VPN to nie czapka-niewidka. Czy da się namierzyć użytkownika VPN w sieci?

Wiele osób traktuje VPN niczym magiczną czapkę-niewidkę w internecie. Kuszące obietnice mówią: ukryj swój adres IP, przestań być śledzony. Rzeczywiście, sieć VPN (Virtual Private Network) szyfruje nasz ruch i maskuje adres IP, dając poczucie anonimowości. Ale czy faktycznie stajemy się niewidzialni w sieci?

Czy organy ścigania, rządy lub nawet strony internetowe są w stanie zidentyfikować osobę korzystającą z VPN? Najnowsze ostrzeżenia amerykańskiej agencji CISA wskazują, że VPN-y mogą dawać złudne poczucie pełnej ochrony. Pora przyjrzeć się faktom – zarówno technicznym, jak i prawnym – aby oddzielić mity od rzeczywistości.

Krótka odpowiedź brzmi: zapewnienie sobie kompletnej anonimowości w sieci jest praktycznie niemożliwe. VPN to potężne narzędzie prywatności, ale nie czyni nas automatycznie nieuchwytnymi. Poniżej analizujemy, jakie ślady zostawia użytkownik VPN, jak można próbować go namierzyć oraz jakie różnice występują między różnymi rodzajami VPN (darmowe, płatne, firmowe). Sprawdzimy też, co na to prawo – od Polski i Europy, przez USA, po kraje autorytarne – oraz jak różne scenariusze (prywatny użytkownik vs. przestępca vs. opozycjonista) wpływają na ryzyko deanonimizacji.

Co widać, gdy korzystasz z VPN? Ruch sieciowy pod lupą

Połączenie VPN tworzy szyfrowany tunel między naszym urządzeniem a serwerem VPN. Dostawca internetowy (ISP) ani podsłuchujący intruz nie zobaczą, jakie konkretnie strony odwiedzamy – widzą tylko zaszyfrowane pakiety danych płynące do adresu serwera VPN. Jednak już sam fakt używania VPN nie jest ukryty. Nasz ISP wie, że nawiązaliśmy połączenie z serwerem VPN o danym adresie IP i porcie. Jeśli więc policja zapyta go, czy Jan Kowalski używał VPN w dniu X o godzinie Y – dostawca potwierdzi (bo musi prowadzić logi techniczne). Co więcej, sam adres IP serwera VPN często zdradza jego naturę. Wielu dostawców VPN korzysta z adresów w centrach danych. Wystarczy rzut oka w bazę whois czy geoIP, by rozpoznać „nietypowy” adres spoza puli operatorów internetowych. Serwisy takie jak Netflix od lat wykorzystują tę metodę – sprawdzają, czy adres IP użytkownika należy do znanego centrum danych lub puli VPN i blokują dostęp. To dlatego oglądanie amerykańskiego Netflixa przez losowy darmowy VPN zwykle kończy się komunikatem o proxy – platformy streamingowe aktywnie wykrywają i czarne-listują IP kojarzone z VPN.

Zobacz również: Gdzie zamówić dobry internet? Możesz zrobić to przez platformę PanWybierak.pl – oto najlepsze oferty wybrane obecnie przez naszych analityków.

Rabat 10 zł na abonament

80.00 zł

miesięcznie

Internet światłowodowy do 1 Gb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

1000 Mb/s

Wysyłanie

300 Mb/s

Modem WiFi

4,99 zł/mies.

Promocja Rabat 10 zł na abonament i brak opłaty aktywacyjnej

Router Wi-Fi

Prezenty tylko na panwybierak.pl

Aktywacja 0,00 zł

80.00 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

OFERTA, ŻE WOW!

50.00 zł

miesięcznie

Internet światłowodowy do 900 Mb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

900 Mb/s

Wysyłanie

300 Mb/s

Modem WiFi

w cenie

Promocja oferta tylko dla nowych Klientów!

router Wi-Fi

Prezenty tylko na panwybierak.pl

Aktywacja 0,00 zł

50.00 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

SZYBKA DOSTAWA DO 24H

59.90 zł

miesięcznie

Internet światłowodowy 800 Mb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

800 Mb/s

Wysyłanie

200 Mb/s

Modem WiFi

1 zł/akt.

Promocja 6 miesięcy po 1 zł!

router Wi-Fi

Prezenty tylko na panwybierak.pl

Aktywacja 20,00 zł

59.90 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

niższa cena i 6 miesięcy za 0 zł!

