Bagaimana cara kerja VPN? Apakah VPN yang kita pakai benar-benar aman?

Komunikasi yang aman semakin diperlukan. maxuser/Shutterstock.com

Sekitar seperempat pemakai internet menggunakan sebuah “virtual private network” (jaringan privat virtual), yakni susunan software yang menciptakan koneksi data terenkripsi dan aman antara komputer mereka dan komputer lain di mana pun di internet.

Banyak orang menggunakan VPN untuk melindungi privasi mereka ketika menggunakan hotspot Wi-Fi, atau untuk tersambung secara aman ke jaringan kantor ketika mereka sedang bepergian.

Ada pula pemakai VPN yang khawatir mengenai pengintaian dari pemerintah dan penyedia jasa internet.

Banyak perusahaan VPN berjanji menggunakan enkripsi kokoh untuk mengamankan data, dan mengatakan mereka melindungi privasi pengguna dengan cara tidak menyimpan informasi lokasi VPN diakses atau apa yang dilakukan pengguna selama mereka tersambung ke VPN.

Jika semua berjalan sebagaimana mestinya, seseorang yang “mengintip” komputer Anda tidak akan melihat semua kegiatan intenet Anda—hanya koneksi tak bermakna yang bisa dilihat.

Perusahaan, pemerintah, atau hacker yang mengintai lalu-lintas internet secara keseluruhan memang masih dapat mengetahui adanya komputer yang mengirimkan informasi sensitif (atau misalnya membuka Facebook di kantor) tapi mereka tidak bisa mengetahui secara persis komputer mana yang dipakai.

Mereka akan mengira kegiatan itu berlangsung di komputer yang berbeda dari komputer sebenarnya.

Walau demikian, banyak orang—termasuk pelanggan VPN—tidak memiliki kemampuan untuk memeriksa ulang apakah mereka sungguh mendapatkan layanan yang semestinya.

Saya tergabung dalam sekelompok peneliti yang punya kemampuan itu, dan pemeriksaan kami terhadap layanan dari 200 perusahaan VPN menemukan bahwa banyak perusahaan mengecoh pelanggan mengenai aspek penting dalam perlindungan pengguna mereka.

Bagaimana VPN mengamankan kegiatan internet. Mohammad Taha Khan, CC BY-ND

Pelanggan dalam kegelapan

Penelitian kami mengungkapkan bahwa amat sulit bagi pelanggan VPN untuk mendapatkan informasi yang jernih. Sebabnya, banyak perusahaan VPN sengaja membayar pihak ketiga untuk membuat ulasan di website atau blog untuk mempromosikan layanan mereka dengan menulis ulasan positif dan memberi peringkat tinggi di survei-survei.

Ulasan berbayar semacam ini sama saja dengan iklan bagi calon pelanggan, ketimbang ulasan jernih dan independen. Dari 26 ulasan website yang kami telaah; ada 24 yang dibayar untuk ulasan positifnya.

Bentuknya kerap berupa website yang membuat daftar ratusan perusahaan VPN. Lebih dari 90 persen perusahaan itu diberi empat (dari lima) bintang atau lebih. Ini tidak ilegal, tapi melencengkan evaluasi yang semestinya independen.

Praktik ini juga membuat persaingan makin sulit bagi perusahaan VPN yang masih baru dan masih kecil, yang mungkin saja punya layanan lebih baik tapi budget promosi mereka lebih rendah.

Ketidakjelasan soal privasi data

Kami juga menemukan bahwa perusahaan VPN tidak selalu berbuat banyak untuk melindungi data pengguna (tak seperti iklan mereka). Dari 200 perusahaan yang kami teliti, 50 bahkan tidak menayangkan kebijakan privasi sama sekali—padahal hukum mewajibkan hal ini.

Sementara itu, perusahaan yang menayangkan kebijakan privasi memiliki deskripsi yang berbeda-beda mengenai penanganan data pelanggan. Ada yang kebijakannya hanya berisi 75 kata, sangat jauh dari dokumen legal berlembar-lembar yang menjadi standar di perbankan dan situs media sosial.

Ada pula yang tidak secara resmi mengonfirmasi hal-hal yang dijanjikan di iklan, sehingga mereka masih dapat mengintai pelanggan dan melanggar janji.

