NordVPN i cicha zmiana oświadczenia o braku współpracy ze służbami [MOJA OPINIA]

Witam wszystkich,

Na początku tego roku w mediach pojawiła się informacja o cichej zmianie w oświadczeniu o braku współpracy ze służbami NordVPN. Zmiana mimo iż mała, to niestety bardzo ważna. Chodzi o politykę przekazywania logów uprawnionym służbom. Temat pojawił się dopiero gdyż wolałem przeczekać całą aferę i na spokojnie przeanalizować wszystko. Myślę, że wystarczająco czasu minęło, o to jest moja opinia. Dodatkowo pomyślałem sobie, że taka zmiana musi być też czymś podyktowana i nie pomyliłem się ale o tym przeczytasz w dalszej części. Stąd zwlekałem z napisaniem tego na forum publicznym mimo, że widziałem info szybciej niż polskie media je opisały Jak to bywa w internecie pojawiają się od razu teorie spiskowe i fake newsy. Najlepszy przykład można znaleźć na tym forum. pojawi

Użytkownik @maverick1981 na forum szerzy farmazon pisząc "NordVPN od tego roku zaczął zbierać dane o użytkownikach. Koniec z polityką 0 logów... ". To jest ściema, fake news, farmazon nad czym bardzo ubolewam, bo zamiast faktycznie zapoznać się z tematem, to kopiuj/wklej + dopowiadanie sobie. Taki o to fejk leci dalej w net… Od razu zaznaczam, że osobiście nic nie mam do tego użytkownika, poza tą konkretną wypowiedzią.

Dlaczego uważam, że to farmazon? ponieważ jak można zauważyć na załączonym obrazku

Porównanie starego (lewa strona) i nowego (prawa strona) oświadczenia

Teoretycznie: zatem u NordVPN nic się nie zmieniło w kwestii logów. Nadal domyślnie ich nie zbierają.
W praktyce: oznacza, że dopiero wtedy gdy uprawnione służby zgłoszą się do nich. Wtedy muszą uruchomić procedurę zapisywania aktywności, a jednocześnie poinformują klientów, że służby wymusiły rejestrowanie aktywności.

Na stronie: https://nordvpn.com/pl/security-efforts/ gdy przewinąć na dół można przeczytać codziennie aktualizowane oświadczenie, które zostało wprowadzone w 2017 roku.

Cytat

Warrant Canary

We, NordVPN, confirm that we take full control of our infrastructure. We have never willingly disclosed any user data or provided any access to user traffic to any third party. We do not collect user traffic logs and have never been compelled to do so by any third party. We have not disclosed any private keys or any information of our users, and we have not been forced to modify our system to allow access or data leakage to a third party of any kind.

As of 2022-03-07 we state the following:

• We have NOT received any National Security letters;

• We have NOT received any gag orders;

• We have NOT received any warrants from any government organization.

We are 100% committed to our zero-logs policy – we never log the activities of our users to ensure their ultimate privacy and security.

Tłumacząc na polski

Cytat

Kanarek nakazu

My, NordVPN, potwierdzamy, że przejmujemy pełną kontrolę nad naszą infrastrukturą. Nigdy dobrowolnie nie ujawniliśmy żadnych danych użytkownika ani nie zapewniliśmy dostępu do ruchu użytkowników żadnej stronie trzeciej. Nie gromadzimy dzienników ruchu użytkowników i nigdy nie byliśmy do tego zmuszani przez osoby trzecie. Nie ujawniliśmy żadnych kluczy prywatnych ani żadnych informacji naszych użytkowników i nie byliśmy zmuszeni do modyfikowania naszego systemu, aby umożliwić dostęp lub wyciek danych jakiejkolwiek stronie trzeciej.

Na dzień 2022-03-07 podajemy następujące informacje:

• NIE otrzymaliśmy żadnych pism bezpieczeństwa narodowego;
• NIE otrzymaliśmy żadnych nakazów gagów;
• NIE otrzymaliśmy żadnych nakazów od żadnej organizacji rządowej.

Jesteśmy w 100% zaangażowani w naszą politykę zerowych logów – nigdy nie rejestrujemy działań naszych użytkowników, aby zapewnić im najwyższą prywatność i bezpieczeństwo.