65.00 zł

miesięcznie

Internet stacjonarny do 1 Gb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

1000 Mb/s

Wysyłanie

300 Mb/s

Modem WiFi

w cenie

Promocja 6 miesięcy za 0 zł!

router Wi-FI

Prezenty tylko na panwybierak.pl

Aktywacja 79,00 zł

65.00 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

89.00 zł

miesięcznie

Internet światłowodowy 1 Gb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

1000 Mb/s

Wysyłanie

1000 Mb/s

Modem WiFi

w cenie

Promocja 1 miesiąc za 0zł!

router Wi-Fi

Aktywacja 80,00 zł

89.00 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

Walentynki w Play 🤍

55.00 zł

miesięcznie

Internet światłowodowy do 600 Mb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

600 Mb/s

Wysyłanie

40 Mb/s

Modem WiFi

w cenie

Promocja 1 miesiąc za 0 zł! Na Walentynki od Play

router Wi-Fi

Prezenty tylko na panwybierak.pl

Aktywacja 50,00 zł

55.00 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

64.99 zł

miesięcznie

Internet stacjonarny 300 Mb/s

Zobacz więcej

Limit danych

bez limitu

Pobieranie

300 Mb/s

Wysyłanie

25 Mb/s

Modem WiFi

w cenie

Promocja modem WiFi w cenie

router Wi-Fi

Aktywacja 69,99 zł

64.99 zł

miesięcznie Zobacz ofertę

Zamów telefonicznie 22 122 33 44

Okres umowy 24 mies.

Analiza ruchu sieciowego (deep packet inspection, DPI) potrafi zdradzić jeszcze więcej. Nawet zaszyfrowane pakiety mają pewne cechy protokołu: rozmiar i częstotliwość pakietów, sekwencje handshake, używane porty. Wielu popularnych VPN (np. OpenVPN, IKEv2, WireGuard) ma charakterystyczne „sygnatury” w ruchu. Zaawansowany firewall czy cenzor może rozpoznać po sygnaturze, że to ruch VPN – niezależnie od portu czy nawet próby ukrycia w tunelu TLS. Przykładowo w Chinach i Iranie już w 2012 roku blokowano narzędzia anonimowe (jak Tor) właśnie na podstawie odcisku TLS/SSL. Nowoczesne techniki DPI i fingerprintingu TLS (np. algorytmy JA3/JA3S) potrafią zidentyfikować protokół VPN po samym uścisku dłoni TLS, czyli ustawieniach szyfrowania, nawet gdy VPN używa standardowego portu 443 jak zwykłe HTTPS. Innymi słowy – można stwierdzić, że „tu jest VPN”, choć nadal nie znamy, kto konkretnie jest po drugiej stronie.

Jeszcze inną wskazówką są współdzielone adresy IP. Wielu użytkowników jednocześnie korzysta z tego samego serwera VPN, otrzymując na zewnątrz ten sam adres. Gdy setki osób nagle „stają się” jednym adresem IP, dla usług internetowych to sygnał alarmowy. Serwery wykrywają anomalię – jeden IP otwiera tysiące połączeń do różnych stron – co zwykle nie zdarza się domowemu użytkownikowi. Takie „zagęszczenie” aktywności pod jednym IP zdradza użycie VPN lub proxy. W skrajnych przypadkach, gdy VPN nie stosuje NAT, a użytkownik dostaje unikalny adres, możliwa jest także korelacja czasowa: np. ofiara ataku widzi ruch z IP VPN o godz. 12:00, a dostawca VPN mógłby sprawdzić (jeśli loguje), który klient był podłączony o 12:00 do tego IP. To już jednak wymaga logów – o czym za chwilę.

Gdy VPN przecieka: DNS, WebRTC i inne pułapki

Nawet najlepsze szyfrowanie na nic, jeśli pewne dane uciekną poza tunel VPN. Niestety, zdarza się to częściej, niż myślisz. Klasyczny przykład to DNS leak, czyli wyciek zapytań DNS. Każda odwiedzana strona wymaga zapytania DNS o jej adres IP. Jeśli konfiguracja VPN jest niepełna lub system wysyła DNSy poza tunel, nasz komputer nadal pyta serwery DNS dostawcy internetowego o odwiedzane domeny. W efekcie rzeczywisty dostawca DNS (np. nasz ISP) widzi, jakie domeny odpytujemy, a strony lub usługi monitorujące mogą wykryć, że te zapytania pochodzą z naszego kraju czy od konkretnego operatora. To właśnie jest wyciek DNS: mimo maskowania IP, zdalny serwis widzi, że korzystamy z DNS-ów naszej lokalnej sieci, co podkopuje anonimowość. Dla ilustracji – jeśli łączysz się przez VPN z Francji, ale twoje zapytania DNS nadal idą do serwera Orange Polska, to coś jest nie tak. Źle skonfigurowany VPN (lub system) sprawia, że takie czerwone flagi stają się widoczne.

