VPN Coming of Age: Uma Discussão com ExpressVPN Co-Founders
Parece que as VPNs estão repentinamente em toda parte. O que antes era uma tecnologia usada apenas por profissionais de TI e grandes empresas, agora se tornou um produto com taxas de penetração de mercado de dois dígitos entre consumidores em todo o mundo. Como tudo isso aconteceu e para onde está se dirigindo a indústria?
Nesta primeira entrevista exclusiva com os co-fundadores do ExpressVPN Peter Burchhardt e Dan Pomerantz, obtivemos uma visão mais profunda da evolução das VPNs de dois dos pioneiros do setor.
Lançado há mais de uma década, o ExpressVPN é um dos provedores de VPN mais antigos e tem sido fundamental para trazer a tecnologia para o mercado. Foi o primeiro serviço VPN de nível superior a ser pré-instalado em laptops (por exemplo, de HP Y Dynabook), e hoje está entre as marcas de VPN mais populares do mercado.
Enquanto TechRadar Pro Ele havia se encontrado e falado com Peter e Dan várias vezes antes, esta é sua primeira entrevista oficial. Os dois mantiveram um perfil baixo até agora, o que talvez não seja surpreendente para os fundadores de um serviço focado na privacidade.
“Por muitos anos, temos orgulho de permitir que nosso produto e serviço falem por si mesmos, contentes em fornecer orientação nos bastidores. Não nos considerávamos o tipo de fundadores de tecnologia que lutam para chegar à capa de Tempo revista ”, diz Burchhardt.
Como eles se conheceram? Vocês trabalharam juntos antes?
Dan Pomerantz: Na verdade, estudamos na Wharton na mesma época, mas de alguma forma nunca nos conhecemos na época. Nos conhecemos anos depois, por meio de amigos em comum.
Sempre fui um empreendedor e delineei os primeiros planos de negócios para um serviço VPN ao consumidor. Quando apresentei a ideia a Peter e o convidei para ingressar como co-fundador técnico, ele não conseguiu conter seu entusiasmo. Lançamos o ExpressVPN em 2009 e o resto é história.
Como o mundo das VPNs mudou desde 2009?
Peter Burchhardt: Muito! O mercado cresceu enormemente. Quando começamos, privacidade e segurança eram um nicho de mercado. O cenário para VPNs de consumidor na época era minúsculo.
E não se esqueça que os smartphones estavam começando a decolar em 2009, e o Facebook só estava aberto ao público em geral desde 2006. Então, enquanto Dan e eu víamos até um certo ponto o quão críticas as questões de privacidade estavam prestes a se tornar e A segurança digital certamente ainda não fazia parte das conversas diárias. Até mesmo alguns de meus ex-colegas da Microsoft acharam que eu estava louco.
Desde então, houve uma grande mudança na consciência e no interesse das pessoas por sua privacidade e segurança online. Está rapidamente se tornando comum agora. Acho que se preocupar com a privacidade é um instinto humano, como a maneira natural com que fechamos a porta do banheiro. Na verdade, todos os que usam a Internet estão expostos a algumas ameaças à sua privacidade.
DP: A porcentagem de pessoas que estão cientes desses problemas aumentou dramaticamente e, especialmente nos últimos anos, houve um rápido aumento no número de pessoas que estão cientes e decidiram fazer algo a respeito. Em última análise, recuperando algum controle sobre sua privacidade e comprando um serviço VPN premium.
Tivemos a sorte de começar cedo. Agora que o mercado cresceu rapidamente, estamos bem posicionados, pois já temos uma marca e um produto fortes e uma equipe muito capacitada.
A mudança em direção à conscientização sobre questões de privacidade é uma tendência global?
PB: Basicamente, todas as pessoas no mundo que estão conectadas à Internet enfrentam os mesmos tipos de ameaças à sua privacidade e segurança, embora em graus diferentes.
No entanto, existem regiões onde essas questões são mais proeminentes no discurso público. Por exemplo, acho que as revelações de Snowden marcaram um divisor de águas para os americanos. E hoje, muitos países europeus e a Austrália têm leis que exigem que seus ISPs retenham os metadados do usuário. As implicações de privacidade são enormes e o fato de que o assunto é muito debatido em tantos países ajuda a aumentar a conscientização sobre essas questões em todo o mundo.
As pessoas estão cientes, mas estão realmente agindo ou presas na indecisão?
DP: Há muito trabalho a ser feito para educar e capacitar os consumidores. Não basta fornecer as ferramentas ou serviços, deve ser fácil e acessível para que se protejam.
As pessoas costumam pensar “ah, não tenho nada a esconder” ou “não há nada que eu possa fazer”. Esses são conceitos errôneos que temos que trabalhar para dissipar. Você não precisa estar fazendo algo “errado” para querer proteger sua privacidade. Pense no histórico do seu navegador, você ficaria feliz em publicá-lo online para que todos vejam?
E às vezes as pessoas começam [using a VPN] para algo muito específico, digamos que se protejam em uma rede Wi-Fi pública, e temos um papel a desempenhar para ajudá-los a entender em que outras circunstâncias eles podem querer a proteção VPN.
