Det är ingen hemlighet att företag överdriver marknadsföringen av sina teknikprodukter för att imponera på konsumenterna. Men hur är det med de produkter som underdrivs? VPN-tjänster är ett bra exempel på detta, då många hävdar att de inte för några loggar eller har en så kallad "Zero Log Policy” (“ingen-loggning-policy”)
Men detta är långt ifrån sanningen.
“No logs” eller “zero logs” (“inga loggar”) är de mest varierande termerna inom nätsäkerhet, eftersom valet av term beror på varje företags definition av loggar.
Så här kommer en snabb sammanfattning av hur loggning faktiskt fungerar.
Loggtyper
True Zero-loggar
Som namnet antyder, är en tjänst som tillämpar en “true zero”-loggningspolicy (“nolltolerans mot loggning/”absolut ingen loggning”) maximalt säker. Tjänsten kommer på riktigt inte att samla in några av dina data medan du använder programvaran, så på så sätt är du verkligen helt anonym. Denna typ av loggningspolicy är överlägset mest effektiv eftersom det är omöjligt att några av dina data någonsin kommer att säljas till annonsörer eller användas emot dig vid en brottsutredning. Ett VPN som är känt för att upprätthålla denna policy i domstol är Private Internet Access, då företaget vid flertalet fall har nekat FBI åtkomst till användarloggar eftersom de just inte för några loggar.
Sessionsloggar
Sessionsloggar är vad de flesta VPN:er hänvisar till när de säger att de har en "ingen-loggning-policy". En sessionslogg är en relativt grundläggande logg som håller reda på de metadata som du är involverad i när du använder ett VPN. Den metadata som vanligtvis samlas berör uppgifter såsom användartid, förbrukad bandbredd och vilken VPN-server som användes.
Även om dessa loggar faktiskt innehåller några grundläggande data, är de för det mesta ganska ofarliga. Men användare som vill att absolut ingen data samlas in bör istället leta efter ett VPN med en “true zero”-loggningspolicy.
Aktivitetsloggar
Aktivitetsloggar är en skrämmande sak eftersom de kan registrera en stor mängd data som handlar om vad du gör på nätet när du använder ett VPN. Aktivitetsloggar kan samla in uppgifter såsom sökord, besökta webbplatser, nedladdade filer och till och med produkter som du har köpt. Dessa loggar är faktiskt väldigt läskiga eftersom den insamlade datan kan säljas av VPN-företag till tredjepartsannonsörer, eller användas mot enskilda personer vid en brottsutredning.
IP-adressloggar
IP-adressloggar är något mindre skrämmande än aktivitetsloggar, men fortfarande en varningsklocka. Dessa registrerar din fysiska plats via din IP-adress och ofta också vilken tid du loggade in på ditt VPN. Uppgifter om din IP-adress historik och inloggningstid kan vara tillräckligt för att identifiera dig i ett antal olika utredningssituationer.
Dataavtal och -policyer som påverkar loggning
Tjänster överlag för vanligtvis inte loggar om de inte är tvungna till det på grund av statliga övervakningspolicyer. Det mest anmärkningsvärda bland statliga avtal är Five, Nine respektive Fourteen Eyes som övervakar sina medborgares aktiviteter. Om ett av medlemsländernas databyråer inte har laglig rätt att spionera på sitt eget folk, kommer de bara att begära att ett av de andra medlemsländerna gör det åt dem. Nedan följer en sammanfattning av de avtal och länder som är del av de massiva dataövervaknings-/spionageavtalen.
Five Eyes-avtalet
Det mest anmärkningsvärda av de statliga avtalen som berör övervakning av individer är Five Eyes-avtalet, vilket är ett avtal mellan USA, Storbritannien, Australien, Nya Zeeland och Kanada om att dela data om medborgarna i respektive land. Avtalet träffades 1946 mellan USA och Storbritannien efter andra världskriget som ett medel för att övervaka Sovjetunionens och dess allierades verksamhet. Avtalet syftade till att fånga in signaler från Sovjets militär men har genom åren utvecklats till att omfatta spionage på inhemska medborgares telefoner, datorer och faxmaskiner. Med ett så brett informationsnät tog det inte lång tid förrän också Kanada, Australien och Nya Zeeland anslöt sig till avtalet.
