Por Marcelo Tavares de Santana [1]
Nos últimos meses, serviços de VPN têm sidos associados à ideia de maior segurança, onde inclusive vi usarem o termo “impenetrável”, mas esses serviços têm diferenças: a ideia original da tecnologia que precisa ser apresentada e entendida na hora da escolha por um deles.
Virtual Private Network (Rede Privada Virtual) é uma tecnologia que surgiu com a ideia de economizar infraestrutura com comunicação segura entre localidades distantes de uma mesma entidade, e sua aplicação depende do grau de segurança necessário para essa comunicação. Antes da tecnologia VPN, algumas empresas precisavam pagar por Linhas Privadas (LP), que são conexões dedicadas e custosas entre edificações das mesmas empresa, ou seja, pagava-se um mês inteiro de conexão LP mesmo que fosse usada apenas em dias úteis por oito horas. Com o avanço da criptografia, foram também desenvolvidos programas que faziam comunicação criptografada ponta a ponta usando meios públicos e de custos compartilhados, como a Internet. Na Figura 1 [2] vemos um exemplo de como a comunicação VPN funciona para usuário finais, onde estes se conectam via Internet ao serviço VPN através de uma comunicação criptografada que chamamos de túneis VPN, e o serviço encaminha a comunicação dos usuários para qualquer outro local, seja um site ou outro serviço. Em outras palavras, é como se acrescentássemos mais uma escala na viagem dos dados ao invés de fazer uma comunicação direta.
O sentido de se fazer isso é que, na comunicação direta, o site ou serviço que visitamos pode registrar o número de IP que usamos na comunicação e assim identificar nosso equipamento e local, e via VPN ele registraria o IP e local do serviço de VPN. Isso é útil se desejamos ter algum grau de anonimato em consultas de Serviços de Informação ao Cidadão de informações governamentais sem que o Estado identifique com facilidade quem fez o pedido de dados. O serviço de VPN também pode ter uma infraestrutura de proteção contra alguns tipos de invasões, melhor e mais atualizado que a da nossa casa, pelo menos é o esperado de uma empresa com profissionais habilitados, e disso vem a ideia de que a VPN é mais segura.
No entanto, se visitarmos um site com conexão segura (quando vemos ícones de cadeado no endereço de Internet) e tiver um vírus que possamos baixar, iremos baixar esse malware normalmente, pois o serviço de VPN não verifica o conteúdo da comunicação dos usuários devido à criptografia da conexão segura; portanto, nossas comunicações criptografadas são preservadas dentro do túnel VPN. Além disso, o serviço de VPN pode registrar todos os IPs da nossa comunicação de cada visita que fazemos na Internet. Eventualmente um Governo, via Justiça, pode pedir esse registro para saber quem fez determinado pedido de informação, o que é indesejável para a segurança de cidadãos em casos de investigação de corrupção, mas um criminoso provavelmente não conseguirá pedir essa informação ao serviço de VPN.
Então para que serve a tecnologia VPN se vamos baixar vírus de qualquer jeito e podemos ser expostos? Ela vai evitar boa parte das tentativas de invasão, pois é o serviço de VPN que precisará lidar com isso na maioria das vezes, e se usarmos uma VPN de outro país vai dificultar mais ainda que seja solicitada sua identificação pelo governo local. Porém se combinarmos um serviço de VPN em outro país com o Navegador Tor [3] e mais um cuidado de não usarmos qualquer identificação pessoal (não adianta usar essas tecnologias e passar o próprio e-mail), teremos um ótimo meio de comunicação para pedir dados de governos e até mandar denúncias para autoridades ou imprensa. Se pudermos fazer a denúncia num serviço como o SecureDrop [4], que permite a entrega de documentos de forma anônima, elevamos mais ainda a segurança; sugiro que vejam a lista de SecureDrops.
Fazer esse tipo de arranjo, usar o serviço Tor dentro de um serviço VPN, vai promover uma demora na comunicação mas, em determinadas situações, como as de fazer denúncias, vai acrescentar segurança extra ao denunciante. Para observar melhor como um serviço de VPN funciona, entre num serviço de geolocalização por IP para que ele identifique de onde está usando a Internet [5]. Depois entre numa VPN em outro país de tua escolha e use novamente o serviço de geolocalização, notará que esse serviço mostrará a localização como estando em outro país. Por último, use o serviço de geolocalização no Navegador Tor e notará que será um país diferente que o da VPN.
A escolha de uma VPN é uma questão um tanto pessoal, e deverá ser pesquisada no momento em que for considerada necessária. Antes dessa escolha, é importante conhecer melhor o assunto para não ter expectativas sobre o quê essa tecnologia não nos proporciona.
Para se aprimorar no assunto, segue sugestão de ações e estudos sobre o assunto para as próximas semanas:
- Semana 1: pesquise e leia sobre o tema, sugiro ler https://riseup.net/pt/vpn/security-issues;
- Semana 2: escolha um serviço de VPN e use por alguns dias;
- Semana 3: faça o teste de geolocalização com a VPN, e VPN mais Tor;
- Semana 4: visite mais sites, com e sem VPN, e tente notar se houve diferença nas páginas iniciais dos mesmos.
Feliz Ano Novo! Com mais segurança para todos.
Notas
[1] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo.
[2] Adaptado de https://commons.wikimedia.org/wiki/File:Site-to-site_VPN-en.svg
[3] https://www.torproject.org/pt-BR/
[5] Por exemplo, no endereço https://iplookup.flagfox.net/