Redakcja serwisu Niebezpiecznik wysłała do NordVPN zapytanie w celu wyjaśnienia tej zmiany. Oto odpowiedź jaką dostali:

• "Teoretycznie, biorąc pod uwagę wystarczającą ilość czasu i zasobów, wszystkie istniejące firmy VPN mogą rozpocząć logowanie, jeśli zostanie nakazane przez sąd właściwej jurysdykcji, w której działają. W naszym przypadku przygotowania zajęłyby nie tylko miesiące, ale byłyby również bardzo kosztowne. Takie zamówienie jest skrajnie mało prawdopodobne ze względu na jego przesadność, a cała procedura trwała by po prostu zbyt długo, by dostarczyć jakichkolwiek sensownych rezultatów. Nigdy wcześniej to się nie zdarzyło i prawdopodobnie nigdy nie zdarzy się w przyszłości. Podważamy również wszelkie takie prośby, dopóki wszystkie opcje nie zostaną wyczerpane i dołożymy wszelkich starań, aby poinformować naszych klientów. "

Jak można łatwo zauważyć wyjaśnienie dosyć logiczne ale to nie pierwszy raz gdy ta firma, która powinna dbać o bezpieczeństwo i prywatność swoich użytkowników daje dupy dosłownie (oczywiście należycie wszystko wyjaśniłem w innym teamcie na forum). Z drugiej strony nie ma się co dziwić i widzę tak widzę całą sprawę:

1. Nowi klienci zaakceptują regulamin
2. Starzy klienci (raczej) nie zrezygnują z wykupionych rocznych subskrypcji
3. Tym, którym już się kończy w ostateczności nie przedłużą i przejdą do konkurencji

Reasumując (moja opinia)

• Nie ma się czym zbytnio przejmować jeżeli nie hackujesz, nie włamujesz się na strony rządowe, nie bawisz się w DDoS i nie tworzysz botnetów, etc., a VPN służy ci do ukrywania aktywności przed ISP, bezpiecznego oglądania darknetu lub ściągania torrentów (w moim mentoringu napisałem - bezpieczne ściąganie plików z torrentów (anonimowo))

NordVPN nadal utrzymuje politykę niezapisywania aktywności, ograniczoną ale mimo wszystko jest wciąż domyślnie włączona dla każdego użytkownika dopóki odpowiednie służby sie nie zgłoszą. Nie jest na rękę firmie również prowadzić takich logów, bo wystarczy tylko jedna informacja o współpracy, by pozbyć się marki, na którą pracowali kilka dobrych lat. W tej branży zaufanie można stracić tylko raz Jakby tego było mało przecież udostępniają Double VPN (podwójne szyfrowanie adresu IP), a nawet Onion over VPN

Co to jest Onion over VPN? Obrazek wyjaśnia:

Nawet gdy NordVPN zacznie zapisywać aktywność konkretnego użytkownika, to dopóki łączy się przez w/w opcje jest kryty, gdyż firma już nie ma możliwości deszyfrowania ruchu z TOR, ponieważ łączy się przez losowe serwery na całym świecie. Dokładniej sieć TOR działa jak na obrazku

O tym jak się zabezpieczyć podczas korzystania z sieci TOR oraz pełną konfigurację Tor Browser również opisałem w moim mentorngu

Stąd twierdzę, że mimo rozdmuchanej (i słusznie!) afery, to NordVPN nadal jest bezpieczny. Przechodząc dalej, na samym początku wspomniałem, że zmiana oświadczenia o braku współpracy ze służbami musi być też czymś podyktowana. Nie pomyliłem się lecz, to dopiero wyszło po czasie. Oczywiście nie ma oficjalnego stanowiska, a jedynie moje domysły! Firma Nord Security (NordVPN) łączy się (lub już to zrobiła) z Surfshark VPN. To jest po prostu kolejna konsolidacja i niewiele się zmieni dla klienta końcowego. Praktycznie nic poza tym, że obie firmy mają wspólny cel biznesowy. Nadal oferują odrębną politykę prywatności i warunki świadczenia usług oraz mają siedziby w innych miejsach na świecie. Wydaje mi się, że Surfshark poniekąd wymusiło podczas negocjacji zmianę tego punktu regulaminu / oświadczenia.

To by było chyba na tyle!

btw w mentoringu Bezpieczeństwo i Anonimowość wpadła aktualizacja tematu o VPN’ach. Wrzuciłem listę alternatywnych VPN (polityka no-log, dogodna jurysdykcja, płatność w krypto) gdyby cały artykuł nadal nie przekonał, że koniec końców (dalej) nic się nie dzieje

Pozdrawiam serdecznie

@Harry lubię takie merytoryczne i nienachalne reklamy. Dzięki za wyjaśnienie. Dobra robota. 

@Harry

Mogłem się pomylić. Jestem tylko człowiekiem. Opierałem się na źródle dość zaufanym. Jednak oni się też widocznie mylili.

P. S. Możesz jak coś skasować tamten post i po sprawie.