پیش لفظ

سائبر سکیورٹی کی دنیا میں چند ہی ایسے ٹولز ہوں گے جن کے متعلق  وی پی این (VPN) جتنی غلط فہمیاں پائی جاتی ہوں گی یا جن کی اتنے خطرناک انداز میں تشہیر کی جاتی ہو گی۔  ایک عام صارف کے لیے VPN گویا ایک جادو کی چھڑی ہے، بس ایک کلک کیا اور وہ نظروں سے اوجھل، ناقابل سراغ، اور انٹرنیٹ سروس فراہم کرنے والوں اور خفیہ ایجنسیوں کی جاسوسی سے محفوظ ہو گئے۔ لیکن حقیقت اس سے کہیں زیادہ پیچیدہ ہے۔ درحقیقت VPN سروسز آ پ  کو ان خطرات کے مقابل کوئی خاص ڈھال فراہم نہیں کرتیں بلکہ آپ صرف اپنی نگرانی اور جاسوسی کو اپنے مقامی انٹرنیٹ فراہم کرنے والے سے ہٹا کر کسی اور وی پی این سرور چلانے والی کمپنی کے حوالے کر دیتے ہیں۔

مسئلہ یہ ہے کہ یہ مارکیٹ ایسے وی پی این آپریٹرز سے بھری پڑی ہے ،جنہیں ناصرف آپ کی سکیورٹی اور پرائیویسی کی کوئی پرواہ نہیں بلکہ وہ عملاً اس کے دشمن ہیں۔ آپ کے ڈیٹا کی شکاری ’’مفت‘‘ وی پی این ایپز (Apps) سے لے کر بڑی بڑی نامور کمپنیوں کی ایپز تک جو آپ کے ڈیٹا کے تحفظ سے زیادہ اپنے منافع کو ترجیح دیتے ہیں،  وی پی این انڈسٹری کا پورا منظر نامہ جھوٹے دعووں کی بارودی سرنگوں سے اٹا پڑا ہے۔

اس تحریر میں درج ذیل امور زیر بحث آئیں گے:

1. جعلی اور فریب کار وی پی این سروسز کی حقیقت کو واضح کرنا۔
2. مشہور وی پی این کمپنیوں کے تشہیری دعووں کا رد
3. ان وی پی اینز کی نشاندہی جو پرائیویسی کے لیے محفوظ ہیں۔
4. ان امور کی نشاندہی جہاں وی پی این سروسز آپ کا تحفظ نہیں کر سکتیں اور وی پی این استعمال کرنے کے باوجود آپ کی معلومات دشمن تک پہنچ جاتی ہیں۔

فریبی ’’مفت‘‘  VPN سروسز

وی پی این کی دنیا حیرت انگیز حد تک بے قاعدہ اور غیر منظم ہے۔ آج تقریباً کوئی بھی شخص  سرور کرائے پر حاصل کر کے، ایک چمک دمک والی خوبصورت سی ویب سائٹ بنوا کر، ’’ملٹری گریڈ انکرپشن‘‘ جیسے بلند و بانگ دعوے کر سکتا ہے، لیکن اس کے بعد وہ صارفین کا ڈیٹا سمیٹنے کے کاروبار میں اتر سکتا ہے۔ یہ کوئی سازشی نظریہ (Conspiracy Theory) نہیں بلکہ ایک سیدھی سادی  معاشی حقیقت ہے۔  ایک محفوظ، قابل اعتبار اور عالمی سطح کا وی پی این نیٹ ورک قائم رکھنا انتہائی مہنگا کام ہے۔ سرورز، بینڈ وڈتھ، سافٹ ویئر  کی تیاری، اس کی مستقل دیکھ بھال (maintenance) اور آزاد سکیورٹی آڈٹ، ان سب چیزوں پر  بھاری لاگت خرچ ہوتی ہے۔

اس لیے جب کوئی وی پی این مکمل طور پر مفت ہو، اس کو بنانے والی کمپنی کا واضح تعارف موجود نہ ہو، اس کی لاگنگ  اور ڈیٹا کلیکشن پالیسی مبہم ہو اور  اور اس کا کبھی آزادانہ سکیورٹی آڈٹ بھی نہ ہوا ہو  تو ایسے میں اصل سوال صرف ایک پیدا ہوتا ہے: یہ سارا سسٹم چل کیسے رہا ہے؟ زیادہ تر صورتوں میں اس کا جواب ایک ہی بنتا ہے۔ پراڈکٹ وی پی این نہیں آپ ہیں۔ آپ کے ڈیٹا سے منافع کمایا جا رہا ہے۔

قابل اعتماد اور ذمہ دار سروسز اپنی عملی لاگت (Operational Cost) پوری کرنے کے لیے سبسکرپشن فیس لیتی ہیں، لیکن دھوکے باز ’’مفت‘‘ وی پی این صارف کو گاہک نہیں بلکہ ’’پراڈکٹ‘‘ سمجھتے ہیں۔ ایسی سروسز اکثر صارف سے متعلق حساس معلومات کا وسیع ذخیرہ جمع کرتی ہیں مثلاً:

• اصل آئی پی ایڈریس اور ڈیوائس کی شناخت
• براؤزنگ کی تفصیل اور اس سے متعلق دیگر معلومات
• ڈیوائس میں انسٹال شدہ ایپز کی فہرست
• درست لوکیشن

یہی نہیں بلکہ بہت سی وی پی این ایپز صارف کی ڈیوائس میں وائرس انسٹال کر دیتی ہیں  جس کے ذریعے ڈیوائس میں موجود ہر طرح کا ڈیٹا ان کی دسترس میں   آ جاتا ہے بشمول انکرپٹڈ پیغامات کے۔

ان معلومات کو بعد میں اشتہاری و تجارتی کمپنیوں یہاں تک کہ خفیہ ریاستی اداروں تک کو فروخت کیا جاتا ہے۔ وی پی این چونکہ صارف اور اس کے انٹرنیٹ کے درمیان میں موجود ہوتا ہے اس لیے اگر وہ لاگز محفوظ کر رہا ہو تو اسے آپ کے آن لائن کاموں کی ہر ہر بات پتہ چل رہی ہوتی ہے۔ اگر آپ وی پی این کے استعمال کے ساتھ انکرپٹڈ رابطہ کاری کر رہے ہیں تو   چاہے اس سروس کو آپ کی مکمل معلومات نہ بھی مل رہی ہوں تب بھی  آپ کس آئی پی (IP) یا ویب سائٹ سے کب  اور کتنی بار جڑے، آپ کے رویے اور معمول کا ایک تفصیلی نقشہ بنانے کے لیے کافی ہو سکتا ہے۔

