Arethusa forum

Arethusa discussion forums.

You are not logged in.

Announcement

Registration is not required to post, but is required to post links.

#1 2013-11-03 11:41:12

Zero
Moderator

Protecting privacy in 2013 and beyond

Privacy is an increasingly important issue on the Internet.
If you want to use a VPN to protect your privacy, you should be extremely careful. Lots of services want to sell you full anonymity, but reality is not so simple.
The following article is based on our actual experience and on current knowledge.


Use of VPNs by cyber-criminals

More and more cyber-criminals are using VPN services to cover their tracks and bypass bans.
They send phishing emails, spread malware, set up scams, steal identities and money. Their job is to make the Internet an unsafe place.

100% of the legal requests forwarded to us so far are related to scam operations.

Accepting anyone as a client and promising full anonymity clearly does not help stopping these criminals.
It also puts VPNs and their legitimate users in a dangerous position. It's the main reason why payment processors are now reluctant to accept VPNs.
It gives governments a reason to pass more restrictive legislations.

In more than 4 years of operation, we have not even received a single request to identify a legitimate user.
In this light, full anonymity at the VPN level seems unnecessary to protect privacy, and counter-productive since it allows VPN services to be infiltrated by bad guys.
Experience shows that VPN services with absolutely no logs end up having to monitor all traffic when they need to stop a criminal. This would have never happened if they had just kept a simple connection log.

Protecting users for their file-sharing activities is usually just a contractual issue between the VPN company and the hosting company. It has nothing to do with countries or logs. File-sharers are not criminals and there is no real proof against them.


Consequences of government spying on VPNs

Everybody has always suspected that governments, especially the USA, were spying on data communications. But it has been revealed this year that the scope of these spying activities is larger that anybody could have ever imagined. Our worst fears have come true.
Who would have thought that a government would be crazy enough to spend a fortune on an infrastructure capable of monitoring and storing forever all the communications in the world ?

The NSA cannot actually monitor everything, but still there are some implications for VPN users.
When you use a VPN, the communication is encrypted only between your computer and the VPN server. Between the VPN server and the final destination, there is no encryption but your real IP address is not visible.
The NSA has developed tactics to target Tor users, and the same tactics can be applied to VPN users.

Let's take an example:
You are using a VPN server located in Sweden. You are not from Sweden and the websites you are visiting are not hosted in Sweden.
It is a known fact that Sweden monitors all data that goes inside or outside the country. The NSA can probably access this data.
As a result, the NSA can see both the encrypted communication between your computer and the VPN server, and the unencrypted communication between the VPN server and the final destination. They just have to find out which encrypted communication corresponds to the unencrypted communication and they get your real IP address. This is known as a timing attack.
Not only this renders the VPN totally useless but you become a person of interest because you use encryption. You thought that you were increasing your privacy, you might actually be decreasing it.
The strength of the encryption and the log level on the VPN server are irrelevant in this case.

Lots of people say that you should use a VPN server outside your own country, and even choose an exotic country. This might not always be a good idea.
To avoid spying, you should use a VPN server as close as possible to the web sites you visit. Most spying activities are done on submarine cables (at the landing stations), so there should be no ocean or sea in the path.
Spying can also be performed by the VPN service itself. Promises are not enough to protect your privacy. The VPN server and the company operating it should be located in countries with strong data protection laws and an independent justice.

Offline

#2 2013-11-03 11:41:19

Zero
Moderator

Re: Protecting privacy in 2013 and beyond

Version française :


La vie privée est un sujet de plus en plus important sur Internet.
Si vous voulez utiliser un VPN pour protéger votre vie privée, vous devriez être très prudent. Beaucoup de services veulent vous vendre un anonymat total, mais la réalité n'est pas si simple.
L'article suivant est basé sur notre expérience et sur les connaissances actuelles.


Utilisation des VPNs par les cyber-criminels

De plus en plus de cyber-criminels utilisent des services VPN pour couvrir leurs traces et contourner les bans.
Ils envoient des courriels de phishing, diffusent des malwares, mettent en place des scams, volent des identités et de l'argent. Leur travail est de rendre Internet moins sûr.

100% des requêtes légales qui nous ont été transmises jusqu'à présent sont liées à des escroqueries.

Accepter n'importe qui comme client et promettre un anonymat total n'aide clairement pas à stopper ces criminels.
Cela met aussi les VPNs et leurs utilisateurs légitimes dans une position dangereuse. C'est la principale raison pour laquelle les processeurs de paiement sont maintenant réticents à accepter les VPNs.
Cela donne aux gouvernements une raison de faire des lois plus restrictives.

En plus de 4 ans de fonctionnement, nous n'avons même pas reçu une seule requête pour identifier un utilisateur légitime.
Sous cet éclairage, un anonymat total au niveau du VPN semble inutile pour protéger la vie privée, et contre-productif puisqu'il permet aux services VPN d'être infiltrés par des personnes mal intentionnées.
L'expérience montre que les services VPN qui n'ont absolument aucun log finissent par devoir surveiller tout le trafic quand ils doivent arrêter un criminel. Ceci ne serait jamais arrivé s'ils avaient conservé un simple log des connexions.

Protéger les utilisateurs pour leurs activités de partage de fichiers n'est en général qu'un problème contractuel entre la compagnie de VPN et la compagnie d'hébergement. Cela n'a rien à voir avec les pays ou les logs. Ceux qui partagent des fichiers ne sont pas des criminels et il n'y a aucune vraie preuve contre eux.


