Det er nesten ironisk å forvente at en helt gratis VPN skal tilby perfekt personvern, når selv noen betalte aktører sliter med å beskytte brukernes data.
Fritt tilgjengelige VPN-er er ofte fristende, og jeg må innrømme at jeg selv bruker en (som jeg skal fortelle mer om) for enkle søk, for eksempel for å sjekke internasjonale versjoner av visse nettsteder.
I denne artikkelen deler jeg mine erfaringer med å velge en gratis VPN, og jeg vil se nærmere på de generelle risikoene knyttet til slike tjenester. Vi skal også finne ut om det finnes noen pålitelige, gratis VPN-leverandører. I tillegg vil jeg vise noen eksempler som har avslørt de store, men ofte falske, personvern-løftene fra enkelte VPN-selskaper.
Til syvende og sist handler dette om VPN-er generelt, da de betalte alternativene heller ikke er så feilfrie som de vil ha oss til å tro.
La oss starte!
VPN og personvern
Jeg vil nødig omtale VPN-er, verken de gratis eller de betalte, som fullverdige «personvernprodukter».
Jada, du får en viss grad av sikkerhet, men ideen om 100 % personvern blir en illusjon i det sekundet du kobler deg til internett, også med de beste «no-logs» VPN-ene. Det finnes ofte finesser i deres personvernerklæringer og skjulte punkter i de komplekse selskapskonstruksjonene, som tyder på at full anonymitet ikke er deres høyeste prioritet.
Jeg er også skeptisk til at det i det hele tatt er mulig å tilby slike internett-tjenester uten å logge noe.
Ærlig talt handler det om å velge hva som er minst ubehagelig. Du bytter kanskje ut internettleverandøren din og staten med en ukjent aktør i et annet land. Dette kan være en større utfordring enn man skulle tro.
Det er viktig å huske at bruken av en VPN bør være et bevisst valg, der du er klar over at en form for datadeling alltid er involvert. Neste gang du leter etter en VPN for strømming, vet du hva du bør være oppmerksom på.
For en «vanlig» bruker som ikke er involvert i ulovligheter, er det derimot lite å bekymre seg for, og man kan absolutt stole på gode VPN-er 👍.
Det ideelle bruksområdet for en VPN bør være ubegrenset underholdning, sikkerhet på offentlig Wi-Fi, generell (men ikke fullstendig) personvern, og tilgang til ressurser for de som bor i områder med internettbegrensninger.
Men det var for de gode VPN-ene, og de fleste av dem er betalte. Hva med de andre?
Gratis VPN-tjenester
Det er nesten umulig å unngå den velkjente klisjeen «Når det er gratis, er du produktet».
La oss ta en titt på et konkret eksempel for å se hvordan disse selskapene opererer.
Her er et utdrag fra FAQ-en til Hola VPN-tjenesten, som tilbyr en gratisversjon:
Kilde: Hola
Her erkjenner de åpent at gratisbrukere av Hola VPN deler sin ledige båndbredde med andre brukere. (Ros for ærlighet! Men vent litt…) Videre nevner de at kun spesifikke forespørsler fra «godkjente» nettsteder (uten nærmere spesifikasjon) vil bli videresendt.
Som bruker ønsker jeg mer informasjon om hva det betyr at Hola «bruker noen av enhetens ressurser». Hva er omfanget, og nøyaktig hvordan bruker de disse ressursene? Bruker noen internett via min IP-adresse til å gjøre hva som helst?
De henviser brukere videre til sine tjenestevilkår, der jeg fant en forklaring på hvordan de holder tjenesten gratis:
Her står det at gratisbrukere «kan» fungere som en node i Bright Data-nettverket (medgrunnlagt av samme eier), et selskap som tilbyr nettproxy- og datautvinningsløsninger.
I tillegg godtar gratisbrukere automatisk Bright Data SDK SLA. Denne lenken førte meg til Bright Data SDK sluttbrukerlisensavtale (EULA), som også forutsetter at brukeren godtar deres personvernerklæring. Jeg gikk gjennom begge dokumentene, men fant ikke ordet «Hola».
Jeg tror du forstår hva jeg mener med «komplekse selskapsstrukturer» og hvorfor sikkerhetseksperter er skeptiske til bruken av gratis VPN-tjenester.
Men det er ikke alt.
