Чем опасен бесплатный VPN?
Котовасия | Методичка по кибербезопасности в текущих реалиях
9 марта, 2022 по
Чем опасен бесплатный VPN?
Кот ИБ
| Комментариев пока нет

Происходящие в мире события настойчиво предлагают задуматься об использовании VPN-сервисов: для спасения бизнеса, получения доступа к «ограниченным» ресурсам, сохранения приватности и тайны личной жизни. 

Бесплатные VPN-решения на первый взгляд становятся настоящим спасением и предлагают решение если не всех, то многих проблем, особенно в условиях, когда за платные сервисы и заплатить-то проблематично.

Но не всё так хорошо, как выглядит. Главное, что следует уяснить перед использованием бесплатных сервисов – «если ты не клиент, то ты – товар». Давайте разберемся почему.


Что такое VPN и чем он поможет

VPN (Virtual Private Network) – обобщенное название технологии, позволяющей установить сетевое соединение поверх другой сети, например, Интернет.

В целом, VPN может использоваться для объединения территориально распределенных сетей компании, предоставления удаленного доступа сотрудников к корпоративной сети, подключения менее доверенных пользователей или предоставления провайдером доступа к ресурсам сети Интернет.

Нам интересно то, что при этом как правило используется шифрование, позволяющее скрыть (ну, почти) информацию о том, какие данные передаются, куда и кем от постороннего наблюдателя. Проще говоря, можно построить защищенный канал связи поверх публичного и небезопасного Интернета и скрыть (даже от провайдера) то, куда мы ходим, какие сайты посещаем, какими сервисами пользуемся и откуда мы это делаем. 

Но не всё так просто.

Почему нельзя доверять любому VPN-сервису

В случае, если VPN используется для получения доступа к ресурсам, которые по какой-то причине стали недоступны обычным способом, с устройства пользователя устанавливается шифрованное соединение с VPN-сервером поставщика услуги и потом все запросы и данные пользователя идут через внешнее подключение этого поставщика. При этом часто для установления соединения используются клиентские программы, заботливо предлагаемые этим VPN-провайдером. 

И тут возникает вопрос: а может ли провайдер услуги VPN отслеживать наши действия и просматривать наши данные?  Может. И будет это делать при достаточной мотивации.

Как известно, бесплатный сыр бывает только в мышеловке, и владельцы VPN-сервисов не работают бесплатно: им нужно поддерживать инфраструктуру, платить работникам, извлекать выгоду. Либо они получают оплату за свои услуги напрямую, либо как-то продают информацию, полученную от пользователя. И это далеко не всё.

Сбор и продажа данных о пользователе

Несмотря на заявления, большинство VPN-сервисов (в том числе платных) собирают данные о своих пользователях: MAC-адреса и IMEI устройств, имя сети, местоположение, версии ПО, адреса посещаемых сайтов, вводимые на формах данные, историю браузера – список можно продолжать бесконечно. Некоторые это делают втайне, некоторые прямо об этом говорят в своем пользовательском соглашении. Шифрование здесь поможет лишь частично: зачастую данные собираются клиентской программой еще на вашем устройстве.

Самое неприятное в этой истории то, что потом эти данные продаются сторонним компаниям, которые могут их использовать по своему усмотрению: таргетировать рекламу, профилировать пользователей, перепродавать дальше или даже делать направленные фишинговые рассылки.

Показ рекламы

Здесь всё просто: показ таргетированной рекламы приносит владельцу сервиса деньги. Пользователя перенаправляют на страницы с рекламой, показывают баннеры и всплывающие страницы, перекрывающие основной контент и прочие «прелести» бесплатного сервиса. Конечно, это не худший вариант в условиях, когда жизненно необходим доступ к ресурсу в интернете, но может порядком раздражать и «съедает» значительную часть интернет-трафика.

