Apa Arti "Tanpa Log" yang Sebenarnya pada VPN

Buka halaman utama VPN mana pun dan Anda akan melihat dua kata yang sama di bagian atas: “tanpa log.” Frasa ini muncul begitu sering hingga tidak lagi berarti apa-apa secara spesifik. Setiap penyedia mengatakannya. Yang premium, yang murah, yang memasang papan iklan di bandara, dan yang belum pernah Anda dengar namanya. Semuanya mengatakannya. Padahal mereka yang mengatakannya menjalankan server sungguhan, di disk dan memori sungguhan, yang memproses setiap paket yang Anda kirim melaluinya.

Jadi apa arti klaim VPN tanpa log yang sebenarnya, dan bagaimana Anda bisa tahu apakah klaim itu benar? Ini adalah pertanyaan yang tidak pernah dijawab dengan jujur oleh materi pemasaran. Artikel ini menjawabnya.

Versi singkatnya: “tanpa log” adalah titik awal yang berguna, bukan garis akhir. Frasa ini mencakup beragam praktik, sebagian benar-benar melindungi Anda dan sebagian pada dasarnya hanya bahasa pemasaran yang membungkus penyimpanan data yang sepenuhnya normal. Untuk menilainya, Anda perlu tahu apa yang sebetulnya bisa dilihat oleh penyedia VPN, kategori log apa saja yang ada, dan perbedaan antara kebijakan untuk tidak mencatat dan arsitektur yang tidak bisa mencatat.

Apa yang Bisa Dilihat Penyedia VPN

Sebelum membahas pencatatan, kita perlu membahas keterlihatan (visibility). Pencatatan adalah soal apa yang dituliskan. Keterlihatan adalah soal apa yang ada di depan server sejak awal. Keduanya masalah yang berbeda, dan mencampuradukkannya adalah salah satu cara utama pemasaran VPN menyesatkan orang.

Saat Anda terhubung ke VPN, perangkat Anda membangun terowongan terenkripsi ke salah satu server penyedia. Dari sana, server mendekripsi lalu lintas Anda dan meneruskannya ke internet publik. Langkah dekripsi itulah inti dari semuanya — begitulah VPN menggantikan IP-nya dengan IP Anda saat lalu lintas Anda mencapai situs apa pun yang Anda kunjungi. Pengantar kami tentang apa itu VPN dan cara kerjanya membahas mekanisme dasarnya dengan lebih rinci.

Susunan itu sendiri berarti server VPN secara teknis dapat mengamati:

• Alamat IP asli Anda saat terhubung. Perangkat Anda harus memberi tahu server ke mana harus mengirim paket balasan yang terenkripsi. Tujuan itu adalah IP asli Anda.
• Server VPN mana yang Anda hubungi, dan kapan. Server yang Anda pilih, waktu Anda terhubung, waktu Anda terputus. Ini adalah metadata tentang sesi.
• Kueri DNS yang Anda lakukan, jika VPN menjalankan resolver DNS-nya sendiri. Saat Anda mengetik domain di peramban, ada sesuatu yang harus mencari alamat IP-nya. Jika VPN Anda yang menyelesaikan itu, ia melihat pencarian tersebut.
• Bandwidth yang terpakai per sesi. Berapa banyak byte yang berpindah di setiap arah.
• Pola waktu lalu lintas. Bahkan jika isinya terenkripsi menuju situs tujuan, ukuran dan waktu paket dapat mengungkapkan informasi kepada pengamat yang gigih.

Isi terenkripsi dari koneksi HTTPS Anda tidak ada dalam daftar ini. Begitu peramban Anda berkomunikasi dengan, misalnya, bank Anda melalui TLS, VPN hanya melihat byte terenkripsi yang menuju IP bank Anda, bukan isi sebenarnya. Bagian perlindungan itu nyata dan penting.

Tetapi metadata di atas nyata adanya. Ia ada di memori selama sesi Anda aktif, karena server membutuhkannya untuk menjalankan tugasnya. Pertanyaan tentang “log” adalah apa yang terjadi pada data itu setelahnya — apakah ia ditulis ke disk, disimpan, diindeks, dipertahankan, dan berpotensi diserahkan kemudian di bawah tekanan hukum.

Kategori Log

Tidak semua log sama. Penilaian VPN tanpa log yang berguna dimulai dengan membedakan tiga kategori, karena penyedia sengaja mengaburkannya.

