Descarregar
Voltar ao blog
Privacidade··15 min de leitura

O que "sem logs" realmente significa em uma VPN

Idioma: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Abra a página inicial de qualquer VPN e você verá as mesmas duas palavras logo no topo: “sem logs”. Aparece com tanta frequência que deixou de significar algo em particular. Todo provedor diz isso. Os premium, os baratos, os que têm outdoors em aeroportos, os que você nunca ouviu falar. Todos dizem. E, mesmo assim, quem diz isso opera servidores reais, em discos e memória reais, que processam cada pacote que você envia por eles.

Então, o que uma promessa de VPN sem registros de fato significa, e como você saberia se ela é verdadeira? Essa é a pergunta que o texto de marketing nunca responde com honestidade. Este post responde.

A versão curta: “sem logs” é um ponto de partida útil, não uma linha de chegada. Cobre uma ampla gama de práticas, algumas das quais realmente protegem você e outras que são essencialmente linguagem de marketing embrulhada em torno de uma retenção de dados perfeitamente normal. Para avaliar isso, você precisa saber o que um provedor de VPN consegue ver em primeiro lugar, que categorias de registros existem e a diferença entre uma política de não registrar e uma arquitetura que não consegue registrar.

O que um provedor de VPN consegue ver

Antes de falar sobre registro de logs, precisamos falar sobre visibilidade. Registro é uma questão do que fica anotado. Visibilidade é uma questão do que está na frente do servidor em primeiro lugar. São problemas diferentes, e confundi-los é uma das principais formas pelas quais o marketing de VPN engana as pessoas.

Quando você se conecta a uma VPN, seu dispositivo estabelece um túnel criptografado até um dos servidores do provedor. A partir daí, o servidor descriptografa seu tráfego e o encaminha para a internet pública. Esse passo de descriptografia é todo o propósito — é como a VPN substitui o IP dela pelo seu quando seu tráfego chega ao site que você está visitando. Nossa introdução sobre o que é uma VPN e como ela funciona cobre os mecanismos subjacentes em mais detalhe.

Esse arranjo, por si só, significa que o servidor de VPN pode tecnicamente observar:

  • Seu IP real no momento da conexão. Seu dispositivo precisa dizer ao servidor para onde enviar os pacotes de resposta criptografados. Esse destino é o seu IP real.
  • A qual servidor de VPN você se conectou, e quando. O servidor que você escolheu, o horário em que se conectou, o horário em que se desconectou. Isso são metadados sobre a sessão.
  • As consultas de DNS que você fez, se a VPN roda seu próprio resolvedor de DNS. Quando você digita um domínio no navegador, algo precisa buscar o endereço IP. Se a sua VPN resolve isso para você, ela vê as consultas.
  • A banda usada por sessão. Quantos bytes trafegaram em cada direção.
  • Padrões de tempo do tráfego. Mesmo que o conteúdo esteja criptografado em relação ao site de destino, o tamanho e o ritmo dos pacotes podem revelar informações a um observador determinado.

O conteúdo criptografado das suas conexões HTTPS não está nesta lista. Quando seu navegador está conversando, digamos, com o seu banco por TLS, a VPN vê bytes criptografados indo para o IP do seu banco, não o conteúdo de fato. Essa parte da proteção é real e importante.

Mas os metadados acima são reais. Eles existem na memória enquanto sua sessão está ativa, porque o servidor precisa deles para fazer o seu trabalho. A questão dos “logs” é o que acontece com esses dados depois — se são gravados em disco, mantidos, indexados, retidos e potencialmente entregues mais tarde sob pressão legal.

Categorias de registros

Nem todos os registros são iguais. Uma avaliação útil de VPN sem registros começa distinguindo três categorias, porque os provedores as misturam de propósito.

Registros de conexão

São metadados mínimos da sessão: um registro de que um usuário se conectou em algum horário a algum servidor, possivelmente com a duração da sessão e a banda usada. Muitos provedores mantêm alguma versão disso por curto prazo para diagnóstico, prevenção de abuso ou planejamento de capacidade. Um pequeno número não mantém absolutamente nada.

Registros de conexão, por si sós, não são catastróficos. Eles não revelam o que você fez. Mas revelam que você usou o serviço, o que pode importar em alguns contextos, e ficam muito mais reveladores quando combinados com dados de conta que identificam você.

