В глазах многих VPN – средство для посещения сайтов, доступ к которым по каким-то причинам запрещён. Конечно, платить за борьбу с непонятными ограничениями не слишком-то и хочется… Но не больше ли вы теряете, доверяя бесплатным VPN?
Как вообще это работает
VPN (Virtual Private Network) – виртуальная частная сеть. Изначально технология VPN создавалась для компаний, которым было нужно обеспечить сотрудникам безопасный доступ к своим электронным ресурсам. При этом сотрудники могли быть где угодно – в офисе, в другой стране и т.п.
Сегодня VPN вышли за рамки корпоративного использования. Это сети, которые работают поверх интернета. Соединяетесь с VPN вы, конечно, через интернет: вам нужно знать адрес сервера, а иногда – также логин и пароль для входа. Но с нужным вам сайтам уже соединяется сама VPN и отдаёт вам трафик оттуда.
Используя VPN, вы соединяетесь с веб-ресурсами через посредника. Так как для IP посредника нет ограничений, они снимаются и для вас
Обычно VPN-сервер поднимается на сервере в дата-центре или серверах в разных странах мира, программно объединённых в одну систему. А на компьютере пользователя устанавливается клиент, который нужен для подключения и комфортной работы. В роли клиента может выступать специальное приложение, расширение для браузера и др.
Когда вы подключаетесь к VPN, формируется специальный туннель – зашифрованный канал связи
Обычно VPN-соединение между клиентом и сервером шифруется. Зашифрованные данные передаются провайдеру, а затем – на VPN-сервер. Для обратной передачи используется тот же алгоритм. Это позволяет, к примеру, скрыть ваш трафик от провайдера или от людей, которые могут его анализировать.
Но не всё так безоблачно. К примеру, никто не даст гарантии, что сервис не располагает ключами для расшифровки вашего трафика. Или вообще его шифрует.
Как зарабатывают бесплатные VPN
На голом энтузиазме долго не протянешь. И владельцам бесплатных VPN-сервисов, естественно, нужно зарабатывать, ведь не ради мира во всём мире и назло Роскомнадзору врагам покупается оборудование, оплачивается трафик и IP-адреса, выдаётся зарплата сотрудникам и т.п.
Вариант первый – когда бесплатный VPN зарабатывает на рекламе. Это вполне нормально: хочешь пользоваться халявой, смотри объявления.
Но на показах объявлений много не заработаешь. Тем более есть более выгодный вариант: собирать информацию о пользователях. Отслеживать, кто что искал, кто кому что писал, какие логины и пароли вводил. Вот два примера, которые изменили представление о бесплатных VPN.
Opera VPN
Хорошо, если сервис честно признаётся, что продаёт данные. Например, компания SurfEasy, которую Opera купила для встраивания VPN в браузер, заявляла, что решение собирает информацию. Пусть и анонимную.
Opera интересует, как группы пользователей используют мобильные устройства. Эти данные она потом может предоставить исследователям и рекламодателям. Кому не нравится – в сад:
Мы понимаем, что такие условия подходят не всем, поэтому у нас есть отдельные платные сервисы.
Впрочем, SurfEasy подчеркнула, что о самих пользователях информацию не собирает. Всем сразу полегчало, конечно.
Но и это ещё не всё. Польский исследователь Михал Шпачек заявил, что на самом деле Opera VPN – это вообще не VPN. Разработчик увидел в интерфейсе строку «Защищенный прокси предоставлен компанией SurfEasy Inc.» и понял: что-то здесь не так.
Шпачек полез в исходный код и опубликовал результаты на GitHub. Разработчик утверждает:
Этот «VPN» Opera, по сути, просто является переконфигурированным HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищенным прокси” (а также именуют ее VPN, конечно).
То есть по сути Opera VPN защищает только HTTP и HTTPS трафик. Разработчики это подтвердили:
Мы называем наш VPN «браузерным VPN». Под капотом у этого решения – защищенные прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN.
И самое вкусное: даже если вы включили VPN в Opera, браузер всё равно раскрывает ваш реальный IP. Это известная проблема с WebRTC, которой подвержены многие браузеры.
Чтобы отключить WebRTC в Opera, можно установить WebRTC Leak Prevent. Но и он оставит публичный IP видимым, хотя локальный IP скроет.
Hola или Hole?
