быстрый доступ
26 мая 2022, 15:30
Количество просмотров 90

VPN-сервисы. Свобода vs безопасность пользователей?

VPN-сервисы. Свобода vs безопасность пользователей?
Как известно, стремительное развитие цифровых технологий и активное использование интернета все чаще приводят к сопутствующему увеличению числа киберпреступлений и хакерских атак. Актуальными способами защиты для любого пользователя публичной сети становятся набирающие все большую популярность различные VPN-сервисы, до недавнего времени не имевшие широкой популярности у массового потребителя. Однако сегодня, на фоне ряда чувствительных блокировок зарубежных соцсетей и ресурсов Роскомнадзором, ситуация меняется. В формате виртуального круглого стола мы предложили его участникам обсудить все основные аспекты этой технологии, собрав экспертные мнения представителей ведущих отечественных ИТ-компаний, а также российского научного сообщества.

Что же такое VPN? Виртуальная частная сеть (англ. Virtual Private Network) – зашифрованное безопасное подключение пользователя к интернету, использование которой позволяет потребителю сохранить конфиденциальность и обходить имеющиеся ограничения в сети, связанные с IP-адресами. Таким образом, VPN является неким туннелем между компьютером пользователя и удаленным сервером. Впервые такой способ подключения предложила компания Microsoft в США в 1996 году.

Открывая VPN-приложение на своем гаджете, пользователь становится «невидимым» для всех, кто стремится отслеживать онлайн-поведение с помощью трекеров: это и интернет-провайдеры, и маркетинговые агентства, и кибермошенники. В теории благодаря VPN никто не сможет отследить, на каких сайтах вы бываете и какие файлы скачиваете. Но как обстоит дело на практике? Ответить на этот и ряд других, не менее актуальных вопросов мы предложили нашим экспертам, в числе которых:

  • Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского»
  • Николай Спирихин, менеджер по продажам решений информационной безопасности, Softline
  • Мария Eфремова, аналитик Zecurion, эксперт по кибербезопасности
  • Лидия Терехова, к. п. н., доцент кафедры информационного менеджмента и ИКТ имени В. В. Дика факультета информационных технологий Университета «Синергия».
ПЛАС: Что представляет собой VPN в ближайшем рассмотрении и как работает эта технология?

spirikhin.jpg
Николай Спирихин

Н. Спирихин (Softline)

При подключении к VPN-серверу система идентифицирует подключаемую сеть и выполняет аутентификацию (сравнивает введенный пароль с паролем в своей базе данных). Для бесплатных VPN-сервисов подключение выполняется без необходимости прохождения аутентификации.

Далее VPN-сервер выполняет авторизацию (предоставляет разрешение на выполнение определенных действий). После установления соединения весь трафик между рабочей станцией пользователя и VPN-сервером передается в зашифрованном виде. После этого VPN-сервер меняет действующий IP-адрес пользователя на свой, и подключение к внешним ресурсам и ресурсам сети интернет осуществляется с IP-адресом VPN-сервера, который может находиться в условно любой точке мира.

efremova.jpg
Мария Eфремова

М. Eфремова (Zecurion): В результате использования VPN-сервиса даже провайдер не может получить доступ к данным пользователя и определить, куда тот подключается после запуска VPN. А сайты, которые человек посещает, не видят, с кем именно они взаимодействуют. VPN как бы «прикрывает» таким образом настоящего пользователя. Поэтому VPN можно использовать для обхода блокировок как на уровне провайдера, так и на уровне целевого сервиса, ведь в последнее время зарубежные сайты стали ограничивать доступ на свои ресурсы по IP-адресам из России. 

ПЛАС: Насколько выросла популярность VPN-сервисов после блокировки некоторых зарубежных соцсетей Роскомнадзором?

Н. Спирихин (Softline): Блокировки ряда популярных платформ Роскомнадзором резко увеличили востребованность услуг VPN-сервисов в России. Подобный всплеск наблюдался и в апреле 2018 года, во время подобных действий в отношении Telegram. Мы отмечаем, что рост популярности заметен как для бесплатных сервисов, так и для сервисов, доступных по платной подписочной модели. При этом рост числа платных подписок достигает 300% в месяц. М. Eфремова (Zecurion): После блокировки социальных сетей, которыми в России пользовались если не все, то большинство людей, популярность VPN-сервисов возросла многократно. Но надо понимать, что это не первая волна популярности этих сервисов, подобное уже было в недалеком прошлом при блокировке других социальных сетей или известных сайтов. 

