21:44
27/1/2022

Informujecie nas o artykule PCMag, którego dziennikarze zauważyli, że NordVPN zmienił swój stary wpis na blogu dotyczący prywatności w niepokojący sposób.

Co się zmieniło?

Dziennikarze PCMag ustalili, że po głośnej akcji Europolu (który zamknął VPNlabs[.]net za świadczenie swoich usług przestępcom), NordVPN przeedytował swój post na blogu z 2017 roku z tego brzmienia:

NordVPN operates under the jurisdiction of Panama and will not comply with requests from foreign governments and law enforcement agencies. We are 100% committed to our zero-logs policy – we never log the activities of our users to ensure their ultimate privacy and security.

na takie brzmienie:

NordVPN operates under the jurisdiction of Panama and will only comply with requests from foreign governments and law enforcement agencies if these requests are delivered according to laws and regulations. We are 100% committed to our zero-logs policy – to ensure users’ ultimate privacy and security, we never log their activity unless ordered by a court in an appropriate, legal way.

Bardzo to przypomina niedawne zachowanie Protona (dostawcy ProtonMaila i VPN), który też zmieniał swoją stronę po tym jak nakazano mu sądownie aby śledził jednego z użytkowników.

Nord się tłumaczy

NordVPN tłumaczy powody tej zmiany w tym wpisie na blogu …i twierdzi że organom ścigania przekazać może tylko dane dotyczące płatności i używany adres email. Ale nie ruch użytkownika.

Eeee? W jednym wpisie Nord dodaje, że może na wniosek sądu logować ruch, a w kolejnym twierdzi że może przekazać tylko dane dotyczące płatności. Ciężko to zrozumieć.

Ponieważ sami korzystamy z Norda, wysłaliśmy do nich pytania w tej sprawie. Zaktualizujemy artykuł, kiedy je otrzymamy.

Aktualizacja:
Na nasze pytanie czy sąd może zmusić Norda do logowania ruchu VPN użytkowników otrzymaliśmy taką odpowiedź:

In theory, given enough time and resources, all VPN companies that exist could start logging if ordered by a court of the specific jurisdiction they operate in. In our case, preparations not only would take months, but would also be very expensive.
Such an order is extremely unlikely because of its’ excessiveness, and because the whole procedure would simply take too long to provide any meaningful results. It never happened before and it probably will never happen in the future. We would also challenge any such requests until all options are exhausted and put the maximum effort to inform our customers.

Nord twierdzi też, że do tej pory nigdy nie przekazali organom ścigania żadnych danych na temat użytkowników ale dodaje, że każdy VPN musi reagować na żądania organów ścigania. Zapewnia, że z każdym takim żądaniem będą się starali walczyć w sądzie. I obiecuje, że jeśli takie żądanie w ogóle kiedyś otrzyma, to ujawni ten fakt użytkownikom na tej specjalnej stronie.

Tak zwana procedura “canary warrant” to dobry zwyczaj. Pytanie tylko, czy sąd nie mógłby zablokować firmie poinformowania o nakazie na takiej stronie?

Słabo to wygląda

Oczywiście, można i zawsze należy zakładać, że każdy chcący legalnie funkcjonować biznes online, nie tylko dostawcy VPN, będzie reagować na żądania od organów ścigania, jeśli chce działać zgodnie z prawem. Ale od Norda, który tak mocno podkreśla dbałość o prywatność użytkowników powinno się wymagać więcej powagi.

Opublikowanie przez Norda wyjaśnień dopiero po artykule w PCMagu jest słabe. Taka zmiana powinna być zakomunikowana użytkownikom jasno i wyraźnie.

Co robić? Jak żyć?

Ta historia to dobre przypomnienie aby nie ufać w to, że jakakolwiek firma może nie być zmuszona przez organy ścigania do przekazania danych jakie ma na Wasz temat.

W przypadku VPN-ów, nawet zakładając poprawnie działające “no log policy”, warto mieć świadomość, że zostawia się im swoje dane dotyczące płatności. Aby tego uniknąć, należałoby zapłacić w anonimowy sposób (ale nawet nie każda kryptowaluta na to pozwala), no i założyć konto na anonimowy e-mail, no i w dodatku łączyć się z VPN-em zawsze w anonimowy sposób.