Log koneksi

Ini adalah metadata sesi yang minimal: catatan bahwa seorang pengguna terhubung pada waktu tertentu ke server tertentu, mungkin disertai durasi sesi dan bandwidth yang terpakai. Banyak penyedia menyimpan versi tertentu dari ini dalam jangka pendek untuk diagnostik, anti penyalahgunaan, atau perencanaan kapasitas. Sebagian kecil tidak menyimpan apa pun sama sekali.

Log koneksi dengan sendirinya tidak bersifat bencana. Ia tidak mengungkapkan apa yang Anda lakukan. Tetapi ia memang mengungkapkan bahwa Anda menggunakan layanan tersebut, yang dalam beberapa konteks bisa penting, dan ia menjadi jauh lebih mengungkap saat digabungkan dengan data akun yang mengidentifikasi.

Log lalu lintas

Ini adalah kategori yang seharusnya tidak ada. Log lalu lintas mencatat situs atau IP mana yang Anda kunjungi, apa saja kueri DNS Anda, dan dalam kasus ekstrem, URL yang Anda minta. Sebuah VPN yang menyimpan log lalu lintas, dari sudut pandang privasi, lebih buruk daripada tidak memakai VPN sama sekali — Anda telah memusatkan keterlihatan aktivitas penjelajahan Anda ke dalam basis data satu penyedia alih-alih memecahnya ke penyedia layanan internet (ISP) Anda dan situs-situs yang Anda kunjungi.

Tidak ada VPN tepercaya yang seharusnya menyimpan log lalu lintas. Jika kebijakan suatu penyedia ambigu pada poin ini, perlakukan keambiguan itu sebagai sebuah penolakan.

Metadata yang mengidentifikasi

Ini adalah kategori yang paling sering dilupakan orang, dan justru di sinilah sering kali kisah privasi yang sebenarnya berada. Termasuk di dalamnya:

• Alamat email yang Anda gunakan saat mendaftar
• Metode pembayaran dan rincian penagihan Anda
• Alamat IP tempat Anda mendaftar
• Tiket dukungan dan IP asal pengirimannya
• Informasi pemulihan akun apa pun
• Waktu masuk dan sidik jari perangkat yang digunakan untuk keamanan akun

Metadata yang mengidentifikasi adalah identitas Anda di VPN tersebut. Bahkan jika penyedia benar-benar tidak menyimpan log lalu lintas sama sekali dan tidak menyimpan log koneksi, sebuah email ditambah kartu kredit berarti mereka dapat menjawab pertanyaan “apakah manusia tertentu ini punya akun pada kami?” — dan itu sering kali satu-satunya pertanyaan yang perlu dijawab siapa pun.

Inilah sebabnya klaim VPN tanpa log, dengan sendirinya, tidak lengkap. Penyedia yang tidak menyimpan log tetapi mensyaratkan pendaftaran dengan email dan kartu telah membangun kisah privasinya di atas kebijakan, bukan arsitektur. Datanya tetap ada; ia hanya berada di tabel yang berbeda. Poin yang sama muncul dalam tulisan kami tentang layanan VPN anonim tanpa email.

Kebijakan vs. Arsitektur

Ada dua hal yang secara mendasar berbeda yang bisa dimaksud penyedia saat mereka mengatakan tidak mencatat.

“Kami tidak mencatat”adalah klaim kebijakan. Sistemnya mampu mencatat. Mereka mungkin mencatat sementara, di memori, atau di suatu perkakas dukungan di suatu tempat. Janjinya adalah bahwa perusahaan memilih untuk tidak menyimpan data itu, atau memilih untuk membuangnya. Ini janji yang nyata dan ada nilainya — tetapi bergantung pada kepercayaan kepada perusahaan tersebut. Kebijakan dapat berubah. Karyawan dapat berbuat keliru. Perintah pengadilan dapat memaksa perubahan yang tidak diiklankan.

“Kami tidak bisa mencatat”adalah klaim arsitektur. Sistem dibangun sedemikian rupa sehingga datanya tidak bertahan. Server berjalan hanya dari memori dan melupakan segalanya saat reboot. Tidak ada tabel basis data tempat informasi terkait bisa disimpan sekalipun seseorang menginginkannya. Pembuatan akun tidak mengharuskan pengumpulan informasi yang mengidentifikasi sejak awal. Ini klaim yang jauh lebih kuat karena tidak bergantung pada itikad baik yang berkelanjutan — datanya hilang karena tidak ada tempat baginya untuk disimpan.