Kolejny cichy zdrajca to przeglądarkowy mechanizm WebRTC. WebRTC umożliwia komunikację P2P (do wideorozmów, transmisji) między przeglądarkami i – co ważne – w tym celu może ujawniać adresy IP. Przeglądarka, ustanawiając połączenie WebRTC, wysyła tzw. zapytania STUN, aby dowiedzieć się, jakie ma adresy sieciowe (lokalne i zewnętrzne). I robi to bez pytania użytkownika o zgodę. Efekt? Nawet jeśli korzystasz z VPN, sprytny skrypt na stronie może poprzez WebRTC poznać Twój prawdziwy zewnętrzny adres IP od ISP, omijając tunel VPN. To krytyczna luka anonimowości – jeden niewinny skrypt na stronie może zburzyć całą iluzję prywatności, ujawniając światu Twój rzeczywisty identyfikator sieciowy. Ten problem swego czasu stał się głośny jako WebRTC leak – wiele stron oferuje test, czy Twoja przeglądarka go posiada. W odpowiedzi niektórzy dostawcy VPN zaczęli implementować blokowanie WebRTC lub zalecać rozszerzenia/ustawienia wyłączające tę funkcję w przeglądarce. Proste dodatki potrafią zablokować komunikację WebRTC, zapobiegając wyciekowi, choć kosztem funkcjonalności (np. mogą przestać działać aplikacje webowe do konferencji, jak Google Meet).

Na deser mamy mniej oczywiste „wycieki” TLS, czyli odcisku przeglądarki. Każda przeglądarka czy aplikacja ma unikalny sposób inicjowania szyfrowanego połączenia TLS – listę obsługiwanych szyfrów, rozszerzeń protokołu, kolejność ich prezentacji. Ten tzw. TLS fingerprint stanowi pasywny identyfikator naszej aplikacji. Serwer, zanim jeszcze otrzyma jakiekolwiek dane od nas, widzi w „uścisku dłoni” TLS pewien wzorzec charakterystyczny dla Chrome na Windows, albo Firefoksa na Linuxie, albo biblioteki OpenSSL itd. Jeśli korzystasz z rzadkiego klienta VPN/proxy (np. customowego skryptu), Twój odcisk TLS będzie nietypowy – i może zostać oznaczony jako podejrzany. Jak ujął to ekspert: „TLS leak to niewidoczne ujawnienie Twojej technicznej ‘unikalności’ poprzez specyfikę szyfrowanego połączenia”. Innymi słowy, nawet bez adresu IP zdradzamy się unikalną konfiguracją techniczną. Systemy anty-fraudowe już teraz wykorzystują takie odciski TLS do wykrywania botów czy nietypowych klientów – wystarczy pasywnie podsłuchać powitalną wiadomość ClientHello. Dla prywatności oznacza to, że VPN nie pomoże, jeśli Twój „odcisk” przeglądarki/urządzenia wyróżnia Cię z tłumu. Tu zahaczamy już o browser fingerprinting, czyli gromadzenie cech przeglądarki (nagłówki, strefa czasowa, czcionki, rozdzielczość ekranu, itp.), co razem tworzy unikatowy profil użytkownika. Firmy trackingowe mogą Cię rozpoznać nawet przy zmiennej adresacji, jeśli zestaw cech Twojego urządzenia jest jedyny w swoim rodzaju. Z punktu widzenia „namierzania użytkownika VPN” fingerprinting jest narzędziem pośrednim – nie identyfikuje osoby po IP, ale pozwala łączyć sesje danego użytkownika nawet gdy za każdym razem zmienia IP (np. raz bez VPN, raz z VPN). To poważne zagrożenie dla anonimowości: zmiana IP to za mało, gdy Twój cyfrowy odcisk palca pozostaje ten sam.

Organy ścigania vs. VPN: czy policja może Cię namierzyć?

Pora zejść na ziemię i spytać: co, jeśli naprawdę komuś zależy, by poznać tożsamość użytkownika kryjącego się za VPN? Na przykład policja prowadząca dochodzenie w sprawie groźby czy ataku dokonanego z adresu należącego do VPN. Okazuje się, że służby mają kilka asów w rękawie – zarówno prawnych, jak i technicznych.

