Бесплатный впн чем опасен
Бесплатный VPN: 7 причин, почему его не стоит использовать
Давайте начистоту: на постсоветском пространстве не особенно любят платить за любые интернет-блага. Это, в том числе, касается VPN-сервисов, которые на фоне внушительного числа запретов становятся все более популярными. Многие отдают предпочтение именно таким, не понимая всех рисков, которые могут быть с этим связаны. Они видят изменение отечественного IP-адреса на любой иностранный и получают возможность зайти туда, куда раньше нельзя было. Что еще нужно для полного счастья? На самом же деле, VPN-сервис — сложный продукт, от надежности которого напрямую зависит безопасность конкретного пользователя.
💡 Интересный факт: в июне 2020 года издание Security провело опрос 700 взрослых американцев и выяснило, что 68% из них пользуются VPN-сервисами. При этом 29% подчеркнули, что отдают предпочтение бесплатным вариантам и не понимают, зачем платить за то, что можно получить «просто так».
1. Сомнительные владельцы
Большинство бесплатных VPN-сервисов работают через Китай, который неоднократно признавался наиболее сомнительным в вопросе конфиденциальности личной информации. Сознательные пользователи не станут доверять ему свои данные добровольно, но пока еще не все из них осведомлены о возможных рисках.
Многие бесплатные сервисы не раскрывают даже малейшую информацию по поводу своей деятельности. Они подсовывают неопытным юзерам условия своего использования, которые часто не имеют ничего общего с объективной действительностью. Обычно в них отсутствует очень важный пункт, который указывает на отсутствие журналов, хранящих пользовательских данные. Подобное замечание, напротив, обычно есть в подавляющем числе платных VPN-сервисов. Они акцентируют внимание именно на том, что каждый бит информации, который прошел через них, не попадет в третьи руки. Но за такие, конечно же, попросят определенную оплату на регулярной основе.
В июне 2020 года ресурс Top10VPN опубликовал отчет анализа наиболее популярных бесплатных VPN-сервисов в США. Как выяснилось, вся верхняя десятка, в том или иной мере, имеет китайские корни. Это особенно интересно на фоне того, что в Поднебесной подобная деятельность вообще запрещена.
«В Китае VPN-сервисы вне закона, и данный запрет строго соблюдается. Это вызывает вопросы о том, как эти приложения могут продолжать работать. Единственное, они могут быть каким-либо образом скомпрометированы: например, через передачу властям данных о трафике своих пользователей».
2. Продажа личных данных
Если компания предлагает свои услуги бесплатно, это отличный повод задуматься, зачем она вообще может это делать. Быть может, главный товар, реализацией которого она занимается, — это не VPN-сервис, а конкретный пользователь или целая база с непрерывным потоком любопытного трафика?
Несмотря на то, что VPN-сервисы обычно предназначены для того, чтобы защитить пользовательский трафик и скрыть его от рекламного отслеживания, бесплатные этим не могут похвастаться. Обычно они участвуют в сборе отдельных данных и результатов анализа активности, которые можно продать на специальных предназначенных конкретно для этого биржах. Кроме рекламодателей, которые, в первую очередь, заинтересованы в подобной информации, на них могут попасть и другие лица. Если первым, по большому счету, важен именно объем и анализ данных, другие могут иметь более персонализированные цели.
Запомните: разработчики не работают бесплатно. Если за VPN не просят деньги и он не показывает рекламу, значит, вы расплачиваетесь другим образом.
Если на баннерах от популярных поисковых сетей, в таргетированных и контекстных запросах все чаще появляется именно та информация, которую вы когда-либо искали под «защитой» VPN-сервиса, можете с полной уверенностью осознать, что эти данные были слиты именно нерадивыми владельцами. Это особенно часто случается, когда у них нет других средств для монетизации вложенных сил и ресурсов. К примеру, если вы радуетесь, что в бесплатном VPN-сервисе нет рекламы, нужно тут же задуматься: на чем именно зарабатывают те, кто им занимается. Альтруистов в этом вопросе, поверьте, нет.