لیکن وی پی این سروسز کا دھوکہ صرف ڈیٹا اکٹھا کرنے کی حد تک نہیں ہے اس کے پس پشت  ملکیت، کنٹرول اور کارپوریٹ اسٹرکچر کا ایک پیچیدہ اور پریشان کن  پہلو بھی موجود ہے۔

تحقیقات سے یہ بات سامنے آئی ہے کہ وی پی این کی دنیا میں بظاہر موجود تنوع اور مسابقت (Competition) اکثر ایک سراب سے زیادہ حیثیت نہیں رکھتے۔ گوگل پلے سٹور اور ایپل ایپ سٹور پر دستیاب  بہت سی مقبول ’’مفت‘‘ وی پی این ایپز دراصل آزاد یا الگ تھلگ کمپنیاں نہیں ہوتیں، بلکہ اکثر وہی چند بڑی کمپنیاں مختلف ناموں سے ایک ہی پراڈکٹ کو بیچ رہی ہوتی ہیں۔

انٹرنیٹ پر پائی جانے والی کل وی پی این ایپز کا ایک تہائی چینی کمپنیاں بناتی ہیں اور ان کمپنیوں کا نہ تو واضح تعارف موجود ہوتا ہے نہ ہی ان کے مالکان کی کوئی واضح معلومات۔ یہ سب کمپنیاں چین کی پالیسی کے تحت صارفین کے انٹرنیٹ استعمال کا مکمل ریکارڈ محفوظ رکھتی ہیں اور چینی حکومت کو فراہم کرتی ہیں۔  جبکہ چینی حکومت اپنی خارجہ پالیسی کو مد نظر رکھتے ہوئے دیگر ممالک کی خفیہ ایجنسیوں کے ساتھ ان معلومات کا تبادلہ کرتی ہے۔

وی پی این سروس ’’مفت‘‘ فراہم کرنے کے نام پر صارفین کا ڈیٹا چوری کرنے والی کمپنیوں کی چند نمایاں مثالیں درج ذیل ہیں:

Super VPN  بنانے والی کمپنی SuperSoftTech

Super VPN ایک چینی کمپنی SuperSoftTech  کی ملکیت ہے۔ یہ کمپنی تین وی پی این ایپز چلاتی ہے:

1. Super VPN
2. Link VPN
3. LunaVPN

Super VPN ’’مفت‘‘ وی پی این کے خطرات کی ایک نمایاں مثال ہے۔  یہ اینڈرائڈ پر پوری دنیا میں سب سے زیادہ ڈاؤنلوڈ کی جانے والی ایپز میں سے ایک ہے۔ سائبر سکیورٹی ماہرین بارہا  اس کے خطرات کی نشاندہی کرتے رہے ہیں۔ ایک آسٹریلوی کمپنی کی تحقیق کے مطابق یہ وی پی این  ایپ دنیا میں سب سے زیادہ صارفین کی ڈیوائسز میں وائرس انسٹال کرنے والی ایپز میں تیسرے نمبر پر ہے۔

اگرچہ  اس کا ڈیوائس میں وائرس انسٹال کرنا ہی اس کی حقیقت کھول دیتا ہے اور باقی چاہے اس کے وی پی این پروٹوکول کی سکیورٹی کتنی ہی اچھی کیوں نہ ہو وہ کوئی معنی نہیں رکھتی۔ لیکن وائرس انسٹال کرنے کے علاوہ بھی اس کی سکیورٹی ناکارہ ہے۔  یہ ایک انتہائی کمزور انکرپشن استعمال کرتا ہے جس کو توڑنا آسان ہے۔  اس سے بھی بڑھ کر یہ کہ اس کی انکرپشن کیز اس کی ایپ میں ہارڈکوڈڈ ہوتی ہیں جو کبھی نہیں بدلتیں۔

Innovative

Innovative ایک چینی کمپنی ہے جو درجن سے زیادہ وی پی این ایپز چلا رہی ہے جن سب کا پیچھے انفرا سٹرکچر ایک ہی ہے اور یہ سب صارف کا ڈیٹا جمع کرنے کے لیے بنائی گئی ہیں۔ اس کمپنی کے وی پی اینز کے نام درج ذیل ہیں:

1. Turbo VPN
2. VPN Monster
3. VPN Master
4. Signal Secure VPN
5. VPN Proxy Master
6. Secure VPN Proxy Master
7. Snap VPN
8. Snap Master VPN
9. SuperNet
10. Thunder VPN
11. Secure VPN
12. HotspotVPN
13. Master VPN (ماستر VPN)

اس کمپنی کا فراڈ اس سے بھی ثابت ہوتا ہے کہ ایک ہی کمپنی اپنی وی پی این ایپز تین مختلف کمپنی ناموں سے فراہم کر رہی ہے۔ کچھ ایپز Innovative نامی کمپنی کی ملکیت ہیں، کچھ دیگر LemonClove نامی کمپنی کی ہیں جبکہ کچھ Autumn Breeze نامی کمپنی کی ہیں۔ مضحکہ خیز بات یہ ہے کہ ان تینوں کمپنیوں کے  وی پی این   سرورز تو ایک   ہیں ہی، تینوں کمپنیوں کے ایڈریس بھی ایک ہی بلڈنگ کے ہیں ، حالانکہ بظاہر تینوں کمپنیوں کا آپس میں ربط ظاہر نہیں کیا جاتا۔ مزید براں رابطے کے لیے کمپنی کا کوئی رسمی ای میل نہیں بلکہ ایک جی میل پر بنا ہوا ای میل  دیا گیا ہے۔

Hotspot Shield بنانے والی کمپنی  Point Wild

مشہور ’’مفت‘‘  وی پی این ایپ Hotspot Shield امریکی کمپنی Point Wild، جس کا نام پہلے Pango Group تھا، کی ملکیت ہے۔ اس کمپنی کی اس کے علاوہ بھی بہت سی وی پی این ایپز ہیں:

