Holenderskie organy ścigania przejęły niedawno serwer VPN Windscribe, co spowodowało szybką reakcję firmy. Chociaż okoliczności pozostają niejasne – władze nie przedstawiły nakazu ani konkretnego powodu zajęcia – Windscribe utrzymuje, że prywatność użytkowników pozostała nienaruszona. Incydent uwydatnia wewnętrzne napięcia między dostawcami VPN, organami ścigania i zmieniającym się krajobrazem prywatności cyfrowej.
Infrastruktura tylko w pamięci RAM: wbudowana ochrona
Windscribe działa na infrastrukturze serwerowej opartej wyłącznie na pamięci o dostępie swobodnym (RAM). Oznacza to, że wszystkie dane przechowywane na serwerze są niestabilne i są automatycznie usuwane po wyłączeniu zasilania lub ponownym uruchomieniu serwera. W tym przypadku władze holenderskie wyłączyły serwer, skutecznie uniemożliwiając odzyskanie danych użytkownika. Jak wyjaśnił dyrektor generalny Jegor Sak, „jedyne, co władze znajdą, to standardowa instalacja Ubuntu”.
Takie podejście stanowi celową obronę przed wymuszoną ekstrakcją danych. W przeciwieństwie do tradycyjnych serwerów przechowujących informacje na dyskach twardych, systemy oparte wyłącznie na pamięci RAM nie pozostawiają trwałych zapisów aktywności użytkownika. Dzięki temu są odporne na analizę kryminalistyczną, nawet przy użyciu zaawansowanych zrzutów pamięci.
Polityka braku logów: podstawowa zasada
Polityka prywatności Windscribe wzmacnia tę obronę, stwierdzając, że firma nie prowadzi dzienników źródłowych adresów IP użytkowników, historii sesji VPN ani danych przeglądania. Bez tych zapisów władze nie będą miały nic do przejęcia z serwera.
Jednak weryfikacja twierdzeń o braku logów jest niezwykle trudna. Audyty zewnętrzne, takie jak regularne audyty Windscribe od 2021 r. (w tym audyt opublikowany latem 2024 r. w serwisie FreshScribe), zapewniają pewien poziom pewności. Kontrole te nie są jednak wolne od błędów.
Prawdziwe testy: spory prawne i weryfikacja koncepcji
Najbardziej przekonujące dowody na politykę braku logów firmy Windscribe pochodzą z rzeczywistych problemów prawnych. W 2023 r. władze greckie oskarżyły Sakę o „nielegalny dostęp do systemów informatycznych” po tym, jak użytkownik niewłaściwie wykorzystał VPN do wysyłania spamu. Windscribe skutecznie się obronił, wykazując, że nie ma danych do przesłania.
Jak stwierdził Sack: „Nie możesz oddać tego, czego nie masz”. Ten incydent uwydatnia skuteczność prawdziwego podejścia polegającego na braku logów. Według doniesień organy ścigania co miesiąc przesyłają liczne wnioski o udostępnienie danych, a Windscribe każdemu z nich zaprzecza. W tym ostatnim przypadku władze holenderskie ominęły proces żądania, bezpośrednio przejmując serwer.
„Jedynym sposobem na zdobycie logów jest samodzielne przejęcie serwera” – powiedział Windscribe w X.
Podkreśla rosnącą tendencję organów ścigania do podejmowania działań bezpośrednich w przypadku niepowodzenia standardowych żądań.
Wniosek: Zajęcie serwera Windscribe dowodzi, że można podjąć agresywne środki w celu wymuszenia dostępu do danych użytkownika. Fakt, że władze nie znalazły niczego przydatnego, potwierdza, że infrastruktura oparta wyłącznie na pamięci RAM i rygorystyczna polityka braku logów mogą w praktyce skutecznie chronić prywatność użytkowników. Incydent rodzi pytania o granice nadzoru, rolę sieci VPN w wolności cyfrowej oraz skrajności, do których posuną się rządy, aby obejść ochronę prywatności.