Po pierwsze: logi. Dostawcy VPN różnią się polityką rejestrowania danych. Niektóre usługi (zwłaszcza darmowe lub mało renomowane) prowadzą pełne rejestry aktywności – łącznie z historią odwiedzanych stron (sic!). Inne utrzymują rejestry połączeń – czyli zapisują, kiedy użytkownik łączył się z VPN, na jak długo, ile danych przesłał, z jakiego IP lokalnego i jaki IP VPN mu przydzielono. I wreszcie elita – dostawcy z deklaracją „no logs”, którzy zarzekają się, że nie zapisują żadnych danych z wyjątkiem absolutnego minimum (np. e-mail do konta, dane płatności). W praktyce oczywiście trzeba wierzyć im na słowo – albo poczekać, aż życie zweryfikuje. I życie już weryfikowało: w 2017 r. głośny był przypadek, gdy FBI namierzyło cyberstalkera korzystającego z „no-log” VPN PureVPN, bo okazało się, że firma jednak przechowywała logi. PureVPN przekazał śledczym informacje pokazujące, że ten sam klient łączył się z ich usługą z dwóch adresów IP – z domu i z pracy podejrzanego – co pozwoliło powiązać osobę z działalnością online. Innymi słowy, dostali od VPN-u dowód: użytkownik o adresie domowym X to ten sam, który zaszyfrowany wychodził na świat jako adres Y należący do VPN. Nic dziwnego, że oskarżony później pisał na Twitterze z goryczą: „Nie istnieje VPN, który nie trzyma logów. Jeśli potrafią limitować połączenia lub śledzić zużycie transferu, to znaczy, że mają logi.”.

Oczywiście nie każdy dostawca blefuje z polityką „no logs”. Dla równowagi: ExpressVPN – popularny płatny VPN – miał w 2017 r. incydent, gdy w Turcji w ramach śledztwa zabezpieczono serwer należący do tej firmy. Poszukiwano na nim śladów po użytkowniku zamieszanym w głośne zabójstwo. Tureckie władze nic jednak nie znalazły, a polityka no-log ExpressVPN została potwierdzona w praktyce – żadnych danych identyfikujących klienta nie było. Wielu czołowych dostawców poddaje się nawet niezależnym audytom bezpieczeństwa, by uwiarygodnić brak logów. Prawda jest jednak taka, że przeciętny użytkownik nie ma możliwości w 100% zweryfikować, co dzieje się na serwerach VPN. Musimy polegać na reputacji, jurysdykcji i zaufaniu.

Po drugie: prawo i jurysdykcja. Policja, mając podejrzenie, może spróbować oficjalnej drogi – wystąpić o pomoc prawną do kraju, gdzie siedzibę ma dostawca VPN, by ten wydał informacje o użytkowniku. I tu kluczowa jest jurysdykcja. Jeśli dostawca VPN działa w kraju z obowiązkiem retencji danych (np. potencjalnie w USA lub Unii Europejskiej), może być prawnie zobligowany do prowadzenia przynajmniej podstawowych logów. W UE co prawda unieważniono słynną dyrektywę retencyjną, ale wiele państw ma własne przepisy nakazujące operatorom (a czasem także usługodawcom internetowym) przechowywanie metadanych o połączeniach. Przykładowo polskie prawo telekomunikacyjne wymaga od ISP przechowywania danych o sesjach użytkowników przez rok. Czy obejmuje to dostawców VPN? To niejasne, ale gdyby np. polska firma oferowała VPN, mogłaby podlegać takim wymogom. Dlatego wielu „prywatnościowych” dostawców wybiera egzotyczne jurysdykcje: Panamę (NordVPN), Brytyjskie Wyspy Dziewicze (ExpressVPN), czy chociażby Holandię (Surfshark – Holandia nie ma obowiązku retencji). Tam mogą legalnie nie trzymać logów. Natomiast VPN mający siedzibę w USA czy w kraju UE nie powinien obiecywać braku logów, bo prędzej czy później dostanie nakaz ich udostępnienia. Co ważne, nawet jeśli firma nie loguje rutynowo, władze mogą nakazać jej prowadzenie tymczasowego rejestru dla wskazanego użytkownika (tzw. trap and trace). Istnieją też sprytne narzędzia prawne jak nakazy typu National Security Letter (w USA) z zakazem ujawniania – te potrafią zmusić firmę do współpracy w pełnej tajemnicy. W demokracjach zachodnich oczywiście musi za tym iść poważne podejrzenie przestępstwa i zgoda sądu, ale jeśli spełniamy te kryteria (np. jesteśmy terrorystą na celowniku), to sam VPN może nie pomóc.

