Уверены ли вы в том, что можете доверять своему VPN?

в 9:00, , рубрики: AnchorFree, ExpressVPN, vpn, информационная безопасность, Сетевые технологии

Сегодня виртуальные частные сети – обязательный атрибут приватности. Но попробуйте-ка определить, какие из них реально делают вашу жизнь безопаснее.

Уверены ли вы в том, что можете доверять своему VPN? - 1

Подобные советы дают все: от журнала Consumer Reports до газеты New York Times и федерального торгового комитета: если вы хотите, чтобы ваши действия в вебе оставались приватными и безопасными, рассмотрите возможность использования виртуальной частной сети, или VPN.

VPN шифрует интернет-трафик и перенаправляет его через удалённые сервисы, защищая ваши данные (историю просмотра страниц, закачки, сообщения в чатах) и маскируя ваше местоположение. VPN-сервисы давно уже пользуются популярностью у хакеров и пиратов, и неизбежно должны были стать массовым явлением – как блокировщики рекламы до них – поскольку средний пользователь интернета всё серьёзнее относится к приватности. Сложно найти надёжные данные по их использованию, однако два VPN сервиса недавно попали в 30 самых популярных приложений в Apple App Store, опередив таких серьёзных игроков, как Lyft, PayPal и Yelp. Один анализ этой индустрии оценил, что использовать VPN с 2016 по 2018 года стали в четыре раза чаще, а прогноз Global Market Insights говорит о том, что рынок VPN в США к 2024 году вырастет до $54 млрд.

Так может, и мне обзавестись VPN? Ведь я же пишу статьи на технические темы, и прекрасно знаю необоснованность наших предположений по поводу приватности в онлайне. Я периодически подключаюсь к небезопасным WiFi сетям в аэропортах или кофейнях, и хотя я никогда не скачивал пиратских фильмов, бывает, что я обхожу географические ограничения на веб-контент. Мне определённо не нравится идея доверять моему интернет-провайдеру Verizon все подробности просмотра страниц. И всё же много лет я сопротивлялся желанию подписаться, или даже подробно разобраться в технологии, которую многие эксперты по приватности и безопасности считают необходимой для безопасного просмотра страниц.

Однако, отправившись на поиски подходящего VPN, я столкнулся с неудобной проблемой: как определить, какому из множества VPN-провайдеров доверять.

Поиски достойного доверия VPN толкнули меня на извилистую дорожку, ведущую через обвинения и встречные обвинения, мимо компаний с невразумительным руководством и с конфликтом интересов, сайтов с рейтингами VPN, которые сами выглядят ещё подозрительнее, чем компании, обзоры которых они делают. Многие VPN кажутся явным мошенничеством. Другие делают доступ в интернет медленным. Бесплатные версии заваливают вас рекламой. Это настолько запутанный мир, что даже ведущие фирмы и эксперты не могут договориться даже о том, что составляет хорошую репутацию сервиса, не говоря уже о том, какие компании подойдут под это описание.

Директор одной из крупнейших VPN-компаний, AnchorFree, базирующейся в Кремниевой долине, рассказал мне в интервью по телефону, что подозревает, что один из его главных соперников тайно расположен в Китае – а это сразу вызвало бы возражения сторонников приватности из-за агрессивной слежки, осуществляемой режимом Китая. Один из директоров этого конкурента, компании ExpressVPN, настаивал, что это не так, хотя и отказался раскрыть местоположение владельцев компании и их личности. Компания зарегистрирована на Виргинских Островах. Он утверждает, что такая секретность – это даже хорошо, поскольку правительства не могут надавить на администраторов ExpressVPN и потребовать у них выдать данные пользователей, если не будут знать, кто они и где находятся. И многие пользователи в США действительно предпочитают иностранных провайдеров VPN американским.

Саму же AnchorFree обвиняют в том, что это бесплатный VPN, существующий за счёт рекламы, из-за чего некоторые эксперты высказывают опасения по поводу возникающего на этой почве конфликта интересов (компания также предоставляет и платный сервис). Обе компании указывают на соперничающие друг с другом обзоры, касающиеся доверия этим фирмам, каждый из которых из-за различных методологий склоняется в пользу той компании, которая его рекламирует.

«Количество соперничающей рекламы у этих компаний просто потрясает», — сказал Джозеф Джером, подробно изучавший VPN благодаря своей роли консультанта по политике в проекте "Приватность и данные", организованном Центром демократии и технологий (CDT). «Они мгновенно переходят на ножи».

