Сегодня мы постараемся разобраться в особенностях работы VPN-сервисов, узнаем, безопасно ли использовать прокси и анонимайзеры, и расскажем, на что стоит обратить внимание при выборе VPN. Перевод заметки Vivaldi Technologies.
Прокси, VPN, приватность
Обычно соединение между вами и сайтом, который вам нужно открыть, проходит по следующему сценарию: ваш компьютер передает сигнал Wi-Fi роутеру (если, конечно, он у вас есть), из локальной сети сигнал попадает к местному, а затем к национальному провайдеру (которого в вашей стране может и не оказаться), затем к национальному провайдеру нужного вам сайта, затем к хостингу, на котором размещён сайт, и наконец к самому сайту.
Это и так слишком длинная цепочка! Но на самом деле всё может быть ещё запутаннее, и в зависимости от того, в какой стране вы находитесь, ваш трафик может пересечь ни одну государственную границу.
Без шансов на приватность
Если вы используете незащищённое http-соединение, каждый участник описанной нами цепочки видит каждое ваше действие: компьютеры, подключенные к вашей локальной сети, ваш провайдер и провайдеры каждого из участников цепи между вами и сайтом, спецслужбы всех стран, через который пройдёт ваш трафик, владелец хостинга, на котором размещён сайт. Все они могут отследить ваш трафик.
Защищённое соединение
Если веб-сайт поддерживает безопасное https-соединение и использует актуальные сертификаты и надёжное шифрование, данные, которые вы передаёте сайту, доступны только вам (вашему браузеру) и администрации сервиса.
Стоп! Так просто?
Не совсем… Чтобы установить соединение с сайтом, браузер сперва должен найти его IP-адрес. Для этого он использует службу DNS, обычно предоставляемую непосредственно провайдером. Другими словами, если кому-то всё-таки удастся отследить ваше соединение, в запросах DNS он сможет найти и домен открытого вами сайта. И пусть злоумышленникам уже не под силу расшифровать ваш трафик и узнать, что именно вы делали на этом сайте, но они точно знают, что вы на нём были.
Но даже если вы используете безопасный DNS-сервис, злоумышленники всё же могут узнать, к какому IP-адресу вы подключаетесь, когда открываете нужный вам сайт. А по IP-адресу они могут узнать и адрес сайта.
Что нужно знать о VPN?
Если вы задумались об использовании VPN, на то может быть две причины:
- Вы хотите скрыть свои действия от других участников локальной сети, провайдера или других посторонних лиц.
- Вам важна ваша конфиденциальность, и вы хотите скрыть свой IP от администрации случайных сайтов.
Строго говоря, VPN безопасно подключает вас к другой «локальной» сети (например, к рабочей сети вашего офиса). Когда ваш компьютер пытается подключиться к сети интернет, VPN-сервис шифрует данные и отправляет их на свой сервер. Там данные расшифровываются и отправляются непосредственно к нужному вам сайту. Ответ от сайта также пройдёт через удалённый сервер VPN и вернётся на ваш компьютер.
Если кто-то отслеживает ваше соединение, он уже не сможет перехватить ваши данные (поскольку теперь они зашифрованы) или узнать, к какому именно сайту вы подключались (в худшем случае он узнает лишь адрес сервера VPN).
Звучит неплохо. Значит, так и работают VPN-сервисы?
Нет. И тут на сцену выходит прокси…
Как работает прокси?
Прокси – это сервис, который совершает запросы от имени вашего компьютера. Прокси можно настроить непосредственно в браузере. В этом случае запрос от вашего браузера сперва попадает на удалённый прокси-сервер, а затем прокси-сервер передаёт его нужному вам сайту. Входящее соединение также проходит через удалённый.
В какой-то степени прокси действительно защищает вашу приватность, скрывая ваш IP-адрес от администрации случайного сайта. Однако, узнать ваш IP всё-таки можно. Если кто-то использует прокси для атаки на неугодный сайт, скорее всего, в этом обвинят администрацию сервиса. Поэтому в большинстве случаев владельцы прокси хоть и меняют ваш IP на свой, но всё же сообщают его сайту в виде заголовка (в оригинале — X-Forwarded-For header, — прим.), чтобы избежать возможных обвинений.