Одним из наиболее небезопасных бесплатных VPN-сервисов, которые часто попадают в топы антирекомендаций (например, TheBestVPN), называют Hola. У него более 50 миллионов уникальных установок, но очень спорная репутация. Известно, что он торговал данными своих пользователей на бирже Luminati.
3. Низкая безопасность
Если VPN-сервис не взимает с пользователей оплату своих услуг, это говорит о том, что его делают энтузиасты без больших знаний и существенных ресурсов. Эксперты в теме обычно говорят, что такие используют «грязный» подход к разработке, — выглядят достаточно плохо как снаружи, так и «под капотом».
Когда такие ресурсы попадают на мобильные или другие устройства в виде приложений, они часто запрашивают очень много разрешений: использование камеры, микрофонов, геолокации и так далее. Для чего все это нужно? Без причины: владельцы просто не убрали все это из соответствующего списка.
Бывает, что у создателей бесплатного VPN-сервиса не было злого умысла. Начинающие разработчики могли не обратить на подобные нюансы должного внимания или просто упустили такой вопрос из своего кругозора. Но что будет, если контроль над подобным инструментом случайно попадет не в те руки? Очевидно, ничего хорошего. Случайное приложение с полным набором разрешений станет огромным пробелом в безопасности гаджета, которым смогут пользоваться недоброжелатели. Плюс, они также завладеют потоком сомнительного трафика, который, в том числе, может включать и важную финансовую информацию.
4. Низкое качество сервиса
Кроме откровенно опасных последствий использования бесплатных VPN-сервисов могут быть и не настолько страшные. Яркий пример — сомнительное удобство использования и отсутствие всякой поддержки. Когда сервис не обеспечен монетизацией и распространяется абсолютно свободно, его владельцам даже предъявить нечего.
Они не обязаны вовремя обновлять его по мере апдейтов операционных систем на ключевых устройствах, не озадачены улучшением юзабилити, отвечают на запросы в службу поддержку, если такая вообще есть, крайне медленно и не особенно регулярно.
Все это особенно чревато для не самых опытных пользователей. Представьте, к примеру, что поставили что-то такое своим родителям или другим пожилым родственникам. Они будут регулярно задавать вам самые разные вопросы по поводу использования VPN-сервиса, и вы будете тратить на решение проблем свои время и нервы. Нормальный инструмент для запуска обычно предлагает нажать только одну кнопку. Но ни на что подобное не стоит рассчитывать, если вы не платите за это деньги. Придется разобраться со всеми нюансами инструмента самостоятельно и постараться не сойти после этого с ума.
5. Ограничения по трафику
Нередко VPN-сервисы только маскируются под бесплатные. Они предлагают начать пользоваться ими в полной мере, но спустя время сообщают, что за дополнительный трафик придется заплатить. Это, к примеру, касается TunnelBear или VPN Proxy Master, которые считают достаточно надежными.
Бесплатно они обычно предлагают до двух или трех гигабайт ежемесячного трафика. Если этого достаточно, вполне можете не платить. Но сегодня такого объема обычно крайне мало, поэтому в итоге все равно придется не раз столкнуться с оповещением про то, что для дальнейшего использования VPN-сервиса придется раскошелиться.
6. Медленная и нестабильная работа
Для того чтобы VPN-сервис работал быстро и стабильно, он должен использовать большое количество различных серверов в разных странах мира. Платные обычно автоматически подключают пользователей к наиболее свободному варианту, чтобы они испытывали как можно меньше проблем.
Более того, часто они также дают выбор из нескольких серверов в конкретных странах, что также может понадобиться в определенных сценариях использования. Конечно, все это никак не касается бесплатных инструментов, которые ограничены в ресурсах и не предоставляют подобного удобства и свободы.
Из-за большой нагрузки серверы могут работать медленно и неуверенно. Частенько бесплатные VPN-сервисы вообще сообщают пользователю, что подключение конкретно в данный момент времени невозможно, поэтому нужно подождать неопределенное количество времени. Нередко они также показывают, что подключение успешно, но не работают или выдают крайне низкую скорость. Конечно, положительных эмоций это явно не вызовет. Поэтому, если VPN-сервис нужен вам на постоянной основе, если вы пользуетесь им в профессиональных целях, лучше выбирайте качественный платный вариант.
