Для чего используется VPN? Многие считают, что эти сервисы нужны только для доступа к запрещенным сайтам или для того, чтобы анонимно «полаяться» на форумах или в социальных сетях. И это относительно недалеко от истины[35] – анонимность и есть главное предназначение VPN-сервисов*. Однако изначально их придумывали для несколько других целей, например, чтобы защитить все транзакции или перекрыть доступ к финансовым данным пользователя. Считается, что, используя VPN*, вы делаете интернет по-настоящему свободным и безопасным, ведь используя эти туннели, можно действительно обходить некие региональные блокировки, причем «не палясь», то есть не демонстрируя присутствия своего компьютера в Сети.
Существует и некая классификация VPN-сервисов*, вернее, общепринятых есть даже две – по схеме подключения или по определенным параметрам. По первой классификации есть три типа сервисов по обеспечению анонимности подключения.
– Сервисы по обеспечению удаленного доступа. В этом режиме компьютер подключается к удаленному узлу, используя определенные входные параметры на сервере подключения. Используется такой тип для подключения сотрудников на удаленке – своеобразная мера по защите инфраструктуры различных организаций.
– Site-to-site – используется для подключения к удаленным веб-узлам, как правило заблокированным для доступа из конкретной страны, или же для обеспечения сетевой безопасности при работе с финансовыми инструментами.
– Client-server – достаточно редкий тип сетевого подключения VPN*, который используется в некоторых операционных системах, обеспечивающих анонимную работу пользователей в Сети. Таким образом, как правило, соединяются две виртуальные машины, как, например, в операционной системе Whonix.
Более продвинутое разделение различных VPN-сервисов предлагают эксперты по кибербезопасности, они делят популярные сервисы по уровню соответствия сразу четырем параметрам.[36]
– Уровень защиты создаваемого подключения. От интегрированных политик шифрования передаваемых данных напрямую зависит общая безопасность вашей сети. Чем выше уровень шифрования, тем выше общий уровень защиты создаваемого подключения.
– Способ реализации – интегрированный в операционную систему браузер или мессенджер или отдельно устанавливаемое ПО. Удобнее всего интегрированное решение, которое активируется парой кликов. Однако и отдельно устанавливаемое ПО имеет свои положительные качества, к примеру, оно шифрует весь трафик, а не выборочно, плюс его нельзя забыть включить или выключить при необходимости.
– Тип протокола подключения. Каждый из сетевых протоколов имеет свои особенности, положительные или отрицательные стороны. Глубокое изучение сетевых протоколов помогает избежать многих проблем, но стоит учесть, что все VPN* работают, как правило, на распространенных протоколах – TCP/IP, IPX или AppleTalk. Причем если первые два считаются универсальными, то последний сетевой протокол работает только в среде Apple OS и предназначен для компьютеров или смартфонов от компании Apple. Для обеспечения большей безопасности старайтесь использовать только те сервисы, которые построены на малоизвестных сетевых протоколах. Вероятность взлома такого соединения будет намного ниже, чем при использовании популярных в Сети протоколов для интернет-соединений.
Но вот вам ложка дегтя – VPN* не обеспечивает полной безопасности интернет-соединения. Все дело в тех же цифровых технологиях и протоколах связи. К примеру, широко распространенная технология WebRTC, которая и используется во всех без исключения программах по созданию зашифрованного соединения, входит в состав большинства веб-браузеров. И именно использование этого протокола и дает возможность доступа к зашифрованной передаче третьим лицам. Она позволяет третьим лицам определить настоящий IP-адрес пользователя, что в дальнейшем представляет собой серьезную угрозу конфиденциальности. Дело в том, что, имея доступ к веб-адресу, можно получить практически всю информацию о любом пользователе. Да, конечно, есть возможность улучшить защиту сети – например, комбинируя возможности VPN и браузера Tor, который тоже в одиночку не в состоянии обеспечить безопасность.[37][38]
Вот вам реальный факт – небезызвестный специалист по кибербезопасности Эдвард Сноуден в своих откровениях рассказал о том, как АНБ научилось взламывать систему шифрования большинства популярных VPN-сервисов*. То же подтвердили еще два эксперта – Алекс Хэлдерман и Надя Хенингер, которые заявили о возможностях взлома систем шифрования SSH, HTTPS и VPN* при помощи атаки Logjam, использующей в своем устройстве уязвимости алгоритма Диффи – Хеллмана.
Криптографический протокол Диффи – Хеллмана используется для безопасного обмена ключами в современных цифровых средах. С его помощью создается общий секретный ключ, который может быть использован для шифрования данных. Этот метод эффективен для защиты от пассивных атак на канал связи, но сам по себе не защищает от атак типа «человек посередине», если не применяется дополнительная аутентификация.
