Небезпека безкоштовних VPN. Чому ними неможна користуватись і як захистити себе?

Час для читання: 6 хвилин

Ми звикли отримувати інтернет-послуги безкоштовно. Але навіть якщо ви раді поміняти свої дані і перегляд реклами на зручну електронну пошту, хмарне сховище або оптимізацію зображень, експерти радять подумати двічі, перш ніж вибирати безкоштовну послугу віртуальної приватної мережі (VPN – Virtual Private Network) навмання в Google Play або App Store. Пояснюємо, чому це небезпечно і як захистити себе.

Що відбувається при підключенні до VPN?

Коли ви підключаєтеся до VPN, між вашим комп’ютером і сервером кінцевої точки створюється зашифрований тунель, який дає вам нову IP-адресу – можливо, в іншій країні – і гарантує, що ваш інтернет-трафік не може бути розшифрований вашим інтернет-провайдером або адміністратором вашої локальної мережі. Але багато безкоштовних VPN працюють не так, як повинні, через витік даних і навіть активного стеження за своїми користувачами.

«Три найбільші загрози для безкоштовних мобільних додатків VPN – це збір даних; неповний захист; і втручання в розробку, потенційно веде до вразливості», – пояснює в інтерв’ю Wired Саймон Мільяно, керівник відділу досліджень Top10VPN.com.

У той час як основні комерційні постачальники VPN, такі як Windscribe, TunnelBear і ProtonVPN, надають безкоштовні рівні безпеки для просування своїх комерційних послуг або навіть в якості суспільного блага, вони далекі від фінансованих за рахунок реклами мобільних сервісів, які найчастіше з’являються в звітах про збір та неправильну обробку даних.

Що може піти не так?

Одним словом, дуже багато. У липні 2020 дослідники з Comparitech виявили, що UFO VPN, провайдер з Гонконгу, який стверджує, що не веде журналів активності користувачів, зберігає не тільки ці дані користувачів, а й записи доступу і прості текстові паролі у відкритій базі даних.

Після звинувачень база даних була повторно відкрита всього через кілька днів. UFO VPN запевняла, що проблема була «виправлена», проте редактор Comparitech Пол Бішофф каже, що з тих пір він нічого не чув про провайдера, навіть після повторного розкриття даних користувачів.

UFO VPN – разом із сімома спорідненими компаніями, які були ідентифіковані дослідником з VPN Mentor, виявилися пов’язані з компанією Dreamfii HK Limited. Вона пропонує як платні, так і безкоштовні VPN, але найбільш відома своїми безкоштовними послугами, що фінансуються за рахунок реклами. Компанія запевняла, що дії користувачів не відслідковуються і записуються. Але як тоді пояснити ситуацію з UFO VPN?

«Ми завжди радимо читачам не користуватися безкоштовними послугами VPN, тому що вони, як правило, мають менше надійну політику безпеки і конфіденційності», – додає Бішофф з Comparitech. – Багато провайдерів збирають дані користувачів, які можна використовувати для збільшення доходів від реклами. це в корені суперечить меті використання VPN для забезпечення конфіденційності. UFO VPN просто випадково розкрив свої дані».

Незважаючи на те, що таке позаконтрактне зберігання і неправильне поводження з даними відносно рідко розкриваються, у багатьох безкоштовних мобільних VPN ненадійна політика обробки даних (або її немає зовсім). І це лише частина проблем, виявлених в аналізі 2019 року Top10VPN.

Безкоштовні VPN не забезпечують конфіденційність користувачів. Мільяно пояснює, що неправильно налаштована VPN може призвести до витоку інформації про ваші дії в мережі, навіть якщо вона успішно змінила вашу IP-адресу: «Коли ми вперше протестували 150 кращих VPN-сервісів для Android минулого року, витоки склали до 25%. Приватність майже кожного десятого користувача була порушеною».

Проблемною виявилася і Hola VPN, у якій понад 50 млн установок на Android. «З огляду на дуже високий оборот таких додатків в магазинах – знайти VPN, що не збереже вашу активність в браузері це справжня лотерея».

Top10VPN також з’ясував, що багато безкоштовних VPN-додатків не можуть видалити дозволи та функції, в тому числі пов’язані з камерою пристрою, мікрофоном і GPS-стеженням.

Як VPN пов’язано з законом?

Дуже важливо, де знаходиться ваша VPN, оскільки місцеві закони диктують, до яких даних уряди та правоохоронні органи можуть отримати доступ. У червні цього року Top10VPN виділив кілька провайдерів безкоштовних VPN із записами про конфіденційність і безпеку, що базуються в Китаї або Гонконзі. З огляду на недавні зміни в законах про безпеку Гонконгу, які вимагають, щоб журнали активності користувачів зберігалися постачальниками послуг, новина викликає тривогу у експертів з безпеки.