Membocorkan atau memantau lalu-lintas

Sebagian besar keamanan VPN bergantung pada bagaimana memastikan bahwa semua lalu-lintas internet pengguna melewati sebuah koneksi terenkripsi antara komputer pengguna dan server VPN. Tetapi yang namanya software itu ditulis manusia, dan manusia bisa membuat kesalahan.

Ketika kami menguji 61 sistem VPN, kami menemukan kesalahan programming dan konfigurasi di 13 dari 61 sistem itu, yang memungkinkan lalu-lintas internet keluar dari koneksi terenkripsi—yang berkebalikan dari tujuan orang menggunakan VPN. Kegiatan online sang pengguna juga dapat terpapar ke pengamat dan pengintai di luar sistem.

Ketika VPN tak berjalan sebagaimana mestinya, data pengguna bisa bocor. Mohammad Taha Khan, CC BY-ND

Selain itu, karena perusahaan VPN mampu (jika mau) memonitor segala aktivitas online yang dilakukan pelanggan, kami memeriksa apakah ada yang melakukan hal seperti itu.

Kami menemukan enam dari 200 layanan VPN ternyata memonitor kegiatan pelanggan mereka sendiri. Ini berbeda dari kebocoran yang tak disengaja, sebab ini secara aktif mengintai kegiatan pengguna—dan mungkin saja menyimpan data kegiatan pengguna itu.

Didorong oleh iklan yang berfokus pada privasi, para pengguna percaya saja bahwa perusahan VPN tidak akan memonitor kegiatan mereka, dan tidak membagikan data ke pihak lain, perusahaan periklanan dan polisi atau badan pemerintah lainnya.

Tapi enam perusahaan VPN yang kami sebut di atas tidak berkomitmen secara legal untuk melindungi pelanggan mereka, walau sudah berjanji demikian.

Berbohong tentang lokasi

Hal yang paling menjual dari banyak layanan VPN adalah mereka mengklaim pelanggan dapat tersambung ke internet seolah-olah dari negara lain. Beberapa pengguna melakukan ini untuk menghindari larangan hak cipta, entah secara ilegal atau semi ilegal, seperti menonton Netflix Amerika di saat sedang berlibur di Eropa.

Ada pula pengguna yang melakukan ini untuk menghindari penyensoran atau peraturan pemerintah terkait kegiatan internet.

Tapi yang kami temukan adalah, klaim-klaim terkait lokasi seolah-olah dari negara lain itu tidak selalu benar. Kami awalnya curiga ketika melihat ada VPN yang mengklaim dapat membuat pengguna seolah-olah tersambung dari Iran, Korea Utara and kepulauan seperti Barbados, Bermuda dan Cape Verde. Ini adalah tempat-tempat yang sangat sulit mendapatkan akses internet, bahkan mustahil bagi perusahaan asing.

Dari mana asal lalu-lintas ini sebenarnya? MSSA/Shutterstock.com

Ketika kami telusuri, kami menemukan bahwa beberap VPN yang mengklaim memiliki koneksi luas dan banyak sebenarnya hanya memiliki beberapa gabungan server di beberapa negara.

Studi kami menemukan, mereka memanipulasi rekaman jalur internet sehingga seolah-olah mereka menyediakan layanan di lokasi lain. Kami menemukan setidak-tidaknya enam layanan VPN yang mengklaim melewatkan lalu-lintas melalui satu negara tetapi sesungguhnya malah melalui negara lain.

Tergantung pada aktivitas pengguna dan hukum di negara itu, hal seperti ini bisa jadi ilegal atau bahkan mengancam nyawa—tapi yang jelas ini sudah mengecoh/mengelabui pengguna.

Panduan bagi pengguna VPN

Pelanggan yang mengerti teknologi dan berminat menggunakan VPN mungkin sebaiknya menyusun server sendiri, entah dengan layanan “cloud computing” atau koneksi internet di rumah.

Mereka yang tidak terlalu mengerti teknologi mungkin sebaiknya menggunakan browser Tor, sebuah jaringan komputer yang tersambung ke internet yang membantu mengawal privasi pengguna.

Metode-metode di atas tergolong sulit dan mungkin saja lambat. Ketika memilih layanan VPN komersial, ini saran kami yang didasarkan oleh riset: bacalah kebijakan privasi di website secara saksama, dan cobalah berlangganan dalam periode singkat terlebih dahulu, mungkin bulanan, ketimbang tahunan. Jadi Anda mudah berpindah ketika menemukan layanan yang lebih baik lagi.

This article was originally published in English