Po trzecie: korelacja i analizy ruchu. Załóżmy jednak, że trafiliśmy na super VPN z Panamy, zero logów, nieuchwytny prawnie. Co wtedy? Organy ścigania w poważnych sprawach mają jeszcze swoje techniczne sztuczki. Jeśli dysponują uprawnieniami i zasobami, mogą próbować analizy korelacyjnej ruchu. To wymaga śledzenia jednocześnie naszej sieci lokalnej i wyjściowego węzła VPN. Przykładowo, FBI może podczas akcji inwigilacyjnej założyć podsłuch na łączu delikwenta (albo współpracować z ISP) i równocześnie monitorować ruch do ofiary ataku w internecie. Jeśli widzą, że użytkownik o IP domowym X wysyła o 10:30 zaszyfrowany strumień 500 kB do serwera VPN, a niemal w tej samej chwili z adresu VPN Y (końcówka tunelu) o 10:30 następuje atak lub połączenie do serwisu – to można z dużym prawdopodobieństwem połączyć kropki. Taki timing attack ujawnia, kto stoi za aktywnością, nawet bez znajomości treści pakietów. Oczywiście to skomplikowane i wymaga dostępu do danych sieciowych po obu stronach tunelu – co bywa realne, gdy mówimy np. o globalnej inwigilacji (hello NSA) lub współpracy międzynarodowej. W przypadku sieci Tor to standardowa metoda deanonimizacji (obserwacja wzorców ruchu na wejściu i wyjściu z sieci). W przypadku pojedynczego VPN – łatwiejsze, bo tylko jeden hop. Dlatego dla poważnych graczy nawet brak logów nie jest przeszkodą, jeśli mogą po cichu śledzić ruch w sieci.

Po czwarte: działania ofensywne (hacking). Najbardziej skrajna metoda namierzenia użytkownika VPN to… obejść VPN i uderzyć bezpośrednio. Organy ścigania na całym świecie coraz częściej sięgają po legal hacking – np. instalowanie spyware na urządzeniu podejrzanego za zgodą sądu. Jeśli nasz komputer zostanie w ten sposób „zarządzony”, żaden VPN już nie pomoże – służby mogą wtedy podejrzeć wszystko u źródła, zanim zostanie zaszyfrowane. Tak było w wielu głośnych sprawach dotyczących choćby użytkowników sieci Tor (FBI używało exploitów przeglądarki, aby ujawnić realny adres IP podejrzanych o pedofilię). W Polsce również prawo dopuszcza w ramach kontroli operacyjnej użycie urządzeń nasłuchowych i programów szpiegowskich, jeśli chodzi o poważne przestępstwa. Krótko mówiąc: jeśli jesteś celem numer jeden, znajdą sposób. Na szczęście przeciętny Kowalski korzystający z VPN dla prywatności raczej nie musi się obawiać, że „wejdą mu na chatę” – te metody rezerwowane są dla najpoważniejszych spraw.

VPN w różnych rolach – użytkownik prywatny, przestępca, opozycjonista

Scenariusz 1: zwykły użytkownik indywidualny. Większość z nas używa VPN po prostu dla świętego spokoju: żeby chronić się w publicznej Wi-Fi, ukryć przed marketingiem profilowanie naszych nawyków, ewentualnie odblokować serwisy niedostępne w naszym kraju. W krajach takich jak Polska czy ogólnie UE korzystanie z VPN jest legalne i powszechne – nikt nie trafi na celownik służb tylko za to, że szyfruje swój ruch. W praktyce przeciętny użytkownik Kowalski jest więc „anonimowy” w tym sensie, że nikt go aktywnie nie namierza. Musi jednak pamiętać, że nie jest niewidzialny. Firmy reklamowe mogą go rozpoznać fingerprintingiem, serwisy streamingowe mogą mu zablokować treści wykrywszy VPN, a jeśli zrobi coś nielegalnego – np. wrzuci groźby na Facebooku czy będzie piracił na potęgę – to wyjaśnianie sprawy i tak zacznie się od jego operatora internetowego. Pamiętajmy też, że VPN nie chroni przed złośliwym oprogramowaniem czy phishingiem – tu potrzebny zdrowy rozsądek i inne zabezpieczenia. Dlatego CISA (amerykańska agencja ds. cyberbezpieczeństwa) zaleca traktować VPN tylko jako jeden z elementów ochrony, a nie srebrną kulę. W skrócie: korzystajmy świadomie. Jeśli priorytetem jest prywatność, upewnijmy się, że wybrana usługa nie ma znanych wpadek z logami i stosujmy dodatkowe środki (przeglądarka z anty-trackingiem, wyłączony WebRTC, aktualizacje systemu itp.).