1. Hotspot Shield
2. Ultra VPN
3. Wifi Security for Business
4. VPN in Touch
5. VPN 360
6. Touch VPN
7. Betternet
8. Aura
9. OVPN
10. JustVPN
11. VeePee VPN
12. Wi-Fi SHIELD

آسٹریلوی کمپنی کی تحقیق کے مطابق اس کمپنی کی وی پی این ایپ Betternet دنیا کے سب سے زیادہ صارفین کی ڈیوائسز میں وائرس انسٹال کرنے والی ایپز میں چوتھے نمبر پر ہے۔  اور اگر کمپنی کی ایک وی پی این ایپ ڈیوائسز  میں وائرس انسٹال کرتی ہو تو اس کی باقی وی پی این پراڈکٹس کیسے قابل اعتماد ہو سکتی ہیں؟ اس کمپنی کے کسی وی پی این کا کبھی سکیورٹی آڈٹ نہیں ہوا اور یہ صارفین کا ڈیٹا بھی چوری کرتی ہے۔

واضح رہے کہ یہی کمپنی  اینٹی وائرس سافٹ وئیر TotalAV اور  TotalSecurity  بھی بناتی ہے۔

پاکستانی وی پی این کمپنی Disrupt

کراچی سے چلنے والی یہ کمپنی رسمی طور پر تین وی پی این ایپز چلاتی ہے:

1. PureVPN
2. PureDome
3. Ivacy VPN

یہ تینوں وی پی این سروسز مفت نہیں ہیں بلکہ  ان کی ماہانہ سبسکرپشن فیس ہے۔ لیکن ان تین کے علاوہ یہ کمپنی ایک غیر رسمی  ’’مفت‘‘ وی پی این ایپ  OneVPN بھی چلاتی ہے۔

OneVPN بظاہر  ایک چینی کمپنی Unravel Technologies کی ملکیت ہے  جس کا دفتر سنگاپور بتایا جاتا ہے، لیکن کمپنی کے بنیادی ارکان کے نام دیکھ کر یہ انکشاف ہوا کہ  پاکستانی کمپنی Disrupt اور بظاہر ’’چینی‘‘ کمپنی Unravel Technologies کے کلیدی افراد مشترک ہیں۔

اس کمپنی کی فریب کاری کا زیادہ بڑا ثبوت یہ ہے کہ  اسی کمپنی کے کلیدی افراد  وی پی این سروسز کا تجزیہ اور بہترین وی پی این سروس تجویز کرنے والی کئی ویب سائٹ چلا رہے ہیں جہاں یہ دعویٰ کیا جاتا ہے کہ اس ویب سائٹ پر وی پی این سروسز کا ’’غیر جانبدارانہ‘‘ تجزیہ کیا جاتا ہے۔ یہ ویب سائٹس درج ذیل ہیں:

• Vpnranks.com
• Bestvpnservice.com
• Kodivpn.co
• Bestvpn.co
• Usavpn.com

اس میں سب سے مشہور ویب سائٹ vpnranks.com ہے جس پر، SimilarWeb کے مطابق، ماہانہ پچیس لاکھ لوگ وزٹ کرتے ہیں۔

یہ ان ’’مفت‘‘ وی پی این سروسز کی چند مثالیں تھیں جبکہ  اس طرح وی پی این ایپ کے ذریعے صارفین کو دھوکہ دینے اور ان کا ڈیٹا چوری کرنے والی کمپنیاں لاتعداد ہیں۔

حکومتی جبر اور پابندیوں کے ماحول میں رہنے والے صارفین اس طرح کے ٹولز اس لیے استعمال کرتے ہیں تاکہ خفیہ ایجنسیوں کی نگرانی سے بچ سکیں۔ لیکن نتیجہ اس سے برعکس نکلتا ہے۔ وہ اپنا ڈیٹا اپنے مقامی انٹرنیٹ فراہم کرنے والے ادارے سے تو چھپا لیتے ہیں لیکن اس کی جگہ ایک ایسی کمپنی کے حوالے کر دیتے ہیں جن کا کام ہی خفیہ اداروں کو ڈیٹا بیچنا ہے۔

بات واضح ہے۔ اگر وی پی این مفت ہے، تو غالب امکان یہی ہے کہ آپ صارف نہیں بلکہ ’’پراڈکٹ‘‘ ہیں۔ وی پی این کی صنعت میں ’’مفت‘‘ ماڈل اکثر آپ کی معلومات کو سرمایہ بنانے کا دوسرا نام ہے۔ جو بھی شخص واقعی پرائیویسی کو سنجیدگی سے لیتا ہے، اس کے لیے پہلا اصول یہ ہونا چاہیے کہ ایسے پلیٹ فارمز سے دور رہے جن کا کاروباری ماڈل واضح، تصدیق شدہ، اور آزادانہ طور پر آڈٹ نہ کیا گیا ہو۔  وی پی این سبسکرپشن کی قیمت اکثر صرف اس کی سروس کی فیس نہیں ہوتی بلکہ اس بات کی قیمت ہوتی ہے کہ آپ کی جاسوسی وہی ٹول نہ کر رہا ہو جسے آپ نے اپنی حفاظت کے لیے منتخب کیا ہے۔

بڑی تجارتی کمپنیوں کے مین سٹریم VPN

فریبی اور آپ کے ڈیٹا کے شکاری ’’مفت‘‘ وی پی اینز کے تاریک پہلو کو سمجھنے کے بعد اب اس صنعت کے دوسرے سرے پر چلتے ہیں۔ مین سٹریم  میں موجود بڑے تجارتی وی پی این برانڈز۔ یہ وہ نام ہیں جو ہر طرف انٹرنیٹ اشتہارات میں خوبصورت اور فیچرز سے بھرپور ایپز، سرورز کا پوری دنیا میں وسیع نیٹ ورک اور ’’دنیا کی نمبر ون سکیورٹی‘‘ جیسے دعووں کے ساتھ نظر آتے ہیں۔

یہ رسمی اور قانونی حیثیت رکھنے والی کمپنیاں ہیں، لیکن پرائیویسی کے سنجیدہ اور حساس تناظر میں صرف کمپنی کا ’’جائز کاروبار‘‘ کرنا ہی کافی نہیں ہوتا۔ بعض اوقات ان کی قانونی حیثیت، منافع پر مبنی کاروباری ڈھانچہ، کارپوریٹ وابستگیاں اور مارکیٹنگ بجٹ انہیں ان صارفین کے لیے زیادہ خطرناک بنا دیتا ہے جنہیں واقعی میں رازداری درکار ہوتی ہے۔