ПЛАС: В ноябре 2017 года Россия приняла закон, обязывающий владельцев анонимайзеров и VPN-сервисов сотрудничать с властями и ограничивать доступ к запрещенным на территории страны сайтам. Сервисам, которые не исполнят требования регуляторов, грозит блокировка. Как заявил недавно председатель комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн, к настоящему моменту порядка двух десятков популярных VPN-сервисов в России уже заблокированы, Роскомнадзор продолжит эту работу и дальше. Насколько эти шаги в плане ограничения доступа к запрещенному контенту являются действенными? Что в этой связи ждет VPN в России?

terekhova.jpg
Лидия Терехова

Лидия Терехова (Университет «Синергия»): Помимо обеспечения анонимности и ощущения защищенности, VPN позволяет пользователям посещать запрещенные на территории нашей страны интернет-ресурсы, в том числе экстремистского содержания, а также дает возможность вести нелегальный бизнес. Именно эти факторы привели к негативному отношению к VPN со стороны регулятора и к выдвижению требования к VPN-провайдерам об ограничении доступа своим пользователям к запрещенным на территории РФ интернет-ресурсам. Некоторые VPN-провайдеры отказались выполнять это требование, за что были заблокированы Роскомнадзором. На сегодняшний момент уже заблокированы VyprVPN и Opera VPN. В ближайшее время ожидается блокировка VPN Betternet, Lantern, X-VPN и ряда других.

Сегодня существует несколько способов блокировки VPN: блокировка сайтов с информацией о VPN-провайдерах, блокировка IP-адреса VPN-сервиса, блокировка VPN-протоколов. Но все эти способы будут эффективны только при постоянном мониторинге интернет-ресурсов, предоставляющих информацию о VPN, поскольку вполне возможно появление сайтов-однодневок.

Н. Спирихин (Softline): Да, данные шаги являются действенными. Однако ввиду того, что за одним IP-адресом у разных интернет-провайдеров находится различное число клиентов и многие сервисы (например, стриминговые видеотрансляции и онлайн-игры используют схожие технологии туннелирования), блокировка VPN-сервисов является труднореализуемой задачей.

М. Eфремова (Zecurion): VPN – это не единственный способ обхода блокировок, поэтому, даже если заблокировать все сервисы, которые выявляются регулятором, варианты у пользователей еще останутся. Не думаю, что в ближайшее время получится заблокировать все возможные способы, это нетривиальная техническая задача. При этом надо помнить, что любая блокировка и ограничение так или иначе сокращают аудиторию пользователей.

ПЛАС: Какие VPN-сервисы наиболее популярны у россиян, существуют ли отечественные VPN-сервисы? Какие виды VPN-сервисов (бесплатные, коммерческие – какие плюсы, минусы) присутствуют на рынке?

Н. Спирихин (Softline): Сегодня можно выделить топ-5 наиболее популярных VPN-сервисов: ExpressVPN, ZenMate, Private Internet Access, PrivateVPN, CyberGhost. Основные отличия бесплатных VPN-сервисов от коммерческих заключаются в скорости передачи данных, отказоустойчивости и надежности предоставляемого сервиса.

Л. Терехова (Университет «Синергия»): Наиболее популярными VPN-сервисами в настоящее время согласно рейтингам являются Surfshark, CyberGhost VPN, Express VPN и ряд других. Использование VPN-сервисов для пользователей, не нарушающих российское законодательство, не запрещено, поэтому на данный момент одним из факторов при выборе VPN является его отсутствие в списке на блокировку. Следующим фактором является ценовая политика – бесплатный это или платный сервис. Ну и, конечно же, на выбор также влияет качество оказываемых услуг.

По поводу целесообразности использования бесплатных VPN-сервисов сегодня ведется много споров. Поскольку «бесплатный сыр может быть только в мышеловке», а VPN-провайдер должен каким-то образом зарабатывать на поддержание своих серверов, то нет гарантий, что информация о пользователе и его трафике останется скрыта от посторонних. Тем более что случаи утечки информации при использовании VPN-сервисов уже были.

М. Eфремова (Zecurion)

galov.jpg
Дмитрий Галов

Д. Галов (Лаборатория Касперского)

ПЛАС: Какие данные нужны для пользования VPN, где они хранятся и в каком виде?

Н. Спирихин (Softline)

Если мы говорим про пользовательские решения, в них все реализовано максимально просто: необходимо скачать приложение от выбранного разработчика (важно это сделать из официального магазина приложений или с сайта разработчика), установить его (это может быть как обычное приложение, так, например, и расширение для браузера), а затем уже подключиться к выбранному VPN-серверу.

ПЛАС: Насколько безопасно использование VPN-сервисов для персональных данных?

Д. Галов (Лаборатория Касперского): Многие бесплатные решения не требуют авторизации, но мы не рекомендуем пользоваться такими продуктами, либо очень внимательно изучать условия, на которых предоставляется сервис. Разработчики, предлагающие бесплатный VPN, могут, например, продавать данные о вашей онлайн-активности. Платные версии требуют ввода логина и пароля от учетной записи, для которой был оплачен сервис. Некоторые сервисы позволяют подключаться с помощью заданного кода доступа, в таком случае нигде регистрироваться не надо.