Другие, впрочем, не лучше. Например, VPN-расширение Hola продает пользовательский трафик направо и налево. К тому же содержит уязвимости удаленного выполнения кода. Это раскрылось в мае 2015 года, когда администратор интернет-доски 8chan сообщил о DDoS-атаке на сайт. Посетителей ресурса резко стало в 100 раз больше, чем обычно. Весь трафик направлялся на скрипт для постинга post.php (а сайт не использовал капчу!), и PHP-FPM упала.
Администраторы выяснили, что атаку проводили с использованием каналов пользователей с Hola. Их каналы скрыто перехватывала дочерняя фирма Luminati. В результате она располагала 9 млн уникальных выходных узлов. И зарабатывала на этом: не менее 20 долларов за первые 100 ГБ трафика.
И что, кого-то за это посадили или оштрафовали? Нет, конечно.
Hola просто добавила несколько пунктов в свой прайс-лист. Например, чтобы пользоваться VPN и не отдавать канал Luminati, нужно было заплатить 5 долларов в месяц.
При этом администраторы 8chan нашли в Hola такие дыры, как раскрытие уникального идентификатора пользователя и адресов некоторых функций, чтение произвольных файлов до NULL-байта, а главное – повышение привилегий до SYSTEM под Windows и удаленное выполнение кода. Их, конечно, быстро устранили, но сколько там ещё дыр, никто не знает.
А энтузиасты запилили сайт «Adios, Hola!», который показывал, почему стоило как можно быстрее удалить расширение Hola для браузера. Здесь предоставлялась информация о том, можно ли вас идентифицировать или выполнить код от вашего и привилегированного пользователя SYSTEM, а также являетесь ли вы exit-узлом.
Да, самое смешное. Hola официально ответила на обвинения:
Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
Действительно, все не идеальны. Пользуйтесь тем, что дают.
Hotspot Shield
Ещё один сервис, вокруг которого разгорелся скандал. Казалось бы, Hotspot Shield честно предупреждал, что показывает на каждой странице рекламу. Но всё оказалось гораздо опаснее.
Центр демократии и технологий (Center for Democracy and Technology, CDT) США обратился в Федеральную торговую комиссию США с жалобой на деятельность Hotspot Shield. В жалобе говорилось, что сервис нарушает собственную политику конфиденциальности.
Правозащитники установили, что Hotspot Shield отслеживает и перехватывает трафик, собирает данные о пользователях
Специалисты CDT провели совместное исследование с Университетом Карнеги-Меллона. Результаты неутешительные: сервис собирал MAC-адреса, IMEI, названия беспроводных сетей и другую информацию, которая деанонимизирует пользователей.
Исследователи оценивали работу не только сервера, но и клиентского приложения. Они провели реверс-инжиниринг клиента и нашли пять разных библиотек, которые могут задействовать для отслеживания пользователей.
Кроме того, на форумах помощи пользователи писали, что часть сайтов по-прежнему видит их реальный IP. Но техподдержка отмечала, что действительно при передаче данных по HTTPS не всегда соблюдается анонимность.
А HTTPS – это практически все нормальные современные массовые ресурсы.
И другие неприятности
VPN может внезапно отвалиться, а вы этого даже не заметите. Позитивный сценарий: если вы просто не откроете следующую страницу в браузере и обнаружите проблему.
Но что, если вы сознательно скрывали IP или передавали конфиденциальную информацию, а она вдруг утекла в открытый канал?
Чтобы VPN-соединение не отвалилось внезапно, стоит использовать утилиты вроде VPNetMon или VPNCheck. Первая следит за VPN-соединением, и если оно перестаёт работать, завершает выбранные вами приложения. Вторая при утере соединения либо завершает приложения, либо отключает сетевую карту. Чтобы уже наверняка ничего никуда не утекло.
Конечно, такое может произойти и с платными VPN. Но платные клиенты тщательнее тестируют и дорабатывают, так что вероятность ошибки гораздо ниже.
Что же делать
Пользоваться платными VPN. По крайней мере, там, где вы вводите личные данные и передаёте важную информацию. И тем более если вы часто пользуетесь Wi-Fi в общественных местах.
Платные VPN больше заработают на своём честном имени, чем на продаже трафика налево. К тому же обеспечат приличную скорость, позволят выбрать сервер в нужной стране и другие «плюшки». А если вы часто летаете за границу, делаете заказы в зарубежных магазинах или работаете с корейскими криптобиржами, подписка на VPN окупится сразу же.
Конечно, и в случае с платными серверами никто не застрахован от перехвата трафика. Так что избегайте старого протокола PPTP и ищите решения на новом OpenVPN, читайте рейтинги, отзывы и лицензионные соглашения, сравнивайте и не ведитесь на громкую рекламу.