ExpressVPN-server beslaglagt i Tyrkiet viser intet i attentatsag, hvilket bekræfter 'ingen logs'-politik
Tyrkiske myndigheder beslaglagde en VPN-server drevet af ExpressVPN, som de siger blev brugt til at skjule detaljer vedrørende mordet på den russiske ambassadør i Tyrkiet, Andrei Karlov. Serveren indeholdt ingen nyttige oplysninger for myndighederne, som undersøgte sletningen af mulige beviser på Facebook og Gmail.
Et tyrkisk politikontor uden tjeneste skød og dræbte Karlov i december 2016 på en kunstudstilling i Tyrkiets hovedstad, Ankara. Serveren blev beslaglagt engang i januar 2017, men detaljerne relateret til ExpressVPN blev først for nylig afsløret. Sagen er stadig åben i skrivende stund.
Myndighederne raidede datacentret og konfiskerede serveren i håbet om at spore en endnu ukendt person, som slettede lejemorderens Facebook- og Gmail-konti, sammen med samtaler, der kunne have været nyttige for efterforskningen. Denne person gjorde det under dække af en ExpressVPN-forbindelse, som maskerer en brugers rigtige IP-adresse og krypterer internettrafik. ExpressVPN siger, at det ikke fører logfiler over sine brugeres aktivitet eller andre identificerende oplysninger.
ExpressVPN udsendte et officielt svar her .
'Som vi sagde til de tyrkiske myndigheder i januar 2017, har ExpressVPN ikke og har aldrig haft nogen kundeforbindelseslogfiler, der ville gøre os i stand til at vide, hvilken kunde der brugte de specifikke IP'er, som efterforskerne citerede. Ydermere kunne vi ikke se, hvilke kunder der havde adgang til Gmail eller Facebook i det pågældende tidsrum, da vi ikke fører aktivitetslogfiler. Vi mener, at efterforskernes beslaglæggelse og inspektion af den pågældende VPN-server bekræftede disse punkter.'
ExpressVPN samarbejdede med myndighederne, men havde simpelthen ingen information at give om sagen. Virksomheden er registreret på De Britiske Jomfruøer, som ikke har nogen obligatoriske krav til datalagring. Sådanne anfald er ikke ualmindeligt, fortæller en ExpressVPN-talsmand til Comparitech.
'Det er ikke første gang, at retshåndhævende embedsmænd enten fysisk har konfiskeret en server,' forklarer talsmanden. 'Tilgange fra retshåndhævelse er en del af den normale forretningsgang for en stor VPN-udbyder, og det er en af grundene til, at vi arbejder hårdt for at sikre, at ingen af vores servere indeholder data, der kan gøre det muligt for nogen at forbinde onlineaktivitet med specifikke brugere.'
ExpressVPNs brugsbetingelser forbyder brugen af dets tjeneste til ulovlige aktiviteter, men fordi det ikke overvåger eller fører registre over, hvad kunder gør, mens de er tilsluttet VPN, har det kun få midler til håndhævelse.
Selvom omstændighederne er uheldige, styrker sagen ExpressVPNs påstande om vedholdende privatliv for sine brugere. Tjenesten fungerede nøjagtigt efter hensigten og lovet i en tid, hvor mange VPN-kritikere, Edward Snowden blandt dem, sår tvivl om sådanne påstande.
VPN'er er gode, men deres svaghed er det eneste fejlpunkt: hack eller stævning det ene punkt for at se alt. https://t.co/iUxkbJsoK2
— Edward Snowden (@Snowden) 30. december 2015
Logningspolitikker: læs mellem linjerne
Men ikke alle VPN'er er helt så seriøse. I oktober 2017 har politiet arresterede en PureVPN-kunde anklaget for cyberstalking. Ryan Lin brugte PureVPN til at skjule sin identitet, da han forfulgte og chikanerede sin tidligere værelseskammerat. Da FBI-agenter henvendte sig til det Hong Kong-baserede firma, udleverede PureVPN logfiler, der inkriminerede Lin.
Se også: Bedste no-logs VPN'er
PureVPN hævder ligesom ExpressVPN ikke at føre nogen logfiler.
En lignende bemærkelsesværdig sag opstod i 2011, da en LulzSec-hacker i USA blev anholdt for sin rolle i et hack mod Sony Pictures. Cody Kretsinger brugte VPN-udbyderen HideMyAss til at skjule sin identitet. Da FBI udstedte en retskendelse, HideMyAss udleverede angiveligt logfiler der inkriminerede Kretsinger, hvilket førte til hans arrestation.
HideMyAss hævdede også ikke at føre nogen logfiler. Det er værd at bemærke, at virksomheden nu er under nyt ejerskab.
Så hvad adskiller logningspolitikkerne for ExpressVPN og udbydere som disse? Det kommer ned til, hvad der præcist defineres som en 'log', gennemsigtighed og hvordan VPN-udbydere annoncerer.
Når HideMyAss og PureVPN hævder at være logløse, mener de egentlig, at de ikke fører optegnelser over deres brugeres aktivitet. De registrerer ikke detaljer om, hvilke websider der blev besøgt, indholdet af kommunikation eller køb, for eksempel. Disse omtales ofte som trafiklogs eller aktivitetslogs.