Возможно, что AnchorFree, заявляя о китайском происхождении ExpressVPN, просто троллит компанию, но такой риск нельзя назвать вымышленным. 7 февраля, когда я работал над этой историей, сенаторы Рон Вайден и Марко Рубио призвали Министерство внутренней безопасности США начать расследование рисков того, что иностранные правительства шпионят за американцами через VPN.

Я просто хотел приватности в интернете, и не подписывался на драку на ножах.

* * *

VPN работают, перенаправляя ваше интернет-соединение через удалённые сервера, скрывающие ваше местоположение и усложняющие веб-сайтам задачу идентификации вас. Они также прячут вашу интернет-активность от вашего собственного интернет-провайдера, у которого в ином случае есть доступ практически ко всему, что вы делаете в сети – как и у, допустим, у какого-либо полицейского органа, получившего ордер на изучение ваших действий (или, если быть совсем параноиком, у разведывательного бюро).

Хотя VPN-сервисы не рекламируют этого напрямую, их можно использовать для обхода законов вашей собственной страны или ограничений правоторговцев, подключаясь через сервера, расположенные в другой стране. Доступ к развлекательному контенту – самая популярная причина использования VPN во всём мире, согласно отчёту от GlobalWebIndex 2018 года. Среди других популярных причин – доступ к соцсетям и новостям в тех странах, где они заблокированы (VPN особенно популярны в Китае, несмотря на официальный их запрет) и поддержание приватности во время просмотра сайтов.

Если вам нужен более сильный повод для использования VPN, в 2017 году Конгресс США отверг законопроект, который должен был запретить интернет-провайдерам отслеживать и продавать информацию о вашей активности в сети без вашего согласия. По сути, ваш интернет-провайдер теперь совершенно легально может заниматься майнингом ваших интернет-привычек с целью наживы.

В то же время окончание сетевой нейтральности в США открывает для провайдеров возможность запрещать или ограничивать доступ к определённому контенту или брать с вас больше денег за доступ к нему. VPN может предложить способ обхода ограничений – хотя, если они станут слишком популярными, провайдеры могут попробовать запретить и сами VPN.

VPN – не новое явление. Их появление восходит к 1995 году, когда программисты Microsoft разработали способ, позволявший бизнес-клиентам делать интернет-связь безопаснее. В 2000-х они начали набирать популярность среди разбиравшихся в технологиях физических лиц, ПО с открытым кодом помогло уменьшить их стоимость, а нашумевшие взломы привлекли внимание общественности к проблемам интернета с безопасностью. AnchorFree была основана в 2005, ExpressVPN — в 2009.

Но только в последнее время VPN-провайдеры стали очень популярными в мире технологий. Они раскрутились благодаря развитию небезопасных общественных WiFi сетей и онлайн-контента, доступного в одних странах, и недоступного в других. К примеру, британцы могли бесплатно смотреть Олимпиаду 2012 года по BBC, а в США её можно было смотреть только по платному кабельному телевидению. Популярный VPN-провайдер TunnelBear, основанный в 2011, был в марте 2018 куплен гигантом в области компьютерной безопасности McAfee, сумма сделки не разглашалась. В сентябре 2018 года AnchorFree получила инвестиций на $295 млн, что стало беспрецедентной суммой для VPN-стартапа. У неё есть все шансы стать первым VPN-единорогом – стартапом, который оценивается в $1 млрд – если этого уже не произошло. Директор AnchorFree Дэвид Городянский сказал мне, что по состоянию на февраль VPN его компании, Hotspot Shield, скачивают по 400 000 раз в день.

Сейчас самое удачное время для бума VPN. Что возвращает нас к этой неприятной проблеме доверия. Если так сложно оценить надёжность самых громких имён индустрии, вроде AnchorFree и ExpressVPN, то представьте, как сложно будет оценить вагон менее известных альтернатив. В январском исследовании сайта Top10VPN сообщается, что более половины 20 самых популярных VPN-приложений в магазинах для iOS и Android либо принадлежит китайцам, либо расположены в Китае. Это тем более подозрительно, учитывая, что в Китае в прошлом году VPN были официально запрещены. Если Китай позволяет им продолжать работать, возможно, это происходит из-за их сотрудничества с китайским правительством.

