Het dubbelsnijdende zwaard van de VPN belicht

Het onderstaande artikel is tot stand gekomen na eigen onderzoek middels een vragenlijst gericht aan verschillende Nederlandse VPN-services.

VPN’s zijn oorspronkelijk ontwikkeld als versleutelde verbindingen over het internet tussen twee bedrijfsnetwerken. Met behulp van end-to-end encryptie kunnen deze dan veilig met elkaar communiceren over het internet. Er wordt in dit opzicht vaak gesproken over een door encryptie beveiligde tunnel over het internet tussen twee bedrijfsnetwerken.

Bescherming tegen privacy-inbreuken met een VPN
Pas later is men er toe overgegaan om deze techniek commercieel uit te baten ten behoeve van consumenten. De door encryptie beveiligde tunnel over het internet wordt in dat geval uitgerold tussen een gebruiker en een VPN-service. De datastream tussen gebruiker en VPN-service wordt met behulp van end-to-end encryptie versleuteld. Vanaf de VPN-gateway het internet op komt deze encryptie te vervallen. De datastream verder het internet op wordt echter exclusief onder het IP-adres van de VPN-gateway verzonden en ontvangen. Daardoor is het niet mogelijk om te achterhalen wat de oorsprong is van gebruiker of datastream.

Dit voorziet dus in een zekere mate van anonimiteit op het internet. Dit betekent dat een VPN onmiskenbare voordelen biedt qua privacybescherming.

Noch de internetprovider noch de webservers tussen de gebruiker en de VPN kunnen inzien welke websites iemand bezoekt, doordat al het internetverkeer tussen de gebruiker en de VPN-service door middel van encryptie is versleuteld. Bezochte webservers kunnen door gebruik van de VPN-service niet langer achterhalen waar iemand verblijft, vanwege het feit dat diegene een collectief IP-adres deelt met de VPN-gateway. VPN’s bieden vanwege de toegepaste versleuteling eveneens bescherming tegen inbreuk op jouw datastream vanuit het access point zelf tijdens draadloos gebruik van (gecompromitteerde) WiFi-netwerken.

Landen met onbetrouwbare autoriteiten
In landen waar je het gevaar loopt om te worden bespioneerd als burger, activist of journalist is een dergelijke privacybescherming vanzelfsprekend een uitkomst. Vanwege de toegepaste versleuteling kan een internetprovider iemands internetgedrag niet achterhalen. En vanwege het toegekende IP-adres van de VPN-gateway kunnen bezochte webservers slechts het IP-adres van de VPN-gateway herleiden. Hierdoor is niemand in staat om tegelijkertijd te achterhalen wat iemand met een VPN-verbinding op het internet uitvoert én waar diegene verblijft. De voornaamste reden dat VPN’s in landen met onbetrouwbare autoriteiten niet simpelweg worden verboden, is dat VPN’s als onmisbaar worden gezien voor de beveiliging van bedrijfsnetwerken.

De VPN-service zelf heeft uiteraard wel inzage in het oorspronkelijke IP-adres en de volledige navigatie van de gebruiker over het internet. Echter, vanwege het feit dat adequaat uitgekozen VPN’s buiten de autonomie van onderdrukkende regimes vallen en VPN’s als het goed is een strikte no-log policy hanteren, is de privacy over het algemeen goed gewaarborgd.

Streaming restricties omzeilen met een VPN
Daarnaast kun je je met een VPN – via één van de doorgaans wereldwijd aangeboden regionale servers van een VPN-service – voordoen als inwonende van een ander werelddeel door middel van het regionale IP-adres. Hierdoor kun je in aanmerking komen voor specifieke regionale content van streaming of gaming services.

Bescherming tegen hackers met een VPN
Naast gegarandeerde anonimiteit biedt een VPN-service tevens substantiële voordelen op het gebied van de bescherming tegen hackers. Hoewel ik met name hierover aanvankelijk uiterst sceptisch was, blijkt uit mijn onderzoek dat VPN’s op dit vlak wel degelijk een adequate bescherming kunnen bieden.

Nauwelijks systeemrisico’s verbonden aan een goede VPN
Vanaf de VPN-gateway het internet op is er weliswaar geen sprake meer van versleuteling op grond van de VPN-service. Dus in die zin lijkt de situatie voor een deel van het traject over het internet nauwelijks te verschillen van een situatie zonder een verbinding over een versleutelde VPN-service. Hackers kunnen vanaf de VPN-gateway het internet op in principe kwetsbare gegevens afkomstig van apparaten en software binnen de datastream inzien. Dat wil zeggen, in zoverre nadere eigen https-encryptie ontbreekt of het om de IP-adressen van de bestemming gaat.

