«Одной канарейки мало»: у VPN-сервисов все чаще запрашивают пользовательские данные

    Как показывает практика, декларируемый образ и реальный характер взаимодействия владельцев VPN-сервисов со спецслужбами различных стран могут иметь существенные различия. Обсудим, как развиваются события в этой нише и чего ждать в ближайшее время.

    Rutha Copley / CC0 Public Domain
    Rutha Copley / CC0 Public Domain

    Что происходит

    С каждым годом VPN-сервисы все чаще втягивают в разбирательства, связанные с незаконным распространением контента и различными правонарушениями. Обычно компании-владельцы участвуют в этих делах в качестве третьей стороны — получают запросы о раскрытии данных пользователей, которых в чем-то подозревают истцы, органы правопорядка или спецслужбы.

    Нередко подобные требования успешно игнорируют в силу технических особенностей работы сервисов или так называемой «no logs policy», исключающей хранение и передачу пользовательских данных каким-либо организациям и структурам. Другое дело, что иногда такая политика действует по большей части на словах, а на практике — не позволяет VPN-сервисам выполнить заявленные обещания — по причине их неполной, либо избирательной реализации.

    Маркетинг vs реальность

    Известны ситуации, когда компании, оперирующие инфраструктурой VPN-сервисов, достаточно быстро сдавали логи, сдобренные существенным объемом других данных, которые изначально и «не планировали собирать», либо и вовсе могли не передавать в силу принадлежности к другой юрисдикции. В последнем случае можно было бы обойтись и без слива со стороны VPN-сервиса: подозреваемый осуществлял свои темные дела как с личного, так и с рабочего компьютера, который просто забыл вовремя «защитить» и должным образом замести за собой следы.

    Похожий кейс произошел с британским сервисом, на который правоохранители вышли из-за того, что злоумышленники всего лишь упомянули его наименование в чате. Пригодились ли их логи и данные в расследовании, сказать при этом сложно.

    Аналогичное дело о распространении цифровой версии картины «Падение Ангела» сейчас рассматривает Федеральный окружной суд Колорадо. Суть разбирательства сводится к тому, что правообладатели не смогли получить что-либо от VPN-сервиса, которым предположительно пользовались пираты. Компания-владелец за несколько лет до этого внедрила политику, исключающую сбор логов, и доказала ее работоспособность в суде по другому иску.

    Другое дело, что торрент-трекер, использованный злоумышленникам для раздачи фильма, достаточно быстро предоставил имеющиеся логи и сведения, в том числе электронную почту, IP-адреса и информацию о загрузках в учетных записях десятка с лишним пользователей. Теперь правообладатели ждут ответа на свой запрос уже к почтовым сервисам и считают, что сам факт работы с VPN говорит о том, что пользователям таких сервисов есть, что скрывать.

    К чему может подтолкнуть подобная риторика различные судебные инстанции, регуляторов, законодателей и общественное мнение, пока остается только предполагать и догадываться.

    Unsplash / Kirill Sh
    Unsplash / Kirill Sh

    Конечно, бывает, что компания действительно делает все возможное, чтобы реализовать заявленную «no logs policy», но по той или иной причине упускает из виду уязвимости на стороне используемого дата-центра. Получается, что в этой ситуации VPN-сервис можно косвенным образом обвинить в том, что он в итоге не сдерживает свои обещания.

    Жива ли канарейка

    В большинстве случаев запросы приходят вместе с требованием о неразглашении самого факта обращения и последующего обмена данными. Но несколько лет назад IT-компании предприняли элегантную попытку уведомления аудитории — начали делать это с помощью «ордерной канарейки» (warrant canary). Это мог быть бэйдж или отдельная страница, где организация отмечала, что к ней пока не обращались с просьбой о раскрытии персональных данных. Как только бэйдж снимали, обновляли (или намеренно не обновляли), клиенты компании и пользователи площадки получали однозначный сигнал о том, что «что-то» происходит. Кто-то даже вводил график обновления канарейки и подписывал каждое с помощью PGP-ключа.

    Эта практика была популярна в середине 2010-х, но продержалась не так и долго. Многие, включая основателя Signal Мэтью Розенфельда, говорили, что их юристы не видят смысла в подобных активностях. Аналогичного мнения стали придерживаться и крупные компании вроде Apple, а в некоторых странах «вопрос с канарейками» решили на уровне законодательства.