Используя VPN, вы доверяете этому сервису на таком же глубоком уровне, который обычно доступен вашему интернет-провайдеру. То есть, сервис теперь знает, чем вы занимаетесь, когда вы используете интернет. Эти сервисы могут сильнее концентрироваться на приватности, чем большие интернет-провайдеры, но ещё они меньше по размеру, менее прозрачны и несут меньше ответственности перед общественностью.

И хотя любой VPN-провайдер поклянётся вам в том, что больше всего его заботит ваша личная приватность, некоторые из них склонны указывать пальцем на своих конкурентов и утверждать, что тем нельзя доверять.

* * *

Так как же выбирать? Можно было бы начать с самого крупного провайдера – но практически невозможно узнать, кто он. Большая часть крупнейших фирм являются частными и не разглашают размер базы пользователей. Простейший способ стать крупным VPN-провайдером заключается в том, чтобы предложить бесплатные услуги – обычно при поддержке рекламы — и это ещё сильнее осложняет ситуацию. Бесплатные VPN также обычно ограничивают трафик и географию. Многие специалисты скажут, что от таких сервисов стоит держаться подальше, поскольку в таком случае интерес в сохранении приватности конфликтует с интересом подсовывать пользователям таргетированную рекламу.

AnchorFree, предлагающая бесплатную версию программы Hotspot Shield для пользователей Android, говорит, что в качестве мер по решению этого конфликта демонстрирует пользователям только общую рекламу Google, не использующую данных о пользователях AnchorFree. Реклама появляется периодически при использовании приложения, и её нужно просмотреть, чтобы продолжить просмотр сайтов. В бесплатной версии Hotspot Shield для iOS рекламы нет, но там ограничен трафик и подсоединение разрешено устанавливать только через серверы в США.

Что насчёт VPN с наилучшими отзывами? Есть десятки сайтов с отзывами, их обзоры часто противоречат друг другу, а критерии не всегда прозрачны. Два из наиболее уважаемых сайтов, где публикуются обзоры VPN, а именно PCMag и CNET, дали панамскому сервису NordVPN лучшие оценки, положительно оценивая скорость его работы, простоту использования и функции, связанные с приватностью. А два других, Wirecutter и Tom’s Guide, сочли NordVPN медленным и полным ошибок. И, как ExpressVPN, NordVPN очень старается скрыть истинных владельцев сервиса. Как отмечают в Tom’s Guide, компания является дочерней для панамского холдинга Tefincom S.A., которая, судя по всему, представляет собой шелл-компанию. И, как в случае с ExpressVPN, этой анонимности можно придумать оправдания.

ExpressVPN занимает по меньшей мере первое место на вершинах двух чартов, появляющихся на первых страницах поиска Google, TechRadar и TheBestVPN.com. Оба сайта подчёркивают хорошую скорость сервиса и удобство использования; ни один не упоминает факта сокрытия владельцев сервиса.

У Городянского, директора AnchorFree, есть идея по поводу того, почему его сервис не взлетает в рейтингах так высоко. Многие сайты с обзорами VPN зарабатывают на партнёрских ссылках, получая небольшие отчисления с каждого зарегистрированного пользователя, пришедшего по этим ссылкам к провайдеру. «У этих сайтов нет мотивации говорить правду», — утверждает он. Он заявляет, что они либо снижают оценку сервису Hotspot Shield, либо просто игнорируют его, поскольку не могут заработать деньги на рекомендации бесплатного сервиса.

Гарольд Ли, вице-президент и единственное публичное лицо ExpressVPN, защищает степень приватности своей компании, ставя её на уровень лучших в этой области, не вопреки непрозрачности компании, а благодаря ей. Он говорит, что это вопрос как безопасности работы, так и личной приватности. Так ли удивительно, что люди, создавшие одну из лучших виртуальных частных сетей ещё в 2009 году, будут тщательно охранять тайну своих собственных личностей?

Сам Ли работает в Гонконге, находящемся за пределами материкового китайского «Великого файервола», и не должен подчиняться обременительной интернет-цензуре. Команда ExpressVPN разбросана по всему миру, говорит Ли, и все заявления о том, что они базируются в материковом Китае или связаны с китайским правительством, неверны. «Если люди будут бросаться ничем не подтверждёнными обвинениями, то какой смысл описывать их», — сказал он. Также стоит отметить, что VPN-провайдер с нечестными намерениями стал бы предлагать бесплатный сервис для привлечения большего количества пользователей. ExpressVPN, стоимость которого разнится от $8 до $13 в месяц, является одним из самых дорогих на рынке, и не предлагает бесплатных версий, что добавляет им убедительности.

