O Ministério do Interior propõe a proibição de serviços de VPN: você deveria se preocupar?

No início deste mês, o Ministério do Interior indiano fez uma proposta surpreendente para proibir serviços de VPN como NordVPN, ExpressVPN etc., o que chocou a comunidade digital.

O que é uma VPN?

Uma rede privada virtual (VPN) estende uma rede privada em uma rede pública, permitindo que os usuários enviem e recebam dados como se seus computadores estivessem fisicamente conectados à rede privada. É simplesmente uma conexão criptografada entre um dispositivo e uma rede pela Internet.

A VPN é amplamente usada em todo o mundo por pessoas dentro e fora da comunidade de segurança da informação. Principalmente, a VPN permite que os usuários transmitam conteúdo bloqueado, protejam o trabalho remoto, naveguem na web anonimamente e mantenham a privacidade dos dados. De acordo com os dados coletados pelo VPN Atlas, a Índia ocupa o quarto lugar na taxa de adoção de VPNs.

Em sua última proposta divulgada pelo Comitê Parlamentar Permanente de Assuntos Internos, o ministério insta o governo a proibir permanentemente as VPNs na Índia devido à sua ampla aplicação em várias atividades cibercriminosas, contornando os protocolos de segurança e evitando a detecção. Este artigo investiga a possibilidade de bloquear VPNs permanentemente e as possíveis consequências do mesmo.

É realmente possível bloquear o acesso completo às VPNs?

Sim, é possível restringir VPNs, mas a questão mais relevante é se ela seria 100% eficaz ou não. Por exemplo, quando o governo indiano baniu o TikTok e o PUBG, não foi suficiente proibir indivíduos públicos de usar esses aplicativos. Por meio de rotas alternativas, eles conseguiram contornar facilmente a proibição desses aplicativos chineses. Se os amadores são capazes de evitar proibições impostas pelo estado como essas, cibercriminosos armados com ferramentas e tecnologias sofisticadas.

Técnicas populares, como a inspeção profunda de pacotes, ajudam a resolver esse problema. A inspeção profunda de pacotes ou DPI é um tipo de técnica de processamento de dados pela qual os dados enviados por uma rede de computadores são inspecionados detalhadamente. Esse sistema detecta, alerta, bloqueia, redireciona ou registra tráfego malicioso. Além do DPI, as técnicas de bloqueio de endereços IP ou portas também podem ser utilizadas para bloquear eficientemente o uso da VPN.

A China usa a filtragem de QoS (Qualidade de Serviço) junto com o DPI, para diminuir o tráfego de rede para conexões indesejadas que eventualmente levam a um erro de tempo limite e/ou queda da conexão. Anteriormente, o Reliance JIO usava uma técnica de filtragem de pacotes baseada na inspeção de Indicação de Nome de Servidor (SNI) para bloquear o acesso a determinados sites.

Etapas que se seguirão

Se a proibição da VPN entrasse em vigor na Índia, o governo emitiria um mandato para que os provedores de serviços de Internet (ISPs) bloqueassem os protocolos VPN comumente usados junto com as várias portas usadas por esses serviços de VPN. No entanto, ISPs menos técnicos ainda terão dificuldades ao implementar uma proibição geral efetiva dos serviços de VPN.

Impacto na segurança da informação

A pandemia forçou mais empresas do que nunca a optarem pelo trabalho remoto. E isso fez com que as taxas de adoção de VPNs subissem rapidamente em todo o mundo, para combater as preocupações de segurança que vêm com o território. No entanto, isso levanta a questão: um bloqueio de VPN colocará em risco a segurança de grandes corporações e negócios?

Com base nas informações que reunimos, é seguro presumir que essas restrições não se aplicam aos túneis VPN usados por grandes empresas ou negócios, mas sim às empresas de VPN que ajudam os plebeus a contornar as restrições atuais da Internet promulgadas na Índia para combater o crime cibernético. Também acreditamos que o governo permitiria que empresas que cumprem as leis e regulamentações de proteção de dados indianas usassem a VPN quando necessário.

A proibição de VPN é a “única opção”?

Regulamentar VPNs sem bloquear seus serviços é uma tarefa trabalhosa. Conforme mencionado anteriormente, os principais alvos do governo indiano seriam os provedores de serviços de VPN. Assim, forçar uma empresa offshore a cumprir as leis locais de dados e compartilhar informações de usuários pode prejudicar as relações com grandes multinacionais e investidores de outros países.

Impor essa proibição não é uma forma eficaz de impedir que indivíduos usem VPN. Aqueles que pretendem usá-lo podem facilmente encontrar uma maneira de contornar a proibição. Em vez de proibir as VPNs, a Índia deveria se concentrar em aumentar suas relações diplomáticas em todo o mundo. Isso facilitará o compartilhamento de dados e, eventualmente, levará a um conjunto muito maior de informações que podem ser úteis. O Detenções recentes da Força-Tarefa Conjunta de Ação Cibercriminosa da EuroPol, que efetivamente derrubou um grande sindicato do crime cibernético, demonstra a eficácia e a coordenação dessas conexões diplomáticas.

A proibição de uma VPN é “realmente necessária”?

A principal preocupação de qualquer governo seria proteger seus cidadãos e seus direitos individuais. Isso leva a uma questão importante: o estado prefere proibir totalmente a VPN e restringir as atividades cibercriminosas direcionadas a esses serviços ou priorizar a proteção da privacidade de seus cidadãos? Ambas as condições são mutuamente exclusivas e não podem ocorrer simultaneamente.

Entendemos que o governo indiano implementaria a proibição com o objetivo principal de impedir atividades cibercriminosas. No entanto, os cibercriminosos que operam hoje são muito habilidosos e usam técnicas altamente sofisticadas, além dos serviços de VPN, para evitar serem rastreados até sua identidade original ou endereço IP. Isso é especialmente verdadeiro para agentes de ameaças patrocinados pelo estado ou cibercriminosos experientes que empregam uma variedade de abordagens e táticas de segurança operacional para evitar serem rastreados.

Por exemplo, um cibercriminoso experiente não usaria seu próprio computador pessoal para realizar um ataque. Em vez disso, eles usariam túneis seguros ou Protocolo de Área de Trabalho Remota (RDP) para obter acesso a um computador já comprometido localizado em um país diferente que tem relações diplomáticas precárias com a Índia, para realizar o ataque. Nesse caso, os investigadores ainda terão dificuldade em rastrear os atacantes ou autores originais até suas fontes.