Se você já usou uma VPN ou está preocupado com a privacidade on-line, provavelmente já se deparou com referências a "Five Eyes", "Nine Eyes" e "Fourteen Eyes". Mas o que exatamente esses acordos de vigilância fazem? E eles podem afetar a segurança do seu serviço de VPN?

O que é o Five Eyes?

Five Eyes é um apelido para o Acordo entre o Reino Unido e os Estados Unidos da América (UKUSA). Apesar do nome oficial, o acordo UKUSA consiste em cinco países. Eles são o Reino Unido, EUA, Canadá, Austrália e Nova Zelândia. O acordo tem suas origens em um acordo de compartilhamento de inteligência da Segunda Guerra Mundial entre a Grã-Bretanha e os EUA.

A Five Eyes deu origem a muitos dos mais notáveis ​​escândalos de privacidade nos últimos anos, incluindo PRISM, XKeyscore e Tempora.

Hoje, seus poderes são assustadoramente amplos. De acordo com a Electronic Frontier Foundation, os cinco governos podem forçar qualquer "provedor de serviços de comunicação" (incluindo ISPs, plataformas de mídia social, provedores de email, redes de telefonia celular e mais) a:

  • Inserir malware nos dispositivos de seus usuários.
  • Ignorar as leis existentes em busca das diretrizes do Five Eyes.
  • Interferir com a experiência do usuário das pessoas.
  • Fornecer aos governos novos projetos de produtos com antecedência.
  • Fornecer informações do usuário conforme solicitado em mandados secretos.

O que é o Nine Eyes?

Nine Eyes é outro acordo de compartilhamento de inteligência. Ela nasceu da aliança original Five Eyes. Inclui todos os membros do Five Eyes, além da Dinamarca, França, Holanda e Noruega.

Seus poderes e dedicação ao compartilhamento de informações são amplamente os mesmos que o acordo Five Eyes.

O que é o Fourteen Eyes?

O acordo Fourteen Eyes acrescenta mais cinco países à lista: Alemanha, Bélgica, Itália, Espanha e Suécia. Curiosamente, tanto a França quanto a Alemanha estiveram perto de se tornarem membros do Five Eyes, em 2009 e 2013, respectivamente. Os dois acordos falharam por várias razões.

Por fim, é importante mencionar Israel e Cingapura. Israel supostamente gosta do status de observador do principal grupo do Five Eyes, enquanto Cingapura tem parceria com o grupo, mas não é um membro oficial.

O que isso significa para VPNs?

Dados os amplos poderes conferidos pelos três acordos, que impacto isso tem no seu serviço de VPN? É tudo uma questão de jurisdição. Ao falar sobre a jurisdição de um provedor de VPN, há três coisas a serem consideradas:

  • Leis locais: Alguns países proíbem completamente o uso da VPN.
  • Local da empresa: O estado no qual o provedor de VPN está registrado e tem seus escritórios físicos.
  • Localização do servidor: Os provedores de VPN geralmente oferecem servidores em muitos países diferentes.

De uma perspectiva de vigilância, as duas coisas com as quais você precisa se preocupar são a localização da empresa e os servidores da empresa.

Um provedor de VPN com um endereço físico, ou servidores nos países listados, pode ser obrigado a entregar qualquer informação que tenha, incluindo logs de conexão e tráfego do navegador. O país pode até monitorar o tráfego de entrada e saída de um servidor VPN. Pior ainda, os governos podem proibir o provedor de notificar os clientes afetados; você perde a chance de responder à invasão de privacidade.

E, claro, devido à própria natureza dos acordos, uma vez que sua informação foi adquirida por um país, ela está no sistema. Por fim, pode ser compartilhado com os outros países, se eles solicitarem.

Se a segurança é sua principal prioridade, você não deve usar uma VPN que esteja domiciliada em um dos países 5, 9 ou 14 países envolvidos. Nem você deve se conectar à servidores em um desses países usando um provedor de VPN.

Se você realmente precisar usar um provedor de VPN de um dos países membros (por exemplo, devido a um recurso exclusivo), certifique-se de selecionar um que explicitamente não mantenha registros. No entanto, nem isso pode protegê-lo adequadamente.

Por exemplo, você não precisa procurar mais do que o provedor de e-mail com base nos EUA que já foi popular, o Lavabit.

Quando o FBI descobriu que Edward Snowden (ex-funcionário da CIA e da NSA que tornou públicos o sistema de vigilância global da NSA americana.) usara o serviço, solicitou os registros da empresa. A empresa não mantinha registros, então o FBI emitiu uma intimação para acessar as chaves SSL. As chaves teriam dado ao FBI acesso à metadados e conteúdo não criptografado para todos os usuários do Lavabit.

Para seu crédito, em vez de entregar a informação, a Lavabit optou por encerrar a empresa. Mas esse caso é uma excessão. Você não pode confiar que seu provedor de VPN estaria igualmente disposto a manter suas informações sigilosas.

VPNs em países de vigilância: o que evitar

Um número surpreendente de provedores de VPN tradicionais tem sua sede em um dos países participantes. Aqui estão alguns dos mais populares a serem observados:

  • Escudo Hotspot
  • StrongVPN
  • LiquidVPN
  • IPVanish
  • HideMyAss
  • SaferVPN
  • VPNSecure
  • Getflix
  • UnoTelly
  • Mullvad
  • PrivateVPN

Para reiterar, esses serviços não são necessariamente ruins. Se seu principal motivo para usar uma VPN é contornar o bloqueio geográfico na Netflix ou outros serviços de streaming, talvez você não tenha outra opção a não ser se inscrever em uma delas.

No entanto, se você quiser uma VPN para seus benefícios de segurança, você deve procurar em outro lugar.