Pobierz
Powrót do bloga
Prywatność··15 min czytania

Co naprawde znaczy "bez logow" w VPN

Język: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Otworz strone glowna dowolnego VPN-a, a u gory zobaczysz te same dwa slowa: „bez logow”. Pojawiaja sie tak czesto, ze przestaly cokolwiek konkretnego znaczyc. Mowi to kazdy dostawca. Ci z najwyzszej polki, ci tani, ci z billboardami na lotniskach, ci, o ktorych nigdy nie slyszales. Wszyscy to mowia. A jednak ci, ktorzy to mowia, prowadza prawdziwe serwery, na prawdziwych dyskach i w prawdziwej pamieci, ktore przetwarzaja kazdy pakiet, jaki przez nie wysylasz.

Wiec co tak naprawde oznacza deklaracja VPN bez logow i skad mialbys wiedziec, czy jest prawdziwa? To pytanie, na ktore teksty marketingowe nigdy nie odpowiadaja uczciwie. Ten wpis odpowiada.

W skrocie: „bez logow” to przydatny punkt wyjscia, a nie linia mety. Obejmuje szeroki zakres praktyk, z ktorych czesc naprawde Cie chroni, a czesc to w istocie jezyk marketingowy owiniety wokol zupelnie zwyczajnego przechowywania danych. Zeby to ocenic, musisz wiedziec, co dostawca VPN w ogole moze zobaczyc, jakie kategorie logow istnieja oraz jaka jest roznica miedzy polityka nielogowania a architektura, ktora logowac nie potrafi.

Co widzi dostawca VPN

Zanim porozmawiamy o logowaniu, musimy porozmawiac o widocznosci. Logowanie to kwestia tego, co zostaje zapisane. Widocznosc to kwestia tego, co w ogole znajduje sie przed serwerem. To sa rozne problemy, a mylenie ich to jeden z glownych sposobow, w jaki marketing VPN-ow wprowadza ludzi w blad.

Kiedy laczysz sie z VPN-em, Twoje urzadzenie zestawia szyfrowany tunel do jednego z serwerow dostawcy. Stamtad serwer odszyfrowuje Twoj ruch i przekazuje go do publicznego internetu. Ten etap odszyfrowania to cala istota — tak wlasnie VPN podstawia swoj adres IP w miejsce Twojego, gdy Twoj ruch dociera do strony, ktora odwiedzasz. Nasze wprowadzenie do tego, czym jest VPN i jak dziala omawia mechanizm u podstaw bardziej szczegolowo.

Taki uklad sam w sobie oznacza, ze serwer VPN moze technicznie zaobserwowac:

  • Twoj prawdziwy adres IP w chwili polaczenia. Twoje urzadzenie musi powiedziec serwerowi, dokad odsylac zaszyfrowane pakiety odpowiedzi. Tym celem jest Twoj prawdziwy adres IP.
  • Do ktorego serwera VPN sie polaczyles i kiedy. Serwer, ktory wybrales, znacznik czasu polaczenia, znacznik czasu rozlaczenia. To metadane sesji.
  • Zapytania DNS, ktore wykonales, jesli VPN prowadzi wlasny resolver DNS. Kiedy wpisujesz domene w przegladarce, cos musi wyszukac adres IP. Jesli robi to za Ciebie Twoj VPN, widzi te zapytania.
  • Wykorzystane pasmo na sesje. Ile bajtow przeplynelo w kazda strone.
  • Wzorce czasowe ruchu. Nawet jesli tresc jest zaszyfrowana wobec strony docelowej, rozmiar i czas pakietow moga ujawnic informacje zdeterminowanemu obserwatorowi.

Zaszyfrowanej tresci Twoich polaczen HTTPS nie ma na tej liscie. Gdy Twoja przegladarka rozmawia juz, powiedzmy, z Twoim bankiem przez TLS, VPN widzi zaszyfrowane bajty zmierzajace do adresu IP banku, a nie faktyczna tresc. Ta czesc ochrony jest prawdziwa i wazna.

Ale metadane powyzej sa prawdziwe. Istnieja w pamieci, dopoki Twoja sesja jest aktywna, bo serwer potrzebuje ich, by wykonac swoja prace. Pytanie o „logi” dotyczy tego, co dzieje sie z tymi danymi pozniej — czy zostaja zapisane na dysk, zachowane, zindeksowane, przechowywane i potencjalnie wydane pozniej pod presja prawna.