Risikoer ved bruk av (gratis) VPN-tjenester
Eksemplet ovenfor var bare toppen av isfjellet 🧊, og det finnes flere potensielt uheldige konsekvenser ved bruk av en gratis VPN.
- Uklare selskapsstrukturer: 100 % gratis VPN-tjenester mangler ofte tilknytning til ekte personer. I tillegg kan det finnes historiske bevis på uetisk forretningspraksis som bør advare brukere.
- Datalogging og -deling: For å kompensere for den «gratis tjenesten» kan de dele personlig informasjon med tredjepartsbyråer (særlig annonsører) eller selge dem på det mørke nettet.
- Dårlig sikkerhet: Hvordan har de råd til å ansette kompetente utviklere dersom de tilbyr en 100 % gratis tjeneste? Dette resulterer ofte i dårlig brukeropplevelse og mangelfulle sikkerhetsprotokoller.
- Spredning av skadelig programvare: Dette er en alvorlig potensiell konsekvens av å bruke en gratis VPN. I slike tilfeller kan tjenesten fungere tilsynelatende bra, men den skjuler gjerne en økonomisk gevinst som kan være vanskelig å oppdage. Dette kan føre til at enheten din infiseres med skadelig programvare, som spionprogrammer eller løsepengevirus, med alvorlige fremtidige konsekvenser.
- Ressursdeling: Selv om Hola nevnte dette i sin FAQ, kan slik informasjon være gjemt i tjenestevilkårene og personvernerklæringene som en gjennomsnittlig bruker sjelden leser.
- Annonser: En gratis VPN-tjeneste kan være full av annonser. Disse kan vises i brukergrensesnittet, nettleseren eller til og med omdirigere brukere til helt andre nettsider.
- Begrenset ytelse: Dette er en uunngåelig konsekvens av legitime gratis VPN-tjenester. De tilbyr ofte gratis startnivåer i håp om at noen av brukerne vil oppgradere til betalte versjoner.
Dette var noen av risikoene ved bruk av slike gratistjenester.
La oss nå se på noen konkrete hendelser som illustrerer hva som kan gå galt med et VPN-selskap, enten det er gratis eller betalt.
IPVanish
Den USA-baserte VPN-en IPVanish, som hevdet å ha en «uavhengig verifisert no-logs»-policy, samarbeidet med det amerikanske departementet for innenlandssikkerhet i 2016 og utleverte en brukers personopplysninger, inkludert fullt navn, e-post, IP-adresse osv.
Saken gjaldt besittelse og spredning av barnepornografi, og jeg er glad for at den skyldige ble straffet.
Men hendelsen viste også at IPVanish førte logger, til tross for påstander om det motsatte.
Etter hendelsen ble IPVanish solgt til StackPath i 2017.
PureVPN
PureVPN er en annen VPN som samarbeidet med et politimyndighet (FBI), noe som førte til arrestasjonen av en av brukerne.
Denne gangen var det en nettforkynner som brukte deres «no-logs» VPN-tjeneste. VPN-leverandøren var imidlertid i stand til å oppgi all nødvendig personlig informasjon, inkludert den faktiske IP-adressen, som til slutt knyttet den ulovlige aktiviteten til gjerningsmannen.
Nok en gang, ros til politiet for å ha pågrepet den kriminelle.
Dette reiser imidlertid tvil om ordet «no-logs» egentlig betyr noe for VPN-selskaper, eller om det bare er en markedsføringsplass for å tiltrekke seg kunder.
HideMyAss
Denne gangen var det et medlem av hackergruppen LulzSec som trodde at en VPN var en «fribillett» til å gjøre hva som helst på nettet.
Nærmere bestemt angrep et LulzSec-medlem Sony Pictures Entertainment mens han brukte HideMyAss (HMA) VPN-tjeneste i 2011.
HMA var allerede klar over at hackergruppens medlemmer brukte deres tjenester, takket være en lekkasje på nettet et annet sted, men foretok seg ingenting siden de ikke hadde bevis for noe ulovlig.
En rettsordre endret alt dette, og historien endte med arrestasjonen av hackeren, takket være HMAs samarbeid med FBI.
Personlig er jeg mot all form for kriminell aktivitet, på nett eller i virkeligheten, med eller uten VPN. Poenget med disse eksemplene var å bevise en ting: VPN-er er ikke laget for å gi totalt personvern, særlig ikke fra politi og rettsvesen.