Registros de tráfego

Esta é a categoria que não deveria existir. Registros de tráfego anotam quais sites ou IPs você visitou, quais foram suas consultas de DNS e, em casos extremos, as URLs que você solicitou. Uma VPN que mantém registros de tráfego é, do ponto de vista da privacidade, pior do que nenhuma VPN — você concentrou a visibilidade da sua navegação no banco de dados de um único provedor em vez de fragmentá-la entre o seu provedor de internet e os sites que você visita.

Nenhuma VPN respeitável deveria manter registros de tráfego. Se a política de um provedor for ambígua nesse ponto, trate a ambiguidade como um não.

Metadados de identificação

Esta é a categoria que a maioria das pessoas esquece, e muitas vezes é onde mora a verdadeira história de privacidade. Inclui:

  • O endereço de e-mail com que você se cadastrou
  • Sua forma de pagamento e os dados de cobrança
  • O endereço IP de onde você se cadastrou
  • Os chamados de suporte e os IPs de onde foram enviados
  • Quaisquer informações de recuperação de conta
  • Horários de login e impressões digitais de dispositivo usadas para a segurança da conta

Metadados de identificação são a sua identidade na VPN. Mesmo que o provedor realmente não mantenha nenhum registro de tráfego e nenhum registro de conexão, um e-mail mais um cartão de crédito significam que ele pode responder à pergunta “este ser humano específico tinha uma conta conosco?” — e essa costuma ser a única pergunta que alguém precisa responder.

É por isso que uma promessa de VPN sem registros, por si só, é incompleta. Um provedor que não mantém registros mas exige cadastro com e-mail e cartão construiu sua história de privacidade sobre política, não sobre arquitetura. Os dados ainda existem; só estão em outra tabela. O mesmo ponto aparece em nosso artigo sobre serviços de VPN anônimos sem e-mail.

Política x arquitetura

Há duas coisas fundamentalmente diferentes que um provedor pode querer dizer quando afirma que não registra.

“Nós não registramos”é uma afirmação de política. Os sistemas são capazes de registrar. Eles podem registrar temporariamente, na memória, ou em alguma ferramenta de suporte por aí. A promessa é que a empresa opta por não reter esses dados, ou opta por descartá-los. Essa é uma promessa real e que vale algo — mas depende de confiar na empresa. Políticas podem mudar. Funcionários podem cometer erros. Ordens judiciais podem impor mudanças que não são anunciadas.

“Nós não conseguimos registrar”é uma afirmação de arquitetura. O sistema foi construído de modo que os dados não persistam. Os servidores rodam apenas a partir da memória e esquecem tudo ao reiniciar. Não existe tabela em banco de dados onde a informação relevante pudesse ser retida, mesmo que alguém quisesse. A criação de conta não exige coletar informações de identificação em primeiro lugar. Essa é uma afirmação muito mais forte porque não depende de boa vontade contínua — os dados sumiram porque não há lugar para eles irem.

Arquitetura é verificável, ao menos em princípio. Política exige confiança.

A maioria dos provedores oferece uma mistura. O marketing tende a descrever promessas de política numa linguagem que soa arquitetural (“servidores sem logs”, “infraestrutura só em RAM”). Leia com atenção. A pergunta a fazer é: se alguém apresentasse a este provedor amanhã uma solicitação legal legítima exigindo tudo o que ele tem sobre uma conta específica, o que ele de fato conseguiria entregar? Se a resposta honesta for “um e-mail, um registro de pagamento, o IP de cadastro, o histórico de suporte e possivelmente horários de conexão”, esse é o seu piso de privacidade, não importa o que diga a página inicial.

Como avaliar uma promessa

Aqui está uma lista prática para avaliar que dados uma VPN coleta e se as afirmações dela são confiáveis.

Auditoria independente de terceiros

Procure por um relatório publicado de uma empresa de segurança respeitável que tenha revisado os sistemas, a metodologia e a infraestrutura do provedor. Duas coisas a verificar:

  • Recência. Uma auditoria de quatro anos atrás descreve uma empresa que pode já não existir na mesma forma. Dois anos ou mais recente é um patamar razoável.
  • Escopo. As auditorias variam enormemente no que de fato examinaram. Uma auditoria da política sem logs é mais significativa do que uma auditoria de segurança genérica. Leia a seção de escopo do próprio relatório, não o resumo no blog da VPN.

Relatórios de transparência e warrant canaries

Alguns provedores publicam quantas solicitações legais por dados de usuários recebem a cada ano, divididas por jurisdição e tipo, e o que conseguiram entregar em resposta. Um provedor que publica “nós recebemos N solicitações e entregamos dados em zero delas, porque não tínhamos nada a entregar” faz uma declaração mais forte do que um que não publica nada.