Há um argumento dos céticos da VPN de que a maior parte da Internet já é segura. Por exemplo, não consigo pensar em um site de banco que não seja protegido por https. O que você considera o valor agregado das VPNs?
PB: VPN oferece mais controle sobre quem pode coletar dados específicos sobre você. Sem uma VPN, muitos terceiros sabem quais aplicativos e sites eu uso todos os dias. Além disso, esses aplicativos e sites podem fazer uma estimativa desconfortavelmente precisa da minha localização física, mesmo quando eu não lhes conceda esse acesso. E muitos aplicativos, sites e dispositivos de hardware não protegem meus dados o suficiente. Alguns nem mesmo tentam, e não sei dizer se estão tentando, e alguns tentam, mas não o fazem bem o suficiente, e muitas vezes as pessoas não conseguem julgar por si mesmas. A VPN adiciona uma camada de proteção como uma rede de segurança.
Ao usar a Internet sem VPN, mesmo com https, você está inadvertidamente informando a vários terceiros sobre a lista de sites e aplicativos que usa. As partes são aqueles que administram os conduítes de Internet, começando com seus provedores de serviços de Internet e seus vários parceiros downstream, e os operadores de rede Wi-Fi de hotéis e cafés. A lista pode ser grande e desconhecida. Muitas dessas empresas conhecem sua identidade e podem armazenar e revender seus dados sem o seu conhecimento ou aprovação. Por que é assim mesmo quando você usa https? Porque as tecnologias chamadas DNS e SNI transmitem esses dados em texto simples e porque os operadores de pipeline ainda podem ver o destino de seu tráfego.
Uma vez que terceiros tenham dados sobre nós, eles podem usá-los de maneiras que não aprovaríamos se soubéssemos. A VPN nos dá mais controle sobre muitos tipos de nossos dados pessoais. Nem todos os dados, é claro, mas muitos tipos significativos.
Os benefícios da privacidade fazem sentido para mim, mas, como você mencionou anteriormente, muitos usuários da Internet percebem (talvez erroneamente) que não deveriam se importar porque não têm nada a esconder. Você pode falar mais especificamente sobre os benefícios de segurança?
PB: Para qualquer pessoa que use aplicativos (não apenas navegadores da web) e dispositivos de hardware conectados à Internet, a lista de dados sobre você dos quais você está desistindo é ainda maior. Para qualquer outra coisa que não seja um navegador da web, geralmente você não pode dizer se eles estão protegendo seus dados adequadamente. Alguns nem tentam, como muitos aplicativos e dispositivos de hardware que ainda transmitem dados em texto simples, e muitos tentam, mas não o fazem bem o suficiente. Aplicativos móveis, mesmo de grandes bancos, divulgaram publicamente vulnerabilidades de segurança em que tentaram proteger suas informações com https, mas o fizeram incorretamente de uma forma que permitiria a um invasor induzi-los a enviar e criptografar as informações para um impostor, roubando suas senhas e informações bancárias. Quando esses problemas são conhecidos, eles são corrigidos, mas é muito provável que muitos mais desses problemas estejam ocultos. O fato de que mesmo as grandes empresas cometem esses erros confirma o clichê de que é difícil obter a segurança certa. Uma VPN adiciona uma camada extra de proteção.
Como ouvimos nas notícias de vez em quando, às vezes há até bugs no núcleo da internet. Por exemplo, o famoso bug Heartbleed estava no cerne do https. Usar uma VPN reduz drasticamente o risco de ser vítima de tais vulnerabilidades.
Frequentemente ouvimos de nossos leitores que comprar uma VPN pode ser opressor. É um mercado tão movimentado. Quais você acha que são as diferenças entre os provedores de VPN? O que você acha de empresas maiores e mais estabelecidas que entram também no mercado de VPN?
PB: Até certo ponto, você está colocando partes de sua privacidade e segurança nas mãos de seu provedor de VPN, então você deve poder confiar que eles sabem o que estão fazendo e têm seus melhores interesses em mente.
Às vezes, os usuários podem ter dificuldade em discernir as diferenças por si próprios. O serviço é rápido e confiável por longos períodos de tempo? Com que segurança os aplicativos realmente protegem todo o tráfego de rede do usuário, permanecendo à prova de vazamentos mesmo em muitos cenários extremos que ocorrem ao longo do tempo? A empresa segue sua política de privacidade, por exemplo, não armazenando logs de atividades ou logs de conexão? É por isso que estamos trabalhando tanto para aumentar a transparência e a educação, bem como para publicar auditorias.
DP: O funcionamento da empresa também faz uma grande diferença. ExpressVPN é 100% propriedade privada. Sem investidores externos, sem apoio de alta tecnologia. Não temos outras marcas ou linhas de negócios não relacionadas, portanto, não temos interesses conflitantes. Podemos nos concentrar em fazer o melhor para os clientes. As pessoas que trabalham na ExpressVPN estão espalhadas por mais de uma dúzia de países, e o que temos em comum é a paixão por uma Internet mais segura.