VPN Trust Initiative (VTI)

مارکیٹنگ اور حقیقت کے درمیان تضاد کی ایک بہترین مثال VPN Trust Initiative (VTI) ہے ۔ وی پی این انڈسٹری کی قیادت میں قائم کیے گئے اس اتحاد کا دعویٰ ہے  کہ یہ مارکیٹ مین سرفہرست  ایسے وی پی این  فراہم کرنے والوں کی طرف سے چلایا جا رہا ہے جو ’’پروائیویسی، سکیورٹی اور ذمہ دارانہ جدت کو آگے بڑھانے کا عزم رکھتے ہیں‘‘۔   تعارف میں زبان بھی انتہائی پرکشش استعمال کی گئی ہے۔ ’’’عزم‘‘، ’’اخلاقی معیار‘‘، ’’شفافیت‘‘۔

ظاہری طور پر دیکھیں تو یہ ایک خود احتسابی کا ادارہ معلوم ہوتا ہے  جو اس بات کو یقینی بناتا ہے کہ اس اتحاد کے رکن وی پی این اپنا ’’اعلیٰ معیار‘‘ برقرار رکھیں۔  لیکن جب اس کے طریقہ کار کا قریب سے جائزہ لیا جائے تو حقیقت کچھ اور ہی نکلتی ہے۔ VTI دراصل ایک ایسا کلب ہے جہاں بڑی کمپنیاں اپنی اپنی ذیلی کمپنیوں (subsidiaries) کو شامل کر کے اتحاد میں اپنے اراکین کی تعداد کو مصنوعی طور پر بڑھا کر اپنی اجارہ داری قائم کرنے کی کوشش کرتی ہیں۔

تحقیق کے بعد یہ بات سامنے آئی کہ اگرچہ دعویٰ تو یہ کیا جاتا ہے کہ اس اتحاد میں ’’متنوع‘‘ ارکان کی ایک بڑی تعداد ہے لیکن  در حقیقت یہ ساری ’’بڑی تعداد‘‘ صرف تین بڑی پیرنٹ کمپنیوں کی ملکیت ہے:

1. Kape Technologies
2. Nord Security
3. Ziff Davis

اس کا مطلب یہ ہے کہ اس اتحاد کی حیثیت چند بڑے کارپوریٹ اداروں کے ’’بھونپو‘‘ سے زیادہ کچھ نہیں۔  جب یہ کمپنیاں پرائیویسی کے لیے اپنے عزم کا دعویٰ کرتی ہیں  تو درحقیقت وہ اپنا منافع بڑھانے کا عزم کر رہی ہوتی ہیں۔

VTI کی حیثیت ایک نگران ادارے کی نہیں بلکہ  پہلے سے چلتے طریقۂ کار پر مہر تصدیق ثبت کرنے والے کی ہے تاکہ  صارفین کی توجہ اس حقیقت سے ہٹا لی جائے کہ درحقیقت یہ کمپنیاں تجارتی کارپوریشنز ہیں جن کی اوّلین ترجیح اپنے سٹیک ہولڈرز کو خوش رکھنا ہوتی ہے۔

ذیل میں انہی تین کمپنیوں میں سے سب سے مشہور پہلی دو کمپنیوں کا جائزہ تفصیل سے پیش کیا جا رہا ہے۔

Express VPN بنانے والی کمپنی  Kape Technologies

یہ امریکہ اور اسرائیل میں چلنے والی ایک اسرائیلی کمپنی ہے جس کی ملکیت میں تین وی پی این سروسز ہیں:

1. Express VPN
2. CyberGhost VPN
3. Private Internet Access VPN

ان تین وی پی اینز کے علاوہ اس کمپنی کی ملکیت میں  وی پی این سروسز کا جائزہ لینے اور بہترین وی پی این سروسز تجویز کرنے والی درج ذیل دو ویب سائٹس بھی ہیں:

1. Vpnmentor.com
2. Wizcase.com

یہ دونوں ویب سائٹس بھی حسبِ توقع اپنے تجزیے اور تجویز کو ’’ّآزادانہ‘‘ اور ’’غیر جانبدارانہ‘‘ قرار دیتی ہیں اور ہمیشہ اپنی انہی تین وی پی این سروسز کو دنیا کی ٹاپ تین سروسز قرار دیتی ہیں۔ یہ دونوں اس صنعت کی بہت مشہور ویب سائٹس ہیں اور ان  پر ماہانہ وزٹرز کی تعداد ساٹھ لاکھ سے زیادہ ہے۔

ذیل میں اس کمپنی کے حوالے سے چند دلچسپ حقائق پیش کر رہے ہیں جن کے بعد اس کے حوالے سے کچھ بھی مزید کہنے کی حاجت باقی نہیں رہتی:

• کمپنی کا بانی اور مارچ ۲۰۱۶ء تک اس کا CEO رہنے والا ’’کوبی میناخیمی‘‘ (Koby Menachemi) اسرائیلی خفیہ ادارے Unit 8200 کا اعلیٰ عہدے دار تھا۔ جو کہ اسرائیل میں ویسا ہی ادارہ ہے جیسا امریکہ میں NSA۔
• کمپنی کا موجودہ مالک ، اسرائیلی ارب پتی سرمایہ دار، ’’ٹیڈی ساگی‘‘ (Teddy Sagi) کا نام  ۲۰۱۶ء کے پانامہ پیپرز (Panama Papers) میں سامنے آیا جس میں اس کا متعدد آف شور کمپنیوں  سے تعلق سامنے آیا۔ اس کے بعد ۲۰۲۱ء میں پینڈورا  پیپرز (Pandora Papers) میں سامنے آیا  جس میں یہ  ۶۰ ٹیکس فراڈ کے کیسز میں ملوث پایا گیا۔ اس سب سے قبل ۱۹۹۶ء میں جب ٹیڈی ۲۵ برس کا تھا تب تل ابیب کی عدالت میں اس پر رشوت، فراڈ، اور سٹاکس میں خرد برد  کا الزام ثابت ہوا جس کے نتیجے میں اسے ۹ ماہ قید اور تین لاکھ شیکلز جرمانہ  کی سزا ہوئی۔
• Express VPN کا سابق چیف انفارمیشن آفیسر (CIO) امریکی فوج کا سابق رکن تھا جس نے متحدہ عرب امارات کے لیے ہیکر کے طور پر پراجیکٹ ریون (Project RaveN) میں  کام کیا اس اس کے لیے ایک کرما (Karma) نامی ہیکنگ ٹول بنا کر دیا۔
• مارچ ۲۰۱۸ء سے قبل اس کمپنی کا نام Kape Technologies کی بجائے Crossrider تھا۔  اور یہ کمپنی  صارفین کی ڈیوائسز میں وائرس انسٹال کرتی تھی۔  اس کمپنی کے پروگرام نہ صرف براؤزر پر اپنے ایڈ چلاتے تھے بلکہ ڈیوائسز میں موجود حساس معلومات چوری کر کے کمپنی کے سرورز پر بھیجتے رہتے تھے۔ کمپنی کے ایک سابق CEO ’’آئیڈو ایرلچمن‘‘ نے بھی یہ بات تسلیم کی کہ کمپنی کا نام بدلنے کا مقصد یہی تھا کہ کمپنی اپنے ان کاموں کی وجہ سے بہت بدنام ہو چکی تھی۔

