Хабрахабр

[Перевод] Уверены ли вы в том, что можете доверять своему VPN?

Сегодня виртуальные частные сети – обязательный атрибут приватности. Но попробуйте-ка определить, какие из них реально делают вашу жизнь безопаснее.

VPN-сервисы давно уже пользуются популярностью у хакеров и пиратов, и неизбежно должны были стать массовым явлением – как блокировщики рекламы до них – поскольку средний пользователь интернета всё серьёзнее относится к приватности. Подобные советы дают все: от журнала Consumer Reports до газеты New York Times и федерального торгового комитета: если вы хотите, чтобы ваши действия в вебе оставались приватными и безопасными, рассмотрите возможность использования виртуальной частной сети, или VPN.
VPN шифрует интернет-трафик и перенаправляет его через удалённые сервисы, защищая ваши данные (историю просмотра страниц, закачки, сообщения в чатах) и маскируя ваше местоположение. Один анализ этой индустрии оценил, что использовать VPN с 2016 по 2018 года стали в четыре раза чаще, а прогноз Global Market Insights говорит о том, что рынок VPN в США к 2024 году вырастет до $54 млрд. Сложно найти надёжные данные по их использованию, однако два VPN сервиса недавно попали в 30 самых популярных приложений в Apple App Store, опередив таких серьёзных игроков, как Lyft, PayPal и Yelp.

Ведь я же пишу статьи на технические темы, и прекрасно знаю необоснованность наших предположений по поводу приватности в онлайне. Так может, и мне обзавестись VPN? Мне определённо не нравится идея доверять моему интернет-провайдеру Verizon все подробности просмотра страниц. Я периодически подключаюсь к небезопасным WiFi сетям в аэропортах или кофейнях, и хотя я никогда не скачивал пиратских фильмов, бывает, что я обхожу географические ограничения на веб-контент. И всё же много лет я сопротивлялся желанию подписаться, или даже подробно разобраться в технологии, которую многие эксперты по приватности и безопасности считают необходимой для безопасного просмотра страниц.

Однако, отправившись на поиски подходящего VPN, я столкнулся с неудобной проблемой: как определить, какому из множества VPN-провайдеров доверять.

Многие VPN кажутся явным мошенничеством. Поиски достойного доверия VPN толкнули меня на извилистую дорожку, ведущую через обвинения и встречные обвинения, мимо компаний с невразумительным руководством и с конфликтом интересов, сайтов с рейтингами VPN, которые сами выглядят ещё подозрительнее, чем компании, обзоры которых они делают. Бесплатные версии заваливают вас рекламой. Другие делают доступ в интернет медленным. Это настолько запутанный мир, что даже ведущие фирмы и эксперты не могут договориться даже о том, что составляет хорошую репутацию сервиса, не говоря уже о том, какие компании подойдут под это описание.

Один из директоров этого конкурента, компании ExpressVPN, настаивал, что это не так, хотя и отказался раскрыть местоположение владельцев компании и их личности. Директор одной из крупнейших VPN-компаний, AnchorFree, базирующейся в Кремниевой долине, рассказал мне в интервью по телефону, что подозревает, что один из его главных соперников тайно расположен в Китае – а это сразу вызвало бы возражения сторонников приватности из-за агрессивной слежки, осуществляемой режимом Китая. Он утверждает, что такая секретность – это даже хорошо, поскольку правительства не могут надавить на администраторов ExpressVPN и потребовать у них выдать данные пользователей, если не будут знать, кто они и где находятся. Компания зарегистрирована на Виргинских Островах. И многие пользователи в США действительно предпочитают иностранных провайдеров VPN американским.

Обе компании указывают на соперничающие друг с другом обзоры, касающиеся доверия этим фирмам, каждый из которых из-за различных методологий склоняется в пользу той компании, которая его рекламирует. Саму же AnchorFree обвиняют в том, что это бесплатный VPN, существующий за счёт рекламы, из-за чего некоторые эксперты высказывают опасения по поводу возникающего на этой почве конфликта интересов (компания также предоставляет и платный сервис).

«Они мгновенно переходят на ножи». «Количество соперничающей рекламы у этих компаний просто потрясает», — сказал Джозеф Джером, подробно изучавший VPN благодаря своей роли консультанта по политике в проекте "Приватность и данные", организованном Центром демократии и технологий (CDT).