Kategorie logow

Nie wszystkie logi sa rowne. Przydatna ocena VPN bez logow zaczyna sie od rozroznienia trzech kategorii, bo dostawcy celowo je zacieraja.

Logi polaczen

To minimalne metadane sesji: zapis, ze uzytkownik polaczyl sie w jakims momencie z jakims serwerem, byc moze z dlugoscia sesji i wykorzystanym pasmem. Wielu dostawcow trzyma jakas wersje tego krotkoterminowo do diagnostyki, przeciwdzialania naduzyciom lub planowania pojemnosci. Niewielka liczba nie trzyma niczego.

Logi polaczen same w sobie nie sa katastrofa. Nie ujawniaja, co robiles. Ale ujawniaja, ze korzystales z uslugi, co w pewnych kontekstach ma znaczenie, i staja sie znacznie bardziej wymowne, gdy polaczy sie je z identyfikujacymi danymi konta.

Logi ruchu

To kategoria, ktora nie powinna istniec. Logi ruchu zapisuja, ktore strony lub adresy IP odwiedziles, jakie byly Twoje zapytania DNS, a w skrajnych przypadkach adresy URL, o ktore poprosiles. VPN, ktory trzyma logi ruchu, jest z punktu widzenia prywatnosci gorszy niz brak VPN-a w ogole — skupiles widocznosc swojego przegladania w bazie danych jednego dostawcy, zamiast rozproszyc ja miedzy swojego dostawce internetu a strony, ktore odwiedzasz.

Zaden szanujacy sie VPN nie powinien trzymac logow ruchu. Jesli polityka dostawcy jest w tym punkcie niejednoznaczna, traktuj te niejednoznacznosc jako „nie”.

Identyfikujace metadane

To kategoria, o ktorej wiekszosc ludzi zapomina, a czesto wlasnie tu rozgrywa sie prawdziwa historia prywatnosci. Obejmuje:

  • Adres e-mail, ktorym sie zarejestrowales
  • Twoja metode platnosci i dane rozliczeniowe
  • Adres IP, z ktorego sie zarejestrowales
  • Zgloszenia do pomocy technicznej i adresy IP, z ktorych je wyslano
  • Wszelkie informacje do odzyskiwania konta
  • Znaczniki czasu logowania i odciski urzadzen uzywane dla bezpieczenstwa konta

Identyfikujace metadane to Twoja tozsamosc u dostawcy VPN. Nawet jesli dostawca naprawde nie trzyma zadnych logow ruchu i zadnych logow polaczen, e-mail plus karta kredytowa oznaczaja, ze moga odpowiedziec na pytanie „czy ten konkretny czlowiek mial u nas konto?” — a to czesto jedyne pytanie, na ktore ktokolwiek potrzebuje odpowiedzi.

Dlatego deklaracja VPN bez logow sama w sobie jest niepelna. Dostawca, ktory nie trzyma logow, ale wymaga rejestracji przez e-mail i karte, zbudowal swoja historie prywatnosci na polityce, a nie na architekturze. Dane wciaz istnieja; po prostu mieszkaja w innej tabeli. Ta sama mysl pojawia sie w naszym tekscie o anonimowych uslugach VPN bez e-maila.

Polityka kontra architektura

Sa dwie zasadniczo rozne rzeczy, ktore dostawca moze miec na mysli, mowiac, ze nie loguje.

„Nie logujemy”to deklaracja polityki. Systemy sa zdolne do logowania. Moga logowac tymczasowo, w pamieci, lub w jakims narzedziu pomocy technicznej gdzies tam. Obietnica polega na tym, ze firma postanawia nie przechowywac tych danych albo postanawia je usunac. To prawdziwa obietnica i cos warta — ale opiera sie na zaufaniu do firmy. Polityki moga sie zmieniac. Pracownicy moga popelniac bledy. Nakazy sadowe moga wymusic zmiany, ktore nie sa reklamowane.

„Nie mozemy logowac”to deklaracja architektury. System zbudowano tak, ze dane nie utrzymuja sie. Serwery dzialaja wylacznie z pamieci i zapominaja wszystko po restarcie. Nie ma tabeli w bazie danych, w ktorej odpowiednie informacje moglyby zostac zachowane, nawet gdyby ktos tego chcial. Utworzenie konta w ogole nie wymaga zbierania informacji identyfikujacych. To znacznie mocniejsza deklaracja, bo nie zalezy od dalszej dobrej woli — danych nie ma, bo nie ma dla nich miejsca.