I dagens moderna tid drivs det system för informationsspårning av en programvara som kallas ECHELON, som möjliggör för regeringar att spionera på både kommersiella och privata aktiviteter och samla in massor av data om individer. Denna information kan sedan delas mellan vilket av medlemsländerna som helst och användas för att spåra misstänkta personer. De flesta av dagens data härrör från telefonsamtal, webbaktivitet, faxmaskiner och andra typer av digitala kommunikationsenheter. Om man misstänker en person som är bosatt i någon av de fem medlemsländerna för brott, blir denne därmed föremål för en enorm mängd dataavlyssning. Av detta skäl har regeringarna i varje land befogenhet att utkräva uppgifter om användaraktiviteter från VPN-tjänster.
Nine Eyes-avtalet
Det tog inte lång tid förrän fler länder anslöt sig till Five Eyes-avtalet, då detta visade sig vara ett mycket användbart verktyg för de ursprungliga medlemsländerna i många avseenden. Det handlade då om Nederländerna, Frankrike, Norge och Danmark. Även om de nya medlemmarna faktiskt ingår i avtalet, har vissa egna dataskyddslagar såsom Nederländerna. Några av de nederländska dataskyddspolicyerna värnar starkt omm personlig integritet, vilket begränsar vilken information som VPN:er får lagra.
Fourteen Eyes-avtalet
På grund av Five- och Nine Eyes-avtalets effektivitet, utvidgades avtalet återigen till att omfatta ytterligare fem länder, nämligen Spanien, Tyskland, Belgien, Italien och Sverige. Sammantaget handlar det alltså om fjorton länder som är del av detta datadelningsavtal, vilket tillåter dem att effektivt spionera på personer från andra länder. Fourteen Eyes-avtalet påverkar idag i hög grad funktionerna hos VPN:er som är baserade i dessa länder.
Senaste fallen med loggning
Även om många företag hävdar att de har en “ingen-loggning-policy”, är det få som på riktigt menar att de inte för några loggar. Så är fallet med PureVPN, ett Hongkong-baserat VPN som nyligen lämnade ut data om en specifik användare till FBI.
PureVPN blev ombett att hjälpa FBI i ett stalkingfall där en PureVPN-kund uppenbarligen hade använt tjänsten för att begå nätbrott och trakasserier. På begäran gav PureVPN den misstänktes inloggningstider och inloggningsplatser till FBI. Sessionsloggarna hjälpte slutligen FBI i jakten på den misstänkte, men satte PureVPN i rampljuset eftersom tjänsten har hävdat att den inte för några loggar.
Efter ytterligare granskning blev det uppenbart att PureVPN:s integritetspolicy innehöll motsatta uppgifter, vilket till sist gjorde att tjänsten fick tillstånd att föra sessionsloggar över de personer som använder tjänsten.
Även om PureVPN-fallet är det mest anmärkningsvärda, är det verkligen inte det enda fallet där ett VPN har lämnat ut användardata till myndigheter. Det här fallet, liksom många andra, visar bara hur skiftande "ingen loggning"-politicyer verkligen kan vara.
Sätt att skydda dig själv
Läs det finstilta
Även om många företag hävdar att de inte för några loggar, säger det finstilta ofta något annat. Läs därför noggrant igenom det finstilta om varje tjänst för att säkerställa att ingen av dina uppgifter missbrukas för forskningsändamål.
Undvik Fourteen Eyes-länderna
Sammantaget är de VPN:er som kommer från Fourteen Eyes-medlemsländerna typiskt sett mindre privata på grund av strikta datalagringspolicyer. Vissa VPN:er i dessa länder ignorerar dock de tvingande reglerna och vägrar att föra några loggar över sina användare, då de hävdar att den mänskliga rättigheten att privat tillgå information väger tyngre än policyer. Dessutom har vissa länder strikta lagar om integritetsskydd för medborgarna, vilket gör det tvivelaktigt huruvida ett VPN måste logga användaruppgifter eller inte.
Använd ett VPN med Tor
Att använda ett VPN med Tor (lökroutern) kan ge ett extremt högt integritetsskydd om det görs på rätt sätt, vilket gör det nästan omöjligt för någon att spåra dina data även i de mest stränga länderna. Men om du använder ditt VPN med Tor på felaktigt sätt, kan din webbaktivitet spåras genom Tors utgångsnoder, vilket gör dig till och med mindre skyddad än tidigare.
Sammanfattning
Sammanfattningsvis kan vi säga att det som hjälper dig att avgöra vilken typ av VPN-tjänst som passar dig bäst, är hur högt integritetsskydd du önskar. Sök på nätet och läs om olika tjänster innan du börjar prenumerera på ett VPN, så att det du registrerar dig på verkligen uppfyller dina önskningar.