Использование пропускной способности канала

Провайдер VPN-сервиса может использовать ваше устройство в качестве узла сети для перенаправления трафика других пользователей. Помимо излишнего потребления трафика это может создать серьезные проблемы с законом: пользователь не контролирует, что именно делают с его устройства и его адреса в то время, когда оно является узлом VPN-сети.

Замедление работы

Бесплатный сервис может намеренно замедлять работу соединения либо устройства для того, чтобы побудить пользователя перейти на платный тариф либо просто потому, что сам не обладает достаточными ресурсами для обеспечения быстрой работы.

Проблемы с безопасностью

Очень многие бесплатные VPN-сервисы были созданы на скорую руку в попытке успеть заработать на возросшем желании пользователей скрыть свои действия в сети и обеспечить приватность. Как следствие, архитектура таких сервисов далека от безопасной, код содержит множество уязвимостей, сервис управляется персоналом с невысокой квалификацией и в целом безопасность не является хоть сколько-нибудь значимым приоритетом, потому что это долго и дорого.

Ошибки и уязвимости в коде

Клиентские (и серверные) программы могут содержать уязвимости, ведущие к утечке собранных данных о пользователе, внедрению вредоносного ПО, нестабильной работе устройства и самого сервиса. Интернет полон историй о громких взломах VPN-сервисов и последующей продажи всем желающим украденных данных о их пользователях.

Ботнеты

Используя устройство в качестве узла сети, провайдер (или злоумышленник) может сделать его частью ботнета, используемого для атак или кражи вычислительный ресурсов (к примеру, майнинга)

Вредоносный код в рекламе

Показываемая реклама никогда не принадлежит самому провайдеру услуг. Чаще всего это встраиваемые виджеты сторонних сервисов, которые могу содержать вредоносный код, запускаемый на вашем устройстве, либо неприемлемое содержание.

Фингерпринтинг трафика

Несмотря на то, что канал связи при использовании VPN как правило шифруется, в некоторых случаях сторонний наблюдатель может, анализируя трафик, выделить характерные для определенных ресурсов и сайтов структуры, что позволит установить факт их использования. Проще говоря, то, какие сайты вы посещаете, для стороннего наблюдателя уже не будет секретом.

Пропаганда, идеология и призывы

Следует иметь в виду, что VPN-сервисы всегда работают в юрисдикции определенной страны, и в зависимости от политической ситуации могут использоваться для выражения определенного мнения, призывов к действиям, стать неожиданно недоступными или работать не так, как заявлено - по идеологическим соображениям.

Конечно, эта проблема свойственна и платным сервисам, но, как правило, они больше дорожат своей репутацией и рабочей бизнес-моделью, и потому менее склонны к подобным действиям.

Кроме того, власти страны могут «попросить» поделиться данными, установить контроль либо отказать в обслуживании, поэтому к выбору страны размещения VPN-сервиса стоит отнестись очень внимательно.

Что делать?

Перечень проблем, которые потенциально может доставить бесплатный VPN-сервис, можно продолжать и дальше, но основные уже перечислены выше: сбор и продажа ваших данных, отсутствие гарантии стабильности услуги и серьезные проблемы с безопасностью, которые приведут к потере смысла использования VPN. По сути, доверяясь бесплатному VPN-сервису, пользователь отдает свою личную жизнь в руки посторонним людям, надеясь на их порядочность.

В качестве альтернативы попробуйте:

Поискать альтернативы недоступным ресурсам и сервисам

Подобрать подходящий по требованиям и цене платный VPN-сервис

Создать и настроить собственный

И если уж используете бесплатный – всегда задавайте себе вопросы: зачем это нужно владельцу, из каких средств оплачиваются расходы на работу, что от вас требуется взамен. Поняв это, вы будете осознавать риск, на который идете, и будете готовы к возможным последствиям.


Чем опасен бесплатный VPN?
Кот ИБ 9 марта 2022 г.
Поделиться этой записью
Войти оставить комментарий