używamy, jest w jakiś sposób zabezpieczona szyfrowaniem, ale zdarzają się momenty, gdzie np. formularz jest przesyłany jawnym tekstem, albo serwis sam w sobie zawiera luki, dzięki którym można uzyskać dostęp do Twoich informacji. W takim przypadku dane są wciąż możliwe do przechwycenia — zmienia się tylko osoba, która może to zrobić. Oddanie się w ręce prywatnej firmy poniekąd przenosi osobę nadzorującą. Twój dostawca usług internetowych widzi tylko, że łączysz się z jakimś centrum obliczeniowym (prawdopodobnie wydedukuje, której firmy to serwery) i nie widzi dokładnego ruchu w Twojej sieci, ale dostawca usług VPN już do takiego ruchu ma wgląd.
Zmiana IP nie oznacza anonimowości
Często jest to jeden z wielu sloganów marketingowych — nie widząc Twojego adresu IP, nikt Cię nie może namierzyć. No i tutaj mamy kolejny problem, bo adresy IP już od dawna nie są głównym sposobem identyfikacji użytkownika. Wraz z popularnością smartfonów, nasz adres IP zmienia się często parę razy dziennie. Operatorzy światłowodów też niechętnie przypisują publiczny, stały adres IP z uwagi na deficyt w ilości tych adresów i ograniczenie kosztów, więc od dawna nie jest to pewna i stała metoda weryfikacji użytkownika. Jedyne, co realistycznie się zmienia, to geolokalizacja.
W jaki sposób śledzi się użytkowników?
Główni podejrzani to ciasteczka oraz fingerprinting. Reklamodawcy oraz analitycy zbierają informacje o użytkownikach poprzez zapisywanie na ich komputerach ciasteczek, które mają w sobie często unikalne identyfikatory lub zestaw informacji, który pozwala później reklamodawcy wyświetlić Ci spersonalizowane reklamy. Ciasteczka można wyłączyć lub wyczyścić, ale jest jeszcze jedna, bardziej przebiegła metoda — fingerprinting, w którym używa się informacji takich jak nazwa urządzenia, informacje o przeglądarce (rodzaj, rozdzielczość, system operacyjny, zainstalowane czcionki oraz wtyczki) oraz po prostu zapisywanie adresów IP, których używasz. Używanie VPN-a bez zwracania uwagi na resztę zmiennych może jedynie doprowadzić do sytuacji, w której zostaną Ci zaserwowane reklamy konkurencyjnych dostawców 🙂
Czy popularne reklamowane VPN-y mają jakieś plusy?
Tak, używanie takich rozwiązań w niektórych sytuacjach realnie może zwiększać bezpieczeństwo lub usprawnić korzystanie z niektórych usług. Na przykład:
- Publiczne WiFi — korzystając z publicznego WiFi, zyskujemy bezpieczny tunel, który skutecznie zwiększy bezpieczeństwo naszego połączenia w przypadku, gdy ktoś z tej samej sieci chciałby nas podsłuchać.
- Zmiana geolokalizacji — niektóre serwisy już zaadresowały ten problem i blokują możliwość łączenia się przez VPN-y, ale czasami możemy obejrzeć serial w serwisie streamingowym, który nie jest dostępny w Polsce lub uniknąć dyskryminacji cenowej, kupując np. bilety lotnicze z „tańszego” rejonu świata.
- Czarne listy stron — niektórzy dostawcy VPN posiadają czarne listy stron, które są próbami phishingu lub oszustwa — dla nieuważnych ta opcja może uratować cenny login oraz hasło.
W jaki sposób stać się bardziej anonimowym w sieci?
Po pierwsze, najlepiej założyć, że nigdy nie jesteśmy w pełni anonimowi. To pozwala unikać tzw. błędów OPSEC (ang. Operational security, pol. Błędy Operacyjne) i potencjalnego „zapomnienia się” w podaniu gdzieś naszych danych przez przypadek.
Podam kilka porad, zaczynając od tych najmniej inwazyjnych, a kończąc na opcjach dla prawdziwych entuzjastów prywatności:
- Uważaj, co udostępniasz w internecie — zdjęcia, wpisy i komentarze przeważnie są widoczne dla wszystkich. Dbaj o swoje ustawienia prywatności, a najlepiej ogranicz ilość informacji, którymi dzielisz się ze światem.
- Zainstaluj wtyczkę blokującą trackery/reklamy — jest wiele przeglądarek i wtyczek, które pomogą Ci osiągnąć tę funkcjonalność — pogoogluj i poczytaj opinie o sprawdzonych rozwiązaniach. W ten sposób unikniesz personalizowanych reklam.
- Modele językowe nie są anonimowe — zanim skorzystasz z ChatGPT, Gemini lub innego rozwiązania LLM, pamiętaj — dane, które wprowadzasz, często są używane do szkolenia tych modeli. Nie ryzykuj umieszczaniem tam swoich/firmowych poufnych informacji.
- Aplikacje FOSS/self-hosting – staraj się zastępować popularne aplikacje rozwiązaniami, które są skierowane na prywatność, a najlepiej rozwiązaniami otwartoźródłowymi. Często społeczność nie dopuszcza do umieszczania zbędnych trackerów i spyware w takim oprogramowaniu. Niektóre ze swoich ulubionych aplikacji możesz również uruchamiać lokalnie, np. zbudować swoją bibliotekę filmów i muzyki na Jellyfin, a “chmurę” na dane postawić na jakimś starym laptopie.
- TOR/Linux nastawiony na prywatność — możesz łączyć się do internetu poprzez sieć TOR (chociaż to samo w sobie NIE gwarantuje 100% anonimowości) i połączyć to z darmową dystrybucją Linuxa taką jak Tails lub Kodachi, które po każdym restarcie skutecznie zatrą ślady Twojej pracy. Dodając do tego dobry OPSEC, możemy cieszyć się o wiele bardziej anonimowym przeglądaniem internetu.