Разумеется, если вам нужно по-настоящему скрыть ваш IP, вы и сами можете отредактировать такой заголовок. Но, скорее всего, обман вскроется довольно быстро: сайт сверится со списком известных прокси-сервисов и обнаружит подмену.
Большинство прокси-сервисов могут без изменений передать сайту зашифрованный https-трафик. Расшифровать трафик без соответствующий сертификатов самого сайта администрация прокси не сможет. Следовательно прокси-сервисы могут работать и с https-сайтами.
Теоретически администрация прокси-сервиса может попытаться расшифровать ваш трафик. Но для этого им нужно будет подменить сертификаты безопасности. Браузер почти наверняка заметит такую подмену и сообщит об ошибке. Не игнорируйте сообщения об угрозах! Кстати, иногда прокси-сервис может предлагать установить свои сертификаты безопасности. Сканировать соединение могут и некоторые антивирусы.
Защищённые прокси-сервисы
Защищённые прокси обеспечивают безопасное соединение с сайтами, которые по каким-то причинам не поддерживают https-соединение. Другие пользователи вашей локальной сети уже не смогут увидеть, какие именно страницы вы посещали (что существенно повышает уровень вашей конфиденциальности). Злоумышленник увидит лишь подключение к защищённому прокси (выглядит оно точно также, как и подключение к безопасному сайту), а вот данные, которые вы передаёте сайту, будут ему недоступны. Правда, в этом случае прокси-сервис также передаёт ваш адрес в заголовке соединения, так что администрация сайта (при желании) может узнать ваш реальный IP-адрес.
Подобно безопасным сайтам, защищённые прокси-сервисы также используют собственные сертификаты безопасности, чтобы пользователь мог быть уверен в том, что подключается к нужному прокси. В противном случае злоумышленники могли бы подсунуть вам поддельный прокси и перехватить ваше соединение.
Анонимные прокси-сервисы
Анонимный прокси не указывает ваш IP в заголовке соединения. Другими словами, сайт уже не сможет узнать ваш реальный IP-адрес. Для него IP-адрес прокси-сервиса ничем не отличим от вашего реального IP.
Некоторые сервисы могут автоматически блокировать JavaScript и другие нежелательные элементы. Однако в этом случае, владелец такого прокси получит доступ ко всем вашим логинам и сможет видеть все данные, которые вы передаёте сайту (даже если сайт использует https-соединение). Угроза слежки со стороны сайта меняется на угрозу слежки со стороны владельца прокси-сервиса.
Казалось бы, анонимный и защищённый прокси-сервер должен решать все проблемы разом, но на деле всё намного сложнее: ваш компьютер отправляет DNS-запросы при подключении к сайту и CRL или OCSP-запросы про проверки сертификатов безопасности нужного вам сайта (если CRLSet недоступен), к тому же ваш браузер, проверяя сайты из черного списка, тоже может отправлять какие-то запросы, о которых вы даже не догадываетесь. С этой точки зрения VPN справляется со своими задачами гораздо лучше, чем прокси (однако и тут не всё так просто).
Ещё один недостаток анонимных прокси-сервисов заключается в их уязвимости перед собственными пользователями: если кто-то воспользуется прокси для организации атаки на неугодный сайт, вина полностью ляжет на администрацию прокси. Тем в свою очередь придётся регулировать скорость соединения или ввести обязательную регистрацию и сохранять информацию о соединениях пользователя. Вот и выходит, что защищаясь от хакеров, администрация прокси-сервисов ставит под угрозу конфиденциальность своих пользователей.
На что стоит обращать внимание при выборе VPN?
В большинстве случаев VPN – это вовсе не VPN, а лишь анонимный защищённый прокси, выдающий себя за VPN. Почти наверняка администрация сервиса обещает шифровать весь ваш трафик и защищать любое соединение с нужным вам сайтом, но почти всегда это будет «преувеличением»: в большинстве случаев они не смогут выполнить свои обещания, как не смогут и признаться в этом своим пользователям, ведь иначе те уйдут к прямым конкурентам. Такие VPN-сервисы не могут обеспечить полностью безопасное соединение с сайтом, поскольку контролируют далеко не все соединения вашего устройства.
