Безопасность данных
С февраля 2022 года интерес к подобным сервисам со стороны россиян возрос в 15 раз — как пишет британская газета Times, если в феврале VPN использовали 1,6 млн жителей России, то теперь их число подскочило до 24 млн человек. Эту статистику косвенно подтверждает и опрос банка «Открытие», четверть участников которого продолжают пользоваться заблокированными в России сайтами и социальными сетями с помощью VPN.
VPN-провайдеры активно рекламируют свои услуги, заманивая «анонимностью» и возможностью обхода якобы любых ограничений. Однако эксперты, в том числе Центр цифровой экспертизы Роскачества, предупреждают о рисках использования подобных приложений, в первую очередь бесплатных. По данным специалистов центра, провайдеры сами же зачастую и продают данные пользователей неизвестным третьим лицам, которые не заинтересованы в обеспечении их безопасности, что ведет к утечкам.
Так, в 2020 году исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей бесплатных VPN-решений. На незащищенном сервере находились данные приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. Вскоре после этого, в 2021 году, в даркнете выставили на продажу базу данных с информацией о 21 млн пользователей сервисов SuperVPN, GeckoVPN и ChatVPN. При этом продавец утверждал, что располагает массой сведений личного свойства, в том числе выходящих за пределы политики конфиденциальности VPN-сервисов.
Необходимо понимать, чем опасны подобные утечки данных — если персональная информация попадет к злоумышленникам, они могут использовать ее при социальной инженерии, попытках получения кредитов, создании фейковых документов и профилей или иных целей.
Иллюзия анонимности
Директор Ассоциации профессиональных пользователей соцсетей и мессенджеров (АППСИМ) Владимир Зыков рассказал для читателей «Газеты.Ru» о принципах работы VPN-сервисов.
«Что такое VPN в целом? Сейчас пользователь получает интернет от провайдера, и, если провайдер блокирует доступ на определенный сайт, на него не попасть. Что происходит при использовании VPN? Есть какой-то сайт, который находится на некоем сервере. По веб-интерфейсу пользователь подключается к этому сайту, и этот сайт, находящийся на хостинге за пределами РФ, соединяет пользователя с нужной ему страницей, и сигнал в зашифрованном виде поступает от этого сайта на ваш компьютер», — пояснил эксперт.
По его словам, поскольку сигнал зашифрован внутри этой передаваемой информации, то оператор связи, провайдер, не видит того, что передает пользователю VPN-сервис. Как раз в этой передаче он и передает информацию с нужного сайта, фактически замыкая через себя пользователя на заблокированный в России сайт, потому что он находится за границей и у него к нему доступ есть. В результате он проводит пользователя на нужную страницу на своем сигнале, выступая «обходным провайдером».
«Таким образом, весь трафик, вся информация, которая попадает к пользователю, в первую очередь проходит через VPN-сервер. Он выступает для пользователя вторым провайдером и, соответственно, может видеть и читать всю информацию, передаваемую через ваш трафик. Но это касается только той информации, которая не зашифрована», — отметил Владимир Зыков.
Глава АППСИМ пояснил, что на данный момент интернет делится на две части — зашифрованные и незашифрованные данные. Зашифрованные данные передаются по секьюрному протоколу (как правило, для отдельных сайтов это https, где s — secure, зашифрован), а незашифрованные сайты имеют протокол http. Аналогичным образом в интернете работает все: какие-то площадки работают по зашифрованному протоколу, какие-то передают данные в открытом виде, говорит Зыков.
«Дальше у VPN-сервисов может происходить все, что угодно: начиная от того, что они могут читать ту информацию, которой вы обмениваетесь, заканчивая тем, что они могут в целом ее подменять или что-то добавлять — например, могут появляться какие-то баннеры (пока мы с этим не сталкивались, но теоретически такая возможность у них есть). Некоторые VPN-сервисы фильтруют всю получаемую информацию, отбрасывают зашифрованные данные и изучают нешифрованные. В результате они либо делают какие-то выводы о человеке и продают кому-то эту информацию, либо еще как-то ее монетизируют», — подчеркивает эксперт.
Поэтому, по мнению Зыкова, необходимо быть осторожнее при пользовании VPN-сервисами и понимать, что ты кому-то предоставляешь информацию о себе, и этот кто-то не обещал хранить ее в тайне.
«Нужно понимать, что VPN-сервисы — это не дешевое удовольствие, и они должны себя как-то окупать, зарабатывая дополнительные деньги, в том числе за счет данных пользователей», — констатирует он.
Ответственный выбор
Вице-президент, эксперт «Лаборатории Касперского» Вячеслав Закоржевский, в свою очередь, говорит, что технология VPN призвана повышать кибербезопасность пользователей, именно поэтому ее часто применяют, например, при подключении к удаленному компьютеру в организации. Она позволяет установить зашифрованное соединение между устройством и VPN-сервером, который уже в свою очередь отправляет запросы конечному пункту в интернете. Таким образом можно в зашифрованном виде передавать конфиденциальные данные, скрыть IP-адрес и местоположение.
«Частным пользователям важно ответственно подходить к выбору VPN-решения. В открытом доступе есть подробные сравнения VPN-сервисов, включая и технические характеристики (логирование), и организационные (юрисдикцию). Также необходимо всегда внимательно читать, на каких условиях предоставляется сервис. Предпочтение лучше отдавать платным сервисам от известных разработчиков — это предполагает больше ответственности с их стороны. Полностью бесплатные решения часто собирают те или иные данные о пользователях, чтобы их монетизировать», — предупреждает он.
Также важно понимать, что, к сожалению, полностью анонимных сервисов не бывает, так как всегда можно получить доступ к данным со стороны хостинг-провайдеры, как по запросу госорганов, так и в результате кибератаки, отмечает вице-президент «Лаборатории Касперского».
Например, в конце 2021 года исследователи обнаружили данные 45 миллионов пользователей предположительно компании ActMobile Networks, владеющей рядом VPN-сервисов. К сожалению, время от времени даже крупные международные сервисы подвергаются атакам с утечкой данных пользователей.