7. Навязчивая реклама своих услуг
В конце концов, чтобы оплачивать расходы и зарабатывать, владельцы бесплатных VPN-сервисов нередко подсовывают своим пользователем партнерскую рекламу или активно занимаются продвижением своих дополнительных услуг. Конечно, на удобстве это также сказывается далеко не самым позитивным образом.
VPN-сервисы были призваны помочь пользователям. Как их использование стало губительным для компаний и обычных людей?
Фото: Bill Cheyrou / Legion-media.ru
VPN-сервисами пользуются не только энтузиасты, скрывающие собственные данные и одержимые проблемами безопасности, но и обычные юзеры, стремящиеся обойти блокировки. Несмотря на то что многие ресурсы вновь стали доступными, привычка использовать VPN осталась: пользователи надеются, что в эпоху неанонимных социальных сетей и постоянного трекинга данных эти приложения хоть как-то их защитят. Однако на деле все оказывается иначе: VPN-программы сами оказываются небезопасными для юзеров, а массовые утечки данных их пользователей происходят все чаще. Почему анонимайзеры и VPN-сервисы не дают анонимности и защиты и чем чреваты сливы данных — разбиралась «Лента.ру».
Громкое дело
В начале ноября 2021 года в общем доступе оказались данные 45,5 миллиона пользователей VPN-сервисов DashVPN и FreeVPN, в том числе 795,7 тысячи россиян. В базе, которой торговали на теневых форумах, были электронные адреса, пароли, даты регистраций, обновлений и входа в систему — все данные за последние четыре года. Это более половины всей пользовательской базы приложений — их общая аудитория оценивается в 75 миллионов человек. База была оставлена на незащищенном сервере.
За полгода до этого, весной 2021-го, в сеть утекли данные пользователей бесплатных SuperVPN, GeckoVPN и ChatVPN — под ударом оказалась информация о 21 миллионе человек. А летом 2020-го в открытом доступе оказалось 1,2 терабайта данных пользователей VPN-сервисов: адреса, пароли, данные об устройствах, IP-адреса и даже реальные адреса проживания. Под угрозой оказалось более 20 миллионов пользователей Free VPN, Super VPN, FAST VPN, Flash VPN, Secure VPN, Rabbit VPN и UFO VPN. Все эти сервисы не требовали регистрации со стороны юзеров, но постоянно следили за их активностью и сохраняли эту информацию. По мнению экспертов, среди жертв утечки могли оказаться сотни тысяч россиян. Подобные базы используются для мошенничеств и хакерских атак: преступники могут завладеть любой информацией — вплоть до платежных данных, которые вводятся на сайтах.
По словам аналитика Positive Technologies Яны Юраковой, частные лица используют бесплатные сервисы, которые не дают гарантий того, что предоставленные пользователями данные будут храниться безопасно. С каждым годом VPN-сервисы набирают все большую популярность, их аудитория сильно расширяется. Последние два года этому явлению способствовала пандемия коронавируса. Сотрудники компаний используют эти сервисы для удаленного подключения к рабочему компьютеру, а обычные пользователи в основном обращаются к VPN-сервисам для того, чтобы посетить заблокированные регуляторами ресурсы, например, как это было во время блокировки мессенджера Telegram.
Фото: Mike Segar / Reuters
Эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Галов уверен, что к выбору VPN-решения следует подходить ответственно. В сети можно найти подробное сравнение VPN-сервисов по множеству параметров, включая и технические, и организационные. Предпочтение, считает Галов, лучше отдавать коммерческим сервисам от известных разработчиков: с ними личные данные пользователя с большей вероятностью будут в безопасности. Платный сервис зачастую предполагает больше ответственности со стороны разработчика.
Но участившиеся утечки и сливы баз данных многочисленных сервисов указывают на их небезопасность: пропажа или продажа информации о пользователях — фактически гарантированный исход использования бесплатных сервисов. Использование приложений и программ не может быть безвозмездным: если человек не платит за услугу деньги, то практически всегда этой платой является он сам — его идентификаторы и персональные данные. Администрация подобных сервисов готова продавать базы кому угодно, чтобы заработать. Впрочем, и плата за сервис не гарантирует сохранности данных.