Scenariusz 2: działalność przestępcza z użyciem VPN. Przestępcy też kochają VPN-y – to tani sposób na utrudnienie życia policji. Jak pokazują przypadki z ostatnich lat, wielu z nich przecenia jednak tę ochronę. Cyberprzestępcy często łączą VPN z innymi technikami (sieć Tor, serwery pośredniczące, kradzione bądź publiczne Wi-Fi) żeby zbudować warstwy anonimowości. Mimo to, organy ścigania zdołały rozpracować liczne siatki, bo prędzej czy później ktoś popełnia błąd albo zdradza go logika działań. Przykład PureVPN z cyberstalkerem pokazuje, że wystarczy jedna wpadka (korzystanie z tego samego VPN w domu i w pracy) plus zachowane logi i cała intryga legnie w gruzach. W innych głośnych sprawach VPN również nie uratował winnych. W 2021 r. służby Europolu i FBI zrobiły nalot na usługę DoubleVPN – popularną w półświatku cybercrime – i dosłownie ją wyłączyły, przejmując serwery oraz zamieszczając na stronie komunikat o przejęciu przez policję. Globalna akcja wymierzona w infrastrukturę VPN to sygnał, że jeśli VPN jest wykorzystywany masowo przez przestępców, władze znajdą sposób, by go dosięgnąć (czy to prawnie, czy technicznie). Podobny los spotkał później serwis VPNLab.net, z którego korzystali rzekomo ransomware’owi gangsterzy – również skończył z banerem „This domain has been seized” i herbami różnych agencji na stronie. Te działania pokazują ciekawą rzecz: służby nie zawsze bawią się w kotka i myszkę z pojedynczymi użytkownikami VPN, czasem łatwiej uderzyć w samą usługę. Jeśli firma nie jest gigantem, może nie mieć jak się obronić przed skoordynowaną akcją organów z wielu krajów.

Z drugiej strony, co sprytniejsi przestępcy nie polegają na komercyjnych VPN-ach, które mogą mieć logi lub być infiltrowane. Korzystają z własnych serwerów VPN, szyfrowanych VLAN-ów, całych łańcuchów połączeń przez kilka państw. Tu ponownie – błędy ludzkie są częstsze niż złamanie protokołu. W praktyce już wiele legend internetowego undergoundu wpadło przez pomyłkę (zapomnienie włączenia VPNa, zostawienie śladu na koncie Gmail, użycie pseudonimu w kilku miejscach) niż przez czysto techniczne namierzenie. Jednak ogólna lekcja brzmi: VPN nie gwarantuje bezkarności. Jeśli robisz coś nielegalnego, to prędzej czy później pojawi się luka w Twojej opowieści – a wtedy nawet VPN może już nie pomóc.

Scenariusz 3: dziennikarze, aktywiści i opozycja polityczna. W tym przypadku VPN często bywa narzędziem ochrony przed represyjnym państwem. Dziennikarz śledczy szyfrujący swą komunikację czy działacz opozycji omijający cenzurę – to obrazy z wielu krajów o autorytarnych zapędach. Tutaj stawka jest wysoka: ujawnienie tożsamości może skutkować więzieniem lub gorzej. Niestety, reżimy również odrobiły pracę domową. W krajach autorytarnych używanie „nieautoryzowanych” VPN jest często zakazane lub utrudnione technicznie. Chiny ze swoim Wielkim Firewallem to najjaskrawszy przykład: tamtejsze władze inwestują ogromne środki w DPI, filtrowanie i active probing – aktywne skanowanie sieci w poszukiwaniu ruchu przypominającego VPN/Tor i blokowanie go. Wykrycie korzystania z VPN może skutkować odcięciem połączenia, blokadą serwera, a nawet zainteresowaniem służb. Chińskie prawo wymaga, by firmy oferujące VPN miały rządową licencję – co zwykle oznacza zgodę na kontrolę i udostępnianie danych. Innymi słowy, „legalny VPN” w Chinach to zazwyczaj taki, który nie chroni przed rządem, a tylko przed resztą świata. Rosja obrała podobny kierunek: od 2017 r. prawo zakazuje VPN-om umożliwiania dostępu do zablokowanych stron, a od niedawna wprost blokuje popularne zagraniczne VPN-y, które odmówiły współpracy (np. NordVPN, ProtonVPN). W Iranie podczas protestów notorycznie wyłącza się internet lub celowo spowalnia VPN-y, by utrudnić komunikację. Kraje takie jak ZEA czy Oman również mają surowe restrykcje – używanie VPN do „nielegalnych celów” (a interpretacja tego bywa szeroka) może skutkować wysokimi karami.