Um warrant canary é uma declaração periódica de que o provedor não recebeu certos tipos de exigências legais. Se a declaração desaparece ou deixa de ser atualizada, a própria ausência é um sinal. Os canaries têm fragilidades legais conhecidas, mas a presença deles ao menos demonstra que o provedor pensou nessa dimensão.

Jurisdição legal

O país em que uma VPN está constituída determina quais leis se aplicam a ela e sob quais acordos de cooperação internacional ela opera. Algumas jurisdições têm leis de retenção obrigatória de dados para provedores de telecomunicações. Outras pertencem a alianças formais de compartilhamento de inteligência que obrigam à cooperação entre fronteiras.

Isso não é um eixo binário de bom ou ruim — modelos de ameaça diferentes se importam com coisas diferentes. Mas vale saber onde a sua VPN está constituída e o que isso implica, em vez de escolher por qual página inicial parece mais limpa.

Modelo de conta

Este é o que a maioria das pessoas pula. Olhe como você se cadastra. Se criar uma conta exige um endereço de e-mail funcional, então a VPN tem um endereço de e-mail funcional seu. Se o pagamento é por cartão de crédito, a VPN tem um registro de cobrança atrelado ao seu nome. Esses registros fazem parte do retrato de privacidade, registre o provedor qualquer outra coisa ou não.

Opções de pagamento anônimas (vale-presentes, certas criptomoedas) mudam isso até certo ponto. Modelos de assinatura que se apoiam em uma identidade de plataforma que você já tem, como o Apple ID através da App Store, mudam isso de outra forma: o provedor de VPN não recebe sua identidade, mas a plataforma recebe.

Código aberto do cliente

Se o aplicativo no seu dispositivo é de código aberto, pesquisadores de segurança podem verificar o que ele de fato envia e para onde. Isso não cobre o lado do servidor, mas remove uma categoria de incerteza: você pode saber se o cliente está discretamente enviando dados de telemetria que você não consentiu.

Clientes de código fechado não são automaticamente suspeitos, mas são menos verificáveis. Combinados com o retrato das auditorias, clientes de código aberto elevam o piso do que você consegue checar de forma independente.

Casos legais anteriores

Se uma VPN esteve envolvida em processos judiciais em que registros foram exigidos, o registro público mostrará o que aconteceu. Eles entregaram dados? Tinham dados a entregar? A resposta correspondeu às afirmações da política deles?

Esses casos não são comuns, mas são extremamente informativos quando existem. Pesquise o nome do provedor mais “intimação” ou “ordem judicial” e leia a cobertura da imprensa em vez da versão do próprio provedor.

Um quadro de comparação simples

Aqui está uma forma compacta de olhar para as perguntas acima:

PerguntaResposta de políticaResposta de arquitetura
Vocês registram o tráfego?“Optamos por não fazer isso”“O sistema não tem onde guardar isso”
Vocês têm o meu e-mail?“Sim, mas não compartilhamos”“Nunca coletamos um”
Vocês têm o meu IP no cadastro?“Sim, mas o apagamos após N dias”“Nunca pedimos”
Vocês conseguem dizer se eu fui usuário?“Conseguiríamos, mas não vamos”“Não temos registro”
E se um tribunal obrigar vocês?“Vamos resistir, e depois cumprir se formos forçados”“Não temos nada a entregar”

Nenhuma das colunas está uniformemente correta para todo provedor, e a maioria opera em algum ponto no meio. Mas mapear uma dada VPN nesta tabela é mais útil do que apenas acenar para o “sem logs” da página inicial.

A abordagem da Snap VPN

A Snap VPN fica mais perto da coluna de arquitetura do que da coluna de política. Especificamente:

  • Sem e-mail ou cadastro de conta. A assinatura é tratada através da App Store via o seu Apple ID. Nunca coletamos um endereço de e-mail, um nome de usuário, um número de telefone ou quaisquer credenciais de conta. Não existe um banco de dados de contas no sentido convencional.
  • Sem registros de tráfego. Não anotamos os sites que você visita, os IPs com que você conversa ou as consultas de DNS que você faz.
  • Sem registros de conexão persistentes. Não mantemos um registro retido de qual Apple ID se conectou a qual servidor em qual horário. O estado operacional necessário para rotear uma sessão ativa não é a mesma coisa que um histórico de conexão armazenado.
  • Sem identificadores de usuário atrelados a uma pessoa real. Internamente, sua assinatura é identificada por um valor opaco fornecido pela App Store. Não temos um nome, um e-mail ou um número de telefone vinculado a esse valor, e não conseguimos derivar um a partir dele.