Часть разработчиков предлагает свои VPN-решения бесплатно или за небольшую стоимость. Однако создание и поддержка инфраструктуры VPN-сервиса, обеспечение безопасного хранения данных требуют ресурсов. Бесплатные решения могут содержать уязвимости в исходном коде, а базы данных для хранения пользовательской информации — не отвечать даже минимальным требованиям безопасности. В некоторых случаях владельцы таких сервисов рассчитывают получить прибыль за счет продажи пользовательских данных, поэтому вопросы безопасного хранения данных не являются для них приоритетом
Опасное поведение
Слитые базы активно используют киберпреступники. Серия нападений на компании, использующие в своей инфраструктуре VPN-сервисы, началась несколько лет назад, и с тех пор эти атаки лишь набирают обороты. В период пандемии и всеобщего удаленного доступа фиксировалось рекордное нападение на серверы в периметре крупных компаний. Отказ от этой технологии, с одной стороны, увеличивает потенциальные риски захвата; но с другой — бреши в этом инструменте стали новым «тайным ходом» для злоумышленников.
В ноябре 2021 года Федеральное бюро расследований США сообщило об APT-группировке, которая взламывала внутренние сети и системы компаний, эксплуатируя уязвимость нулевого дня в устройствах FatPipe MPVPN. Брешь в защите затронула и другие продукты — WARP и IPVPN. Эти серверы VPN устанавливаются в корпоративных сетях, в первую очередь для удаленного доступа к внутренней инфраструктуре. Хакеры не только получали его, но и могли установить оболочку с корневым доступом, загружать файлы в прошивке. Использование этой уязвимости послужило отправной точкой для хакеров.
Фото: Tomohiro Ohsumi / Getty Images
Месяцем ранее группировка Groove выложила на форуме русскоязычных хакеров данные полумиллиона устройств Fortinet. Архив объемом 7,5 мегабайта опубликовал юзер SongBird — этот псевдоним использует администратор RAMP и экс-участник хакерского объединения Babuk. Сообщалось, что данные для доступа были проверены перед обнародованием, — и оказались действительными. Получены они были с использованием уязвимости обхода пути (Path Traversal) CVE-2018-13379 — она позволяла скачать системные файлы неавторизованным пользователям. Эта и еще две уязвимости активно эксплуатировались преступниками еще с весны: тогда Агентство по безопасности цифровой инфраструктуры и Федеральное бюро расследований заметили активность хакеров и предупредили использующих устройства Fortinet о происходящем и даже дали рекомендации по предотвращению кибернападений.
«Участники APT могут использовать любую или все из этих уязвимостей для получения доступа к сетям в нескольких важнейших секторах инфраструктуры, чтобы получить доступ к ключевым сетям в качестве предварительного позиционирования для последующей эксфильтрации или шифрования данных», — сообщили сотрудники ведомств. Так, в апреле текущего года сотрудники Kaspersky ICS CERT расследовали серию атак, организованных с помощью шифровальщика Cring: жертвами стали европейские предприятия, некоторые из них даже были вынуждены временно приостановить работу. Вирус также использовал уязвимость в VPN-серверах от Fortigate, в результате преступники получали логины и пароли доступа. Захватив контроль, хакеры вымогали выкуп в биткоинах.
Всего сообщалось об отслеживании 12 семейств вредоносных программ, связанных с использованием VPN-устройств Pulse Secure. В компании FireEye, специализирующейся на предоставлении решений и услуг сетевой безопасности, преступников окрестили чрезвычайно изощренными. «Это сочетание традиционного шпионажа с некоторым элементом экономического воровства. Мы уже подтвердили эксфильтрацию данных во многих сферах», — заявил тогда Reuters источник в сфере кибербезопасности.
Уязвимости в VPN-серверах порой признают и их администрации. Так, в начале 2018 года известный финский сервис NordVPN оставался незащищенным, — что в этот период происходило с ним, определить проблематично, однако хакеры абсолютно точно получили тогда к нему доступ. Спустя полтора года в NordVPN признали взлом сервера: по словам его представителей, в дата-центре установили систему удаленного доступа, не имеющую должного уровня безопасности. Тогда специалисты уверяли, что преступники могли получить доступ только к истории просмотров.