Nord Security

Nord Security کی ملکیت میں اس وقت تین وی پی این سروسز ہیں:

1. NordVPN
2. NordLayer
3. Surfshark VPN

یہ بات تو کہے بغیر ہی واضح ہے کہ چونکہ یہ کمپنی ایک بڑی تجارتی کارپوریشن ہے اس لیے اس پر لازم ہے کہ صارفین کی انٹرنیٹ  فعالیت کا لاگ محفوظ رکھے اور حکومتی مطالبے پر ان کے حوالے کر دے۔

لیکن بات یہیں تک محدود نہیں۔ کمپنی کی دیانتداری کے خلاف سب سے بڑا ثبوت ۲۰۱۸ء میں پیش آنے والا واقعہ ہے۔ ۲۰۱۸ء میں فن لینڈ میں  NordVPN کے سرورز کو ہیک کر لیا گیا  جس کے نتیجے میں  حملہ آور کو صارفین کے تمام لاگز اور معلومات حاصل ہو گئیں۔

اگر اس بات کا اعلان کر دیا جاتا اور وضاحت دے دی جاتی تو یہ کوئی بڑی بات نہیں تھی ، ایسا کسی کے ساتھ بھی ہو سکتا ہے۔ لیکن کمپنی کی دیانتداری پر سوال تب پیدا ہوا جب کمپنی نے اس معاملے پر مکمل خاموشی اختیار کیے رکھی اور اپنے صارفین کو بالکل بھی مطلع نہیں کیا کہ ان کا ڈیٹا ہیک ہوا ہے۔ کئی ماہ بعد جب میڈیا نے اس واقعہ کا انکشاف کیا تو کمپنی نے اس کی تصدیق کی۔ ایک کمپنی جو ’’پرائیویسی‘‘ اور ’’سکیورٹی‘‘ فراہم کرنے کا دعویٰ کرتی ہو اس  کے لیے ایسی معلومات چھپانا قابل قبول نہیں ہو سکتا۔ اس سے ظاہر ہوتا ہے کہ  کمپنی کے لیے اپنی ساکھ کا تحفظ  صارفین کے تحفظ کے اپنے دعوے سے کہیں زیادہ اہمیت کا حامل ہے۔ اور اس سے یہ بھی سوال پیدا ہوتا ہے کہ اگر وہ اس طرح کی حساس خبر کو چھپا سکتے ہیں تو پھر اور کیا کچھ چھپا رہے ہوں گے؟

ایک اور تکنیکی اور خطرناک مسئلہ NordVPN کے اندر یہ ہے کہ یہ گوگل سروسز پر انحصار  کرتا ہے اور اس کی ایپ چاہے اینڈرائڈ پر ہو، آئی او ایس پر ہو یا ڈیسک ٹاپ پر مسلسل گوگل سرورز کو پنگ (ping) کرتی رہتی ہے۔ صارف وی پی این کو اس لیے استعمال کرتا ہے کہ اس کی پرائیویسی اور اس کی معلومات محفوظ رہیں، لیکن NordVPN اس کے برعکس ساری معلومات گوگل کو بھیج رہا ہوتا ہے جو کہ دنیا کا سب سے بڑا  صارفین کا ڈیٹا جمع کرنے والا اور اسے بیچنے والا ہے۔

اس کے علاوہ یہ اپنی تشہیر اور اپنی ساکھ بنانے پر بہت زیادہ بجٹ خرچ کرتا ہے۔ پرائیویسی اور سکیورٹی کے موضوعات پر بات کرنے والے سوشل میڈیا انفلوئنسرز (Social media Influencers)، یو ٹیوب وی لاگرز،  کانٹینٹ کریئیٹرز (Content Creators)  اور  ویب سائٹس کو  پیسے دیے جاتے ہیں کہ وہ NordVPN کو  تجویز کریں اور صارفین کو یہ ثابت کریں کہ یہ سکیورٹی اور پرائیویسی میں دنیا میں پہلے نمبر پر ہے۔

پرائیویسی کا حقیقی تحفظ کرنے والے VPN

فریبی وی پی اینز کے استحصالی جال اور بڑی کارپوریشنز کے تجارتی وی پی اینز کے گرد بنے ہوئے خوش کن تصورات کو پرکھنے کے بعد ہم اس تحریر کے اصل نقطہ پر پہنچتے ہیں۔ وہ وی پی این سروسز جو پرائیویسی کو اوّلین ترجیح پر رکھتے ہیں۔

ان سروسز کی بنیاد اس اصول پر ہے  کہ سروسز پر اعتماد کو زیادہ سے زیادہ نہیں بلکہ کم سے کم کیا جائے۔ یعنی مقصد یہ نہیں ہونا چاہیے کہ صارف کمپنی کے وعدوں پر بھروسہ کرے بلکہ مقصد یہ ہو کہ نظام ہی ایسا بنے کہ جہاں کمپنی کے پاس آپ کے بارے میں جاننے، محفوظ رکھنے یا افشا کرنے کے لیے کم سے کم ممکنہ معلومات ہوں۔

ذیل میں ہم دو ایسی وی پی این سروسز کا جائزہ پیش کر رہے ہیں جو سائبر سکیورٹی ماہرین کے سخت ترین پروائیویسی معیارات پر مسلسل پورا اترتی آ رہی ہیں:

1. Proton VPN
2. Mullvad VPN

وی پی این سروسز کے لیے سنہری معیار

اس سے قبل کہ ہم ان دو وی پی این سروسز کا جائزہ لیں یہ جاننا ضروری ہے کہ کسی بھی وی پی این کو حقیقی پرائیویسی کے اعلیٰ ترین درجے پر پرکھنے  کے لیےکون سے  اصول  کلیدی حیثیت کے حامل ہیں۔ یہ اصول درج ذیل ہیں:

1. گمنام (Anonymous) اکاؤنٹس کی تشکیل: جس میں نہ کسی ای میل، نہ فون نمبر نہ ہی دیگر ذاتی معلومات اکاؤنٹ کے ساتھ لنک ہوں۔
2. اوپن سورس کوڈ: کوڈ کی ہر لائن عوامی طور پر آڈٹ کی جا سکتی ہو۔
3. RAM-Only انفراسٹرکچر: جہاں  سرور کی ڈسک میں کچھ بھی محفوظ نہ ہوتا ہے تمام ڈیٹا عارضی طور پر صرف RAM میں رہے اور سرور کے ری بوٹ ہونے پر سب ختم ہو جائے اور پیچھے کوئی  نشان باقی نہ رہے۔
4. شفاف ملکیت:  کمپنی کی قیادت عوامی طور پر معلوم ہو اور اس کا قانونی دائرہ اختیار بھی واضح ہو۔
5. آزادانہ آڈٹس:  سروس کی سکیورٹی اور کوئی ’’لاگ‘‘ نہ رکھنے کے دعوے کی مستقل تھرڈ پارٹی سے تصدیق۔

Proton VPN

Proton VPN سوئزرلینڈ کی کمپنی Proton AG کی ملکیت ہے اور یہ حقیقی پرائیویسی کے میدان میں ۲۰۱۶ء سے ایک مضبوط نام ہے۔ ذیل میں اس کی خصوصیات اور کمزوریاں پیش ہیں:

خصوصیات

فری سروس کی فراہمی: یہ پرائیویسی کا تحفظ کرنے والی سروسز میں ایک نایاب سروس ہے جو  اپنی تمام پرائیویسی خصوصیات کے ساتھ محدود فری سروس بھی فراہم کرتی ہے۔

سرورز کی بڑی تعداد: اس کی پریمیم سروس کے ۱۴۵ ممالک میں بیس ہزار کے قریب سرورز ہیں جبکہ فری سروس کے سرورز ۱۰ ممالک میں ہیں۔

اوپن سورس اور سالانہ آڈٹ: اس کی تمام ایپز کا  کوڈ اوپن سورس ہے اور Github پر موجود ہے۔ جبکہ اس کی ایپز اور سروسز کا ہر سال آڈٹ ایک آزاد ادارہ Securitum  کرتا ہے۔

WireGuard کی سپورٹ: یہ  وی پی این کے نئے، تیز رفتار اور مضبوط  انکرپشن کے حامل پروٹوکول WireGaurd کو سپورٹ کرتا ہے اور صارفین کو اسی کو استعمال کرنے کی تجویز دیتا ہے۔

ڈومین فلٹرنگ: پروٹون کا ایک فیچر NetShield ہے جو اشتہارات (Ads)، وائرسز (Malwares)، اور ٹریکرز (Trackers) پر مشتمل ڈومین فلٹر کرتا ہے۔ اس میں صارف کے لیے یہ انتخاب بھی موجود ہے کہ وہ ان تمام چیزوں کو  فلٹر کرنا چاہتا ہے یا صرف وائرسز کو۔

گمنام (Anonymous) ادائیگی: پروٹون گمنام (Anonymous) ادائیگی کی سہولت فراہم کرتا ہے۔ صارف ڈاک کے ذریعے نقد رقم بھجوا کر بھی سروس خرید سکتا ہے اور بٹ کوائن کے ذریعے سے بھی خرید سکتا ہے جبکہ عام کریڈٹ کارڈ بھی قبول کرتا ہے۔

کمزوریاں

VPN ٹریفک چھپانے کی کمزور صلاحیت: پروٹون وی پی این اپنی وی پی این پروٹوکولز میں WireGaurd اور  OpenVPN کے ساتھ ساتھ  ایک تیسرا پروٹوکول بھی دیتا ہے جسے Stealth پروٹوکول کہتے ہیں۔ اس پروٹوکول کا بنیادی مقصد انٹرنیٹ فراہم کرنے والے ادارے سے یہ بات چھپانا ہے کہ صارف وی پی این استعمال کر رہا ہے۔ اس مقصد کے لیے یہ پروٹوکول وی پی این ٹریفک کو ایسے دکھاتا ہے جیسے یہ عام https ٹریفک ہو۔ اگرچہ یہ خوبی ہے کمزوری نہیں، لیکن کمزوری اس میں یہ ہے کہ اس پروٹوکول کی صلاحیت بہت محدود ہے۔ یہ ان ممالک میں کام نہیں کرتا جہاں جدید فلٹرز تمام آنے اور جانے والی ٹریفک کا تجزیہ کر کے انکرپٹڈ  وی پی این ٹنلز کو ڈھونڈتے ہیں۔  اس طریقہ کار کو Deep Packet Inspection (DPI) کہا جاتا ہے۔ جن ممالک میں DPI کے ذریعے صارفین کے انٹرنیٹ کی نگرانی کی جا رہی ہو وہاں یہ Stealth پروٹوکول ناکام ہو جاتا ہے۔

گمنام (Anonymous) کرپٹو کرنسی سے ادائیگی کی سہولت کا فقدان: دوسری کمزوری اس وی پی این کی یہ ہے کہ یہ کرپٹو کرنسی میں ٹرانزیکشنز کا کوئی بھی ریکارڈ نہ رکھنے والی Anonymous کرنسی Monero (XMR) کے ذریعے سبسکرپشن خریدنے کی سہولت فراہم نہیں کرتا۔ اس کرنسی سے اکاؤنٹ خریدنے سے  ٹرانزیکشن مکمل طور پر گمنام ہو جاتی ہے اور اس بات کا کوئی ثبوت نہیں رہتا کہ کسی اکاؤنٹ کے لیے آپ نے  کوئی رقم ادا کی ہے۔

اکاؤنٹ بنانے کے لیے ای میل کی ضرورت:  جیسا کہ ہم نے وی پی اینز کے لیے سنہری معیار میں ذکر کیا کہ  وی پی این کا اکاؤنٹ کسی فون نمبر، ای میل یا دیگر ذاتی معلومات کے ساتھ جڑا نہیں ہونا چاہیے۔ لیکن پروٹون وی پی این بنانے کے لیے ای میل ایڈریس ضروری ہوتا ہے۔ اگرچہ یہ اکاؤنٹ کسی بھی Anonymous ای میل کے ذریعے بن جاتا ہے، لیکن عام صارف ان طریقوں سے بالعموم آگاہ نہیں ہوتے اور وہ اپنے ذاتی ای میل سے ہی اکاؤنٹ بنا لیتے ہیں جو کہ پرائیویسی کے لیے ٹھیک نہیں۔

Mullvad VPN

Mullvad VPN کی کا کمپنی ہیڈ کوارٹر سویڈن میں ہے اور یہ ۲۰۰۹ء سے کام کر رہا ہے۔ یہ وی پی این اپنے صارفین کو زیادہ سے زیادہ پرائیویسی فراہم کرنے میں بلا مقابلہ چیمپئن مانا جاتا ہے۔ اس نے سروس پر اعتماد کرنے کی ضرورت کو کم سے کم کرنے کے فلسفے کو اپنی آخری حد تک پہنچایا ہے۔ اس وی پی این کے دنیا کے پچاس ممالک میں ۵۷۸ سرورز کام کر رہے ہیں۔ اس کی خصوصیات و کمزوریاں درج ذیل ہیں:

خصوصیات

مکمل گمنام (Anonymous) اکاؤنٹ:  اس کا اکاؤنٹ مکمل طور پر Anonymous بن سکتا ہے۔ اکاؤنٹ کے لیے کسی ای میل یا  دیگر ذاتی معلومات کی ضرورت نہیں۔ صارف  کو اکاؤنٹ بناتے وقت ایک رینڈم  ۱۶ ہندسوں کا اکاؤنٹ نمبر مل جاتا ہے۔ اس کے علاوہ اکاؤنٹ خریدنے کے لیے روایتی کریڈ و ڈیبٹ کارڈ کے علاوہ گفٹ کارڈ کے ذریعے بھی ادائیگی کر سکتے ہیں، ڈاک کے ذریعے کیش بھیج سکتے ہیں ، بینک وائر کے ذریعے سے ادائیگی کر سکتے ہیں اور کرپٹو کرنسی میں دیگر کرنسیوں کے علاوہ Monero (XMR) کے ذریعے بھی رقم کی ادائیگی کر سکتے ہیں۔ اس طرح آپ کی شناخت اور اکاؤنٹ کے درمیان کسی قسم کا ربط قائم نہیں رہتا۔

WireGuard پروٹوکول کا استعمال:  وی پی این پروٹوکولز میں یہ صرف WireGuard  کو اس کی مضبوط انکرپشن، سکیورٹی اور سپیڈ کے باعث استعمال کرتا ہے۔

VPN ٹریفک چھپانے کی قوی صلاحیت:

پروٹون وی پی این کے Stealth پروٹوکول کے برخلاف   Mullvad  میں وی پی این کے استعمال کو چھپانے اور اینٹی سینسر شپ بہت ایڈوانس ٹیکنالوجی کا استعمال کیا گیا ہے۔ اس مقصد کے حصول کے لیے یہ متعدد طریقے اپناتا ہے جو درج ذیل ہیں:

• اس بات کو چھپانے کے لیے کہ صارف کی ڈیوائس سے وی پی این ٹریفک جا رہی ہے  Mullvad  وی پی این پروٹوکول  WireGaurd کے ساتھ ایک اور پروٹوکول  Shadowsocks کو استعمال کرتا ہے جس سے وی پی این ٹریفک عام انٹرنیٹ ٹریفک کی طرح لگتی ہے۔
• اس کو مزید  Deep Packet Inspection (DPI) کرنے والے ممالک میں بھی  چھپانے کے لیے  Shoadowsocks کے ساتھ ایک پلگ ان V3Ray بھی فراہم کرتا ہے  جس کے استعمال سے DPI کے ذریعے بھی ٹریفک مانیٹر کرنے والے ممالک میں وی پی این کی ٹریفک عام انٹرنیٹ ٹریفک کی طرح لگنے لگتی ہے۔
• اس کو اس سے بھی زیادہ  محفوظ بنانے کے لیے  Mullvad اپنے سرورز کے کسٹم آئی پی ایڈریس فراہم کرتا ہے  جو وی پی این سرورز کے ساتھ جانے نہیں جاتے اور جن کے استعمال سے کوئی بھی نگرانی کرنے والا ادارہ یہ نہیں پکڑ سکتا کہ صارف جس  آئی پی پر جا رہا ہے یہ کسی وی پی این سرور کا آئی پی ہے۔
• اگر اس سب کے باوجود بھی کوئی ملک اس وی پی این کو بلاک کر سکے تو اضافی طور پر برجز کی سہولت بھی یہ وی پی این دیتا ہے تاکہ برجز یا پراکسی کے ذریعے سے اس وی پی این سے کنیکٹ کیا جا سکے۔
• اس کے علاوہ اس وی پی این میں “Defense Against AI-guided Traffic Analysis (DAITA) کی آپشن بھی موجود ہے جو آے آئی کی مدد سے وی پی این کی ٹریفک کا تجزیہ کرنے  سے بچاتا ہے۔  واضح رہے کہ اے آئی کے ذریعے کیے جانے والے انٹرنیٹ ٹریفک تجزیے میں  اے آئی وی پی این کی ٹریفک کے پیٹرن سے یہ اندازہ لگاتا ہے  کہ یہ ٹریفک کس ویب سائٹ کی  طرف جا رہی ہو گی۔

ایڈوانس اور شفاف  ڈومین فلٹرنگ:   Mullvad وی پی این Proton کی نیٹ شیلڈ سے کہیں بہتر  اور شفاف انداز میں وائرسز، اشتہارات اور ٹریکرز کو فلٹر کرتا ہے۔ پروٹون کی نسبت یہ سروس کئی طرح کی بلاک لسٹس استعمال کرتی ہے اور صارف کو اپنی فلٹرنگ کا لیول منتخب کرنے کی اجازت دیتی ہے۔ صارف کے پاس اس سروس میں کسٹم بلاک لسٹ ڈالنے کی آپشن بھی موجود ہے۔

