December 26, 2018

Твой VPN не анонимен

В наше время без VPN никуда: анонимность, безопасность и возможность обойти региональные ограничения и блокировки приводят к этой технологии не только технически подкованную публику, но и людей попроще. А они, конечно же, не будут ставить и настраивать OpenVPN на своем сервере и предпочтут услуги провайдера. Какой выбор нас ждет в таком случае и можно ли доверять провайдерам VPN? Давай пройдемся по наиболее известным из них и проверим.

Сначала определимся с критериями, на которые будем смотреть. Я предлагаю выдвигать такие требования.

  • SSL-сертификация доменов. Если с ней есть проблемы, то возможны атаки типа MITM.
  • Отсутствие подстав в лицензионном соглашении. Провайдер, для которого приватность пользователей не пустой звук, не должен пытаться заставить тебя соглашаться на что угодно.
  • Поддержка стойкого шифрования и современных протоколов. В некоторых странах при помощи DPI-аппаратуры успешно блокируются стандартные типы подключения, такие как PPTP, L2TP IKEv1, OpenVPN UDP и прочие. Уважающий себя провайдер должен предоставлять пути обхода. Что касается шифрования, здесь все индивидуально. Отмечу лишь, что протокол PPTP, используемый вкупе с MS-CHAP, был взломан в 2012 году. С тех пор любой человек, заплатив 17 долларов, имеет возможность дешифровать трафик.

CyberGhost VPN

CyberGhostVPN — немецко-румынский сервис, ведущий свою деятельность с 2007 года. Немногие остаются на плаву столько времени. Этот сервис предлагает три типа подключения: L2TP, OpenVPN, IPSec.

Способы обхода блокировок отсутствуют. Есть лишь возможность подключения по протоколу TCP на 443-м порте при использовании OpenVPN, что уже неэффективно в странах с DPI. SSL-сертификат ресурсу выдан компанией Comodo и действителен до 23.02.2019.

Два года назад CyberGhost оказался в центре скандала. Одно из обновлений его клиента устанавливало на машины пользователя корневой SSL-сертификат. Чем это плохо? Дело в том, что, когда ты устанавливаешь соединение по HTTPS, твои данные защищаются протоколом SSL/TLS, который подтверждается специальным сертификатом, выданным уполномоченной компанией. Браузер сверяется со списком сертификатов ОС и, если все сходится, разрешает войти на сайт. Обновление CyberGhost добавляло свой сертификат в этот список, что открыло возможность атаки типа man in the middle.

Компания поспешила выпустить опровержение, однако позже вскрылась другая проблема: фирменный клиент для Windows логирует системные данные компьютера, такие как название видеочипа, модель процессора и имя пользователя. Что тут сказать? Репутация подпорчена.

Что касается Privacy Policy, тут все очень интересно. В статье из своей базы знаний руководство сервера отчетливо и без ужимок заявляет о том, что логи не ведутся. Однако просмотр «политики конфиденциальности» вызвал у меня определенные вопросы.

В «анонимизацию» IP верится с трудом, да и остальное не вызывает теплых чувств. Любой сбор данных противоречит ответу в базе знаний, где заявлено, что логов нет.

NordVPN

NordVPN — стремительно набирающий популярность сервис, зарегистрированный в Литве. Ведет деятельность с 2013 года. В графе «Наши партнеры» раньше было указано, что контора получила CCNP-сертификат от CISCO, но потом эта информация пропала с сайта.

Почему информация о сертификате пропала с сайта? Как удалось получить этот сертификат, не имея никаких заслуг? Ответов нет, и убрали явно не просто так.

В «Политике конфиденциальности» тоже нашлись проблемы. Один пункт гласит, что логи не ведутся вообще, другой говорит нам, что сервис имеет право хранить ограниченное количество (сколько?) личной информации в течение двух лет.

На сайте утверждается, что пул серверов состоит из 5178 единиц, которые расположены в 62 странах. Используемые методы подключения: OpenVPN, L2TP, IPSec. Приятный бонус — возможность обхода DPI через stunnel.

С NordVPN все было бы хорошо, если бы не история с сертификатом CISCO и не лицензионное соглашение, которое разрешает владельцам сервиса собирать информацию, но не конкретизирует, какую именно.

Но есть и еще один интересный момент. Двое пользователей Reddit предприняли независимое исследование, судя по которому NordVPN принадлежит известной датамайнинговой компании TesoNet.

Похоже, именно это позволяет сервису тратить по полмиллиона долларов в месяц (только вдумайся в эту цифру!) на покупку отзывов и рекламы своего продукта. Так, по данным сайта adweek.com, NordVPN потратил на рекламу 497 тысяч долларов за один лишь февраль 2018 года. Откуда такие деньги? Думаю, ответ очевиден.

