Чем грешат VPN
Виртуальная частная сеть (VPN) преподносится как безопасный способ скрыть активность в сети, потому что направляет пользовательский трафик через частные серверы. Но недавнее исследование Consumer Reports ставит под сомнение конфиденциальность и безопасность многих популярных VPN. В отчете подчеркивается множество критических замечаний в адрес поставщиков частных сетей, а именно отсутствие прозрачности и недостаточные методы обеспечения безопасности.
Исследователи отмечают, что поставщики VPN часто преувеличивают или вводят в заблуждение пользователей своими заявлениями об эффективности своих сервисов, обещая высококлассную безопасность. Потребители считают, что с помощью VPN они могут стать «невидимыми» в интернете, поскольку компании обещают непревзойденную анонимность и возможность сохранять конфиденциальность, защиту от хакеров и онлайн-отслеживания.
Как оказалось, все еще существует множество способов, с помощью которых киберпреступники, крупные компании и таргетологи могут отслеживать практически все действия и данные пользователя, даже если IP-адрес при этом остается скрытым.
В отчете отмечается, что многие риски, от которых пользователи пытаются защититься с помощью VPN, уже в значительной степени снижены за счет использования многими сайтами протокола HTTPS.
Эксперты также протестировали автоматическое отключение в случае сбоя VPN-соединения, которое должно защитить трафик пользователя. При проверке оказалось, что популярные сервисы Le VPN и Speedify пропустили трафик пользователей при нестабильном подключении, вследствие чего произошла утечка данных. При этом другие VPN-сервисы также поставили под удар конфиденциальные данные пользователя, но уже в меньшем объеме, пропуская весь трафик, не относящийся к браузеру.
По итогам исследования из 16 сервисов были выделены лишь четыре, которые Consumer Report могла бы рекомендовать к использованию — Mullvad, Private Internet Access (PIA), IVPN и Mozilla VPN.
Некоторые из плохо зарекомендовавших себя в исследовании VPN-сервисов недоступны на территории России. Так, в сентябре шесть сервисов, среди которых Hola! VPN и Speedify, были заблокированы Роскомнадзором за нарушение российского законодательства. В начале декабря также стало известно, что надзорный орган предупредил о грядущей блокировке еще шести VPN-проектов.
Почему VPN не безопасен
Многие думают, что VPN действительно защищает личные данные, в отличие от обычного провайдера, который использует пользовательский IP-адрес, рассказала в беседе с «Газетой.Ru» бизнес-аналитик мессенджера Gem4me Анастасия Ильичева. VPN маскирует IP-адрес, перенаправляя его через специально настроенный удаленный сервер,
«Интернет-провайдер и другие посторонние лица не смогут отследить, какие сайты вы посещаете и какие данные вводите. VPN действует как фильтр, превращая всю отправляемую и получаемую информацию в бессмыслицу. Но VPN по определению не защищает на 100%, он маскирует ваш адрес и скрывает историю браузера, и от вирусов он не защитит. VPN-сервис нужно выбирать внимательно, бесплатные сервисы вряд ли будут хорошим выбором. Все качественное стоит денег», — заключила Ильичева.
Директор департамента корпоративного бизнеса ESET Антон Пономарев добавил, что VPN-провайдеры тратят много денег на обеспечение работы международных серверов, зарплату сотрудникам и аренду помещений, но это так или иначе оплачивают пользователи — деньгами или личными данными.
«Большинство бесплатных VPN для Android и iOS содержат неприемлемые пункты в политиках конфиденциальности: от непрозрачной структуры передачи данных до отслеживания активности пользователя. 80% самых популярных бесплатных VPN-сервисов в AppStore передают персональные данные третьими лицам и не стесняются заявлять об этом мелким шрифтом в пользовательских соглашениях», — отмечает Пономарев.
Он рассказал, что исследователи из CSIRO выяснили, что более трети (38%) бесплатных VPN-сервисов для Android содержат вредоносные программы. Причем многие из опасных приложений обладают высоким рейтингом и были скачаны миллионы раз.
Одна из главных неприятных особенностей бесплатных VPN-сервисов — это назойливая реклама, которую порой невозможно отключить. Подобные приложения сделаны так, чтобы использовать лазейки в функциях смартфона, к которым пользователь дал доступ при установке.
«Некоторые VPN-провайдеры забирают скорость интернет-соединения и перепродают ее. В итоге возникает две проблемы, одна из которых очевидна: веб-сайты дольше открываются. А вот вторая проблема похожа на мину замедленного действия: теоретически пользователь может стать частью нелегального сообщества, которое использует ту часть трафика в преступных целях», — рассказал эксперт.
Пономарев отметил, что именно такую схему использовал VPN-сервис Hola. Он незаметно забирал пропускную способность и продавал ее киберпреступникам для создания ботнета.
При выборе VPN необходимо понимать, что универсального сервиса не существует. Одни провайдеры предлагают открывать недоступные сайты, другие делают ставку на конфиденциальность, третьи — на безопасность. Причем некоторые VPN-приложения созданы для противоположных целей: сбора данных и слежки за пользователем.
«Чтобы данные о действиях в сети не попали в чужие руки, убедитесь, что выбранный VPN не хранит лог-файлы и не ведет журналы соединений. Изучите пользовательское соглашение и политики конфиденциальности — в этих документах должно быть ясно указано, что сервис не сохраняет информацию об активности клиента и не передает данные третьим лицам», — советует эксперт.
Пономарев отмечает, что следует обратить внимание, в какой стране зарегистрирован VPN-провайдер, потому что на него распространяются местные законы. На высокий уровень юридической защиты могут рассчитывать пользователи сервисов, расположенных в Финляндии, Гонконге, Панаме. Прежде чем начать пользоваться платным VPN, нужно протестировать его. Даже если в приложении нет пробной версии, можно написать в техподдержку с просьбой предоставить ее, чтобы понять, подходит ли выбранный VPN под задачи пользователя или нет.