«Организации не готовы к этим инцидентам»
Эксперты констатируют, что компании действительно не знают, как правильно настроить безопасность VPN, а киберпреступники активно этим пользуются. Число атак, нацеленных на уязвимости VPN, постоянно растет. «Организации не готовы к этим инцидентам» — заявил старший консультант по реагированию на инциденты компании Mandiant Барт Ванаутгерден. Специалист заметил, что сотрудники нередко технически не готовы к решению подобных проблем. Как известно, уязвимости VPN-сервисов использовались многочисленными киберпреступными группами: только в последнее время было зафиксировано около десятка хакерских спецопераций — от кибершпионажа до банального вымогательства.
VPN — это технология, с помощью которой пользователь может зашифровать передачу данных и таким образом защитить их от злоумышленников. При этом сама по себе эта технология не является ни хорошей, ни плохой — важно то, с какой целью ее используют люди. VPN будет полезна, например, если человек захочет воспользоваться публичной Wi-Fi-сетью. При этом от целого ряда киберугроз VPN не поможет: такая технология не защитит от вредоносного ПО, фишинга или цифрового мошенничества. Поэтому VPN не является синонимом безопасности
Но если для компаний использование VPN для удаленки является вынужденной мерой, так как пандемия заставила вывести сотрудников из офисов, то для частных лиц использование сервисов становится неоправданным риском. К тому же в рамках компании над вопросами сохранения конфиденциальности и целостности инфраструктуры работают целые команды специалистов, а обычного пользователя интернета от слива данных фактически никто не защитит. И тогда после использования бесплатной программы все данные — от паролей до платежных данных — вполне возможно окажутся товаром на хакерских форумах.
Почему бесплатные VPN опасны?
У каждого своя история о том, как он первый раз встретился с VPN. Многие просто пользовались им на постоянной основе, а другие даже не поняли для чего это вообще нужно. Тем не менее VPN позволяет не только спрятаться в сети, но и обойти многие региональные запреты, и даже сэкономить деньги. Например, многие сайты и сервисы просто недоступны на территории России. Посетить их без VPN не получится. Иногда некоторые сервисы, например, по продаже билетов устанавливают разные цены для жителей разных стран. В этом случае VPN позволяет притвориться жителем другой страны и получить более низкую цену. Ну и, конечно, не стоит забывать о безопасности, которая при использовании VPN существенно выше, особенно в сетях, предоставляемых в общественном месте. Все это VPN, который иногда просто незаменим.
VPN важен, как для компьютера, так и для смартфона.
Какой VPN выбрать для смартфона
В первую очередь, стоит понимать, что бесплатный сыр только в мышеловке и вас легко могут обмануть. Несколько примеров этого мы уже приводили. Любой крупный сервис VPN представляет из себя огромную мировую сеть серверов и вычислительных центров. Все это стоит очень больших денег и, как бы нам этого не хотелось, никто не будет платить эти деньги за нас, тем более, что один сервер стоит около 200 — 500 долларов в месяц. В итоге, за всю сеть набегает стоимость в несколько сотен тысяч долларов в месяц и это не считая обслуживания, разработчиков, дизайнеров, создателей приложения и поддержания работоспособности. Создатели сервиса все равно заработают и получат свои деньги, вопрос, как?
В частности, они могут подворовывать ваши данные, которые проходят через них. Совсем не обязательно это будут данные банковских карт и платежных приложений. Это уже мошенничество и связываться с этим никто не будет. А вот проанализировать ваш трафик и продать данные рекламным сервисам — это запросто. Кроме этого, могут быть перехвачены ваши контакты, которые тоже найдут, как использовать.
Если у вас украли смартфон, найти его можно. Надо только следовать этой инструкции.
Платные сервисы в этом плане являются совсем другим делом. Они дорожат своей репутацией, так как беря плату с пользователей, заработают больше, чем на стороне. Если цена небольшая, проще заплатить и получить доступ к безлимитному трафику на большой скорости.
Хороший VPN это несомненно благо.