Architektura jest weryfikowalna, przynajmniej w zasadzie. Polityka wymaga zaufania.

Wiekszosc dostawcow oferuje mieszanke. Marketing zwykle opisuje obietnice polityki jezykiem, ktory brzmi architektonicznie („serwery bez logow”, „infrastruktura tylko w RAM”). Czytaj uwaznie. Pytanie, ktore nalezy zadac, brzmi: gdyby ktos jutro dostarczyl temu dostawcy uzasadnione zadanie prawne, domagajac sie wszystkiego, co maja na temat konkretnego konta, co faktycznie mogliby wydac? Jesli uczciwa odpowiedz to „e-mail, zapis platnosci, IP rejestracji, historia pomocy technicznej i byc moze znaczniki czasu polaczen”, to jest Twoja podloga prywatnosci niezaleznie od tego, co mowi strona glowna.

Jak ocenic deklaracje

Oto praktyczna lista kontrolna do oceny tego, jakie dane zbiera VPN i czy jego deklaracje sa wiarygodne.

Niezalezny audyt strony trzeciej

Szukaj opublikowanego raportu od renomowanej firmy bezpieczenstwa, ktora przejrzala systemy, metodologie i infrastrukture dostawcy. Dwie rzeczy do sprawdzenia:

  • Aktualnosc. Audyt sprzed czterech lat opisuje firme, ktora moze juz nie istniec w tej samej postaci. Dwa lata lub mniej to rozsadna poprzeczka.
  • Zakres. Audyty ogromnie roznia sie tym, co faktycznie zbadaly. Audyt polityki bez logow jest bardziej znaczacy niz ogolny audyt bezpieczenstwa. Przeczytaj sekcje zakresu samego raportu, a nie podsumowanie na blogu VPN-a.

Raporty przejrzystosci i warrant canary

Niektorzy dostawcy publikuja, ile zadan prawnych dotyczacych danych uzytkownikow otrzymuja rocznie, w podziale na jurysdykcje i typ, oraz co byli w stanie wydac w odpowiedzi. Dostawca, ktory publikuje „otrzymalismy N zadan i w zadnym z nich nie wydalismy danych, bo nie mielismy czego wydac”, sklada mocniejsze oswiadczenie niz ten, ktory nie publikuje nic.

Warrant canary to okresowe oswiadczenie, ze dostawca nie otrzymal pewnych rodzajow zadan prawnych. Jesli oswiadczenie znika lub przestaje byc aktualizowane, sama jego nieobecnosc jest sygnalem. Canary maja znane slabosci prawne, ale ich obecnosc przynajmniej pokazuje, ze dostawca pomyslal o tym wymiarze.

Jurysdykcja prawna

Kraj, w ktorym zarejestrowany jest VPN, okresla, czyje prawa go dotycza i w ramach jakich miedzynarodowych umow o wspolpracy dziala. Niektore jurysdykcje maja obowiazkowe przepisy o przechowywaniu danych dla dostawcow telekomunikacyjnych. Inne naleza do formalnych sojuszy wywiadowczych, ktore zobowiazuja do wspolpracy ponad granicami.

To nie jest dwubiegunowa os dobry-albo-zly — rozne modele zagrozen dbaja o rozne rzeczy. Ale warto wiedziec, gdzie zarejestrowany jest Twoj VPN i co to oznacza, zamiast wybierac wedlug tego, ktora strona glowna wyglada najczysciej.

Model konta

To ten, ktory wiekszosc ludzi pomija. Przyjrzyj sie, jak sie rejestrujesz. Jesli utworzenie konta wymaga dzialajacego adresu e-mail, to VPN ma Twoj dzialajacy adres e-mail. Jesli platnosc odbywa sie karta kredytowa, VPN ma zapis rozliczeniowy powiazany z Twoim nazwiskiem. Te zapisy sa czescia obrazu prywatnosci niezaleznie od tego, czy dostawca „loguje” cokolwiek innego.

Anonimowe opcje platnosci (karty podarunkowe, niektore kryptowaluty) nieco to zmieniaja. Modele subskrypcji oparte na tozsamosci platformy, ktora juz masz, jak Apple ID przez App Store, zmieniaja to inaczej: dostawca VPN nie dostaje Twojej tozsamosci, ale platforma owszem.