Tylko skoro potrafimy się łączyć w anonimowy sposób z VPNem to po co nam …VPN?

I to tak naprawdę jest najważniejsze pytanie jakie trzeba sobie zadać. Jeśli do niecnych czynów, to chyba nie tędy droga. A jeśli do oglądania oferty Netfliksa z innego kraju, lub obejścia limitów scrapingu ;) to ani powyższego nie musimy przestrzegać, ani organów ścigania nie musimy się obawiać. Jeśli do “bezpiecznej bankowości” to nie potrzebujecie VPNa, bo HTTPS Wam wystarczy.

vpn
Pamiętajcie też, że

  • jeśli nie potrzebujecie tysięcy różnych adresów IP, to w tej samej cenie co komercyjny VPNa możecie sobie postawić samemu swojego VPS a z VPNem tylko dla siebie korzystając kilku prostych skryptów. Opisaliśmy tę metodę w tym artykule.
  • jeśli zaś potrzebujecie wielu adresów IP, ale nie musicie mieć obsługi wszystkich protokołów i nie są Wam potrzebne wysokich prędkości, to TOR powinien wystarczyć.

W każdym przypadku trzeba też pamiętać, że zarówno serwer VPN od komercyjnego dostawcy jak i własny serwer VPS u dowolnego hostingodawcy, a także końcowy węzeł z sieci Tor (ktokolwiek by go nie hostował), może być podsłuchiwany a Wasz ruch, jeśli nie jest szyfrowany, zostanie wtedy przechwycony. A nawet jeśli jest szyfrowany, to odpowiednio długo zbierany może ujawnić Waszą tożsamość. Dlatego warto często przepinać się na inne węzły wyjściowe (co oczywiście w przypadku własnego VPS-a będzie bardzo trudne/kosztowne).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. VPN cały czas jest przydatny do torrenta, ale są coraz większe naciski ze strony RIAA itd., więc za niedługo VPN będzie przydany tylko do tego, żeby przenieść swoją historię aktywności w internecie do zagranicznego dostawcy, zamiast trzymać ją u polskiego ISP, z nieograniczonym dostępem służb.

    BitTorrent: na szczęście w odwodzie jest już I2P, wolne ale działa, np z qBitTorrent.
    Tribler niestety zawodzi: https://www.ctrl.blog/entry/tribler-onion-routed-bittorrent.html

    Jest też Lokinet (https://lokinet.org/), które obiecuje szybkość, ale jest jeszcze we wczesnej fazie rozwoju.

    Web: oczywiście Tor Browser.

    Jestem optymistą:)

  2. “are delivered according to laws and regulations.”

    Pomijajac drobna roznice pomiedzy [byciem dostarczonym zgodnie z prawem] a [byciem zgodnym z prawem] gdzie absolutnie mozliwe a nawet latwe jest dostarczenie zgodnie z prawem zawartosci juz z prawem niezgodnej – to nawet ludobojstwa czesto maja jakas legislacyjna podkladke (to znaczy: sa technicznie ‘legalne’ zwlaszcza zgodnie z prawami grup je popelniajacych).

    “unless ordered by a court in an appropriate, legal way.”
    Ktory sąd? Jaki sąd? Znowu ordered, czyli czynnosc musi byc ~legalna~ ale decyzja niekoniecznie? Ponadto ‘appropriate’ w takim sformulowaniu znaczy cokolwiek tylko autor chce (bo przeciez nie, ze np. nie “tylko w bokserkach”) bo jesli uznamy za “appropriate” np. [taniec interpretacyjny w stylu hula] to taka forma powinna w zupelnosci wystarczyc zeby ominac ewentualne zastrzezenia natury prawnej…

  3. I mamy książkowy przykład kolejnego hurraoptymistycznego pomysłu, który już na starcie był “bardziej” niż wszystkie obecne na rynku. Czy to Nord który miał być super-bezpieczny, super-szybki, i na wielu urządzeniach, i no-log, i promocje, i vouchery, czy to chociażby hype na Brave – czyli nowy, lepszy, ładniejszy, bezpieczniejszy, zjada FF na śniadanie a w dodatku ładnie świeci i ma luz.

