Met een vpn-verbinding beschermt u uw online privacy, omzeilt u regionale toegangsbeperkingen en surft in sommige gevallen sneller. Er bestaan tientallen publieke vpn-diensten. Wij kozen er twee uit die opereren vanuit Roemenië, waar de omstreden dataretentiewetgeving van de EU tot tweemaal toe door het Hooggerechtshof naar de prullenmand werd verwezen.
Internetanonimiteit is niet automatisch gegarandeerd, zelfs niet met de sterkst beveiligde vpn-verbinding. Persoonlijke gegevens die u vrijwillig of onwetend deelt of bewaart, kunnen u ook via een al dan niet publieke vpn-verbinding uw online anonimiteit doen verliezen. Eventueel moet u een vpn dus nog aanvullen met een proxy, een anonieme browser en andere beveiligingsmaatregelen. Zónder vpn is het in elk geval moeilijk om echt anoniem te internetten. Dat is dus het eerste ‘wapen’ in uw privacy-arsenaal. Een vpn verbergt uw ware ip-adres, beschermt u gedeeltelijk tegen spioneersoftware en ‘fingerprinting’ door sociale netwerken zoals Facebook of Twitter, versleutelt uw internetverkeer zodat derden u niet kunnen bespioneren en omzeilt blokkeringen van bepaalde diensten of websites door overheden, bedrijven en/of internetaanbieders. Zelfs als u in geen van deze zaken geïnteresseerd bent, kan een vpn van pas komen wanneer u op zakenreis het wifi-netwerk van een hotel of een publieke locatie gebruikt of wanneer u bijvoorbeeld in China het geblokkeerde Facebook wilt raadplegen.
Er bestaan tientallen, indien niet honderden publieke vpn-aanbieders. Wij kozen er twee die vanuit Roemenië opereren en een goede score behaalden in privacy-onderzoeken van gespecialiseerde websites zoals Torrentfreak en Lifehacker. De Data Retention Directive van de EU uit 2006, die isp’s en telecombedrijven (maar strikt genomen geen internetdienstverleners zoals aanbieders van vpn-diensten) verplicht om telecommunicatiegegevens van burgers voor minimaal zes en maximaal 24 maanden bij te houden, is door het Roemeense Hooggerechtshof tot tweemaal toe ongrondwettelijk verklaard. Het recentste vonnis dateert van 8 juli 2014. Roemenië lijkt dus een van de weinig nog resterende internetvrijhavens te zijn. Voor zo lang het duurt…
CYBERGHOST VPN
CyberGhost VPN, dat naar eigen zeggen 3,5 miljoen actieve gebruikers heeft, belooft in de faq op zijn website expliciet dat het geen gegevens of logs van gebruikersactiviteiten bijhoudt of zelfs maar monitort. Het publiceert op zijn website ook een transparantierapport waarop het alle ontvangen vragen voor gebruikersgegevens van bedrijven en overheden publiceert. Op die vragen wordt niet geantwoord en de legaliteit ervan wordt evenmin onderzocht. CyberGhost VPN is verkrijgbaar in een gratis versie met beperkte snelheid, die de verbinding na drie uur automatisch afsluit (maar u mag die zoveel herstarten als u wil) en geen toegang geeft tot protocollen zoals OpenVPN, PPTP en L2TP/IPSec waarmee u uw volledige computer en niet alleen uw browsersessie anonimiseert. Wilt u dat allemaal wel in combinatie met vrijwel onbeperkte bandbreedte en duurtijd dan dient u een abonnement te nemen. U kunt daarvoor (twee)jaarlijks of maandelijks betalen. CyberGhost VPN werkt met behulp van clientsoftware die beschikbaar is voor Windows, Linux, Mac OS, iOS en Android.
BEVEILIGING
CyberGhost VPN weet zelf niet wie zijn gebruikers zijn omdat zijn betalingssysteem volledig losstaat van zijn inlogsysteem op de vpn-diensten. Als gebruiker koopt u een ‘package’ met een sleutel die toegang geeft tot de vele vpn-servers van CyberGhost VPN. Eens ingelogd in de vpn-client, wordt uw ip-nummer ingewisseld voor dat van de vpn-dienst. Vervolgens wordt alle communicatie ssl-versleuteld met een AES-256 publieke sleutel. Alle gelijktijdige gebruikers op een bepaalde CyberGhost vpn-server surfen met hetzelfde CyberGhost VPN ip-nummer. Hoe meer gebruikers een server telt, hoe groter de anonimiteit van de gebruikers. De clientsoftware toont daarom een ‘anonimiteitsscore’ voor elke server die gebaseerd is op het aantal actieve gebruikers. Gebruikers kunnen op die manier zelf een afweging maken tussen potentiële anonimiteit en mogelijke surfsnelheid, want hoe minder gebruikers een server telt hoe sneller de vpn-verbinding uiteraard functioneert.
