BR-Linux.org

VPN é bom e útil, mas os provedores que vendem esse serviço são um assunto mais complicado, e as notícias do final de semana voltaram a colocar em evidência esse conselho de 2015 (mas atualizado várias vezes desde então): Não use serviços de VPN.

Ou, como eu resumi minha opinião quando soube da novidade: “a ideia de confiar meu tráfego a uma empresa que vende VPNs sempre me pareceu o oposto de privacidade e de segurança”.

Isso porque os incentivos e custos relacionados a prover esse tipo de serviço não se alinham às expectativas de quem os adquire, e é muito difícil auditar com qualidade se ela faz o que anuncia, sem exceções e ao longo do tempo.

Assim, a probabilidade de o provedor de VPN acabar virando justamente o ponto fraco na corrente da segurança e da privacidade precisa sempre ser considerada nos planos, e ela aumenta justamente porque cada provedor que oferece esses serviços tem acesso no atacado ao tráfego de tantas pessoas que valorizam a ideia de evitar sua exposição – e assim vira um alvo maior e mais lucrativo.

O valor cobrado por esses serviços não fará nenhum CEO optar por cumprir pena ou enfrentar uma batalha jurídica custosa ou arriscada.

Ou seja: os incentivos do mercado direcionam as mais variadas forças a transformarem esse tipo de provedor em honeypot, voluntariamente ou não, intencionalmente ou não, conscientemente ou não. O valor cobrado por esses serviços não fará nenhum CEO optar por cumprir pena ou enfrentar uma batalha jurídica custosa ou arriscada.

Além disso, é a representação prática de um ditado, quando toda uma comunidade de pessoas que de outra forma teriam tráfegos dispersos resolvem colocar todos os seus ovos em uma mesma cesta.

Eu estou dizendo que VPN é ruim? Não estou, e desde a primeira frase deste post eu deixei claro que VPN é bom e útil. O problema apontado são os serviços de VPN, oferecidos por provedores cujo produto são as VPNs. A questão está detalhada na referência, então não vou repetir tudo, mas mesmo assim vou sublinhar: a VPN atualizada e bem configurada que você usa ou mantém, em sua própria infraestrutura, ou em um serviço contratado de alguém cujo negócio não é especificamente vender VPNs, não estão incluídos na crítica apresentada (e têm seus próprios desafios também).

E se você está por fora das novidades do final de semana, aqui está um resumo, que merece atenção especialmente para quem usa VPN em razão de precauções de natureza política ou ideológica, ou valoriza saber para onde vai o dinheiro que gasta com esse tipo de serviço: uma controvérsia longa e ainda em andamento surgiu quando foi divulgado e confirmado que um dos co-fundadores de um provedor de VPN sueco, bastante popular e até então renomado, fez a maior doação do seu país a um partido político no ano passado, e foi justamente a um partido cuja plataforma é expulsar todos os imigrantes do país (aos quais o líder do partido chama de "parasitas").

Referência: Don't use VPN services.