De registrerer dog oplysninger omhvordanVPN'en blev brugt, såsom når en bruger opretter forbindelse og afbryder, hvor meget data der overføres, og mest relevant brugernes rigtige IP-adresser. Disse er kendt som metadatalogfiler eller sessionslogfiler. Det meste af denne information er ret godartet; det kan ikke direkte identificere brugeren.
Men IP-adresser er forskellige. En IP-adresse er en streng af tal og decimaler, der er unik for en bestemt enhed. VPN'er maskerer brugernes rigtige IP-adresser, men hvis VPN-virksomheden registrerer deres rigtige IP-adresse, kan myndighederne bruge disse oplysninger til at spore kendt aktivitet tilbage til en bestemt enhed og den person, der ejer den. En IP-adresse udgør muligvis ikke juridisk en identitet, men den kan bruges til at bekræfte andre beviser.
HideMyAss og PureVPN, mens de hævder ikke at registrere nogen logs i deres annoncering, registrerer brugernes rigtige IP-adresser. Deres rigtige logningspolitikker er begravet med småt i deres respektive privatlivspolitikker, som de fleste brugere ikke gider læse.
ExpressVPN, såvel som de fleste VPN'er, vi anbefaler på Comparitech, gemmer hverken aktivitetslogfiler eller IP-adresser. En håndfuld udbydere hævder at være 'nul logs'-tjenester, hvilket betyder, at de slet ikke registrerer nogen information om, hvad deres kunder gør online. Selvom dette er ideelt, bør potentielle VPN-kunder være skeptiske over for sådanne påstande, især fra VPN'er, der er nye, gratis, har få kunder eller har en historie med logning.
ExpressVPN registrerer nogle metadata, herunder 'apps og app-versioner aktiveret med succes, datoer (ikke tidspunkter), når de er tilsluttet VPN-tjenesten, valg af VPN-serverplacering og den samlede mængde (i MB) data, der overføres pr. dag.' Intet af dette blev fundet nyttigt af de tyrkiske myndigheder i Karlov-sagen.
Virtuelle lokationer, en ufuldkommen løsning
I sommeren 2017 var ExpressVPN skarpt kritiseret for sin brug af 'virtuelle lokationer'. Brugere, der troede, at deres internettrafik blev dirigeret gennem en VPN-server på et sted som Pakistan eller Sri Lanka, var faktisk forbundet til servere i andre lande. Mens den IP-adresse, der er tildelt serveren, er den for det valgte land, ligger den fysiske server et andet sted.
Forskere hævdede, at ExpressVPN sammen med PureVPN og HideMyAss havde en forkert fremstilling af deres tjenester. Kritikere hævder, at dette kan være katastrofalt for folk, der tror, de opretter forbindelse til en rigtig server i et bestemt land. ExpressVPN gav dette svar på det tidspunkt:
'For mindre end 3% af ExpressVPNs servere matcher den registrerede IP-adresse det land, du har valgt at oprette forbindelse til, mens serveren fysisk er placeret i et andet land, normalt i nærheden. Disse kaldes virtuelle serverplaceringer, og de hjælper med at sikre, at din forbindelse er hurtig, sikker og pålidelig.'
Efter beslaglæggelsen af dets servere i Tyrkiet, stoppede ExpressVPN med at bruge fysiske servere i Tyrkiet og skiftede til en virtuel placering i stedet. I ExpressVPN-appen er Tyrkiet stadig opført som en lokation, og tilslutning til den vil give brugerne en tyrkisk IP-adresse, men den fysiske server er placeret i Holland.
I modsætning til hvad kritikere har sagt, understøtter Karlov-hændelsen ExpressVPNs begrundelse for at bruge virtuelle lokationer. I lande, hvor tredjeparter som efterretningstjenester kan kompromittere sikkerheden og privatlivets fred for datacentre – hvor de fleste servere befinder sig – giver det mening at skabe en virtuel placering med en fysisk server i et land med stærkere privatlivsregler for forbrugere.
'Vi har strenge standarder for servere, der ikke kun dækker evnen til at oprette forbindelse pålideligt og med konstant høje hastigheder, men også fysisk sikkerhed og juridisk jurisdiktion,' siger talsmanden. “I nogle lande kan det være svært at finde servere, der opfylder disse kvalifikationer. Virtuelle serverplaceringer gør det muligt for brugere at oprette forbindelse til sådanne lande, mens de stadig giver det privatliv, sikkerhed og forbindelseskvalitet, de forventer af ExpressVPN.'
Virtuelle lokationer fungerer som en ufuldkommen løsning for kunder, der ønsker at oprette forbindelse til et land, men som også vil sikre sig, at de får det privatliv, de har betalt for. I stedet for at komme med en generel udtalelse om, hvordan alle virtuelle lokationer på en eller anden måde er uærlige, er det måske mere relevante problem mangel på gennemsigtighed. Mens ExpressVPN nu viser, hvilke lokationer der er virtuelle, og hvilke der ikke er på sin hjemmeside , selve ExpressVPN-appen skelner ikke mellem de to.
Opdatering den 21. december 2017:Tilføjede citater fra ExpressVPN-talsperson.
Top billedkredit: Ruslands præsident