;
Кейсы 11 декабря 2020

Опасность бесплатных VPN. Почему их нельзя скачивать и как защитить себя?

Далее

Мы привыкли получать интернет-услуги бесплатно. Но даже если вы счастливы поменять свои данные и просмотр рекламы на удобную электронную почту, облачное хранилище или оптимизацию изображений, эксперты советуют подумать дважды, прежде чем выбирать бесплатную услугу виртуальной частной сети (VPN — Virtual Private Network) наугад в Google Play или App Store. Объясняем, почему это опасно и как защитить себя.

Что происходит при подключении к VPN?

Когда вы подключаетесь к VPN, между вашим компьютером и сервером конечной точки создается зашифрованный туннель, который дает вам новый IP-адрес — возможно, в другой стране — и гарантирует, что ваш интернет-трафик не может быть расшифрован вашим интернет-провайдером или администратором ваша локальная сеть. Но многие бесплатные VPN работают не так, как должны, из-за утечки данных и даже активного слежения за своими пользователями.

«Три самые большие угрозы для бесплатных мобильных приложений VPN — это сбор данных; неполная защита; и вмешательство в разработку, потенциально ведущее к уязвимостям», — объясняет в интервью Wired Саймон Мильяно, руководитель отдела исследований Top10VPN.com.

В то время как основные коммерческие поставщики VPN, такие как Windscribe, TunnelBear и ProtonVPN, предоставляют бесплатные уровни безопасности для продвижения своих коммерческих услуг или даже в качестве общественного блага, они далеки от финансируемых за счет рекламы мобильных сервисов, которые чаще всего появляются в отчетах о сборе и неправильной обработке данных.

Что может пойти не так?

Одним словом, очень много. В июле 2020 исследователи из Comparitech обнаружили, что UFO VPN, провайдер из Гонконга, который утверждает, что не ведет журналов активности пользователей, хранящий не только эти данные пользователей, но и записи доступа и простые текстовые пароли в открытой базе данных.

После обвинений база данных была повторно открыта всего через несколько дней. UFO VPN уверяла, что проблема была «исправлена», однако редактор Comparitech Пол Бишофф говорит, что с тех пор он ничего не слышал о провайдере, даже после повторного раскрытия пользовательских данных.

UFO VPN — вместе с семью родственными компаниями, идентифицированными исследователем из VPN Mentor, оказались связаны с компанией Dreamfii HK Limited. Она предлагает как платные, так и бесплатные VPN, но наиболее известна своими бесплатными услугами, финансируемыми за счет рекламы. Компания уверяла, что действия пользователей не отслеживаются и записываются. Но как тогда объяснить ситуацию с UFO VPN?

«Мы всегда советуем читателям не пользоваться бесплатными услугами VPN, потому что они, как правило, имеют менее надежную политику безопасности и конфиденциальности», — добавляет Бишофф из Comparitech. — Многие провайдеры собирают данные пользователей, которые можно использовать для увеличения доходов от рекламы. это в корне противоречит цели использования VPN для обеспечения конфиденциальности. UFO VPN просто случайно раскрыл свои данные».

Несмотря на то, что такое внеконтрактное хранение и неправильное обращение с данными относительно редко раскрываются, у многих бесплатных мобильных VPN ненадежная политика обработки данных (или ее нет вовсе). И это лишь часть проблем, выявленных в анализе 2019 года Top10VPN.

Бесплатные VPN не обеспечивают конфиденциальность пользователей. Мильяно объясняет, что неправильно настроенная VPN может привести к утечке информации о ваших действиях в сети, даже если она успешно изменила ваш IP-адрес: «Когда мы впервые протестировали 150 лучших VPN-сервисов для Android в прошлом году, утечки составили до 25%. Приватность почти каждого десятого пользователя была нарушена».

Проблемной оказалась и Hola VPN, у которой более 50 млн установок на Android. «Учитывая очень высокий оборот таких приложений в магазинах — найти VPN, которая не сохранит вашу активность в браузере это настоящая лотерея».

Top10VPN также выяснил, что многие бесплатные VPN-приложения не могут удалить разрешения и функции, в том числе связанные с камерой устройства, микрофоном и GPS-слежением.

Как VPN связано с законом?

Очень важно, где находится ваша VPN, поскольку местные законы диктуют, к каким данным правительства и правоохранительные органы могут получить доступ. В июне этого года Top10VPN выделил несколько поставщиков бесплатных VPN с записями о конфиденциальности и безопасности, базирующихся в Китае или Гонконге. Учитывая недавние изменения в законах о безопасности Гонконга, которые требуют, чтобы журналы активности пользователей сохранялись поставщиками услуг, новость вызывает тревогу у экспертом по безопасности.