Arsitektur dapat diverifikasi, setidaknya secara prinsip. Kebijakan menuntut kepercayaan.

Sebagian besar penyedia menawarkan campuran. Pemasaran cenderung menggambarkan janji kebijakan dengan bahasa yang terdengar seperti arsitektur (“server tanpa log,” “infrastruktur hanya-RAM”). Bacalah dengan cermat. Pertanyaan yang perlu diajukan adalah: jika besok seseorang mengajukan permintaan hukum yang sah kepada penyedia ini, menuntut segala hal yang mereka miliki tentang sebuah akun tertentu, apa yang sebenarnya bisa mereka serahkan? Jika jawaban jujurnya adalah “sebuah email, catatan pembayaran, IP pendaftaran, riwayat dukungan, dan mungkin waktu koneksi,” itulah batas dasar privasi Anda terlepas dari apa pun yang dikatakan halaman utamanya.

Cara Menilai Sebuah Klaim

Berikut daftar periksa praktis untuk menilai data apa yang dikumpulkan sebuah VPN dan apakah klaim mereka kredibel.

Audit pihak ketiga yang independen

Carilah laporan yang dipublikasikan dari firma keamanan tepercaya yang telah meninjau sistem, metodologi, dan infrastruktur penyedia. Dua hal yang perlu diperiksa:

• Kebaruan. Audit dari empat tahun lalu menggambarkan sebuah perusahaan yang mungkin tidak lagi berbentuk sama. Dua tahun atau lebih baru adalah patokan yang masuk akal.
• Cakupan. Audit sangat beragam dalam hal apa yang sebenarnya mereka periksa. Audit terhadap kebijakan tanpa log lebih bermakna daripada audit keamanan umum. Baca bagian cakupan dari laporannya sendiri, bukan ringkasan di blog VPN tersebut.

Laporan transparansi dan warrant canary

Sebagian penyedia mempublikasikan berapa banyak permintaan hukum atas data pengguna yang mereka terima setiap tahun, dirinci menurut yurisdiksi dan jenisnya, serta apa yang berhasil mereka serahkan sebagai respons. Penyedia yang mempublikasikan “kami menerima N permintaan dan tidak menyerahkan data pada satu pun, karena kami tidak punya apa pun untuk diserahkan” menyampaikan pernyataan yang lebih kuat daripada penyedia yang tidak mempublikasikan apa-apa.

Sebuah warrant canary adalah pernyataan berkala bahwa penyedia belum menerima jenis tuntutan hukum tertentu. Jika pernyataan itu menghilang atau berhenti diperbarui, ketiadaannya sendiri adalah sebuah sinyal. Canary punya kelemahan hukum yang sudah dikenal, tetapi keberadaannya setidaknya menunjukkan bahwa penyedia telah memikirkan dimensi ini.

Yurisdiksi hukum

Negara tempat sebuah VPN didirikan menentukan hukum siapa yang berlaku atasnya dan perjanjian kerja sama internasional apa yang menaunginya. Sebagian yurisdiksi memiliki undang-undang penyimpanan data wajib bagi penyedia telekomunikasi. Sebagian lain tergabung dalam aliansi resmi berbagi intelijen yang mewajibkan kerja sama lintas batas.

Ini bukan poros baik-atau-buruk yang biner — model ancaman yang berbeda peduli pada hal yang berbeda. Tetapi ada gunanya mengetahui di mana VPN Anda didirikan dan apa implikasinya, alih-alih memilih berdasarkan halaman utama mana yang tampak paling rapi.

Model akun

Inilah yang paling sering dilewati orang. Perhatikan cara Anda mendaftar. Jika membuat akun mengharuskan alamat email yang aktif, maka VPN itu memiliki alamat email aktif milik Anda. Jika pembayaran dengan kartu kredit, VPN memiliki catatan penagihan yang terikat pada nama Anda. Catatan-catatan ini menjadi bagian dari gambaran privasi terlepas dari apakah penyedia “mencatat” hal lain atau tidak.

Opsi pembayaran anonim (kartu hadiah, mata uang kripto tertentu) sedikit mengubah hal ini. Model langganan yang mengandalkan identitas platform yang sudah Anda miliki, seperti Apple ID melalui App Store, mengubahnya secara berbeda: penyedia VPN tidak mendapatkan identitas Anda, tetapi platformnya mendapatkannya.