    Не стали исключением и VPN-сервисы: какие-то начали вести себя странно, другие — все-таки продолжили регулярно обновлять статус и отчитываться о «канарейке».

    Что дальше

    Даже если вы используете сервисы, находящиеся под влиянием стран-участниц стремительно расширяющегося альянса «Пяти глаз», это не означает, что они в обязательном порядке хранят логи и пользовательские данные. Прямых требований на этот счет к владельцам VPN'ов нет.

    Unsplash / Chris Panas
    Unsplash / Chris Panas

    Но в этих юрисдикциях с каждым днем крепнет запрос властей и спецслужб на потенциальный ввод существенных ограничений на end-to-end шифрование. Достигнет ли он своих целей, либо мы все-таки увидим еще больше кейсов с получением данных через различные лазейки на стороне хостеров и дата-центров, покажет дальнейшее развитие событий. Умеренное сопротивление со стороны VPN-сервисов может сыграть не последнюю роль в этом процессе.


    Что еще почитать у нас по теме:


    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 11

      0
      Да, встречал часто на сайтах, уважающих приватность. Но боюсь, со временем тема с канарейкой превратится в нынешнюю ситуацию с «Don't Track» — многие со временем стали использовать данный параметр в конфиге браузера, и трекеры стали просто игнорировать сообщение.
        +1
        >Теперь правообладатели ждут ответа на свой запрос уже к почтовым сервисам и считают, что сам факт работы с VPN говорит о том, что пользователям таких сервисов есть, что скрывать

        Интересно, какой закон запрещает скрывать в общем случае.
          0

          « Интересно, какой закон запрещает скрывать в общем случае.»


          Пока никакой!
          Но как вы думаете какое из этих двух слов с намеком :)

            +3
            Тут в Карелии суд идет, ну, если захотите, найдете. Но дело в том, что в очередной новости о суде было сказано (по-памяти) следующее: «Свидетельскими показаниями обвиняемый обличен в просмотре порно на компьютере. Значит, у него был мотив в изготовлении порнографии!»
            Какой простор для генерации мотивов: «Обвиняемый неоднократно пересчитывал деньги — явный мотив к ограблению.» «Смотрел фильмы, этот факт доказывает его причастность к <вставить по требованию>»
              0
              Странные они там. Если «людям есть, что скрывать» — они скорее всего воспользуются Tor и анонимными сервисами в этой сети.
              0

              А что за торрент-трекер, интересно?

                +1
                Теперь правообладатели ждут ответа на свой запрос уже к почтовым сервисам и считают, что сам факт работы с VPN говорит о том, что пользователям таких сервисов есть, что скрывать.

                Взгляд зацепился за эту фразу и я почему-то вспомнил одну интересную статью номер 15 российского законодательства (и более чем уверен в США тоже подобный закон есть)


                И не то чтобы я жил в выдуманном мире, но… представьте только, что жалкие 20-30 лет назад люди имели право на тайну переписки, а сейчас — жажда тайны переписки некоторыми индивидуумами трактуется как факт того, что "ты что-то скрываешь".
                Т.е. формально, если у тебя плохой почерк — тебя уже можно начинать в чём то подозревать. Бедные врачи — я их почерк вообще никогда понять не мог, а они там все террористы небось!

                  0
                  Что там кстати I2P и ему подобные? Не пора ли нам пора переходить на них?
                    0

                    Не могу отделаться от мысли, что совершенно необоснованно продвигается тема, что "VPN=приватность". Хотя, на самом деле это просто инструмент обеспечения L2/L3-связности с удаленным узл(ом/ами). Все остальное — опционально и не обязательно в принципе.


                    Для приватности больше подходят специально заточеные под данное использование инструменты (тот же тор)

                      0
                      Последнее время\годы, сервисы, и коммуникационные особенно, под тем или иным предлогом добавляют обязательные данные, облегчающие разрушение приватности и нарушение частной жизни.
                      С такой точки зрения, если продолжать, то «Враг государства» становится детским лепетом…
                        0

                        потому что это выгодно. Еще двадцать лет назад по этому поводу написали хорошую книгу Database Nation, которую у нас перевели как "Все под контролем".

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое