Почему не стоит использовать VPN и proxy?

Сегодня всё больше сайтов попадают под блокировки со стороны государства. Одновременно с этим растёт спрос на различные VPN сервисы и прочие способы обхода блокировок. Но знаете ли вы, что не все способы одинаково полезны? Используя некоторые из них — вы в буквальном смысле слова дарите свои данные злоумышленникам, которые делаю с ними всё, что угодно. Сегодня я как раз и хотел бы рассказать о том, что такое хороший сервис, а что такое плохой...

Что такое VPN?

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

А теперь давайте скажем то же самое, только на общедоступном языке. VPN расшифровывается как Virtual Private Network (виртуальная частная сеть). Виртуальной сеть называется потому, что для её работы не нужно тянуть новые провода. Она работает поверх уже существующей Всемирной сети. Т.е. подключившись к данной виртуальной сети, Вы скрываете свою личность и истинное местоположение, защищаете передаваемые и получаемые данные.

Но главным достоинством тут является тот факт, что VPN делает доступными закрытые внутри сети (к примеру запрещённые правительством) сайты, интернет-магазины и сервисы. Но многие ли из вас задумывались, а что стоит за всем этим благом? Вот именно об этом давайте и поговорим.

В чём опасность VPN?

Вы можете представить себе VPN, как такой своеобразный коридор, построенный для обхода. При этом по коридору идет не просто поток информации о сайтах, которыми ты пользуешься. С ним за руку идут логины, пароли и другая информация, которой можешь дорожить. Но что с ней происходит «по пути»?

И первое, на чём разбивается миф анонимности — это логи, где хранится о том, откуда вы подключились, что делали и какие сайты посещали. Провайдер может обещать что угодно, но вся проблема в том, что вы физически не можете это проверить. Нечистый на руку провайдер будет этим пользоваться. Важно помнить, в интересах VPN-сервиса регистрировать базу клиентов и вести учет – это поможет сервису переложить вину на пользователя, если случатся проблемы с законом.

И даже если вы не используете непонятные бесплатные сервисы, созданные неизвестно кем, используетесь только услугами авториитетных компаний, за услуги которых платите деньги, стоит помнить, что те 10 долларов в месяц, которые вы платите за сервис, не окупят даже кофе для юриста. Так что сдать вас в случае чего – в интересах провайдера.

И как оказывается, подобные «сливы», вопреки здравому смыслу, не лишают компании репутации. Пример тому — история, когда в 2011 благодаря логам, которые вела компания, удалось раскрыть членов хакерской группировки lulzsec. HideMyAss писали об этом в своем блоге, упомянув, что логи ведутся для поиска подобных нежелательных пользователей.

Если я не нарушаю закон — я в безопасности?

И первая мысль, которая приходит в голову — я не нарушаю закон, я в безопасности. Кому есть дело до моих переписок Вконтакте? А как оказывается, очень даже есть. И к слову говоря, о переписках. Буквально на днях, анонимный разработчик, скрывающийся за ником Yoga2016, обнаружил возможность прочитать личные сообщения пользователей «ВКонтакте» через сторонний сервис онлайн-статистики SimilarWeb. Позже, в пресс-службе соцсети объяснили, что уязвимостью это не является, но об этом чуть позже.

Как говорится, посмотрите направо. Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте» и получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель.

Сам разработчик предположил, что обнаружил «лазейку», которую социальная сеть использует, чтобы открывать доступ к переписке пользователей правоохранительным органам и спецслужбам. В защиту этой версии добавив недавний факт снятия блокировки с «ВКонтакте» китайскими интернет — цензорами. Как правило, это означает, что администрация ранее блокировавшегося сервиса предоставила спецслужбам страны инструменты для контроля переписки пользователей.

Однако вскоре пресс-служба «ВКонтакте» объяснила произошедшее:

Ночью специалисты «ВКонтакте» провели более подробный анализ произошедшего и обнаружили, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам — например, сторонним сервисам аналитики.

В процессе проверки сотрудники «ВКонтакте» изучили данные о сетевых запросах пользователей, доступные на SimilarWeb.

Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании, которую представители социальной сети предпочли не называть.

Пресс-служба «ВКонтакте»

И на самом деле, лично я верю пресс службе т.к. правительственным органам проще обратиться к компании лично и получить от них нужную информацию, чем пользоваться какими либо сторонними сервисами, доступ к которым оказывается есть у каждого пользователя. А вот вариант со сливом информации со стороны VPN — очень реален. К тому же не единичен.

Приведу несколько примеров самых распространённых и известных случаев. Первый пример — история VPN-дополнения для браузеров. Т.к. у них не было других способов монетизации — они просто продавали данные пользователей. Даже браузер Opera, который встроил VPN для обхода блокировок, продает данные пользователей рекламодателям. Об этом сообщал лично руководитель компании SurfEasy, которую купили владельцы браузера как раз для глобальной реализации возможности.

А что с proxy?

Первая мысль, когда думаешь о альтернативе — это использовать proxy. На самом деле, для большинства пользователей особой разницы между этими сервисами и нет. Я пожалуй не буду раздувать и без того объёмную статью ещё и перечислением различий технологий, это другая тема, лучше расскажу одну историю. Эта история довольно старая, уже неоднократно публиковалась на множестве сайтов, но она как никакая другая демонстрирует факт того, что не стоит доверять первому попавшемуся сервису. Советую вам сразу почитать историю, после чего посмотреть видео автора.

Chema Alonso когда-то вместе со своими друзьями задумался, а как же сделать так, чтоб не взламывая компьютеры получить пароли и логины пользователей. Как сделать так, чтоб они сами мне их предоставляли, так сказать добровольно?

И им в голову пришла гениальная идея — создать публичный прокси сервер распространяющий Javascript ботнет. Ребята быстренько состряпали себе проксик и установили нужный софт, снифферы и все такое.

Теперь надо было сделать так, чтоб об этом прокси все узнали. На одном из сайтов предоставляющих свежие прокси листы был выложен IP-адрес их прокси-сервера. А так-как все сайты предоставляющие свежие списки прокси тырят материал друг у друга, данный IP за пару дней попал на кучу подобных сайтов и на них полился трафик, иногда не интересный, а иногда сниффер отлавливал довольно интересные логи, о которых автор видео с юмором рассказывает.

Как тогда быть?

Из всего выше сказанного я думаю сейчас многие поняли лишь одно — что обойти заблокированные сайты, не передав непонятно каким злым дядечкам свою личную информацию — невозможно. Но это немного не так. Просто есть люди, которые берут первое, что попалось на глаза и пользуются этим. А есть люди, которые сразу думают, а потом делают. Как вы думаете, те пользователи, чьи личные сообщения попали в сеть, к какой группе пользователей они относятся?

На самом деле, отвечать на вопрос «что делать» я бы хотел ответным вопросом. А зачем вам оно надо? На самом деле для среднестатистического «общечеловека» таких ситуаций бывает то не так много. К примеру хочется вам зайти на сайт, который попал под запрет властями? Хорошо! Но зачем для этого подключать VPN и «сливать» всю информацию о том, что вы делаете и куда ходите? Ведь можно поступить гораздо проще.

Ты туда не ходи - сюда ходи. А то снег башка попадёт - совсем мёртвый будешь

© Джентльмены удачи

К примеру я живу в том же мире, что и вы, в моей стране так же есть сайты, которые заблокированы правительством. Так же ввиду специфики моей работы мне нужно иметь несколько браузеров для тестирования вёрстки сайтов с различных браузеров. Так почему бы мне не настроить один из браузеров на работу через прокси, чтоб заходить через его только туда, куда нужно, не трогая свой «основной» браузер? Тем самым я не «сливаю» все свои личные данные стороннему серввису, он видит только то, что я иногда захожу на пару сайтов, которые не хранят мои личные данные и где нет ничего ценного для злоумышленников. А всю свою основную «жизнь» я провожу с основного браузера.

Дарю вам идею, как попадать на заблокированные сайты не передавая злоумышленникам личную информацию. Просто установите второй браузер, который будет настроен на работу через прокси и будет Вам счастье. Конечно, можно ещё включать прокси в основном браузере, использовать разные режимы... Но это уже лишние «телодвижения», которые на мой взгляд неудобны.

В конце давайте вкратце расскажу о том, что делать, чтоб на 100% скрыть свою активность в интернете. К примеру если ваша «цифровая жизнь» целиком состоит из запрещённых сайтов и деятельности, которую никто не должен отследить. Что тогда делать? Отключите интернет провод от компьютера и никогда его не подключайте! :) Нет, серьёзно, любой профессионал вам скажет, что в интернете никогда нельзя быть на 100% анонимным. Даже пресловутый tor вам не даёт такой гарантии.

Но конечно кое какую защиту он вам даёт, но это уже так сказать отдельная история, если желаете об этом узнать — пишите об этом в комментариях, я постараюсь об этом рассказать. А на сегодня у меня всё, спасибо за внимание и искренне хочется верить, что вы смогли осилить этот текст! :)