Kode klien sumber terbuka

Jika aplikasi di perangkat Anda bersifat sumber terbuka, peneliti keamanan dapat memverifikasi apa yang sebenarnya dikirimkannya dan ke mana. Ini tidak mencakup sisi server, tetapi menghilangkan satu kategori ketidakpastian: Anda bisa tahu apakah klien diam-diam mengirim telemetri yang tidak Anda setujui.

Klien sumber tertutup tidak otomatis mencurigakan, tetapi lebih sulit diverifikasi. Dikombinasikan dengan gambaran audit, klien sumber terbuka meninggikan batas dasar dari apa yang bisa Anda periksa secara mandiri.

Kasus hukum terdahulu

Jika sebuah VPN pernah terlibat dalam proses hukum di mana log dituntut, catatan publik akan menunjukkan apa yang terjadi. Apakah mereka menyerahkan data? Apakah mereka punya data untuk diserahkan? Apakah responsnya cocok dengan klaim kebijakan mereka?

Kasus-kasus ini tidak umum, tetapi sangat informatif ketika ada. Telusuri nama penyedia ditambah “subpoena” atau “perintah pengadilan” dan baca liputan beritanya alih-alih narasi versi penyedia itu sendiri.

Kerangka Perbandingan Sederhana

Berikut cara ringkas untuk meninjau pertanyaan-pertanyaan di atas:

Tidak ada kolom yang seragam benar untuk setiap penyedia, dan sebagian besar beroperasi di suatu titik di tengah. Tetapi memetakan suatu VPN ke dalam tabel ini lebih berguna daripada sekadar mengangguk pada “tanpa log” di halaman utama.

Pendekatan Snap VPN

Snap VPN berada lebih dekat ke kolom arsitektur ketimbang kolom kebijakan. Secara spesifik:

• Tanpa email atau pendaftaran akun. Langganan ditangani melalui App Store lewat Apple ID Anda. Kami tidak pernah mengumpulkan alamat email, nama pengguna, nomor telepon, atau kredensial akun apa pun. Tidak ada basis data akun dalam pengertian konvensional.
• Tanpa log lalu lintas. Kami tidak mencatat situs yang Anda kunjungi, IP yang Anda hubungi, atau kueri DNS yang Anda lakukan.
• Tanpa log koneksi yang permanen. Kami tidak menyimpan catatan tetap tentang Apple ID mana yang terhubung ke server mana pada waktu mana. Keadaan operasional yang dibutuhkan untuk merutekan sesi aktif tidaklah sama dengan riwayat koneksi yang tersimpan.
• Tanpa pengenal pengguna yang terikat pada orang nyata. Secara internal, langganan Anda dikenali oleh sebuah nilai buram yang disediakan oleh App Store. Kami tidak memiliki nama, email, atau nomor telepon yang terlampir pada nilai itu, dan kami tidak bisa menurunkannya dari nilai tersebut.

Untuk jujur tentang apa yang memang ada: menjalankan VPN membutuhkan sejumlah keadaan operasional. Sebuah server harus tahu ada sesi aktif agar bisa merutekan paket kembali kepada Anda. Ada penghitung dan metadata berumur pendek yang diperlukan agar jaringan dapat berfungsi sama sekali, sebagaimana router mana pun harus melacak koneksi aktif untuk menjalankan tugasnya. Inilah wujud nyata dari kategori log koneksi dalam taksonomi di atas dalam praktik: berumur pendek, terbatas pada sesi yang sedang aktif, tidak disimpan sebagai catatan aktivitas Anda, dan tidak terikat pada apa pun yang mengidentifikasi Anda.

Prinsip di balik pilihan-pilihan ini sederhana: data yang lebih sedikit dikumpulkan berarti lebih sedikit data yang bisa hilang, bocor, atau dipaksa diserahkan. Jika sepotong informasi tidak pernah dikumpulkan, ia tidak bisa dieksfiltrasi dalam suatu kebocoran, tidak bisa di-subpoena, dan tidak bisa dialihfungsikan kemudian saat kebutuhan bisnis berubah atau saat seseorang mengakuisisi perusahaan. Arsitektur mengalahkan kebijakan bukan karena kebijakan itu tidak tulus, melainkan karena arsitektur menghapus opsinya.