Раніше в Гонконзі не існувало законів про зберігання даних. Однак Мільяно та його команда виявили, що багато віртуальних приватних мережі в Гонконзі належать (і належали) китайським компаніям. За його словами, цей факт «викликає питання про те, наскільки ці додатки конфіденційні й які дані доступні уряду».

Саме через закони про зберігання даних в Гонконзі, Великобританії, Росії та Ірландії, у багатьох постачальників VPN, орієнтованих на конфіденційність, є юридичні штаб-квартири в Панамі і на Британських Віргінських островах. Ці території не є частиною міжнародного урядового нагляду та угоди про обмін розвідданими, такі як альянс «Чотирнадцять очей».


Що таке альянс «Чотирнадцяти очей»?

Асоціація, яка складається виключно з європейських країн за мінусом США, Австралії та Нової Зеландії, ці асоціація «Чотирнадцяти очей» офіційно відома як SIGINT Seniors Europe (SSEUR). Це розширена версія групи «Дев’яти очей», доповнена такими країнами, як Німеччина, Бельгія, Італія, Швеція та Іспанія.

Початкова угода про стеження, підписана тільки між США і Великобританією, в даний час охоплює 14 країн. Відповідно до неї, ці країни не можуть використовувати отримані дані для шпигунства одна за одною, однак у них є право використовувати в своїх інтересах дані власних громадян, зібраних іншими країнами-учасницями.


Вимоги до зберігання даних в таких країнах, як Великобританія, призвели до того, що журнали з активністю користувачів були передані правоохоронним органам. Навіть для найзаконослухнянішого користувача VPN саме існування таких записів призводить до можливості розкриття даних про активність, паролі та іншої приватної інформації, яку навіть можна використовувати проти користувача.

Хто обіцяв приватність, але збирав ваші дані?

Facebook, який припинив пропонувати свої VPN, сумно відомий завдяки проекту Onavo Protect VPN, закритому в 2018 році, і Facebook Research VPN, закритому в 2019 році. Обидва збирали дані про своїх користувачів і про те, що вони дивилися в Інтернеті.

Onavo, який презентував себе як орієнтований на конфіденційність постачальник VPN, обіцяв захист переглядів, в той час як Facebook Research VPN явно відстежував активність користувачів, пропонуючи за це оплату – $20 на місяць учасникам у віці від 13 років.

Оприлюднення деталей роботи обох сервісів припинило їх роботу, але в березні 2020 року, платформа Sensor Tower для аналітики додатків Android була викрита у використанні безкоштовних VPN для збору даних про те, які програми користувачі встановили на свої телефони.

І це не єдині приклади. У звіті TechCrunch за 2014 рік зазначалося, що дочірня компанія Smart Sense випустила VPN-додаток – нині неіснуючий VPN Defender – для проведення такої ж інвентаризації встановлених користувачами додатків.

Коли встановлені додатки і звички користувачів смартфонів реєструються нав’язливими додатками, ці цінні ринкові дані потім продаються розробникам, видавцям та іншим особам в сфері публікації додатків.

Що ви повинні зробити?

Якщо ви використовуєте VPN для забезпечення безпеки, то звернення до невідомого постачальника послуг без політики прозорості як альтернативу вашому звичайному інтернет-провайдеру – погана ідея. Пам’ятайте, що ви фактично вибираєте іншу компанію, яка зможе бачити всі ваші дії, замість того, хто надає вам швидкісний доступ.

Навіть якщо ви просто хочете перемкнути регіони, щоб швидко поглянути на те, що бачать глядачі Netflix в США, важливо спочатку подумати про те, які ще дані про вас, ваш телефон і ваші дії ви передаєте і кому.

Хоча золотим стандартом конфіденційності є правильно налаштована кінцева точка VPN, яку ви контролюєте, це не нереалістичний сценарій для всіх користувачів. Експерти Wired запевняють, що комерційні VPN-сервіси, не пов’язані з експлуатацією даних, – навіть безкоштовні – дійсно існують.

Однак варто пам’ятати, що якщо у вас є особливий запит або вимоги до послуг VPN, необхідно переконатися, що ваш провайдер їм відповідає. Перевірте їхню політику прозорості, ведення журналів і подивіться, як вони справлялися з судовими позовами і проблемами безпеки в минулому.


Джерело: hightech.fm
Переклад: Kurai

Рейтинг читателей
[Всего: 2 Средний: 5]

Добавить комментарий

0
Web Design BangladeshWeb Design BangladeshMymensingh