Как работают бесплатные VPN и насколько они безопасны

С февраля в России блокируют сайты: в список уже попали соцсети Instagram, Twitter и Facebook. Пользователи обращаются к VPN и часто выбирают бесплатные сервисы из-за высокой стоимости подписок или трудностей с оплатой.

Разбираемся, какие риски стоят за использованием бесплатных VPN-приложений.

Что такое и как работает VPN

VPN — виртуальная частная сеть, обеспечивающая соединение «поверх» обычного интернета.

Проще говоря: с помощью такой технологии можно посещать заблокированные ресурсы или скрывать от сайтов свое местоположение.

VPN придумали для организации удаленной работы, чтобы сотрудники могли безопасно подключаться к офисной сети из дома, во время командировки или работать из разных подразделений.

Что такое VPN? — TechCrunch

Технологию можно сравнить с длинным туннелем, через который идет весь сетевой трафик. В случае с VPN содержимое остается изолированным от остальных участников: сигнал идет через нескольких посредников до основного сервера, а затем возвращается — вновь через посредников.

С VPN интернет работает медленнее, так как у серверов не всегда хватает пропускной способности, чтобы, например, показать фильм в хорошем разрешении. Качество сервисов зависит от используемых протоколов и программного обеспечения, которые совершенствуются с каждым годом.

VPN не защищают конфиденциальность, не обеспечивают дополнительную безопасность и анонимность. При активации приложения VPN-сервер видит весь сетевой трафик — риски сохраняются, но переносятся на владельца сервиса или приложения.

Как настроить VPN

Сервисы делятся на платные и бесплатные, но платить придется в любом случае — либо деньгами, либо информацией.

Бесплатные приложения способны анализировать посещение сайтов или навязывать рекламные сообщения. Конечно, такое может случаться и с платными сервисами, поэтому перед оплатой сервиса стоит ознакомиться с политикой конфиденциальности и условиями обслуживания.

Какие минусы есть у бесплатных VPN

Подключаясь к VPN, вы отдаете весь трафик владельцу сервиса. Как он распорядится этими данными, узнать невозможно.

Но если с платной подпиской компания получает деньги, у нее меньше причин продавать информацию — а бесплатный VPN должен получать прибыль откуда-то еще. Ведь расходы на обслуживание серверов никуда не исчезают.

Специалисты по кибербезопасности не советуют использовать VPN для любой чувствительной интернет-активности. Ни один сервис не может дать гарантий, что не будет следить или передавать данные в коммерческих целях или по закону.

Почему не стоит использовать бесплатные VPN — Business Insider

Сервис может зарабатывать на данных пользователя. А именно — продавать информацию о трафике для целевых рекламных объявлений, пока вы подключены к VPN. Все действия и посещения сайтов могут быть записаны, а затем переданы третьим лицам.

Бесплатные VPN изобилуют рекламой, основанной на вашем поведении в браузере. Сервисы собирают и многократно перепродают сведения о том, чем интересуется пользователь и какие совершает покупки, а также сохраняют информацию об электронной почте и IP-адресах, что позволяет идентифицировать владельца данных.

Сервис не охраняет вашу безопасность и конфиденциальность. Если компания не берет плату за VPN, то, скорее всего, у нее нет денег на обеспечение защиты ваших данных либо она потратит на это лишь малую их часть.

По данным исследования Top10VPN, многие приложения не удаляют навязчивые разрешения и функции — специалистам удавалось обнаружить там примеры, связанные с камерой устройства, микрофоном и GPS-трекингом.

Местонахождение VPN

Юридическое «местонахождение» VPN отвечает за доступ к вашим данным со стороны властей. 10 самых популярных приложений в США принадлежат Китаю и Гонконгу, где подобные сервисы незаконны. Возникает вопрос, как эти приложения продолжают работать, если они не скомпрометированы, тем более что по законам Гонконга поставщики услуг должны сохранять журналы активностей пользователей.

Некоторые из этих приложений получают полный доступ к интернет-трафику пользователей, позволяют себе отслеживать их и отправлять их данные третьим лицам из Китая.

Среди собираемых данных о пользователе — список посещенных веб-сайтов, IP-адрес, включая местоположение пользователя, время, длительность просмотра сайтов, идентификаторы устройств и прочее.

Законы о хранении данных есть не только в Гонконге, но и в Великобритании, России и Ирландии. Это привело к тому, что журналы с активностью пользователей британских VPN открыто передавались правоохранительным органам. По этой причине многие сервисы регистрируются в Панаме и на Британских Виргинских островах.

Какие утечки уже случались

Все заявления о небезопасности бесплатных VPN подтверждались на практике — пользователи некоторых сервисов теряли данные и оказывались жертвами утечек.

Популярный сервис VPN Hotspot Shield собирал данные пользователей и перехватывал трафик, несмотря на заявления о «полной анонимности». Компания собирала cookies и сотрудничала с другими организациями в рекламных целях.

VPN-сервис перенаправлял трафик электронной торговли на партнерские домены. Когда пользователь подключался через VPN к интернет-магазину, приложение перехватывало HTTP-запросы и перенаправляло на веб-сайты с рекламой.

Большинство бесплатных VPN-приложений на Android тоже небезопасны. Исследователи изучили 300 сервисов: 84% из них перехватывали пользовательский трафик, 18% — не шифровали его, 38% — внедряли собственную рекламу или устанавливали рекламные приложения. Приложения Neopard, DashVPN и DashNet перехватывали пользовательскую активность, из-за чего администраторы приложений могли просматривать переписку клиентов в Gmail.

Meta уже не предлагает свои VPN, но в 2018 и 2019 году компания закрыла свои проекты Onavo Protect VPN и Facebook Research VPN из-за скандала с конфиденциальностью. Оба приложения собирали данные своих пользователей о том, что они смотрят в интернете.

В июле 2020 года эксперты по цифровой безопасности обнаружили в открытом доступе 1,2 Тб логов сервисов UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. В базе данных содержались незашифрованные пароли, IP-адреса устройств, данные о моделях смартфонов и идентификаторы устройств пользователей.

В 2021 году крупных утечек было сразу две. В марте в открытом доступе оказалась база с данными 21 миллионов пользователей сервисов Gecko VPN, Super VPN и Chat VPN. Среди них — сведения о мобильных устройствах, адреса электронной почты, пароли и информация о совершенных пользователями платежах.

В ноябре 2021 года на продажу в даркнете выставили базу данных 45 миллионов пользователей сервисов FreeVPN.org и DashVPN.io. В нее вошла информация с 2017 по 2021 год с адресами электронных почт пользователей, зашифрованными паролями, датами регистрации, обновлений профиля и последнего входа.

Такой набор информации дает мошенникам возможность взламывать другие ресурсы, где пользователи регистрировались с теми же данными, а также шантажировать клиентов VPN-сервисов посещаемыми ими запрещенными сайтами.

Если заполучить такие данные, их можно использовать для атак «человек посередине», когда злоумышленник перехватывает веб-сессии пользователей. Так они могут получить доступ к паролям и CVV-кодам банковских карт.