Is een VPN wel zo veilig?
Op internet is er veel onwaarheden over het gebruik van een VPN. Het zou "veiliger" zijn en bijv. "niet te traceren" als je er eentje gebruikt. Ik zal een korte uitleg geven over gebruik van een VPN, het positieve maar ook het negatieve of zelfs misstanden met name tot gebruik van een Virtueel Particulier Netwerk. Een VPN gebruik je als je verkeer over de normale lijn wilt "versleutelen" naar bijv. je werkgever toe. Ook consumenten kunnen gebruik maken van een VPN en hun verkeer encrypten en relatief moeilijk spoor aan te leggen op internet.
Gebruik van een VPN is raadzaam als je bijv. vanuit Huis wilt werken online bij je werkgever. De versleuteling zorgt ervoor dat data die je verstuurd en ontvangt versleuteld wordt tot een grote cryptografische brei aan data waar geen mens iets wijs uit maakt. Computers ontsleutelen het weer aan hun zijde met een private of public key, en de data blijft relatief beschermd. Als je online een zo minimaal mogelijk profiel wilt hanteren dan is een VPN in principe niet slecht, maar ook niet geheel goed. Ik zal je uitleggen waarom.
Alle internet service providers, dus van telecom tot aan je internet provider, is in Nederland verplicht data te bewaren over je. Het beste voorbeeld is zoal "Meta data" van je GSM. De ISP is in dit geval verplicht data te bewaren van jou waar jouw GSM is geweest, op welk tijdstip en datum je een uitgaande of inkomende gesprek hebt gemaakt en zelfs toen je 4 maanden geleden een reis maakte door europa heen je GSM op verschillende masten zich aangemeld heeft. Ik geef het niet graag toe maar veel privacy heb je niet meer.
Internet service providers, dus waar jij nu thuis internet van hebt, kan bijv. ook meta data van je bijhouden met welke sites je bezoekt. Niet de inhoudelijke data meelezen, maar wel de DNS queries hergebruiken mocht dat nodig zijn. We moeten er maar op vertrouwen dat het profileren van gebruikers niet plaats zou vinden, maar de werkelijkheid linksom rechtsom er wel om schreeuwt dat zulke data wel degelijk bijgehouden wordt. Ik ben een tijdje aan het zoeken geweest naar bekende of publieke VPN providers - iets dat me opviel was wel wrang.
De meeste VPN providers zijn betaald - dus als je echt kwaad in de zin hebt dan is er altijd een herleiding beschikbaar en hoogstwaarschijnlijk ook een achterdeur om voor opsporingsinstantie een verzoek of zelfs bevel te weerleggen om te gaan loggen. Met dat loggen kan relatief makkelijk of snel een gebruiker of meerdere gebruikers in kaart worden gebracht en omdat je initieel een betaling hebt verricht is die link ook makkelijk gelegd. Een commercieele VPN kan behulpzaam zijn maar lees je wel in.
Ik gebruik zelf ProtonVPN - merendeels om de Secure Core technology wat een duur woord is voor je verbinding tunnelen in een land dat nog niet aan zulke wetten onderworpen is. Niet dat ik wat te verbergen heb, maar ik wil indirect ook geen profiel worden voor een instantie of zelfs de nederlandse overheid welk op grote schaal data tapt uit belangrijke internet exchanges in Nederland. Ondanks dat een website met HTTPS versleuteld is, zegt het weinig of er niet ergens een backdoor ook met amerikaanse wetten in achterhoofd aanwezig is.
In countries with restrictive Internet regulations (China, Russia, Iran, Turkey, etc), or countries with broad surveillance powers (USA, UK, etc), state surveillance agencies typically have the legal ability to coerce either the VPN provider, or the network/server provider of the VPN provider, to assist with such network monitoring. Therefore, even though Proton VPN is based in Switzerland, we cannot be certain that authorities are not monitoring our VPN servers located in those high-risk countries.
Tor is natuurlijk ook een optie - maar geen holy grail. Tor werkt in principe hetzelfde en je kunt het verkeer over meerdere punten uit laten komen. Maar een overheidsinstantie dat veel end-points beheren kan kan indirect ook opmaken en zeker met vandaag de dag rekenkracht, welke gebruiker wat doet. Je maakt het wel lastiger als je een veel groter bereik van hops kiest en indirect je internet ook retetraag zal zijn. Ik vindt dat privacy behoort te bestaan voor iedereen op internet, en niet omwille een paar individu's alle privacy opgebroken wordt.
Ook is gebruik van een Privacy Vriendelijke DNS een goede optie. De meeste gebruikers weten het vaak niet eens maar een DNS server vertaald het website adres om in een IP adres, zodat je computer weet waar die de website bestanden op moet halen. Bijna 85% van alle internet gebruikers hanteert de standaard aangeleverde DNS instellingen van hun internet provider. En daar zit het 'm ook in. Het staat ISP's en zelfs mijn internet provider vrij, om data te verzamelen en welke website(s) ik bezoek (maar opnieuw, niet inhoudelijk kan kijken).