Выходит, пользоваться этим сервисом крайне опасно: вместо анонимности есть шанс предоставить подробные логи для датамайнинга. И напоследок еще одна неприятная история. В рекламном порыве сотрудники NordVPN накрутили рейтинг подложным отзывам на сайте trustpilot.com. Этот факт подтвержден администрацией ресурса.

Private Internet Access

Private Internet Access — широко известный среди зарубежных пентестеров VPN-сервис. Среди аналогов выделяется детальными настройками шифрования (можно менять порт подключения, тип шифровки и ключа), наличием встроенных способов обхода DPI, а также своего SOCKS5-прокси и SSH-туннеля. Одним словом, хоть сейчас медаль давай, но увы…

Во-первых, web.archive.org ничего не знает о времени существования этого сервиса и о старых версиях сайта. Похоже, администрация попросила их удалить, а это тревожный знак.

Мне удалось обнаружить, что этот провайдер находится на территории США, а также принадлежит некоему псевдоконгломерату, область деятельности которого раскидывается от VPN до бутиков.

Да, у Private Internet Access есть возможность шифрования 4096-битным ключом. Да, он спокойно кладет на лопатки DPI, но какой в этом смысл, если по первому зову Дяди Сэма все данные окажутся в руках властей?

Попробуем поискать информацию о фирме-хозяине — London Trust Media. Поиски быстро привели меня к статье, сообщающей, что исполнительным директором этой компании был назначен Марк Карпелес (Mark Karpeles), при полном попустительстве которого была ограблена японская кр��птобиржа Mt.Gox. Доверия к этому товарищу у меня нет и быть не может.

HideME VPN

HideME — самый известный в рунете VPN-сервис. Ведет деятельность с 2007 года. Авторизоваться можно, только если есть цифровой код, который Google легко находит на тематических форумах.

Один из типов подключения к HideME VPN — это PPTP, что само по себе нехорошо — протокол уязвим. Кроме того, в 2016 году по запросу властей РФ HideME отключил анонимайзер для российских пользователей. На этом можно было бы и остановиться, но я предлагаю еще заглянуть в политику конфиденциальности.

Да, может быть, они и отказались от регистрации, но ключи, абсолютно ничем не хешированные, при должной сноровке можно подобрать за три дня. Кроме того, обрати внимание на первый абзац, а также на то, как был отработан запрос РКН. Использования этого сервиса для чего-то, кроме доступа к Spotify, стоит избегать любой ценой.

Hide My Ass! VPN

Hide My Ass — один из самых известных провайдеров в мире. Принадлежит он компании Avast. Многих это отпугнет сразу же, но мы продолжим изучение. Сервис существует в качестве анонимайзера с 2005 года, функция VPN у него появилась в 2009-м. Грандиозное отличие Hide My Ass от всех рассмотренных провайдеров — колоссальное количество выходных стран. Однако, к большому сожалению, радоваться тут нечему.

В 2011 году этот провайдер выдал властям США одного из участников группировки LulzSec — Коди Эндрю Кретзингера. Мало того, администраторы еще написали длинный пост в свое оправдание. Выдача логов якобы была обоснованной. Но на месте этого человека мог быть любой журналист или же правозащитник в тоталитарной стране.

Вывод напрашивается сам собой: Hide My Ass в любой момент выдаст то самое, что обещал надежно спрятать, а потому не годится для серьезных применений.

PureVPN

PureVPN — еще один популярный провайдер, созданный в 2008–2009 годах. Набор протоколов стандартный: OpenVPN, L2TP, IPSec. Прославился PureVPN тем, что выдал властям назойливого киберсталкера Эндрю Лина (мы писали об этой истории). С точки зрения морали можно относиться к этой истории как угодно, но факт налицо: логи хранятся.

VyprVPN

VyprVPN начал активную деятельность в 2010 году. Зарегистрирован в Швейцарии. Имеет стандартный набор протоколов: OpenVPN (AES-256), IPSec, L2TP. Радует наличие обхода через stunnel, который маркетологи гордо именуют Chameleon — оставим это на их совести.

Нас же интересует лицензионное соглашение, которого вполне достаточно для выводов.

В течение тридцати дней хранится входной (настоящий) IP-адрес, и этим все сказано.

Вывод

Получается, что ни один из изученных нами популярных VPN-сервисов не прошел даже элементарную проверку без применения технического аудита. Лично для меня это значит, что веры таким провайдерам нет и быть не может. Поэтому всем, кто беспокоится об анонимности и приватности, советую все-таки изучить документацию и поднять свой сервер OpenVPN. А для обхода DPI можешь самостоятельно добавить stunnel — у нас есть подробная статья о том, как это сделать.