Dessuten kan enkelte selskaper lagre brukernes personlige informasjon, selv om nettstedet deres er prydet med tekst som «no-logs».
Det ville likevel være urettferdig å ikke nevne følgende hendelser, som viste at det også finnes selskaper som tar brukernes personvern mer på alvor:
- Svenske myndigheter fant ingenting da de beslagla en Mullvad VPN-server den 18. april 2023. Dette var i tråd med Mullvads personvernpolicy, som sier at deres «kundedata ikke eksisterte» fordi de ikke lagrer noe.
- Tilsvarende bekreftet tyrkisk konfiskering av ExpressVPN-servere i 2017 VPN-leverandørens påstander om at de ikke lagrer brukerinformasjon.
Som du ser, er det ingen faste retningslinjer for å definere en god VPN eller skille dem fra de dårlige.
Velge en god VPN (gratis eller betalt)
Mine to+ års erfaring og research rundt slike verktøy har gitt meg noen tips å dele med dere.
Jeg skal ikke snakke om de spesifikke VPN-funksjonene du bør se etter. Isteden vil jeg fokusere på den generelle undersøkelsen du bør gjøre rundt selskapet, dersom personvern er viktigere for deg enn noe annet.
#1. Jurisdiksjon
En gjennomsnittlig bruker er kanskje ikke klar over det, men det finnes overvåkningsallianser i verden, der land deler informasjon om sine innbyggere. De vanligste av disse er Five Eyes, Nine Eyes og Fourteen Eyes Alliance.
En person som er opptatt av personvern, bør i det minste velge en VPN som IKKE har hovedkontor i disse landene.
I tillegg bør alle brukere prøve å unngå VPN-leverandører som er basert i autoritære regimer.
#2. 100 % gratis?
Det er stor sannsynlighet for en «uprofesjonell» arbeidsmoral dersom et selskap kun tilbyr helt gratis VPN-tjenester.
Som jeg allerede har nevnt, tilbyr selskapene gratis tjenester i håp om at du vil oppgradere til en betalt versjon. Det bidrar også til «munn til munn»-markedsføring.
Men det betyr ikke at alle betalte VPN-leverandører er gode.
Hvis du er interessert, tilbyr ProtonVPN et evig gratis nivå som jeg anser som «trygt». Windscribe er et annet gratis alternativ, men er basert i Canada, et av Five Eyes-landene.
#3. Tjenestejournal
Historien kan lære oss mye, også hvilke VPN-selskaper du bør unngå.
Som bruker kan du gjøre et raskt Google-søk med søkeord som «VPN-selskapsnavn» + brukerdata eksponert eller «VPN» + datalekkasje. Dette vil gi deg en pekepinn på hva du bør være oppmerksom på.
I tillegg kan du se til Reddit for noen «objektive» meninger. Eller enda bedre, spør folk du kjenner om VPN-tjenester de bruker.
Vær oppmerksom på at oppkjøp forekommer, noe som kan indikere en total overhaling av driftspolicyene. Det er opp til deg å stole på de nye eierne.
#4. Grunnleggende team
Sjekk «Om»-delen på VPN-nettstedet, og se etter informasjon om ekte mennesker.
Det er generelt et stort rødt flagg hvis du ikke finner informasjon om grunnleggerne eller folk som jobber der. Ideelt sett bør du se noen bilder, sammen med lenker til deres sosiale medieprofiler.
Det minste en VPN kan gjøre er å oppgi detaljer om morselskapet sitt, hvis det er relevant.
Personlig vil jeg ikke bruke noen tjeneste, spesielt ikke VPN-er, hvis denne typen informasjon ikke finnes på nettstedet.
Vurder en god, betalt VPN!
For de som bruker VPN mye, finnes det ingen erstatning for betalte tjenester. Gratis kvalitets-VPN-er eller gratisnivåer av premium-VPN-er vil alltid ha visse uunngåelige begrensninger.
For å gjenta: 100 % gratis VPN-er har som regel en eller annen måte å generere inntekter på, selv om det ikke er så tydelig ved første øyekast. Det er ikke alltid med penger; de kan forsøke å dekke kostnadene på andre måter, som for eksempel ved å selge dine personlige data, båndbredde, vise annonser eller installere skadelig programvare på enhetene dine.
Vær brukeren, ikke produktet.
Over og ut! 🫡
PS: Nysgjerrig på VPN-hastigheten din? Her er en guide til hvordan du tester VPN-hastigheten.