Por existir há tanto tempo, também estamos orgulhosos de ver como a empresa construiu um histórico sólido. Conseguimos demonstrar no mundo real e para terceiros que as proteções de segurança e privacidade que prometemos realmente funcionam. Por exemplo, tenha Auditoria PwC nossos servidores e processos para confirmar o cumprimento de nossa política de privacidade. Ou abra o primeiro conjunto de ferramentas de teste de vazamento do setor. Ou até mesmo o caso infeliz que vimos na Turquia, onde os pesquisadores apreenderam um servidor VPN alugado pela ExpressVPN e não conseguiram encontrar nenhum registro de servidor ligando atividades ou conexões a um usuário.
Muitos de seus concorrentes estão se ramificando em outros tipos de produtos de privacidade e segurança (até mesmo além). Você se sente pressionado a fazer o mesmo?
DP: Vemos o ExpressVPN competindo no espaço mais amplo por privacidade e segurança. Embora as VPNs sejam uma ferramenta essencial para se proteger online, há uma série de ameaças aos usuários da Internet que a tecnologia VPN sozinha não pode resolver. Teremos muitos outros anúncios interessantes nesta frente nos próximos meses e anos.
PB: Dito isso, todos na empresa estão focados em construir o melhor serviço VPN em sua classe. Nós nos esforçamos para oferecer aos nossos usuários em todo o mundo: velocidade, confiabilidade e segurança. É por isso que ExpressVPN desenvolveu recursos verdadeiramente inovadores, como TrustedServer e nosso novo Protocolo VPN Lightway.
Por que seguir a rota Lightway quando outros estão se voltando para Wireguard?
PB: A equipe que trabalha no dia-a-dia do produto provavelmente está mais bem equipada para responder detalhadamente ao que planejamos para a Lightway. A resposta simples é que há muito o que gostar no Wireguard, mas ele não foi originalmente criado para fornecer um serviço VPN focado na privacidade em escala. Outros fornecedores tentaram resolver isso aplicando camadas de soluções proprietárias. Nossa equipe achou melhor resolver o problema do zero para fornecer a experiência VPN que sabemos que nossos usuários desejam.
Qual foi a pressão para o TrustedServer e a mudança para a execução de servidores em RAM? Tenho certeza de que você sabe que outros provedores de VPN seguiram o exemplo e estão tentando fazer o mesmo.
PB: Nosso trabalho é proteger a privacidade e a segurança dos dados do usuário e consideramos que a maneira como o ExpressVPN executa os servidores VPN é crítica para isso. É menos visível do que acontece no lado do cliente, nas aplicações, por isso recebe menos atenção dos usuários e até da mídia, mas é absolutamente crítico.
TrustedServer executa todos os nossos servidores físicos baseados em imagem, assinados criptograficamente e somente leitura, operando apenas em RAM. Este foi o assunto de uma auditoria técnica da PwC reportável aos clientes, e documentamos publicamente a tecnologia e nossos processos de liberação subjacentes em detalhes consideráveis. Como as imagens são somente leitura e assinadas, temos grande confiança no que está sendo executado em nossa infraestrutura em mais de 150 locais ao redor do mundo. Embora essa tecnologia seja amplamente difundida para infraestrutura virtual, a inovação do TrustedServer está tornando-a adequada para a infraestrutura física necessária para executar um serviço VPN em escala de Internet. Como os servidores são executados em RAM, o impacto potencial de erros é reduzido. Se um servidor for comprometido ou um erro gravar acidentalmente informações indesejadas, os dados não persistirão após a reinicialização.
TrustedServer é uma peça importante de nossa estratégia de segurança de “defesa em profundidade”. Listamos as coisas que podem dar errado e, em seguida, projetamos os sistemas de forma que é improvável que aconteçam. Por exemplo, tornamos os servidores muito difíceis de hackear, mas não podemos afirmar que isso seja impossível. Ninguém pode. Se algo de ruim acontecer, tentamos garantir que o dano seja limitado. Isso significa que tentamos tratar os dados como um “ativo tóxico” e minimizar o que é armazenado, perceber os problemas com antecedência e limitar o tempo que eles podem persistir.
O que vem por aí para a indústria de VPN?
DP: Vemos que você está se transformando no setor de proteção da privacidade e segurança dos usuários online. VPN passa a ser uma das muitas tecnologias usadas para proteger os usuários. Dado o enorme mercado mundial, atraiu muita concorrência. Todos os principais players de antivírus agora têm ofertas de VPN e há muitas startups com abordagens inovadoras. Estamos ansiosos pela competição e pelos muitos benefícios que ela trará aos consumidores. Acreditamos que a indústria como um todo pode colaborar para ajudar a explicar os problemas aos usuários de uma forma transparente e fácil de entender para que possam tomar decisões informadas. É por isso que ajudamos a fundar o VPN Trust Initiative com o i2Coalition.
Novas ameaças surgem online o tempo todo, e queremos ajudar os consumidores a ter confiança e conhecimento para navegá-las.