Er VPN trygt?

Varslaren Edward Snowdens avsløringar av National Security Agency (NSA) si omfattande overvaking har gjort at mange illusjonar om IT-tryggleik på nettet må revurderast. Ein av desse er bruken av virtuelle private nettverk, VPN. I kjølvatnet av oppslaga er det viktig å presisera kva VPN-bruk som eventuelt er usikker og at det langt frå er eit generelt problem.

I fleire norske aviser kunne vi førre veke lesa om nye avsløringar av den omfattande overvakinga NSA driv på nettet. Artiklane handla om bruken av VPN og at heller ikkje denne teknologien er trygg mot overvaking. Svært mange private og offentlege verksemder brukar VPN i den daglege kommunikasjonen, og som leiar av ein slik organisasjon er ei utrygg VPN-løysing noko du helst ikkje vil sjå.

Virutelle private nettverk (VPN)
VPN er ein teknologi som gjer det muleg å etablera ein sikker, overvakingsfri kommunikasjonskanal mellom ein brukar (via pc, nettbrett, mobil) og ei verksemd sitt lokale nettverk. For brukaren (klienten) vil bruken av VPN få det til å sjå ut som ho er logga på verksemda sitt lokalnett, med tilgang til alle ressursane der. For omverda (= alle andre på nettet) vil denne kommunikasjonen vera pakka inn og kryptert slik at det ikkje skal vera muleg å sjå innhaldet.

Svært mange verksemder brukar denne teknologien i dag for å la tilsette, enten enkeltvis eller som grupper i eige nettverk, knyta seg til hovudkontoret sitt lokalnett. Med VPN kan dette skje trygt over eit ope, usikra nettverk som Internett.

Oppslaga etter Snowdens avsløringar reiser tvil om dette lenger kan sjåast som trygt og sikkert mot overvaking. Her er ein presentasjon av NSA sitt XKeyScore-program som blir brukt til denne typen analysar.

Fleire typar VPN
Før adm. dir. og IT-leiar set kaffien i halsen på grunn av oppslaga, er det viktig å vera klar over at VPN kan etablerast som ei eiga teneste i organisasjonen (eller gjennom IT-selskapet organisasjonen brukar), eller det kan kjøpast som ei teneste på den opne (Internett-)marknaden. Det er dei sistnemnde tenestene som no må karakteriserast som usikre. Det er ikkje fordi NSA klarer å knekkja krypteringa teknologien er basert på, men ved at tenestene er kompromitterte på ulike vis.

Når nokon har sett opp eit sterkt gjerde eller mur mot omverda, prøver du ikkje først å springa gjennom med all kraft. Du leitar etter opningar, og særleg leitar du i endane. Det er det NSA også gjer, og dei får truleg nødvendig informasjon gjennom VPN-tilbydaren, enten ved direkte kontroll eller på indirekte måtar.

Organisasjonsinterne VPN-løysingar er trygge!
Av dei mange avisoppslaga om temaet, er det få som presiserer at VPN-løysingar ein sjølv har kontroll over er trygge. Oppslaga om utrygge løysingar gjeld i første rekkje kommersielle VPN-tenester. Universitetslektor Gisle Hannemyr ved Universitetet i Oslo presiserer dette i Aftenposten sitt oppslag:

- Slik jeg forstår det, så betyr ikke dette at de har sugerør inn i all VPN, men kontrollerer et stort antall VPN-tilbydere. Slik kan de se mye trafikk, forteller Hannemyr.

- Den eneste måten å garantere seg mot dette på, er enten å bygge VPN-løsningen selv eller ha kompetente folk som kan undersøke om løsningen er sikker, legger han til.

I fleire andre artiklar er dette utelate, med den følgje at oppslaga kan misforståast til å gjelda alle VPN-løysingar. Det er ikkje tilfelle.