После выхода оригинала статьи Ли отправил в редакцию более подробное заявление, где отрицал любую связь с китайским правительством. «ExpressVPN по своей сути противостоит правительственной цензуре и слежке, и наш сервис каждый день помогает многим людям в Китае и по всему миру обходить цензуру, — написано там. – По этой причине китайское правительство периодически пытается блокировать наш сервис и удалить приложение из китайского App Store. Любые намёки на нашу связь с китайским правительством на 100% ложны».

Для установки доверия к ExpressVPN Ли предложил взглянуть на историю её работы. Он указал на международный инцидент, когда практика работа с данными в компании подверглась проверке. В 2017 году турецкое правительство конфисковало серверы ExpressVPN в рамках расследования трагического убийства российского посла Андрея Карлова. Власти надеялись, что данные смогут пролить свет на общение подозреваемого в убийстве и турецкого общественного деятеля Фетхуллаха Гюлена, скрывающегося в США. Однако на серверах не нашлось никаких логов, что доказывает утверждения ExpressVPN о том, что компания не ведёт записей деятельности пользователей.

Возможно, защиту лиц, подозреваемых в международном заговоре, не стоит записывать в плюс VPN-провайдеру. Некоторые члены VPN-индустрии считают, что такие факты подчёркивают сомнительную сторону продукта, который должен заниматься онлайн-безопасностью, а не помогать людям обходить законы.

Когда VPN прячет личности владельцев и регистрируется в офшоре, «обычно это происходит потому, что компания нарушает законы», — говорит Франсис Динья, сооснователь и директор OpenVPN, сервиса с открытым кодом, направленного на бизнес-клиентов. Динья посчитал притянутыми за уши обвинения ExpressVPN в связях с китайским правительством, и сказал, что владельцы сервиса прячутся, скорее всего, потому, что их сервис в первую очередь предназначен для пиратства или другой незаконной деятельности. С его точки зрения VPN в первую очередь нужно использовать для кибербезопасности, а не анонимности. Он отмечает, что VPN не помешает таким платформам, как Facebook и Google, идентифицировать и отслеживать вас другими способами, кроме определения IP-адреса.

Однако в мире безопасности эпизод с Карловым можно считать серьёзным доказательством: если ExpressVPN подходит для политических наёмных убийц, его услуг должно хватить и остальным людям. Многие VPN-провайдеры говорят, что не хранят логи пользовательских действий, но это заявление сложно подтвердить в отсутствии международных инцидентов, устраивающих им проверку.

Джером из Центра демократии и технологий (CDT) хорошо знаком с ExpressVPN. Чтобы подтвердить свои честные намерения, ExpressVPN в прошлом году вместе с четырьмя другими VPN-провайдерами организовала партнёрство с CDT для запуска инициативы, направленной на повышение доверия к VPN. Он составили список "признаков добросовестных VPN", предлагая другим провайдерам ответить на восемь вопросов, связанных с такими темами, как владение компанией, бизнес-модель и практики, связанные с приватностью. Вопрос по владению просит компанию раскрыть полное легальное наименование, все родительские компании и местоположение их штаб-квартир. Он не спрашивает только фамилий директоров компаний.

Джером на мой вопрос об управляющих ExpressVPN извинился и сказал, что не может ничего комментировать. «Мы работали с этими компаниями на доверии,- сказал он. – Наш итоговый продукт отражает некоторые из трудностей, с которыми мы столкнулись». Джером говорит, что он изначально надеялся провести более подробный аудит, но для этого потребовалось бы больше ресурсов и более тесная кооперация со стороны провайдеров. «Было очень сложно заставить их согласиться с тем, как мы будем их оценивать, и кто конкретно будет их оценивать, — сказал он. – Я думаю, все они считают себя честными игроками. Но я думаю, что присутствует страх того, что если люди заглянут к ним под капот, то увидят там что-то плохое».

* * *

AnchorFree не участвовала в проекте CDT. Она заказала свою версию аудита у немецкой компании AV-TEST, оценивающей антивирусы и ПО для безопасности компьютера. Неудивительно, что в её отчёте раскрытие информации о владельцах и управляющих компании стало основным критерием, а провайдеры ExpressVPN и NordVPN были раскритикованы за отсутствие прозрачности. AV-TEST также отметила те фирмы, которые выпускают ежегодный отчёт по прозрачности – а этим совсем недавно начала заниматься AnchorFree. А, и ещё AnchorFree попала на первое место среди провайдеров по скорости соединения.