Dla dziennikarzy i aktywistów oznacza to, że sam VPN często nie wystarczy. Trzeba stosować szereg środków: od specjalnych, kamuflujących technologii (Tor z mostkami, VPN z protokołem zaciemniającym ruch, tzw. obfsproxy), po operational security w starym stylu (dyskretne zachowanie, czysta tożsamość w sieci). Sytuacja może być paradoksalna – w niektórych reżimach samo posiadanie na telefonie aplikacji VPN jest podejrzane. Dlatego powstają kreatywne rozwiązania: VPN ukryte w aplikacjach udających co innego, ruch tunelowany w protokole HTTPS przypominający zwykły Gmail, itp. To ciągła gra w kotka i myszkę między cenzorami a szukającymi wolności obywatelami. W skrajnych sytuacjach dochodzi do scen jak z filmu: agentura potrafi fizycznie namierzyć sygnał urządzenia i zlokalizować „nielegalnego” użytkownika VPN, jeśli ten działa w podziemiu.

W demokratycznych krajach zachodnich dziennikarze również korzystają z VPN dla ochrony źródeł i komunikacji, ale tam zagrożenie jest inne – raczej ze strony cyberprzestępców czy zbyt ciekawskich korporacji. W liberalnej demokracji policja nie powinna szpiegować dziennikarza bez powodu; w autokracji – to niemal pewnik, że będzie próbowała. Reasumując, dla opozycji politycznej VPN bywa liną ratunkową, ale wymaga świadomości ryzyka. Jeśli korzysta się z usługi VPN spoza kraju, ryzyko podsłuchu lokalnego maleje, lecz rośnie szansa na blokadę techniczną. Być może jedyną bezpieczną drogą jest wtedy sieć Tor – wolniejsza, ale znacznie trudniejsza do namierzenia – lub konspiracja rodem z analogowych czasów.

Darmowe, płatne, firmowe – czy Twój VPN jest bezpieczny?

Rynek VPN jest ogromny i zróżnicowany. Darmowe VPN-y kuszą zerową ceną, ale pamiętajmy, że „jeśli coś jest darmowe, to ty jesteś towarem„. Wielokrotnie wykazano, że wiele darmowych usług VPN zarabia, sprzedając dane użytkowników lub wstrzykując im reklamy, a także często stosuje słabe szyfrowanie. Zdarzały się przypadki darmowych VPN-ów pełnych złośliwego kodu, lub takich, które w ogóle nie szyfrowały części ruchu. Darmowy VPN nierzadko ma też drastyczne ograniczenia przepustowości i transferu, co zmusza do wykupienia wersji premium. W skrócie: „za darmo” często oznacza „płacisz swoimi danymi”. Dlatego do darmowych VPN trzeba podchodzić bardzo ostrożnie. Jeśli już – to wybierać te od znanych firm (czasem płatne VPN mają darmowe plany testowe) i koniecznie czytać politykę prywatności, czy nie jesteśmy przypadkiem produktem.

Płatne VPN-y to szeroka gama – od tanich usług za parę złotych miesięcznie po droższe, reklamowane wszędzie „najbezpieczniejsze VPN na świecie”. Cena nie zawsze gwarantuje jakość, ale zazwyczaj płatne usługi oferują nowocześniejsze protokoły (WireGuard, OpenVPN), silniejsze szyfrowanie, lepsze prędkości i deklaracje braku logów. Topowe firmy inwestują w infrastrukturę (wiele serwerów na całym globie, własne DNS-y, mechanizmy kill-switch itp.) oraz starają się budować zaufanie – np. publikując regularnie warrant canary (oświadczenia, że nie otrzymali nakazu ujawnienia danych) czy raporty przejrzystości. Wybierając płatny VPN, warto zwrócić uwagę na jurysdykcję (gdzie firma ma siedzibę), politykę logów (czy przeszła audyt? czy realne przypadki ją potwierdzają?), oraz reputację wśród społeczności bezpieczeństwa. Dobrze jest też sprawdzić, czy VPN nie był w przeszłości złapany na czymś podejrzanym – np. czy nie miał wycieku danych użytkowników. Generalnie jednak, płatny VPN od renomowanej firmy będzie bezpieczniejszy niż dowolny darmowy – choćby dlatego, że jego model biznesowy nie zależy od odsprzedaży naszych informacji.