اوپن سورس کوڈ اور آزادانہ آڈٹس: اس وی پی این کی ایپز کا بھی تمام کوڈ اوپن سورس ہے اور Github پر موجود ہے  جب کہ اس کا سالانہ سکیورٹی آڈٹ بھی آزاد کمپنیوں سے کروایا جاتا ہے۔

کمزوریاں

محدود ممالک میں سرورز: اس وی پی این کے سرورز دنیا کے پچاس ممالک میں پائے جاتے ہیں اس لیے پروٹون کی نسبت اس میں صارف کے لیے،  اگر وہ کسی خاص ملک کا آئی پی استعمال کرنا چاہتا ہو یا اپنے سے قریب ترین وی پی این کو استعمال کرنا چاہتا ہو تاکہ سپیڈ بہتر آئے، انتخاب محدود ہے۔

مفت سروس کا فقدان: پروٹون کی نسبت یہ وی پی این کوئی مفت سروس پیش نہیں کرتا نہ ہی کوئی ٹرائل سروس پیش کرتا ہے۔ جو بھی اسے آزمانا چاہے اسے اس کی کم از کم ایک ماہ کی سروس خریدنی لازمی پڑے گی۔

ویڈیو سٹریمنگ  میں کم تر معیار: یہ وی پی این سروس ویڈیو سٹریمنگ کی ویب سائٹس کے لیے معیاری سروس نہیں دیتی۔ اس کی بنیادی وجہ یہ ہے کہ ویڈیو سٹریمنگ کی وی پی این ٹریفک ایک خاص شکل میں نیٹ پر جاتی ہے جو پرائیویسی کے لیے نقصان دہ ہے۔

حتمی درجہ بندی

بلاشبہ سکیورٹی، پرائیویسی  اور وی پی این کی ٹریفک چھپانے کے لیے Mullvad  وی پی این کا کوئی مقابل نہیں ہے لیکن Proton وی پی این کی بھی اپنی افادیت ہے۔ ان دونوں وی پی این سروسز کے ٹارگٹ یوزرز میں کچھ فرق پایا جاتا ہے:

• اگر آپ کسی ایسے ملک میں  رہتے ہیں  جہاں وی پی این کے استعمال پر پابندی ہے اور  بہت سختی سے اس کے استعمال کو روکنے کی کوشش کی جاتی ہے اور اس کے لیے ہر طرح کے طریقے  اپنائے جاتے ہیں، اور آپ کے لیے اس امر کو چھپانا انتہائی اہم ہے کہ سرویلنس اداروں سے آپ کا وی پی این استعمال چھپا رہے تو آپ کے پاس Mullvad کے علاوہ کوئی دوسری آپشن نہیں۔ یہی سب سے بہترین سروس ہے۔
• اگر آپ اتنی زیادہ پابندیوں والے ملک میں نہیں رہتے یعنی ریاستی اداروں کو یہ پتہ چلنا کہ آپ وی پی این استعمال کر رہے ہیں اس سے آپ کو خاص فرق نہیں پڑتا اور آپ کا  اصل مقصد یہ ہے کہ آپ انٹرنیٹ پر کیا کرتے ہیں یہ امر  سرویلنس اور جاسوسی کے ریاستی اور عالمی اداروں سے  چھپا رہے لیکن اس کے ساتھ ساتھ آپ کے لیے ویڈیو سٹریمنگ یا اپنی مرضی کے زیادہ سے زیادہ ملکوں کا انتخاب کرنے صلاحیت بھی اہمیت کی حامل ہے، یا آپ وی پی این سروس کی سبسکرپشن پر پیسہ خرچ نہیں کرنا چاہتے اور ایسی مفت سروس چاہتے ہیں جو پرائیویسی کا یقینی تحفظ کرتی ہو   تو Proton وی پی این آپ کے لیے بہترین انتخاب ہو گا۔

حاصل کلام

VPN کے اس منظر نامے سے گزرنے کے بعد ایک تلخ حقیقت سامنے آتی ہے۔ پرائیویسی کوئی پراڈکٹ نہیں جسے آپ پیسے دے کر خرید کر خود کو محفوظ بنا سکیں۔ حقیقی پرائیویسی خریدی نہیں جا سکتی اسے تعمیر کرنا پڑتا ہے۔ اس کے لیے ہر دعوے کی جانچ پرکھ کرنے والا ذہن، سہولت پر سکیورٹی کو ترجیح دینے والا مزاج اور آپ کس چیز کے بدلے کیا پا رہے ہیں اس کی بصیرت رکھنے کی ضرورت ہوتی ہے۔

یہ بات واضح طور پر سمجھنے کی ہے کہ VPN کوئی جادو کی چھڑی نہیں کہ آپ نے ایک کلک کیا اور آپ محفوظ ہو گئے۔ آپ کے براؤزرز اور ایپز کی فنگر پرنٹنگ جو بذات خود مخصوص ڈیٹا انٹرنیٹ پر بھیجتی ہیں آپ کی پرائیویسی کو خراب کر رہی ہوتی ہیں، اسی طرح اگر آپ کی ڈیوائس پر وائرس آ جائے یا وہ ہیک ہو جائے تب بھی VPN کی سکیورٹی بے معنی ہو جاتی ہے اس کے علاوہ اگر آپ خود ہی حساس ڈیٹا بغیر انکرپٹ کیے بھیج رہے ہیں تو ایسے میں بھی VPN آپ کی کوئی مدد نہیں کر سکتا۔

VPN کبھی بھی آپ کو مکمل طور پر Anonymous نہیں بنا سکتے۔ مکمل طور پر Anonymous ہونے کے لیے ٹور براؤزر کا استعمال وی پی این سے زیادہ مفید ہے۔ یاد رکھیں  VPN کبھی بھی اچھی سکیورٹی عادات کا متبادل نہیں ہو سکتے بلکہ یہ انٹرنیٹ پر آپ کے دفاع کی بہت سی دیگر تہوں (layers) میں سے ایک تہہ (layer) ہیں نہ کہ واحد اور حتمی تہہ۔

٭٭٭٭٭