Вся уязвимость некоторых VPN-сервисов* заключается в методике шифрования – создатели таких программ, например, используют 1024-битное шифрование данных, что существенно уменьшает время, затрачиваемое взломщиком на перехват и дешифровку полученных данных в силу сужения вектора атаки. Таким образом, ключи, длиной короче или равные 1024 битам, находятся в «красной» группе риска; именно эта уязвимость и дает злоумышленникам возможность перехвата. Однако если удлинить ключи до 2048 бит, то канал получит весьма солидную схему шифрования, взломать которую будет не так легко.
Тем не менее, как говорил товарищ Сноуден, находиться в Сети под VPN намного безопаснее, чем без него, главное[39] – выбрать правильный сервис. В описании скачиваемой программы обычно указывают используемые сетевые протоколы; если вы увидите только SHA1, MD5, PPTP или L2TP/IPSec, не нужно даже скачивать этот VPN*, если заботитесь о своей безопасности. В частности потому, что эти протоколы используют хеширующие алгоритмы шифрования, а значит, предсказуемые – в кибербезопасности это может означать только уязвимость. Сноуден, в свою очередь, предлагает использовать протоколы OpenVPN* или SHA-2, а лучше всего использовать их в связке (первый шифрует трафик, второй – данные для авторизации пользователя). Конечно, его предыдущее место работы не позволяет нам верить ему безоговорочно и на слово, но прислушаться к его мнению стоит – он заявил, что эти протоколы очень сложно (если не невозможно) взломать, а также то, что они не передают ключи дешифровки открытым способом. Так что будьте аккуратны в подборе VPN* и не забывайте защищать свои данные не только при помощи криптографии.
Кейс публичных VPN-сервисов* иллюстрирует важность осознанного выбора и доверия к провайдеру в вопросах безопасности данных.
Новость от июля 2020 года: утекли 1,2 ТБ данных от семи провайдеров VPN*, при этом каждый из них заявлял отсутствие сборов логов. Первым на утечку обратил внимание Боб Дьяченко из компании Comparitech. Он выявил 894 Гб данных в открытом кластере Elasticsearch, принадлежащем сервису UFO VPN*. Эти данные включали пароли, сессионные токены VPN*, IP-адреса устройств пользователей и серверов VPN*, к которым они подключались, временные метки, информацию о местоположении, характеристиках устройств и версиях операционных систем. Впервые сервер был проиндексирован поисковиком Shodan 27 июня.
Примечательно, что в политике конфиденциальности UFO VPN* утверждается: «Мы не отслеживаем действия пользователей за пределами нашего сайта, а также не ведем учет их просмотров или подключений при использовании наших сервисов». Однако в реальности сервис как минимум фиксировал факты подключения.
По данным, в базу ежедневно добавлялось более 20 миллионов новых записей. Общее количество пользователей UFO VPN достигало 20 миллионов. Команда, занимавшаяся расследованием, обнаружила аналогичные утечки, связанные с семью VPN-сервисами*: UFO VPN*, FAST VPN*, Free VPN*, Super VPN*, Flash VPN*, Secure VPN* и Rabbit VPN*.[40]
Двойное дно шифрования
Коль скоро речь зашла о шифровании веб-трафика, необходимо поговорить и о шифровании содержимого ваших дисков. Ведь именно это интересует большинство злоумышленников мелкого и среднего уровня, промышляющих кражей информации с жестких дисков пользователей. Используя эти данные, злоумышленники могут предпринять целый ряд действий, направленных против тех, у кого эти данные похищены: шантаж с использованием компромата, найденного в файлах, создание нейросетевых изображений и видео определенной направленности (чаще всего этим промышляют «сетевые маркетологи» – так называют людей, создающих шумиху вокруг мошеннических способов отъема денег) либо создание дипфейк-медиа для целенаправленных атак против вашего окружения (подставляя при этом вас).
Но и производители операционных систем не зря едят свой хлеб – практически во всех операционных системах, распространенных по миру, есть функция шифрования данных на жестких дисках. В Windows эта функция называется Bitlocker, в iOS/MacOS есть FileVault, в среде операционной системы Android есть встроенный компонент FDE (он не дает прочитать информацию с накопителя, если не введен пароль или пин-код), а в Linux используется утилита LUKS. Все они имеют только одну цель – закрыть ваши данные от посторонних даже при взломе системы. Все они очень просто настраиваются и абсолютно не мешают вам полноценно использовать компьютер. Единственное, что вам потребуется для доступа к вашим данным – это пароль, который создаете вы сами, и забывать его нельзя. В противном случае диск спасти не удастся, как и данные на нем. Форматирование диска, использование средств восстановления информации (вплоть до PC-3000, способной вытащить информацию даже с «мертвых» жестких дисков) – все это будет лишь бесполезной тратой времени.