CyberGhost VPN heeft meer dan driehonderd vpn-servers in 24 landen waarvan de inloggegevens beveiligd zijn met een rsa-sleutel die bewaard wordt op TrueCrypt-beveiligde usb-sticks (die uiteraard een andere inlog hebben dan de server). Slechts vier medewerkers van CyberGhost hebben toegang tot deze servers. In de datacenters waar de servers staan opgesteld, heeft niemand de inloggegevens. De bedrijven waarmee CyberGhost samenwerkt, leveren enkel de hardware. Het is zelfs zo dat als een server om een of andere reden uit bedrijf wordt gehaald – zelfs al is het maar tijdelijk – dat de machine dan eerst volledig veilig moet worden gewist. CyberGHost VPN heeft overigens geen enkele Belgische server.
CLIENTSOFTWARE
CyberGhost clientsoftware is een gebruiksvriendelijke schil die bovenop de OpenVPN virtuele netwerkadapter draait. Als de client al een OpenVPN-tap (virtuele netwerkbrug) heeft, zal de clientsoftware die indien nodig automatisch opwaarderen naar de recentste versie. De software is beschikbaar in verschillende talen, waaronder Engels, Duits en Frans, maar niet in het Nederlands. De nieuwe versie 5 van de clientsoftware heeft ingebouwde filters die de gebruiker beschermen tegen ‘fingerprinting’ via andere gegevens dan het ip-nummer, zoals taal- en landinstellingen van de gebruikte browser of sociale plugins zoals de Facebook ‘like’-knop op websites. Als u echt wantrouwig bent, kunt u deze filters zelfs inschakelen op geëncrypteerd https-webverkeer. In dat geval moet de client wel eerst een ‘root’ certificaat op de pc installeren, maar dit gebeurt volautomatisch. Weet overigens dat u vervolgens Facebook niet meer kunt gebruiken: de site beweert dan immers onterecht dat u met een ‘incompatibele’ browser surft. Een andere filter zorgt ervoor dat uw anonimiteit niet wordt gecompromitteerd als de vpn-verbinding korte tijd uitvalt. Voortaan worden ook uitsluitend de dns-servers van CyberGhost gebruikt, welke ook de configuratie van uw internetverbinding is. De nieuwe versie ondersteunt verder allerlei proxyservers waarmee men eenvoudig blokkeringen van CyberGhost door internetproviders, bedrijven of zelfs landen kan omzeilen.
Nadat u de clientsoftware geïnstalleerd hebt, moet u uw account aanmaken op de CyberGhost VPN-website. U hoeft initieel niets in te vullen. Uw gebruikersnaam en sterk wachtwoord worden na één klik automatisch toegewezen. Er wordt u ook een puk of ‘personal unlock key’ toegewezen die u kunt gebruiken als u uw inloggegevens verliest. Het is de bedoeling dat u deze gegevens print en op een veilige plaats bewaart. Het wachtwoord kunt u desgewenst achteraf zelf wijzigen. U kunt nu de gratis versie gebruiken. Als u betaalt, krijgt u meer mogelijkheden. Betaalgegevens worden overigens niet aan uw account gekoppeld. CyberGhost creëert manueel een anonieme abonnementssleutel die de geavanceerde opties van de client activeert. Het kan enkele uren duren voor u die sleutel na betaling ontvangt; bij ons was het binnen het uur in orde. Afhankelijk van het abonnement kunt u dezelfde accountgegevens en sleutel op maximaal vijf verschillende apparaten tegelijkertijd gebruiken. Gratis gebruikers kunnen ze slechts op één apparaat tegelijkertijd gebruiken.
PRAKTIJK
Ik testte CyverGhost VPN zowel onder Windows 8.1 als onder Windows 7 met verschillende browsers (IE, Firefox, Chrome). De client kiest automatisch een geschikte vpn-server, maar u kunt dit desgewenst zelf wijzigen. Met de automatische instellingen duurt het gemiddeld 15 à 40 seconden om een vpn-verbinding tot stand te brengen. Bij een succesvolle verbinding kleurt het grijze CyberGhost VPN-pictogram op de taakbalk geel. De gratis versie heeft een theoretische snelheidsbeperking van 1 Mbit/s, maar is in de praktijk nog heel wat trager. De gratis versie is daarom slechts bruikbaar voor beperkt surfen, e-mailen en chatten, maar niet snel genoeg voor multimedia-activiteiten zoals internettelefonie, het bekijken van filmpjes of het downloaden van grote hoeveelheden gegevens. De Premium (Plus) versie heeft onbeperkte bandbreedte. In de praktijk haalde ik op mijn Dommel vdsl2+-lijn met de automatische instellingen (Amerikaanse server) een gemiddelde downloadsnelheid van 6 à 26 Mbit/s en een uploadsnelheid van 2,7 à 4,7 Mbit/s, met een ‘latency’ van 200 à 700 ms. Zonder vpn was dit op dezelfde (Amerikaanse) Ookla Speedtest-server gemiddeld 28 Mbit/s ‘down’ en 4,7 Mbit/s ‘up’, met een netwerkvertraging van ca. 40 ms. De snelheid hangt natuurlijk sterk af van de gebruikte vpn-server, maar dit zijn toch behoorlijk goede cijfers voor een vpn. Door manueel een Nederlandse vpn-server te kiezen, kon ik zowel de snelheid als de netwerkvertraging flink verbeteren, met nauwelijks nog verschil met en zonder vpn. De verbinding was bijvoorbeeld snel genoeg om zonder haperingen YouTube-films in 1080p resolutie te streamen. Met behulp van WireShark kon ik vaststellen dat al mijn netwerkverkeer geëncrypteerd was. En dnsleaktest.com vertelde me dat mijn privacy niet bedreigd werd door een zogenaamd dns-lek.
PRODUCTINFORMATIE
PRODUCT: CyberGhost VPN 5
PRODUCENT: www.cyberghostvpn.com
PRIJS: gratis versie beschikbaar; speciale editie tijdelijk voor €14,99 per jaar met servers in de VS, Duitsland, Roemenië, Tsjechische Republiek en Nederland. Premium met 309 servers: €29,99/jaar of €4,99/maand. Premium Plus (geldig voor vijf apparaten): €49,99/jaar of €7,99/maand. Rechtsgeldige Europese btw-factuur verkrijgbaar.
SYSTEEMVEREISTEN: Clients voor Windows, Linux, Mac OS, iOS, Android.
VPN. AC
Vpn.ac (geschreven met kleine letters) is een product van het Roemeense it-dienstenbedrijf Netsec Interactive Solutions. Ook hier krijgt u de expliciete belofte dat er geen gegevens worden bijgehouden en dus in elk geval ook nooit kunnen worden vrijgegeven. Vpn.ac heeft geen gratis accounts omdat die volgens deze aanbieder een beveiligingsrisico inhouden. U kunt deze vpn-dienst wel een week lang uitproberen voor maar $2. Net zoals bij CyberGhost worden accounts manueel geactiveerd om fraude tegen te gaan. Afhankelijk van het tijdstip kan dit tot twaalf uur duren, maar bij ons was het binnen de drie uur in orde. Betalingen gebeuren bij voorkeur via PayPal, Bitcoin of CashU, maar betalingen via kredietkaarten en andere methoden zijn ook mogelijk zo de gebruiker dit wenst. U bepaalt dus zelf hoe anoniem u uw betaling wilt verrichten. Alle betalingen gebeuren in Amerikaanse dollar; een rechtsgeldige Europese btw-factuur is hier in tegenstelling tot bij CyberGhost VPN niet verkrijgbaar.
U kunt zelf een OpenVPN-, PPTP- of L2TP/IPSec-configuratie regelen op maximaal drie verschillende gelijktijdige clients. Vpn.ac heeft ook eigen Windows- en Mac OS X-clientsoftware. De dienst heeft een uitgebreide faq met een brede waaier aan configuratie-tutorials en -tips voor alle denkbare platformen, met inbegrip van Android, iOS, Linux en OpenVPN-routers zoals dd-wrt en tomato-usb. Vpn.ac gebruikt standaard de Blowfish CBC 128-bit versleuteling voor zijn OpenVPN-verbindingen, maar AES 256-bit encryptie met elk uur wijzigende 4096-bit RSA-sleutels is als optie beschikbaar voor wie echt paranoïde is.
BEVEILIGING
Het betalingssysteem is minder anoniem dan bij CyberGhost VPN (tenzij u Bitcoin gebruikt), maar zoals gezegd belooft vpn.ac dat het geen persoonlijke gegevens of logs bijhoudt en is dit dus veeleer een theoretisch risico. Wel moet worden opgemerkt dat vpn.ac op een aparte, geëncrypteerde server dagelijkse verbindingslogs bijhoudt met het ip-nummer van de gebruiker, start en einde van de verbinding en hoeveelheid getransfereerde gegevens. Deze logs worden elke dag gewist. Ze dienen volgens het bedrijf voornamelijk voor probleemoplossing en om aanvallen tegen zijn eigen netwerk te kunnen identificeren. Ook houdt vpn.ac dagelijks gebruiksstatistieken bij om te vermijden dat sommige gebruikers misbruik maken van de verbinding. U kunt uw eigen statistieken trouwens online opvragen.
De volledige infrastructuur is zowel intern als extern beveiligd met sterke tweefactor-authenticatie en encryptie. Vpn.ac gebruikt een eigen dns die 128-bit geëncrypteerd is om dns-lekken te vermijden. Vpn.ac injecteert ook een soort ruis in zijn dns-resolvers om eventuele afluisteraars geen kans te geven. De vpn-certificaten worden uitsluitend in ram bewaard. Slechts twee medewerkers hebben root/admin-toegang tot de infrastructuur. Vpn.ac heeft als een van de weinige vpn-aanbieders ook een ISO/IEC 27001 beveiligingscertificatie, naast een ISO 9001 kwaliteitslabel. De dienst levert 32 vpn-servers in twaalf landen (geen in België). Gebruikers krijgen een gedeeld ip-nummer toegewezen. Ook hier geldt dat er ‘safety in numbers’ is; via een statuspagina kunt u zelf controleren hoe druk bezet een bepaalde vpn-server is. Het aantal actieve gebruikers wordt echter helaas niet getoond.
CLIENTSOFTWARE
De vpn.ac 2.0 client wordt verspreid als een zip-download en hoeft niet te worden geïnstalleerd. Als er geen OpenVPN-tap op uw systeem aanwezig is, krijgt u een waarschuwing, maar u moet die wel zelf installeren (wordt meegeleverd in de zip). U kunt de client direct (als administrator) uitvoeren vanuit de folder. U vult uw gebruikersnaam en wachtwoord in, kiest een locatie, een protocol, het encryptieniveau indien van toepassing en eventueel een poort en klikt op Connect. Na ongeveer vijftien à dertig seconden bent u verbonden met het vpn-netwerk. De vpn.ac client is lichter, maar minder gebruiksvriendelijk dan die van CyberGhost VPN. Vpn.ac geeft de gebruiker wel meer inspraak in het type verbinding, wat voor ervaren gebruikers een voordeel is. Een punt van kritiek is toch dat het voor onervaren gebruikers niet altijd duidelijk is wanneer de vpn-verbinding gelukt is. De ‘Connect’-knop in het client-venster wijzigt soms gewoon in ‘Disconnect’ terwijl er geen geldige vpn-tunnel is gevormd. Dit laatste kunt u alleen vaststellen door naar het ip-nummer te kijken of door zelf de foutmeldingen te bestuderen die verborgen gaan achter het ‘View log’-menu in het client-venster. In het client-venster zou volgens ons een duidelijke waarschuwing moeten verschijnen wanneer de verbinding niet beveilig is.
PRAKTIJK
Ik testte vpn.ac zowel onder Windows 8.1 als onder Windows 7 met verschillende browsers (IE, Firefox, Chrome). Ik haalde op een van de drie Nederlandse vpn-servers vlot een gemiddelde snelheid van 26 Mbit/s, dus dicht tegen het maximum van onze testverbinding aan (28 Mbit/s). Ook de downloadsnelheid zat met gemiddeld 4,48 Mbit/s dicht tegen het maximum van 4,7 Mbit/s aan. De netwerkvertraging bedroeg gemiddeld 30 ms. Dat is dus beter dan bij CyberGhost VPN. YouTube-filmpjes in hd afspelen zonder haperingen was geen probleem. WireShark toonde aan dat alle netwerkverkeer geëncrypteerd was en dnsleaktest.com gaf groen licht in verband met een zogenaamd dns-lek.
PRODUCTINFORMATIE
PRODUCT: vpn.ac
PRODUCENT: Netsec Interactive Solutions, http://nsis.ro, https://vpn.ac
PRIJS: 1 week: $2; 1 maand: $9; 3 maanden: $24; 6 maanden: $36; 1 jaar: $58.
SYSTEEMVEREISTEN: L2TP, PPTP- of OpenVPN-compatibel besturingssysteem of router. Installatieloze client-software voor Windows XP of hoger en Mac OS X.
CONCLUSIE
Vpn.ac is minder gebruiksvriendelijk en heeft heel wat minder uitgaande vpn-servers dan CyberGhost VPN, maar lijkt gemiddeld iets sneller, zeker wat betreft de netwerkvertraging of ‘latency’. Niettemin kunnen we beide vpn-aanbieders aanbevelen. Onervaren gebruikers kiezen wellicht best voor CyberGhost VPN, terwijl ervaren gebruikers hun voordeel doen met de hogere configureerbaarheid van vpn.ac. Wenst u echter te betalen in euro en geldige btw-facturen te ontvangen dan is CyberGhost uw enige keuze.
Jozef Schildermans
Fout opgemerkt of meer nieuws? Meld het hier