Изъяны общедоступных анонимайзеров и VPN

Анонимайзеры – это специальные сайты, программы или расширения для браузера, которые позволяют скрыть данные о пользователе, его местоположении и установленном программном обеспечении от удалённого сервера. Они позволяют получить доступ к другим сайтам, даже если эти сайты запрещены в сети пользователя, скажем, корпоративным межсетевым экраном или техническими средствами интернет-провайдера. Для внешних серверов всё выглядит так, как будто весь трафик, исходящий от анонимайзера (proxy-сервера), поступает именно с его ip-адреса, а не с нашего компьютера. Анонимайзеры (proxy-сервера) не шифруют информацию, проходящую через них.

VPN (Virtual Private Network) – это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. То есть VPN – это защищённое окно доступа в интернет.

Принципы работы VPN:

• Между компьютером пользователя и VPN-сервером с установленным программным обеспечением для создания виртуальной частной сети создается туннель.
• В специальных программах на VPN-сервере и компьютере пользователя генерируется ключ (пароль) для шифрования/дешифрования данных.
• На компьютере создается запрос, который далее шифруется с помощью созданного на предыдущем этапе ключа.
• Зашифрованные данные передаются по туннелю на VPN-сервер.
• На VPN-сервере данные расшифровываются и происходит выполнение запроса — отправка файла, вход на сайт, запуск сервиса.
• VPN-сервер подготавливает ответ, зашифровывает его и отсылает обратно пользователю.
• Компьютер пользователя получает данные и расшифровывает их ключом, который был сгенерирован ранее.

В чем опасность анонимайзеров?

Большинство пользователей не задумывается о том, что все данные, которые они вводят, сначала попадают на сервер анонимайзера и лишь затем передаются на нужный сайт. У пользователя нет никакого контроля над данными в момент их передачи анонимайзером, поэтому логин и пароль могут попасть в руки злоумышленников.

Приведём такой пример. В организациях, которые блокируют на рабочих компьютерах социальные сети, сотрудники зачастую используют анонимайзеры, чтобы обойти этот запрет. Это происходит так: пользователь заходит на специальный сайт и вводит в его адресной строке адрес соцсети. Сайт-анонимайзер загружает эту соцсеть себе, обрабатывает и передает пользователю от своего имени. После этого пользователь выполняет процедуру авторизации. Очевидно, что информация о логине и пароле сначала становится доступна анонимайзеру, который затем передаёт её непосредственно соцсети.

Более того, недобросовестные владельцы анонимайзеров сами могут продавать базы персональных данных распространителям спама и вирусов. Получив доступ к почтовому аккаунту пользователя, можно рассылать его друзьям и коллегам вредоносные письма и спам, а если пользователь вводил данные от аккаунта в интернет-банкинге, то он рискует лишиться и всех своих средств.

Несомненно, не все веб-анонимайзеры передают логин, пароль и другую важную информацию злоумышленникам. Тем не менее риск воспользоваться именно недобросовестным анонимайзером достаточно велик.

На картинке ниже владелец сайта-анонимайзера честно указал, что защита и анонимность не обеспечивается.

Однако есть множество сервисов, которые обещают гарантировать защиту и анонимность пользователя.

В чем опасность VPN?

Ситуация с безопасностью VPN ещё сложнее. Вроде бы, технология предполагает шифровку трафика, так что всё должно быть безопасно. Но – увы. Австралийская организация CSIRO (Commonwealth Scientific and Industrial Research Organisation) проверила 283 приложения для Android, использующих VPN-полномочия этой ОС, и опубликовала отчет «An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps».

Исследователи обнаружили, что 18% проанализированных приложений в реальности не шифруют пользовательский трафик. 38% приложений внедряют прямо на пользовательское устройство вредоносные программы или навязчивую рекламу и больше 80% приложений запрашивают доступ к данным пользователей, таким как данные пользовательских аккаунтов и текстовые сообщения.

16% проанализированных VPN-приложений задействуют непрозрачные прокси, которые модифицируют пользовательский HTTP-трафик, вставляя и удаляя заголовки или используя такие методы, как перекодирование изображений.

Кроме того, обнаружено, что два VPN-приложения активно внедряют в пользовательский трафик код JavaScript для распространения рекламы и слежения за действиями пользователя, а одно из них перенаправляет трафик, связанный с интернет-торговлей, внешним рекламным партнерам.

18% исследованных VPN-приложений используют технологии туннелирования без шифрования, в 84% и 66% приложениях обнаружена утечка IPv6- и DNS-трафика соответственно. В итоге, говорится в отчёте, эти приложения вообще не защищают пользовательский трафик от устанавливаемых по пути его перемещения агентов, осуществляющих наблюдение или слежку за пользователями онлайн.

Если же взглянуть на официальные описания приложений в Google Play, то для 94% приложений с утечкой IPv6- и DNS-данных говорится, что они обеспечивают защиту личной информации.

Что делать?

С некоторым вещами вы поделать не можете ничего. Однако, если для вас действительно важна анонимность в сети, вы можете снизить уровень риска. Не используйте анонимайзеры при осуществлении онлайн-платежей и работая с услугами онлайн-банкинга. Вообще, избегайте ввода важных данных при использовании сайтов-анонимайзеров. А если это всё-таки пришлось сделать, рекомендуем вам сменить логин или пароль, как только у вас появится безопасный доступ к сайту.

Есть и ещё одна вещь, достойная упоминания: «профессиональные» VPN-сервисы, которые просят за свои услуги разумно весомую плату, как правило, мало интересуются вашим трафиком. Однако необходимо понимать, что «платность» не является стопроцентной гарантией безопасности. Верить или не верить их обещаниям — дело исключительно ваше, и умеренный скепсис в этом вопросе — залог информационной безопасности.