Ondanks de hieruit voortvloeiende theoretische – maar in de praktijk uiterst ingewikkelde – mogelijkheid van direkte injectie van malafide code in de datastream buiten de VPN-service om, vinden succesvolle hackpogingen in de praktijk eigenlijk hoofdzakelijk plaats over een router waarachter zich een thuisnetwerk bevindt. En juist deze router is vanwege het toegekende IP-adres van de VPN-service nagenoeg ontraceerbaar. Dus in zoverre draagt een goede VPN-service inderdaad nauwelijks systeemrisico’s in zich.

De keuze voor een gratis VPN in plaats van voor een VPN met een betaald abonnement brengt echter wel degelijk substantiële risico’s met zich mee. Met name gratis VPN’s zijn in het verleden al vaker slachtoffer geworden van succesvolle hacks. Daarnaast laat de snelheid vaak te wensen over en verkopen gratis VPN’s soms gebruikersdata. Gratis op het internet houdt namelijk meestal in dat de gebruiker zelf het eindproduct is.

VPN op router biedt de beste bescherming tegen hackers
Een router vormt de cruciale verbinding tussen een thuisnetwerk en het internet. Een router kan vanaf het internet worden afgetast op kwetsbaarheden (zgn. exploits) van de routerhardware en -software plus op kwetsbaarheden van de software op het thuisnetwerk zelf. Uitdrukkelijke voorwaarde hiervoor is wel dat de hacker moet beschikken over het IP-adres van deze router.

Met een router waarop een VPN is geconfigureerd en die alle verkeer van het thuisnetwerk over een VPN-service stuurt, liggen potentiële kwetsbaarheden dus niet langer op straat. Immers een hacker heeft geen enkele indicatie meer naar welk IP-adres een datastream welke potentiële kwetsbaarheden heeft onthuld, valt te herleiden. Exploits kunnen daardoor slechts worden benut op het niveau van de VPN-gateway zelf. De mogelijkheden hiervoor zijn veel beperkter en de beveiliging van de VPN-gateway veel geavanceerder vergeleken met een standaard router.

Met name als je slimme apparaten / IoT-toepassingen (Internet of Things-apparaten) toestaat om te verbinden over het thuisnetwerk dan kan de configuratie van een VPN op de router extra noodzakelijke bescherming bieden. De beveiliging van IoT-toepassingen schiet namelijk relatief vaak te kort vanwege inadequaat softwarebeheer van met name goedkopere IoT-toepassingen.

VPN op computers biedt slechts beperkte bescherming tegen hackers
Indien een VPN-service daarentegen alleen op afzonderlijke computers is geconfigureerd dan is de herkomst van de datastreams van en naar die computers weliswaar onvindbaar, maar de herkomst van alle overige datastreams van en naar het thuisnetwerk over de router zijn dat nadrukkelijk niet. Overige apparaten die bijv. via WiFi draadloos contact maken met de router gaan namelijk nog steeds onder het oorspronkelijke IP-adres het internet op. Ditzelfde geldt voor alle overige vaste aansluitingen op het thuisnetwerk, zoals printers, scanners en IoT-toepassingen. Veel digitale apparaten kennen bovendien überhaupt niet de mogelijkheid van de configuratie van een VPN-service.

Voor een thuisnetwerk achter een router is een VPN-service op afzonderlijke apparaten dus eigenlijk een halfbakken oplossing. Je kunt dan misschien wel volstrekt anoniem surfen, maar een uitgebreidere bescherming tegen hackers biedt het nadrukkelijk niet. De router kan op grond van de overige aangesloten draadloze apparatuur, printers, scanners of IoT-toepassingen namelijk nog steeds worden gevonden, benaderd en uiteindelijk worden gecompromitteerd.

Als je overweegt te kiezen voor de bescherming van een VPN-service, configureer de VPN-service dan op de router. Pas dan ben je volledig beschermd met inbegrip van alle toekomstige uitbreidingen van het desbetreffende thuisnetwerk.

Tegen social engineering kan zelfs de beste VPN geen bescherming bieden
Een VPN beschermt overigens nooit tegen vormen van social engineering. Daarbij moet je denken aan phishing- en malwarelinks op internet of sociale media. Met het klikken op een dergelijke link en/of de akkoord-knop van het besturingssysteem geef je namelijk impliciet toestemming om alle hieraan gekoppelde acties uit te voeren. De menselijke factor met betrekking tot de kwaadaardige overname van digitale apparatuur valt niet te onderschatten. Dit betekent tevens dat er altijd een up-to-date virus- en malwarescanner geïnstalleerd dient te worden op computers, laptops, tablets en smartphones.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.