Учитывая популярность бесплатного сервиса компании, агрессивный сбор инвестиций и партнёрство с такими компаниями как Samsung – чьи телефоны теперь поставляются со встроенное бесплатной версией Hotspot Shield VPN – AnchorFree, возможно, занимает наилучшую позицию среди компаний, пытающихся монетизировать бум популярности VPN. Однако она появляется не во многих рейтингах, частично из-за предубеждённости экспертов по отношению к бесплатному VPN, частично из-за плохих показателей в тестах скорости, проводимых сторонними компаниями.

Оказывается, самый серьёзный удар по репутации AnchorFree получила со стороны CDT в 2017 году, когда последний отправил жалобу в Федеральную торговую комиссию, утверждая, что Hotspot Shield вводит пользователей бесплатного VPN в заблуждение, записывая о них больше данных, чем это необходимо, а в некоторых случаях перенаправляя их на сайты рекламных партнёров. Городянский из AnchorFree называет эти заявления «прискорбным недопониманием», однако AnchorFree вскоре после этого изменила свои правила обслуживания. В 2018 году Комиссия опубликовала запись в блоге касательно преимуществ и рисков VPN, но никаких других действий с её стороны не последовало.

ExpressVPN почти выиграла долгожданную рекомендацию со стороны Wirecutter, опубликовавшего очень подробный и обширный обзор VPN. В тексте обзора встречаются намёки на то, что ExpressVPN могла бы занять и первое место, если бы не одно «но»: отказ раскрыть сведения о владельцах. Редактор Wirecutter Марк Смирниотис отметил, что ExpressVPN предложила организовать конфиденциальный разговор с владельцами, но он решил, что этого будет недостаточно для того, чтобы поменять его оценку.

Вместо этого Wirecutter порекомендовал менее крупный сервис IVPN, который, по заявлению автора статьи, «прекрасно справляется с вопросами доверия и прозрачности». Официально IVPN находится в Гибралтаре, который, как и Виргинские острова, принадлежит к Британским заморским территориям. VPN часто избирают в качестве базы оффшорные территории, поскольку они лежат за пределами прямой юрисдикции правительств главных мировых держав, а также редко обладают крупными агентствами национальной безопасности.

С ростом запроса на VPN у индустрии есть серьёзная мотивация на то, чтобы вырасти из фазы Дикого Запада. Шагом в этом направлении являются партнёрства с некоммерческими компаниями и аудиты, проводимые сторонними организациями. NordVPN недавно пошла по этому пути вслед за AnchorFree и ExpressVPN, заказав аудит у PricewaterhouseCoopers, чтобы подтвердить свои заявления о защите приватности пользователей. Однако подобные аудиты были бы гораздо более осмысленными, если бы их не запрашивали отдельные VPN-провайдеры. Такие люди, как Джером, пытаются продвигать стандарты индустрии, но пока что VPN-провайдеры уклоняются от аудитов, методологию которых они не в состоянии контролировать.

Более серьёзные изменения могут последовать, когда некоторые из лидеров рынка решат стать публичными компаниями или продаться таким компаниям. Конечно, публичные компании не застрахованы от сомнительных действий, но они должны подчиняться законам о публикации информации и проходить аудит. Другие провайдеры останутся частными компаниями, рискуя вызвать скептическое отношение к себе ради возможности оставаться в тени – или вне досягаемости правительств крупных держав.

Начиная эту статью, я думал, что выберу VPN, которому смогу доверять для личного использования. Прошло несколько недель, сделано десятки звонков, написаны тысячи слов – и не могу сказать, что я приблизился к чёткому выбору.

Одним из определённых выводов, кроме «держаться подальше от бесплатных VPN», будет то, что выбор VPN должен зависеть от того, для чего вы собираетесь её использовать. Если вы просто хотите безопасно использовать интернет, имеет смысл выбрать крупную американскую компанию, ясно рассказывающую о своих владельцах и о том, как она относится к пользовательским данным. Если вы хотите скачивать пиратские файлы с торрентов, смотреть заблокированный контент, убит посла или как-то ещё убежать от длинной руки вашего правительства (и других правительств, с которыми оно сотрудничает), лучше выбирать оффшорный VPN – если вы уверены, что у провайдера нет тайных связей с правительством, от которого вы пытаетесь скрыться.

Автор: Вячеслав Голованов

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js