Conséquences sur les VPNs de l'espionnage réalisé par les gouvernements

Tout le monde a toujours suspecté que les gouvernements, surtout les USA, espionnaient les communications de données. Mais il a été révélé cette année que l'ampleur de ces activités d'espionnage était plus vaste que l'on aurait pu l'imaginer. Nos pires craintes sont devenues réalité.
Qui aurait cru qu'un gouvernement sera assez fou pour dépenser une fortune dans une infrastructure capable de surveiller et stocker pour toujours toutes les communications du monde ?

La NSA ne peut pas réellement tout surveiller, mais il y a tout de même des implications pour les utilisateurs de VPN.
Quand vous utilisez un VPN, la communication est chiffrée seulement entre votre ordinateur et le serveur VPN. Entre le serveur VPN et la destination finale, il n'y a de chiffrage mais votre adresse IP réelle n'est pas visible.
La NSA a développé des tactiques pour cibler les utilisateurs de Tor, et les mêmes tactiques peuvent être appliquées aux utilisateurs de VPN.

Prenons un exemple :
Vous utilisez un serveur VPN situé en Suède. Vous n'êtes pas de Suède et les sites web que vous visitez ne sont pas hébergés en Suède.
C'est un fait connu que la Suède surveille toutes les données qui entrent ou sortent du pays. La NSA a probablement accès à ces données.
En résultat, la NSA peut voir à la fois la communication chiffrée entre votre ordinateur et le serveur VPN, et la communication non chiffrée entre le serveur VPN et la destination finale. Ils n'ont plus qu'à trouver quelle communication chiffrée correspond à la communication non chiffrée et ils ont votre véritable adresse IP. Ceci est connu comme étant une attaque temporelle.
Non seulement cela rend le VPN totalement inutile, mais vous devenez un suspect parce que vous utilisez un chiffrage. Vous pensiez protéger votre vie privée, vous pourriez bien être en train de l'exposer encore plus.
La puissance du chiffrage et le niveau de log sur le serveur VPN sont sans objet dans ce cas.

Beaucoup de gens disent que vous devriez utiliser un serveur VPN hors de votre propre pays, ou même choisir un pays exotique. Cela n'est pas toujours une bonne idée.
Pour éviter l'espionnage, vous devriez utiliser un serveur VPN aussi près que possible des sites web que vous visitez. La plupart des activités d'espionnage sont réalisées sur les câbles sous-marins, ainsi il ne devrait pas y avoir d'océan ou de mer sur le chemin.
L'espionnage peut aussi être réalisé par le service VPN lui-même. Les promesses ne sont pas suffisantes pour protéger votre vie privée. Le serveur VPN et la compagnie qui l'opère devraient être dans des pays avec une justice indépendante et des lois qui protègent fortement les données personnelles.

Offline

#3 2013-11-15 13:39:06

kardoki
Anonymous

Re: Protecting privacy in 2013 and beyond

Bonjour
Concrètement, ça se traduit comment chez Arethusa (pour le premier paragraphe) ?

#4 2013-11-16 17:28:40

Zero
Moderator

Re: Protecting privacy in 2013 and beyond

kardoki wrote:

Concrètement, ça se traduit comment chez Arethusa (pour le premier paragraphe) ?

Tu veux parler de quoi ?

Des logs ? C'est détaillé ici: http://arethusa.su/legal.html

En résumé, nous avons un log anti-abuse (pas de données de trafic) de 7 jours, qui contient juste ce qu'il faut pour retrouver quel compte couper en cas de violation de nos conditions d'utilisation. Beaucoup de VPNs font pareil. C'est aussi ce qui est recommandé par les pays qui interdisent de conserver des logs.
Les VPNs qui n'ont aucun log se retrouvent obligés d'espionner le trafic ou de censurer des services, donc c'est mieux le log anti-abuse de 7 jours.

Offline

#5 2013-11-16 22:15:27

kardoki
Anonymous

Re: Protecting privacy in 2013 and beyond

Zero wrote:
kardoki wrote:

Concrètement, ça se traduit comment chez Arethusa (pour le premier paragraphe) ?

Tu veux parler de quoi ?

Des logs ? C'est détaillé ici: http://arethusa.su/legal.html

En résumé, nous avons un log anti-abuse (pas de données de trafic) de 7 jours, qui contient juste ce qu'il faut pour retrouver quel compte couper en cas de violation de nos conditions d'utilisation. Beaucoup de VPNs font pareil. C'est aussi ce qui est recommandé par les pays qui interdisent de conserver des logs.
Les VPNs qui n'ont aucun log se retrouvent obligés d'espionner le trafic ou de censurer des services, donc c'est mieux le log anti-abuse de 7 jours.

Thank you

#6 2013-11-17 02:47:08

peter.44
Anonymous

Re: Protecting privacy in 2013 and beyond

Bonsoir,

Est-ce pour cela que le VPN gratuit (UA) ne fonctionne plus ?
Incidemment, la page : " http://bb.s6n.org/viewtopic.php?id=81 " n'est plus joignable !

Je n'en avais besoin que pour me connecter en hotspot à des sites demandant login et mots de passe comme ma banque ou pour des achats en ligne pour tenter de ne pas laisser traîner ces infos et mes numéros de CB entre mon PC et la box du hotspot. Dommage.

Cordialement,

Peter

#7 2013-11-17 10:58:43

Zero
Moderator

Re: Protecting privacy in 2013 and beyond

peter.44 wrote:

Est-ce pour cela que le VPN gratuit (UA) ne fonctionne plus ?
Incidemment, la page : " http://bb.s6n.org/viewtopic.php?id=81 " n'est plus joignable !

Je n'ai plus de nouvelles des personnes en charge de ce serveur. C'est totalement séparé d'Arethusa depuis très longtemps.

En tout cas il vaut mieux éviter d'utiliser des serveurs gratuits, à moins d'avoir une confiance absolue.

Offline

Board footer

Powered by FluxBB