Osobną kategorią są VPN firmowe (korporacyjne). Technicznie to też szyfrowane tunele, ale służą czemu innemu: pracownik łączy się z siecią firmy, by mieć dostęp do wewnętrznych zasobów. Tutaj nie chodzi o anonimowość, a wręcz odwrotnie – każda akcja pracownika jest autoryzowana i zwykle logowana. Firmowy VPN zapewnia bezpieczeństwo danych firmy, szyfrując komunikację z domu/pracy zdalnej. Poziom ochrony bywa bardzo wysoki (używa się certyfikatów, tokenów sprzętowych, tuneli IPSec itp.), ale użytkownik nie jest anonimowy wobec administratorów – firma widzi, który pracownik co robił w sieci firmowej. Próby nadużycia firmowego VPN (np. by ukryć własną aktywność prywatną) nie mają więc sensu – admin i tak może to wyśledzić. Co więcej, polityki bezpieczeństwa w korpo często uniemożliwiają pracownikowi korzystanie z zewnętrznych VPN na sprzęcie firmowym, żeby nie wprowadzać niekontrolowanych kanałów komunikacji. Reasumując: VPN „dla firmy” to zupełnie inna bajka niż konsumencki VPN. Zapewnia prywatność firmie, nie koniecznie pracownikowi.

Na koniec kilka praktycznych wskazówek, jak rozsądnie korzystać z VPN, by zminimalizować ryzyko deanonimizacji:

• Wybierz dostawcę z jasną polityką prywatności i brakiem logów. Unikaj usług, które nie mówią wprost, co zbierają. Ideałem jest VPN po audycie, działający w kraju bez obowiązku retencji danych.
• Sprawdź protokoły i zabezpieczenia. Upewnij się, że VPN używa aktualnych standardów szyfrowania (np. AES-256, ChaCha20) i oferuje funkcje typu kill switch (automatyczne odcięcie netu, gdy VPN się rozłączy – chroni to przed przypadkowym wyciekiem IP).
• Uważaj na podejrzane, darmowe VPN-y. Jeśli aplikacja VPN bombarduje Cię reklamami, obiecuje „100% anonimowości” i „szyfrowanie militarne” za zero złotych – lepiej trzymaj się z daleka. Może zamiast tego skorzystaj z ograniczonej darmowej wersji renomowanego dostawcy lub z sieci Tor.
• Pamiętaj, że VPN to nie wszystko. Nadal używaj mocnych haseł, aktualizuj oprogramowanie i nie klikaj bez namysłu w podejrzane linki. VPN nie zatrzyma phishera ani keyloggera. Dbaj też o ustawienia przeglądarki – rozważ blokadę WebRTC, używanie uBlock Origin, czyszczenie cookies. To uzupełnia Twój pakiet prywatności.

Czy da się namierzyć użytkownika VPN?

VPN jest świetnym narzędziem prywatności – ale nie czyni cudów. Pozwala ukryć się w tłumie, zaciemnia Twój prawdziwy adres IP, utrudnia masową inwigilację i lokalne podsłuchy. Jednak dla zdeterminowanych przeciwników wcale nie jesteś przezroczysty. Można wykryć korzystanie z VPN (choćby po charakterystyce ruchu czy znanych adresach IP). Można próbować Cię zidentyfikować poprzez luki i wycieki – DNS, WebRTC, fingerprinting – jeśli nie zadbasz o ich załatanie. Wreszcie, można namierzyć Cię prawnie lub operacyjnie, zmuszając pośredników do ujawnienia informacji lub obserwując Twój ruch z boku.

Dobra wiadomość jest taka, że dla przeciętnego zjadacza chleba nikt nie będzie używał arsenału rodem z NSA. Jeśli korzystasz z VPN legalnie i rozsądnie, ryzyko „dekonspiracji” jest znikome – ot, możesz co najwyżej zobaczyć komunikat Netflixa, że wykryto proxy. Ale jeśli wchodzisz na ścieżkę wojenną z poważnym przeciwnikiem (rząd, policja, hakerzy), pamiętaj: VPN to tylko jedno z wielu narzędzi ochrony, a nie przepustka do całkowitej niewidzialności. W internecie, tak jak w życiu, nie ma darmowych obiadów ani zbroi z mithrilu odpornej na wszystko. VPN zwiększa prywatność – i róbmy z niego użytek – ale miejmy świadomość jego ograniczeń. Dzięki temu unikniemy zarówno paranoi, jak i niebezpiecznej beztroski. Bo ostrożny użytkownik VPN to bezpieczny użytkownik VPN.

Piotr Romanowski

Miłośnik wszystkiego, co związane z nowymi technologiami. Kiedyś konsultant w branży telko; dziś działający głównie w sferze oprogramowania, a przy okazji niezmiennie zafascynowany wszystkim, co dotyczy technologii mobilnych oraz znaczenia internetu w codzienności. Kontakt: piotr@opiseo.com