Минусы бесплатных VPN
Кроме перечисленных выше проблем с безопасностью, которые обязательно сопровождают бесплатные сервисы VPN, есть и другие причины не пользоваться ими.
В первую очередь, среди таких причин стоит назвать меньшее в сравнении с платными аналогами количество серверов. Это приводит к медленной и нестабильной работе, а также к невозможности выбрать серверы в некоторых странах мира, которые могут понадобиться. Это важно, ведь к стабильности за последнее время мы уже привыкли и у нас есть повод.
Кроме рекламодателей, ваши данные могут попасть и у другим лицам. Они в некотором роде попадают на биржу и получит их тот, кто за них заплатит. Во многих случаях вы об этом не узнаете, но понять, что информацию о ваших запросах получили рекламодатели, можно, если в выдаче начнет появляться информация на основании ваших поисковых запросов.
Кроме этого, бесплатные сервисы очень часто сами закидывают вас рекламой, даже не давая возможности пропустить ее. В сочетании с невысокой скоростью работы, это может привести к тому, что нужную страницу вы дождетесь очень не скоро.
А ещё большинство бесплатных сервисов работает через Китай, который уже много лет признается главным “наплевателем” на конфиденциальность информации. Не многие захотят передавать туда свои данные.
Примерно так, по защищенному туннелю несутся в Сети ваши данные при использовании VPN
Многие бесплатные сервисы не раскрывают вообще никакую информацию касательно своей деятельности. Даже соглашение с пользователем у них больше “для галочки”. Хорошие сервисы обязательно расписывают все подробно и обязательно указывают, что их политика предусматривает отсутствие журналов, что гарантирует то, что ваши личные данные никто не сохранит.
Чтобы никто не получил доступ к вашим данным, если у вас украли смартфон, вот, что надо сделать.
Опасные VPN для смартфона
Относительно недавно был разоблачен один из крупнейших поставщиков бесплатного VPN — Hola. Он мог похвастаться более чем 50 миллионами установок, но продавал активность своих пользователей третьим лицам. Для продажи использовался сторонний сервис под названием Luminati. Это лишний раз доказывает, что бесплатные VPN в той или иной мере все равно опасны. Вас даже не спасут старания разработчиков Android.
Как выбрать платный VPN
Из вышесказанного можно сделать вывод, что единственным минусом платного VPN является то, что за него надо платить. Многим придется пересилить себя, но оно того стоит.
Я пользовался несколькими подобными сервисами от разных команд, но в итоге понял, что за небольшую сумму в месяц куда проще один раз его включить и всегда быть в безопасности, чем каждый раз включать и выключать защиту.
В последнее время я начал пользоваться VPN от Surfshark. Этот сервис не только выполняет свою основную функцию, но и предлагает множество полезных дополнительных возможностей. Например, автоматическое отключение соединения в случае отключения от VPN-сервера и возможность пользоваться не только физическими, но и виртуальными точками.
Для большей безопасности Surfshark может отслеживать вредоносное ПО, блокировать рекламу и имеет шифрование с 256-битными ключами AES. Для некоторых потоковых сервисов, например, Netflix и Spotify важно стабильное подключение, иначе при “отваливании” VPN трансляция прервется. Surfshark имеет функцию автоподключения, которая решит эту проблему незаметно для пользователя.
Самое приятное, что при оформлении подписки на два года этот VPN стоит всего 1,99 доллара в месяц. Даже с подскочившим курсом это дешевле, чем подписка на Яндекс Плюс, три литра бензина, три поездки на метро, шаурма, пара бутылок светлого или чашка кофе в хорошей кофейне.
Не забывайте присоединяться к нашему Telegram-чату. Всегда приятно обсудить интересные темы с интересными людьми.
К чему я все это? А к тому, что безопасность и конфиденциальность, о которых мы так много говорим, находятся от нас не просто на расстоянии вытянутой руки, а даже еще ближе. За такие деньги точно не жалко ее попробовать. Тем более есть 30-дневная гарантия возврата денег.
Если вы серьезно относитесь к конфиденциальности в интернете, вы наверняка задумываетесь в том, какому сервису доверить свои трафик и свои данные.