Ik raadt aan om de DNS van Cloudflare te gebruiken - je internet is niet alleen sneller hiermee maar je verzegeld ook een stukje privacy en eventueele internet restricties. Bijv RT.com is standaard geblokkeerd vanaf een Nederlandse DNS. De website van RT.Com is een russische nieuws website maar wegens de sancties die gevoerd worden geblokkeerd. Als je als DNS 1.1.1.1 invoert in je telefoon of PC instellingen, dan zal je zien dat deze het vanuit Cloudflare wel doet. En ook andere sites zoals een bekende torrent website zal ineens weer werken.
Ook in landen zoals het Midden oosten kamp ik als marketeer vaak met het probleem dat zulke landen zeer strenge DNS servers hanteren. Alles op gebied van erotiek, drugs of gokken etc wordt actief geblokkeerd. Wanneer je een eigen DNS gebruikt zoals die van Cloudflare dan zal je zien dat het internet gewoon weer vrij voor je is. Als je een VPN aan wilt schaffen let dan goed op bepaalde zaken - en als je er niet uitkomt je altijd vrij bent een bericht te versturen. Het beste is om gewoon natuurlijk zo min mogelijk apparaten op internet te koppelen.
Ook een belangrijk punt met name tot het delen van o.a je telefoonnummer op websites, het gebruik van online email of storage om zo je telefoon te kunnen syncen. Bij alle bedrijven, waaronder Social media staat het vrij om voor politie of opsporingsambtenaren een informatieverzoek in te dienen op waarop men verplicht is alle data over je is te overhandigen. Men vergeet soms wel eens hoeveel data dit exact is. Zinvol tegen criminaliteit maar het target ook burgers die van zaken worden verdacht waar ze niets te maken mee hebben.
Een perfect voorbeeld kan natuurlijk iemand zijn die een dreigement of zelfs oproept tot geweld plaatst op social media. In dit geval wordt zo'n informatieverzoek ingediend, een Ip adres of meerdere kan eruit rollen, een snelle check met de internet provider en je hebt een fysiek thuisadres waar de verdachte woont. Je snapt dat social media bedrijven niet hun hele core business omzeep laten helpen door mischien 10% van de gebruikers op waarop informatieverzoeken mee worden ingediend. Pas dus op met wat je publiceert op social media ook.
Persoonlijk ben ik voor encryptie en gelukkig zijn bepaalde wetten nog steeds in stand - maar het is een kwestie van tijd eerdat ook encryptie van Chats verplicht moet worden opengebroken. Misbruik ligt op de loer en met zo'n informatievoorziening zoals ook terug te lezen was in o.a Skynet, Ennetcom en toestanden. Uiteindelijk is ook deze data voor andere doeleinden gebruikt. Ter voorbeeld waren de trajectcontroles om snelheid mee te meten, maar werden later ook jarenlang gebruikt door de belastingdienst om veelrijders op te sporen.
Persoonlijk geloof ik er ook heilig in dat men getapt kan worden als daar grondslag voor is. En met een tap kan in principe iedere bit van informatie eruit worden gevist, inclusief de activiteit. En zeker high end doelwitten middels tools zoals Pegasus laten ook hier zien hoe kwetsbaar telefoons zijn en zonder enige interactie, op afstand geinfecteerd konden worden. Tip: Op Apple Telefoons is de optie "Isolatiemodus" beschikbaar - dit geeft remote hacks minder de kans op Iphone's.
Organisaties die diensten beheren zoals Facebook, Instagram, Whatsapp, Telegram en toestanden behoren zich te houden aan de wetten die gelden in zulke landen. Helaas maar waar bieden ze een backdoor aan en kunnen overheidsinstanties met een relatief simpel verzoek een informatieverzoek indienen over 1 of meerdere gebruikers - zelfs als je er niets mee te maken hebt loopt iedereen feitelijk risico op inbreuk van privacy. Nederland staat juist bekend als tap land en ga er maar vanuit dat alles feitelijk kwetsbaar is op dit punt.
Als laatst wil ik eraan toevoegen, dat bij introductie van de eerste GSM telefoons, er toen al encryptie afgezwakt was van standaard 128 bits naar 48 bits, op druk van Frankrijk en het verenigd koninkrijk zoals te lezen In dit Artikel wat jaren na dato pas uitkwam. Ga er maar vanuit dat als een partij, organisatie of bedrijf sterke of niet kraakbare encryptie gebruikt vroeg of laat om de oren geslagen zal worden met verplichte wetten of onder druk staat zoals nu het geval is. Geen bedrijf komt er voor uit ivm verlies klanten natuurlijk.
Dit artikel is gepubliceerd op 19-09-2023.
Meer Artikels
Wordpress prestaties met grote websites
Op enkele servers van mij beheer ik verschillende wordpress websites voor klanten. Sommige draaien een webshop, sommige draaien een generieke informatie website, sommige een kleinschalige zoals een erotische website. Wat me altijd ...
Uitleg Online Casino Bonussen
Steeds meer Nederlanders wagen nog wel eens een gokje in het online casino. Zeker als men even geen zin heeft iets anders te doen vindt men het fijn als tijdverdrijf. Wie wel eens een bezoekje aan he ...