Para sermos honestos sobre o que de fato existe: operar uma VPN exige algum estado operacional. Um servidor precisa saber que há uma sessão ativa para conseguir rotear os pacotes de volta até você. Há contadores de vida curta e metadados necessários para que a rede funcione, da mesma forma que qualquer roteador precisa rastrear conexões ativas para fazer o seu trabalho. É assim que a categoria de registros de conexão, na taxonomia acima, de fato se parece na prática: de vida curta, restrita à sessão ativa, não retida como um registro da sua atividade e não atrelada a nada que identifique você.

O princípio por trás dessas escolhas é simples: menos dados coletados é menos dados que podem ser perdidos, vazados ou exigidos. Se uma informação nunca foi reunida, ela não pode ser exfiltrada em um vazamento, não pode ser intimada, e não pode ser reaproveitada mais tarde quando as necessidades do negócio mudam ou quando alguém adquire a empresa. A arquitetura vence a política não porque as políticas sejam insinceras, mas porque a arquitetura remove a opção.

Se você quiser se aprofundar especificamente no modelo de conta, veja nosso explicativo sobre cadastro de VPN anônimo sem endereço de e-mail.

O que nenhuma VPN consegue fazer

Vale ser explícito sobre os limites, porque parte da confiança que se deposita nas VPNs é equivocada e acaba decepcionando quem esperava mais do que a tecnologia consegue entregar.

  • Uma VPN não consegue esconder você dos sites em que você faz login. Se você abrir o Gmail através de uma VPN, o Google ainda sabe que você é você. Você entrou na conta. A VPN muda a rota, não a identidade.
  • Uma VPN não consegue impedir a impressão digital do navegador. Os sites montam identificadores a partir da versão do seu navegador, do tamanho da tela, das fontes, do fuso horário e de uma centena de outros pequenos detalhes. Uma VPN não trata dessa camada de forma alguma.
  • Uma VPN não previne malware. Ela criptografa seu tráfego; ela não o inspeciona em busca de ameaças. Antivírus é uma preocupação separada.
  • Uma VPN não consegue conceder anonimato por mágica em serviços nos quais você já se autenticou. O anonimato precisa ser projetado desde o início. Se o seu ponto de partida é uma conta autenticada, a VPN roteia o tráfego dessa conta de forma diferente — esse é todo o efeito.

Uma VPN é uma camada de uma pilha de privacidade, não a pilha inteira. Leitura relacionada: mitos comuns de VPN desmontados, o que uma VPN de fato é, e uma checklist de privacidade do iPhone mais ampla para montar o resto das camadas.

Conclusão

“Sem logs” é uma abreviação de uma conversa muito maior. Quando você vir isso na página inicial de uma VPN, trate como a manchete, não como a resposta. As perguntas que de fato importam são:

  • Que dados o sistema coleta, afinal, incluindo os metadados de identificação no cadastro?
  • Dos dados que coleta, o que ele retém, em que forma e por quanto tempo?
  • A promessa de sem logs é uma política (nós prometemos) ou uma arquitetura (nós não conseguimos)?
  • Alguém independente verificou a promessa recentemente, e o que de fato examinou?
  • Qual é o histórico do provedor quando pressão legal foi aplicada?

Um provedor que responde a essas perguntas em linguagem clara, com uma distinção nítida entre o que prometeu e o que a arquitetura dele torna impossível, é um provedor sobre o qual você consegue raciocinar. Um que gesticula vagamente em direção ao “sem logs” e muda de assunto não é.

A razão pela qual essa distinção importa é simples: privacidade que depende inteiramente do bom comportamento contínuo de uma empresa é privacidade que você não controla totalmente. Privacidade que é estruturalmente limitada, porque os dados nunca foram coletados em primeiro lugar, é a versão que sobrevive a mudanças de propriedade, jurisdição, liderança e clima legal.

A Snap VPN foi desenhada em torno dessa segunda ideia. Sem cadastro com e-mail, sem credenciais de conta, sem identificadores de usuário atrelados a uma pessoa real. A assinatura viaja sobre o seu Apple ID através da App Store, o tráfego não é registrado, e o estado operacional necessário para operar a rede não está atrelado a quem você é. Não é a única forma de construir uma VPN, e não resolve toda preocupação de privacidade. Mas remove uma classe de risco que nenhuma promessa de política sozinha consegue. Se é esse o tipo de design que você quer por trás do seu tráfego, é isso que se oferece aqui. Apenas uma descrição honesta das escolhas que fizemos e do porquê.

The Snap VPN Team
Editorial