    A potem mija trochę czasu, ktoś wyciąga kartę “sprawdzam” i wychodzi że coś-tam zmieniono, coś-tam cichaczem wygumkowano, dołożono za plecami jakiś dziwny ficzer i po “x” dniach/tygodniach/miesiącach okazuje się, że to “zwyczajny proszek”, tylko dla niepoznaki w nowym opakowaniu.

    • To raczej kolejne potwierdzenie, że władza zawsze dąży do kontrolowania wszystkich i wszystkiego. W tej nierównej walce jednostka musi być sprytniejsza od systemu.

  4. Oczywiście, że sąd może zakazać powiadomienia użytkownika, ale dostawca może np. codziennie informować użytkownika, że nikt go nie inwigiluje, a jak przestanie go informować, to cos znaczy. Ot, tak.

    • bardzo słuszna uwaga i dobry pomysł; czy jednak służby mają możliwość wyegzekwować u dostawcy, by “nie przestał komunikować warrant canary w sposób aktywny”, czyli prawnie wymusić publikację mimo, że w zasadzie było by to kłąmstwo?

    • Na pewno zależy to od kraju… ;))

  5. VPN to tak naprawdę gloryfikowany proxy. Trzeba o tym pamiętać.

  6. co Wy zamierzacie zrobić z tym fucktem?;)
    Zostajecie przy NORDzie, czy przechodzicie na alternatywę?

  7. Pytanie zniknęło mam nadzieję z racji przemyconego wulgaryzmu, więc zapytam jeszcze raz;)

    Co Wy zamierzacie zrobić z tym faktem?
    Rozważacie przejście na alternatywę?

  8. Panowie, przed wrzuceniem NordVPN i Protona do jednego worka, proponuję zajrzeć tu:

    https://protonmail.com/blog/climate-activist-arrest

    Jest tam dokładnie wyjaśnione co służby mogą żądać od dostawcy VPN, mającego siedzibę w Szwajcarii (w skrócie: nic nie mogą, bo dostawca usługi VPN podlega pod inne prawo niż np. dostawa usługi mailowej). Jest też informacja o zmianach w polityce prywatności i powodach tych zmian.

    • Chciałbym zobaczyć podobny przykład ale z innej strony barykady.
      Czy te wszystkie serwisy równie zaciekle broniłyby salafity, “denialisty” klimatycznego albo terfa.

      &

  9. Polecam zastosować trochę bardziej zaawansowane rozwiązanie w systemie Qubes OS tunelować ruch ze zwykłej VM -> TOR (Whonix) -> Lokinet -> DVPN -> Cryptostorm VPN -> Mullvad VPN -> internet [RAM 16 GB nie wystarczy, poniżej 32 GB nie ma mowy i dysk NVM Pro]. NordVPN jest uznawany za mało anonimowy i mało bezpieczny od dłuższego czasu i każdy poleca Mullvad dlatego on jest w routingu zamiast NordVPN. Przy takim ustawieniu maszyn a do tego odpowiednim korzystaniu jest wysoki poziom. Jak ktoś się uprze to można na końcu dorzucić -> NordVPN na zasadzie awaryjnie dodatkowy VPN ale szkoda kasy przy użyciu Mullvad i Cryptostorm. I oczywiście zero zabawy w strony TOR tylko ZeroNet.

    • Jak ktoś ma za dużo kasy i RAM 128 GB i nie żal mu na nic to można dorzucić na końcu za NordVPN -> ProtonVPN chociaż po takim routingu boję się o prędkość ale coś za coś :P

  10. Nie wiem dlaczego mój komentarz został usunięty w ciągu mniej niż godziny ale na szczędzie archiwum go zarchiwizowało.

    https://web.archive.org/web/20220510141046/https://niebezpiecznik.pl/post/wazna-uwaga-dla-uzytkownikow-nordvpn/?unapproved=804001&moderation-hash=1e51b847854f8cffd4e7edd7e219463b

    https://archive.ph/vSDKN

Odpowiadasz na komentarz Pios

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: