Lockey.pl
Czy policja widzi VPN? Jak działają służby ratunkowe cyfrowego świata i gdzie kończy się anonimowość
Wróć do bloga

Czy policja widzi VPN? Jak działają służby ratunkowe cyfrowego świata i gdzie kończy się anonimowość

13 min czytania

Wokół sieci VPN narosło wiele mitów. Z jednej strony producenci oprogramowania kuszą nas hasłami o „całkowitej niewidzialności”, „wojskowym szyfrowaniu” i „stuprocentowej anonimowości”. Z drugiej strony w mediach regularnie pojawiają się nagłówki o zatrzymaniach cyberprzestępców, którzy przecież z takich narzędzi korzystali.

Rodzi to naturalne i niezwykle ważne pytanie: Czy policja widzi, że korzystasz z VPN? A jeśli tak, to co dokładnie może sprawdzić?

Odpowiedź na to pytanie nie jest czarno-biała. W tym artykule brutalnie rozprawimy się z mitami marketingu i przyjrzymy się faktom z perspektywy informatyki śledczej oraz procedur prawnych. Dowiesz się, co widzą służby w czasie rzeczywistym, jak wygląda proces śledczy w internecie i dlaczego technologia to tylko połowa sukcesu w walce o prywatność.

Co widzi policja (i Twój dostawca internetu) w czasie rzeczywistym?

Zacznijmy od podstawowej kwestii technicznej: co dzieje się w sieci, gdy policja postanowi monitorować Twoje łącze internetowe za zgodą sądu?

Kiedy uruchamiasz VPN, Twoje połączenie zostaje zaszyfrowane. Służby mundurowe, Twój dostawca internetu (ISP) czy hakerzy patrzący na Twój ruch sieciowy nie widzą losowych stron, które przeglądasz. Nie wiedzą, czy czytasz artykuły, oglądasz YouTube, czy logujesz się na forum. Treść Twojego ruchu jest dla nich niewidoczna.

Jednak policja i dostawca internetu widzą coś innego, niezwykle istotnego:

  • Widzą, że używasz VPN: Ruch generowany przez protokoły VPN (takie jak OpenVPN, WireGuard czy IKEv2) ma specyficzną strukturę i porty. Służby dokładnie wiedzą, że w danym momencie z Twojego domowego routera wychodzi zaszyfrowany strumień danych.
  • Widzą adres IP serwera VPN: Policja wie, z jakim serwerem się łączysz. Jeśli łączysz się z serwerem NordVPN w Warszawie lub Surfshark we Frankfurcie, adres tego serwera jest dla nich jawny.
  • Widzą dokładny czas i ilość danych: Służby znają dokładną godzinę i sekundę nawiązania połączenia oraz wiedzą, ile megabajtów danych przesłałeś.
Wniosek numer jeden: Policja bez trudu ustali, że Jan Kowalski korzysta z sieci VPN. Nie dowie się jednak bezpośrednio z kabla, co Jan Kowalski w tej sieci robi.

Procedura śledcza: Jak policja tropi kogoś, kto ukrywa się za VPN?

Skoro policja nie widzi treści ruchu, to w jaki sposób dochodzi do zatrzymań osób łamiących prawo pod osłoną VPN? Służby rzadko kiedy próbują łamać szyfry (zabezpieczenia AES-256 są obecnie niemożliwe do złamania metodą siłową). Zamiast tego policja korzysta z klasycznej inżynierii śledczej i procedur prawnych.

Standardowy proces wykrywania sprawcy przestępstwa internetowego korzystającego z VPN wygląda następująco:

Krok 1: Identyfikacja punktu końcowego

Wyobraźmy sobie, że złośliwy użytkownik wrzuca nielegalne treści na forum internetowe lub dokonuje oszustwa na portalu aukcyjnym. Administrator portalu rejestruje to zdarzenie i zabezpiecza adres IP, z którego dokonano wpisu. Ponieważ sprawca użył VPN, w logach portalu zapisuje się adres IP należący do firmy VPN (np. serwer w Holandii).

Krok 2: Kontakt z operatorem portalu i dostawcą VPN

Policja zabezpiecza logi z portalu aukcyjnego, widzi holenderskie IP i natychmiast sprawdza, do kogo ono należy. Baza danych WHOIS ujawnia, że właścicielem adresu jest znany dostawca usług VPN. W tym momencie policja wysyła oficjalne pismo (nakaz prokuratorski lub międzynarodowy wniosek o pomoc prawną – tzw. Subpoena) do firmy VPN z żądaniem: „Podajcie nam dane użytkownika, który dnia X o godzinie Y korzystał z waszego serwera o IP Z”.

Krok 3: Test polityki braku logów (No-Logs Policy)

I w tym momencie dochodzi do kluczowego momentu całej układanki. Co zrobi dostawca VPN? Wszystko zależy od tego, jakiego dostawcę wybrał użytkownik.

  • Scenariusz A (Zły VPN): Jeśli użytkownik skorzystał z taniego, niesprawdzonego lub darmowego VPN-a, firma ta bardzo często rejestruje ruch na swoich serwerach. Aby uniknąć kłopotów prawnych i zajęcia serwerów, firma przekazuje policji logi: „Tak, z tym adresem IP w tej sekundzie był połączony użytkownik Jan Kowalski z Polski, posługujący się adresem IP 83.X.X.X”. Policja puka do drzwi Jana Kowalskiego.
  • Scenariusz B (Dobry VPN): Jeśli użytkownik wybrał renomowanego dostawcę z prawdziwą polityką no-logs (np. Proton VPN, NordVPN), firma odpowiada służbom: „Chętnie byśmy pomogli, ale nasza infrastruktura techniczna nie zapisuje, nie gromadzi i nie przechowuje żadnych danych o tym, kto i kiedy korzysta z naszych serwerów. Nie mamy fizycznej możliwości powiązania tego zapytania z konkretną osobą”. Śledztwo na tej ścieżce utyka w martwym punkcie.

Serwery RAM-only, czyli dlaczego policja nie ma czego zabezpieczyć

Co się stanie, jeśli policja straci cierpliwość i fizycznie wejdzie do serwerowni, z której korzysta dostawca VPN, konfiskując dyski twarde? Taka sytuacja miała już miejsce w historii (np. w 2017 roku tureckie służby zajęły serwery ExpressVPN w ramach głośnego śledztwa).

Wynik tej konfiskaty zaskoczył śledczych: na dyskach nie znaleziono absolutnie nic. Dlaczego? Najlepsi dostawcy VPN korzystają z tzw. serwerów RAM-only (serwerów bezdyskowych).

W klasycznym komputerze dane systemowe i logi zapisywane są na dyskach SSD lub HDD, gdzie zostają nawet po wyłączeniu zasilania. W serwerach RAM-only cały system operacyjny oraz wszystkie napływające pakiety danych przetwarzane są wyłącznie w pamięci operacyjnej RAM.

Pamięć RAM jest pamięcią nietrwałą. W momencie, gdy technik policyjny odłącza serwer od prądu, aby włożyć go do torby dowodowej i przewieźć do laboratorium, wszystkie dane znajdujące się na serwerze bezpowrotnie znikają w ułamku sekundy. Służby otrzymują pustą metalową skrzynkę, z której nie da się wyciągnąć żadnych informacji o historii połączeń użytkowników.

Kiedy nawet najlepszy VPN nie pomoże? Analiza korelacji czasowej

Czy posiadanie dobrego VPN z serwerami RAM-only i jurysdykcją poza zasięgiem lokalnych służb daje gwarancję bezkarności? Absolutnie nie. Istnieje zaawansowana metoda śledcza, przed którą żaden VPN nie jest w stanie w 100% obronić użytkownika: analiza korelacji czasowej (Timing Attacks).

Metoda ta jest stosowana w sprawach najwyższej wagi (np. terroryzm, zorganizowana przestępczość, wielomilionowe oszustwa). Polega ona na zestawieniu logów z dwóch różnych miejsc:

  1. Logów dostawcy internetu (który wie, kiedy dokładnie włączasz i wyłączasz VPN oraz ile danych wysyłasz).
  2. Logów serwera docelowego (który rejestruje sekunda po sekundzie aktywność przestępczą).

Jeśli podejrzany obiekt wysyła groźby karalne na portalu dokładnie o godzinie 14:05:21, 14:12:02 i 14:30:00, a w tym samym czasie na łączu domowym podejrzanego pakiety danych o identycznej wielkości opuszczały router i trafiały na serwer VPN, statystyczne prawdopodobieństwo, że to ta sama osoba, graniczy z pewnością. Dla sądu taka zbieżność czasowa (powtórzona wielokrotnie) może stanowić mocny dowód poszlakowy, pozwalający na wydanie nakazu przeszukania mieszkania.

Błędy użytkownika (OpSec), czyli jak przestępcy wpadają pomimo VPN

Większość wpadek osób, które myślały, że są bezpieczne za zasłoną VPN, nie wynika z niedoskonałości technologii, ale z popełnienia elementarnych błędów w sztuce ochrony własnej tożsamości (tzw. błędy OpSec – Operational Security).

Policja rzadko musi walczyć z algorytmami szyfrującymi, ponieważ użytkownicy sami podają się na tacy:

1. Logowanie do prywatnych kont

Uruchomienie VPN i jednoczesne zalogowanie się na swoje prawdziwe konto Google, Facebook, Allegro czy bankowe to najczęstszy grzech. Jeśli z tego samego profilu przeglądarki (gdzie zapisane są Twoje ciasteczka i dane profilowe) dokonasz nielegalnego czynu, fakt posiadania innego IP nic nie zmieni. Twoja tożsamość jest już znana systemom monitorującym.

2. Metoda płatności za usługę VPN

Chcesz być anonimowy przed policją, ale za subskrypcję VPN zapłaciłeś swoją osobistą kartą kredytową w banku PKO BP, podając przy rejestracji imię, nazwisko i adres zamieszkania? W przypadku poważnego śledztwa międzynarodowego prokuratura może prześledzić drogę pieniędzy. Choć sam dostawca VPN nie ma logów Twojej aktywności, to wie dokładnie, kto jest właścicielem konta, które opłaciło dany profil. Do zachowania pełnej prywatności konieczne jest opłacanie usług za pomocą kryptowalut nastawionych na prywatność (np. Monero) lub gotówki (niektóre firmy, jak Mullvad, pozwalają na wysłanie gotówki w kopercie bez podawania jakichkolwiek danych).

3. Ślady na urządzeniu końcowym (Endpoint Compromise)

Policja nie musi przechwytywać danych w drodze. Coraz częstszą praktyką służb jest przejmowanie kontroli nad urządzeniem podejrzanego. Jeśli na Twoim komputerze lub telefonie znajdzie się oprogramowanie szpiegowskie (konie trojańskie, keyloggery), zainstalowane np. poprzez otwarcie zainfekowanego załącznika w mailu, policja widzi Twój ekran w czasie rzeczywistym. Widzi, co wpisujesz na klawiaturze, zanim dane te zostaną zaszyfrowane i wysłane do tunelu VPN.

Cecha

Co chroni VPN?

Przed czym VPN NIE chroni?

Ruch sieciowy

Szyfruje treść wiadomości, odwiedzane strony, pobierane pliki.

Nie chroni przed wirusami i złośliwym oprogramowaniem pobranym na dysk.

Tożsamość IP

Maskuje Twoje domowe IP i podmienia je na IP serwera.

Nie maskuje działań, jeśli dobrowolnie zalogujesz się na imienne konto.

Lokalizacja

Fałszuje pozycję GPS/IP dla witryn internetowych.

Nie oszuka służb, jeśli w telefonie włączona jest lokalizacja stacji bazowych (BTS).

Międzynarodowa współpraca służb a jurysdykcja VPN

Warto również poruszyć temat globalnej sieci wywiadowczej. Policja w Polsce (lub w jakimkolwiek innym kraju) działa w granicach swojego prawa. Jeśli sprawa dotyczy drobnego wykroczenia (np. pobrania filmu z torrentów), polskie służby nie będą uruchamiać międzynarodowych procedur Interpolu, by prosić firmę w Panamie o wydanie danych. Koszt i czas operacji przewyższają wagę czynu.

Sytuacja drastycznie się zmienia przy przestępstwach ciężkich. Państwa zrzeszone w sojuszach wywiadowczych (jak 5 Eyes czy 14 Eyes) ściśle współpracują ze sobą. Jeśli firma VPN ma swoją siedzibę w USA, Wielkiej Brytanii czy Niemczech, tamtejsze sądy mogą wydać tzw. gag order (nakaz milczenia). Służby zmuszają wtedy dostawcę VPN do potajemnego monitorowania jednego, konkretnego użytkownika i przekazywania danych policji, zabraniając jednocześnie firmie informowania klienta o tym fakcie.

Dlatego kluczowa zasada bezpieczeństwa brzmi: wybieraj dostawców zlokalizowanych w krajach, które nie mają umów ekstradycyjnych w sprawach cyfrowych z Unią Europejską czy USA i które słyną z restrykcyjnego podejścia do ochrony prywatności (np. Szwajcaria, Islandia, Panama).

Podsumowanie: Czy ostatecznie policja jest bezsilna wobec VPN?

Podsumowując zgromadzoną wiedzę techniczną i operacyjną: policja nie ma możliwości bezpośredniego podglądania tego, co robisz w sieci przez sprawnie działający, profesjonalny VPN. Bezpieczny, zaszyfrowany tunel realizuje swoje zadanie bez zarzutu.

Jednak policja jako instytucja śledcza rzadko opiera się na samej technologii. Służby wykorzystują błędy w zachowaniu użytkowników, brak ostrożności, analizę korelacji czasowych oraz naciski prawne na dostawców usług internetowych i operatorów VPN.

VPN to potężna tarcza, która chroni Cię przed masową inwigilacją, profilowaniem reklamowym oraz cyberprzestępcami w publicznych sieciach. Nie jest to jednak narzędzie gwarantujące bezkarność w przypadku łamania prawa, ponieważ w cyfrowym świecie najsłabszym ogniwem zabezpieczeń niemal zawsze pozostaje człowiek i jego cyfrowe ślady.

Czy policja widzi VPN? Jak działają służby ratunkowe cyfrowego świata i gdzie kończy się anonimowość | Lockey.pl