Jika Anda ingin mendalami model akun secara khusus, lihat penjelasan kami tentang pendaftaran VPN anonim tanpa alamat email.

Yang Tidak Bisa Dilakukan VPN Mana Pun

Ada baiknya bersikap eksplisit tentang batasan-batasannya, karena sebagian kepercayaan yang dilekatkan pada VPN salah tempat dan pada akhirnya mengecewakan orang yang berharap lebih dari yang bisa diberikan teknologi ini.

• VPN tidak bisa menyembunyikan Anda dari situs tempat Anda masuk. Jika Anda membuka Gmail melalui VPN, Google tetap tahu Anda adalah Anda. Anda sudah masuk. VPN mengubah rute, bukan identitas.
• VPN tidak bisa menghentikan sidik jari peramban. Situs menyusun pengenal dari versi peramban, ukuran layar, font, zona waktu, dan ratusan detail kecil lainnya. VPN sama sekali tidak menangani lapisan ini.
• VPN tidak mencegah malware. Ia mengenkripsi lalu lintas Anda; ia tidak memeriksanya untuk mencari ancaman. Antivirus adalah urusan tersendiri.
• VPN tidak bisa secara ajaib memberi anonimitas pada layanan tempat Anda sudah terotentikasi. Anonimitas harus dirancang sejak awal. Jika titik awal Anda adalah akun yang terotentikasi, VPN hanya merutekan lalu lintas akun itu secara berbeda — itulah keseluruhan efeknya.

VPN adalah satu lapisan dari tumpukan privasi, bukan keseluruhan tumpukan. Bacaan terkait: mitos VPN umum yang diluruskan, apa sebenarnya VPN itu, dan daftar periksa privasi iPhone yang lebih luas untuk melapisi sisanya.

Intinya

“Tanpa log” adalah singkatan dari percakapan yang jauh lebih besar. Saat Anda melihatnya di halaman utama sebuah VPN, perlakukan sebagai judul, bukan jawaban. Pertanyaan-pertanyaan yang benar-benar penting adalah:

• Data apa saja yang sebetulnya dikumpulkan sistem, termasuk metadata yang mengidentifikasi saat mendaftar?
• Dari data yang dikumpulkannya, apa yang disimpan, dalam bentuk apa, dan berapa lama?
• Apakah klaim tanpa log itu sebuah kebijakan (kami berjanji) atau sebuah arsitektur (kami tidak bisa)?
• Adakah pihak independen yang memverifikasi klaim itu belakangan ini, dan apa yang sebenarnya mereka periksa?
• Bagaimana rekam jejak penyedia saat tekanan hukum diterapkan?

Penyedia yang menjawab pertanyaan-pertanyaan ini dengan bahasa yang gamblang, dengan perbedaan yang jelas antara apa yang telah mereka janjikan dan apa yang dibuat mustahil oleh arsitektur mereka, adalah penyedia yang bisa Anda nalar. Yang sekadar menunjuk samar-samar pada “tanpa log” lalu mengalihkan topik, bukan.

Alasan perbedaan ini penting itu sederhana: privasi yang sepenuhnya bergantung pada perilaku baik perusahaan yang berkelanjutan adalah privasi yang tidak sepenuhnya Anda kendalikan. Privasi yang dibatasi secara struktural, karena datanya memang tidak pernah dikumpulkan sejak awal, adalah versi yang bertahan melewati pergantian kepemilikan, yurisdiksi, kepemimpinan, dan iklim hukum.

Snap VPN dirancang seputar gagasan kedua itu. Tanpa pendaftaran email, tanpa kredensial akun, tanpa pengenal pengguna yang terikat pada orang nyata. Langganan menumpang pada Apple ID Anda melalui App Store, lalu lintas tidak dicatat, dan keadaan operasional yang dibutuhkan untuk menjalankan jaringan tidak terikat pada siapa Anda. Ini bukan satu-satunya cara membangun VPN, dan tidak menyelesaikan setiap kekhawatiran privasi. Tetapi ia menghapus satu kelas risiko yang tidak bisa dilakukan oleh janji kebijakan mana pun seorang diri. Jika itulah jenis rancangan yang Anda inginkan di balik lalu lintas Anda, itulah yang ditawarkan di sini. Sekadar deskripsi jujur tentang pilihan yang kami buat dan alasannya.