Kod klienta o otwartym zrodle

Jesli aplikacja na Twoim urzadzeniu jest open source, badacze bezpieczenstwa moga zweryfikowac, co faktycznie wysyla i dokad. Nie obejmuje to strony serwera, ale usuwa jedna kategorie niepewnosci: mozesz wiedziec, czy klient po cichu nie dzwoni do domu z telemetria, na ktora nie wyraziles zgody.

Klienty o zamknietym zrodle nie sa automatycznie podejrzane, ale sa mniej weryfikowalne. W polaczeniu z obrazem audytu, klienty open source podnosza podloge tego, co mozesz niezaleznie sprawdzic.

Przeszle sprawy sadowe

Jesli VPN bral udzial w postepowaniach prawnych, w ktorych zadano logow, publiczny rejestr pokaze, co sie stalo. Czy wydali dane? Czy mieli dane do wydania? Czy odpowiedz pasowala do deklaracji ich polityki?

Takie sprawy nie sa czeste, ale gdy istnieja, sa niezwykle pouczajace. Wyszukaj nazwe dostawcy plus „wezwanie sadowe” lub „nakaz sadowy” i przeczytaj relacje prasowe, a nie wlasna narracje dostawcy.

Prosty schemat porownania

Oto zwiezly sposob spojrzenia na powyzsze pytania:

PytanieOdpowiedz politykiOdpowiedz architektury
Czy logujecie ruch?„Decydujemy, ze nie”„System nie ma gdzie tego przechowac”
Czy macie moj e-mail?„Tak, ale go nie udostepniamy”„Nigdy go nie zebralismy”
Czy macie moj IP z rejestracji?„Tak, ale usuwamy go po N dniach”„Nigdy o niego nie prosilismy”
Czy mozecie stwierdzic, ze bylem uzytkownikiem?„Moglibysmy, ale nie zrobimy tego”„Nie mamy zadnego zapisu”
Co, jesli zmusi was sad?„Bedziemy sie bronic, potem ustapimy, jesli zostaniemy zmuszeni”„Nie mamy czego wydac”

Zadna kolumna nie jest jednolicie poprawna dla kazdego dostawcy, a wiekszosc dziala gdzies posrodku. Ale naniesienie danego VPN-a na te tabele jest bardziej przydatne niz przytakiwanie na „bez logow” na stronie glownej.

Podejscie Snap VPN

Snap VPN stoi blizej kolumny architektury niz kolumny polityki. Konkretnie:

  • Bez e-maila i rejestracji konta. Subskrypcja jest obslugiwana przez App Store za posrednictwem Twojego Apple ID. Nigdy nie zbieramy adresu e-mail, nazwy uzytkownika, numeru telefonu ani zadnych danych logowania. Nie ma bazy danych kont w konwencjonalnym sensie.
  • Bez logow ruchu. Nie zapisujemy stron, ktore odwiedzasz, adresow IP, z ktorymi rozmawiasz, ani zapytan DNS, ktore wykonujesz.
  • Bez trwalych logow polaczen. Nie trzymamy zachowanego zapisu tego, ktore Apple ID polaczylo sie z ktorym serwerem i o ktorej porze. Stan operacyjny potrzebny do trasowania aktywnej sesji to nie to samo, co przechowywana historia polaczen.
  • Bez identyfikatorow uzytkownika powiazanych z prawdziwa osoba. Wewnetrznie Twoja subskrypcja jest identyfikowana przez nieprzejrzysta wartosc dostarczana przez App Store. Nie mamy przypietego do tej wartosci nazwiska, e-maila ani numeru telefonu i nie mozemy go z niej wyprowadzic.

Zeby byc uczciwym co do tego, co jednak istnieje: prowadzenie VPN-a wymaga pewnego stanu operacyjnego. Serwer musi wiedziec, ze istnieje aktywna sesja, by trasowac pakiety z powrotem do Ciebie. Sa krotkozyciowe liczniki i metadane potrzebne do tego, by siec w ogole dzialala, tak jak kazdy router musi sledzic aktywne polaczenia, by wykonac swoja prace. Tak wlasnie kategoria logow polaczen z powyzszej taksonomii wyglada w praktyce: krotkozyciowo, ograniczona do zywej sesji, nieprzechowywana jako zapis Twojej aktywnosci i niepowiazana z niczym, co Cie identyfikuje.