Н. Спирихин (Softline): В данном случае необходимо здраво оценивать риски и цели использования VPN во избежание утечки данных. «Кредит доверия» − основополагающий фактор. Рекомендуется использовать надежные VPN-сервисы коммерческих VPN-провайдеров для понимания взаимной ответственности и ограничить доступ к сомнительным интернет-ресурсам.

М. Eфремова (Zecurion): Как пользователь вы не можете знать, насколько безопасен используемый вами VPN-сервис. Часто этот вопрос сводится к доверию. Если вы уверены, что сервис не будет продавать ваши данные (обезличенные или нет) рекламодателям или мошенникам, то вы можете использовать эти сервисы. Но я бы не советовала все-таки отправлять через VPN ту информацию, контроль над которой вы бы не хотели потерять.

ПЛАС: Есть ли наглядные примеры использования VPN мошенниками? И как защититься от мошеннических действий при использовании этого сервиса?

Д. Галов (Лаборатория Касперского): VPN не гарантирует стопроцентную безопасность данных. Провайдер все еще может получать доступ к незашифрованному трафику, в редких случаях даже к зашифрованному, если каким-то образом удалось убедить пользователя поставить на устройство нужный сертификат, а также собирать статистику онлайн-активности пользователей. Получая доступ к таким данным, злоумышленники стремятся их монетизировать. Поэтому основной совет заключается в том, чтобы использовать VPN от надежного разработчика, а также внимательно изучать условия, на которых предоставляется данный сервис.

Н. Спирихин (Softline): Самый частый пример – маскирование под VPN-провайдера, предоставляющего этот сервис. Если VPN-сервер был организован и контролируется злоумышленниками, то может осуществляться перехват трафика, перенаправление на опасные веб-сайты и сбор незашифрованных данных, которые способствуют утечке паролей, почтовой переписки и т. д.

pxhere.jpg
Иллюстрация: Pxhere

При использовании VPN мы рекомендуем обращаться к доверенным VPN-провайдерам и ограничить обращение и работу с интернет-ресурсами, которые требуют ввода учетных данных, конфиденциальной информации, осуществление оплат и прочих действий, требующих передачи данных, которые могут использоваться в целях мошенничества.

М. Eфремова (Zecurion): Примеров масса – это и фейковые приложения, и сервисы, которые имеют «двойное дно». К первым можно отнести те программы, что только собирают сведения или требуют предоплату за пользование «сервисом». При этом они никакого сервиса вообще не предоставляют. Вторые предоставляют сервис, т. е. через них действительно можно подключаться, но при этом крадут или раскрывают часть данных пользователей.

Советов несколько: через VPN не заходите в личные кабинеты своих банков, не передавайте информацию, которую боитесь потерять, не отправляйте фотографии, которые не хотите видеть в общем доступе. Вы никогда не сможете узнать наверняка, будут ли переданные вами данные скомпрометированы. Возможно, что информацию о тех сайтах, которую вы посещали, просто продадут рекламодателям, но существует и вероятность, что преступники попытаются украсть все ваши персональные данные.

Лидия Терехова (Университет «Синергия»): Чтобы защитить себя от мошенников на этапе выбора VPN-сервиса, следует избегать «заманчивых» предложений, связанных со стоимостью услуги или ее продолжительностью. Стоит избегать поддельных и вредоносных VPN-сервисов. В этом случае информацию о VPN следует перепроверять на нескольких сайтах и знакомиться с рейтингом лучших VPN за несколько прошлых лет. При использовании VPN следует обращать внимание на наличие рекламы и спам-рассылок: они могут свидетельствовать о том, что предлагаемый вам сервис направлен на компрометацию передаваемой вами информации или ваших персональных данных. Нужно быть также внимательным, особенно если VPN-сервис требует от пользователя личную информацию, например, адрес, номер телефона и т. д. Все это является явными признаками некачественного сервиса, от использования которого лучше отказаться.

P.S.

Подводя итоги этого нашего виртуального круглого стола, можем отметить, что эксперты сходятся во мнении о полезности и востребованности технологии VPN в настоящее время. Из множества полезных рекомендаций можно выделить советы всегда использовать зашифрованное соединение с интернетом, независимо от того, востребована ли вами дополнительная безопасность, защита личных данных от хакеров или же вы просто хотите получить доступ к контенту, ограниченному по региону. Не стоит также забывать, что безопасность ваших личных данных сегодня по‑прежнему зависит от добросовестности поставщика услуги VPN, здравого подхода к его выбору, а также соблюдения базовых норм интернет-безопасности, ответственности и проявления должного уровня интернет‑грамотности.

Рубрика:
{}Безопасность