Другим словами, в большинстве случаев VPN – это лишь защищённый прокси. Такое соединение безопасно лишь на отрезке пути между вами и сервером VPN. Если вы пытаетесь открыть http-сайт, то соединение между VPN-сервером и сайтом всё ещё может быть перехвачено. В этом случае VPN лишь добавит чуточку «конфиденциальности». К счастью, сайтов, которые до сих пор не обзавелись https-версией, осталось не так много.
Но HTTPS — это немного больше, чем просто шифрование. HTTPS гарантирует, что вы находитесь именно на том сайте, которому принадлежит сертификат безопасности, а не на его «двойнике». VPN не может проверить сертификаты, а без этого сервис не может гарантировать вам полную безопасность.
Как повысит уровень конфиденциальности?
Когда речь заходит о VPN, говорить нужно не о безопасности, а о конфиденциальности. Ведь именно для повышения конфиденциальности и созданы все эти прокси и VPN-сервисы.
Основное отличие безопасного прокси от прокси-VPN заключается в том, что прокси-VPN в сочетании с обычным VPN-сервисом может перехватить и защитить весь ваш трафик (прокси защищает лишь трафик вашего браузера). Также VPN может перехватывать DNS, OCSP, CRL и любой другой случайный трафик, генерируемый браузером (такой трафик никак не связан с соединением с сайтом и используется, например, для защиты от вредоносных программ). В некоторых случаях безопасный прокси может значительно снизить количество необязательных запросов, но в некоторых случаях прокси бессилен. Поэтому VPN, работающий по принципу прокси, всё же надежнее, чем безопасные прокси-сервисы.
Браузерный VPN
Если VPN работает в виде расширения для браузера – это верный признак того, что на самом деле перед вами не VPN, а всего лишь анонимный безопасный прокси-сервис, который лишь притворяется VPN. Но это вовсе не плохо! Просто вы должны понимать, что такой сервис имеет ряд ограничений, которые не дадут ему защитить весь ваш трафик. Возможно, сервис не сможет защитить DNS-соединение (хотя это далеко не всегда так) или контролировать проверку сертификатов безопасности. Другими словами, такой сервис всё же может скрыть большую часть вашего трафика, но часть информации всё равно останется незащищённой, и если кто-то попытается отследить ваше интернет-соединение, ему, возможно, удастся узнать, какие именно сайты вы посещали. А ведь это существенный удар по вашей приватности!
Обычный VPN справляется с защитой конфиденциальности намного лучше, чем браузерные расширения. Такие сервисы перехватывают весь трафик с вашего компьютера. Защитить лишь некоторые приложения (например, только браузер или только почтовый клиент) не выйдет. Настроить этот параметр нельзя: либо весь трафик проходит через удалённый VPN-сервер и шифруется, либо весь трафик идёт напрямую к сайту.
Но в целом любой из указанных способов защиты конфиденциальности работает достаточно эффективно. И прокси, и браузерный VPN способны скрыть ваш IP-адрес от посторонних и защитить вас от большинства угроз.
Несколько советов:
- Отключите плагины. В некоторых случаях некоторые из них могут раскрыть ваш реальный IP-адрес.
- Если вы используете браузер Vivaldi, зайдите в Настройки → Приватность → Транслировать IP для лучшей производительности WebRTC и запретите передавать ваш IP-адрес.
- Почаще удаляйте файлы cookies или воспользуйтесь приватным режимом. Файлы Cookies также могут быть использованы для идентификации и слежки. К счастью, их можно полностью заблокировать.
- Оставайтесь с нами, а мы постараемся чаще затрагивать вопросы конфиденциальности и безопасности в следующих публикациях в нашем блоге.
Тарквин Уилтон-Джонс,
Vivaldi Technologies
17 апреля 2018 г.