Zasada stojaca za tymi wyborami jest przyziemna: mniej zebranych danych to mniej danych, ktore moga zostac utracone, naruszone lub wymuszone. Jesli jakas informacja nigdy nie zostala zgromadzona, nie mozna jej wyciagnac w wycieku, nie mozna jej wezwac do sadu i nie mozna jej pozniej przeznaczyc do innego celu, gdy zmieniaja sie potrzeby biznesowe albo gdy ktos przejmuje firme. Architektura bije polityke nie dlatego, ze polityki sa nieszczere, lecz dlatego, ze architektura usuwa te mozliwosc.

Jesli chcesz zglebic konkretnie model konta, zobacz nasze wyjasnienie dotyczace anonimowej rejestracji VPN bez adresu e-mail.

Czego zaden VPN nie potrafi

Warto byc wprost co do ograniczen, bo czesc zaufania, jakim obdarza sie VPN-y, jest nietrafiona i konczy sie rozczarowaniem ludzi, ktorzy oczekiwali wiecej, niz technologia moze dostarczyc.

  • VPN nie ukryje Cie przed stronami, na ktore sie logujesz. Jesli otworzysz Gmaila przez VPN, Google nadal wie, ze to Ty. Zalogowales sie. VPN zmienia trase, a nie tozsamosc.
  • VPN nie powstrzyma odciskania palca przegladarki. Strony buduja identyfikatory z wersji Twojej przegladarki, rozmiaru ekranu, czcionek, strefy czasowej i stu innych drobnych szczegolow. VPN w ogole nie odnosi sie do tej warstwy.
  • VPN nie zapobiega zlosliwemu oprogramowaniu. Szyfruje Twoj ruch; nie sprawdza go pod katem zagrozen. Antywirus to osobna sprawa.
  • VPN nie nada magicznie anonimowosci w uslugach, w ktorych juz sie uwierzytelniles. Anonimowosc trzeba zaprojektowac. Jesli Twoim punktem wyjscia jest uwierzytelnione konto, VPN trasuje ruch tego konta inaczej — to caly efekt.

VPN to jedna warstwa stosu prywatnosci, a nie caly stos. Powiazane lektury: obalone popularne mity o VPN, czym VPN naprawde jest, oraz szersza lista kontrolna prywatnosci iPhone'a do nawarstwienia reszty.

Podsumowanie

„Bez logow” to skrot mysli kryjacy znacznie wieksza rozmowe. Gdy widzisz to na stronie glownej VPN-a, traktuj to jak naglowek, a nie odpowiedz. Pytania, ktore naprawde maja znaczenie, to:

  • Jakie dane system w ogole zbiera, wlacznie z identyfikujacymi metadanymi przy rejestracji?
  • Z danych, ktore zbiera, co przechowuje, w jakiej postaci i jak dlugo?
  • Czy deklaracja bez logow to polityka (obiecujemy) czy architektura (nie mozemy)?
  • Czy ktos niezalezny zweryfikowal te deklaracje ostatnio i co faktycznie zbadal?
  • Jaka jest historia dostawcy, gdy zastosowano presje prawna?

Dostawca, ktory odpowiada na te pytania prostym jezykiem, z wyraznym rozroznieniem miedzy tym, co obiecal, a tym, co jego architektura czyni niemozliwym, to dostawca, o ktorym mozesz rozumowac. Taki, ktory mglisto wskazuje na „bez logow” i zmienia temat, nie jest.

Powod, dla ktorego to rozroznienie ma znaczenie, jest prosty: prywatnosc, ktora zalezy w calosci od dalszego dobrego zachowania firmy, to prywatnosc, ktorej w pelni nie kontrolujesz. Prywatnosc, ktora jest strukturalnie ograniczona, bo dane nigdy nie zostaly zebrane, to wersja, ktora przetrwa zmiany wlasnosci, jurysdykcji, kierownictwa i klimatu prawnego.

Snap VPN zaprojektowano wokol tej drugiej mysli. Bez rejestracji przez e-mail, bez danych logowania, bez identyfikatorow uzytkownika powiazanych z prawdziwa osoba. Subskrypcja jedzie na Twoim Apple ID przez App Store, ruch nie jest logowany, a stan operacyjny potrzebny do prowadzenia sieci nie jest powiazany z tym, kim jestes. To nie jedyny sposob na zbudowanie VPN-a i nie rozwiazuje kazdego problemu z prywatnoscia. Ale usuwa klase ryzyka, ktorej zadna obietnica polityki sama nie usunie. Jesli to rodzaj projektu, jakiego chcesz za swoim ruchem, to wlasnie to jest tu oferowane. Po prostu uczciwy opis wyborow, ktorych dokonalismy, i tego dlaczego.

The Snap VPN Team
Editorial