Ранее в Гонконге не существовало законов о хранении данных. Однако Мильяно и его команда обнаружили, что многие виртуальные частные сети в Гонконге принадлежат (и принадлежал) китайским компаниям. По его словам, этот факт «вызывает вопросы о том, насколько эт приложения конфиденциальны и какие данные доступны правительству».

Именно из-за законов о хранении данных в Гонконге, Великобритании, России и Ирландии, у многих поставщиков VPN, ориентированных на конфиденциальность, есть юридические штаб-квартиры в Панаме и на Британских Виргинские островах. Эти территории не являются частью международного правительственного надзора и соглашения об обмене разведданными, такие как альянс «Четырнадцать глаз».


Что такое альянс «Четырнадцати глаз»?

Состоящая исключительно из европейских стран за минусом США, Австралии и Новой Зеландии, ассоциация «Четырнадцати глаз» официально известна как SIGINT Seniors Europe (SSEUR). Это расширенная версия группы «Девяти глаз», дополненная такими странами, как Германия, Бельгия, Италия, Швеция и Испания.

Исходное соглашение о слежке, подписанное только между США и Великобританией, в настоящее время охватывает 14 стран. В соответствии с ним, эти страны не могут использовать полученные данные для шпионажа друг за другом, однако у них есть право использовать в своих интересах данные собственных граждан, собранных другой страной-участницей.


Требования к хранению данных в таких странах, как Великобритания, привели к тому, что журналы с активностью пользователей были переданы правоохранительным органам. Даже для самого законопослушного пользователя VPN само существование таких записей приводит к возможности раскрытия данных о активности, паролях и другой приватной информации, которую даже можно использовать против пользователя

Кто обещал приватность, но собирал ваши данные?

Facebook, который прекратил предлагать свои VPN, печально известен благодаря проекту Onavo Protect VPN, закрытому в 2018 году, и Facebook Research VPN, закрытому в 2019 году. Оба собирали данные о своих пользователях и о том, что они смотрели в Интернете.

Onavo, который преподносил себя как ориентированный на конфиденциальность поставщик VPN, обещал защиту просмотров, в то время как Facebook Research VPN явно отслеживал активность пользователей, предлагая за это оплату — $20 в месяц участникам в возрасте от 13 лет.

Обнародование деталей работы обоих сервисов прекратило их работу, но в марте 2020 года платформа Sensor Tower для аналитики приложений Android была уличена в использовании бесплатных VPN для сбора данных о том, какие приложения пользователи установили на свои телефоны.

И это не единственные примеры. В отчете TechCrunch за 2014 год отмечалось, что дочерняя компания Smart Sense выпустила VPN-приложение — ныне несуществующее VPN Defender — для проведения такой же инвентаризации установленных пользователями приложений.

Когда установленные приложения и привычки пользователей смартфонов регистрируются навязчивыми приложениями, эти ценные рыночные данные затем продаются разработчикам, издателям и другим лицам в сфере публикации приложений.

Что вы должны сделать?

Если вы используете VPN для обеспечения безопасности, то обращение к неизвестному поставщику услуг без политики прозрачности в качестве альтернативы вашему обычному интернет-провайдеру — плохая идея. Помните, что вы фактически выбираете другую компанию, которая сможет видеть все ваши действия, вместо того, кто предоставляет вам широкополосный доступ.

Даже если вы просто хотите переключить регионы, чтобы быстро взглянуть на то, что видят зрители Netflix в США, важно сначала подумать о том, какие еще данные о вас, вашем телефоне и ваших действиях вы передаете и кому.

Хотя золотым стандартом конфиденциальности является правильно настроенная конечная точка VPN, которую вы контролируете, это не нереалистичный сценарий для всех пользователей. Эксперты Wired уверяют, что коммерческие VPN-сервисы, не связанные с эксплуатацией данных, — даже бесплатные — действительно существуют.

Однако стоит помнить, что если у вас есть особый запрос или требования к услугам VPN, необходимо убедиться, что ваш провайдерим соответствует. Проверьте их политику прозрачности, ведения журналов и посмотрите, как они справлялись с судебными исками и проблемами безопасности в прошлом.

Читать также

Ледник «Судного дня» оказался опаснее, чем думали ученые. Рассказываем главное

Ученые нашли быстрый путь по Солнечной системе

Найдено предполагаемое царство исчезнувших хеттов. Что обнаружили археологи?

Загрузка...