7 февраля, когда я работал над этой историей, сенаторы Рон Вайден и Марко Рубио призвали Министерство внутренней безопасности США начать расследование рисков того, что иностранные правительства шпионят за американцами через VPN. Возможно, что AnchorFree, заявляя о китайском происхождении ExpressVPN, просто троллит компанию, но такой риск нельзя назвать вымышленным.

Я просто хотел приватности в интернете, и не подписывался на драку на ножах.

* * *

Они также прячут вашу интернет-активность от вашего собственного интернет-провайдера, у которого в ином случае есть доступ практически ко всему, что вы делаете в сети – как и у, допустим, у какого-либо полицейского органа, получившего ордер на изучение ваших действий (или, если быть совсем параноиком, у разведывательного бюро). VPN работают, перенаправляя ваше интернет-соединение через удалённые сервера, скрывающие ваше местоположение и усложняющие веб-сайтам задачу идентификации вас.

Доступ к развлекательному контенту – самая популярная причина использования VPN во всём мире, согласно отчёту от GlobalWebIndex 2018 года. Хотя VPN-сервисы не рекламируют этого напрямую, их можно использовать для обхода законов вашей собственной страны или ограничений правоторговцев, подключаясь через сервера, расположенные в другой стране. Среди других популярных причин – доступ к соцсетям и новостям в тех странах, где они заблокированы (VPN особенно популярны в Китае, несмотря на официальный их запрет) и поддержание приватности во время просмотра сайтов.

По сути, ваш интернет-провайдер теперь совершенно легально может заниматься майнингом ваших интернет-привычек с целью наживы. Если вам нужен более сильный повод для использования VPN, в 2017 году Конгресс США отверг законопроект, который должен был запретить интернет-провайдерам отслеживать и продавать информацию о вашей активности в сети без вашего согласия.

VPN может предложить способ обхода ограничений – хотя, если они станут слишком популярными, провайдеры могут попробовать запретить и сами VPN. В то же время окончание сетевой нейтральности в США открывает для провайдеров возможность запрещать или ограничивать доступ к определённому контенту или брать с вас больше денег за доступ к нему.

Их появление восходит к 1995 году, когда программисты Microsoft разработали способ, позволявший бизнес-клиентам делать интернет-связь безопаснее. VPN – не новое явление. AnchorFree была основана в 2005, ExpressVPN — в 2009. В 2000-х они начали набирать популярность среди разбиравшихся в технологиях физических лиц, ПО с открытым кодом помогло уменьшить их стоимость, а нашумевшие взломы привлекли внимание общественности к проблемам интернета с безопасностью.

Они раскрутились благодаря развитию небезопасных общественных WiFi сетей и онлайн-контента, доступного в одних странах, и недоступного в других. Но только в последнее время VPN-провайдеры стали очень популярными в мире технологий. Популярный VPN-провайдер TunnelBear, основанный в 2011, был в марте 2018 куплен гигантом в области компьютерной безопасности McAfee, сумма сделки не разглашалась. К примеру, британцы могли бесплатно смотреть Олимпиаду 2012 года по BBC, а в США её можно было смотреть только по платному кабельному телевидению. У неё есть все шансы стать первым VPN-единорогом – стартапом, который оценивается в $1 млрд – если этого уже не произошло. В сентябре 2018 года AnchorFree получила инвестиций на $295 млн, что стало беспрецедентной суммой для VPN-стартапа. Директор AnchorFree Дэвид Городянский сказал мне, что по состоянию на февраль VPN его компании, Hotspot Shield, скачивают по 400 000 раз в день.

Что возвращает нас к этой неприятной проблеме доверия. Сейчас самое удачное время для бума VPN. В январском исследовании сайта Top10VPN сообщается, что более половины 20 самых популярных VPN-приложений в магазинах для iOS и Android либо принадлежит китайцам, либо расположены в Китае. Если так сложно оценить надёжность самых громких имён индустрии, вроде AnchorFree и ExpressVPN, то представьте, как сложно будет оценить вагон менее известных альтернатив. Если Китай позволяет им продолжать работать, возможно, это происходит из-за их сотрудничества с китайским правительством. Это тем более подозрительно, учитывая, что в Китае в прошлом году VPN были официально запрещены.

То есть, сервис теперь знает, чем вы занимаетесь, когда вы используете интернет. Используя VPN, вы доверяете этому сервису на таком же глубоком уровне, который обычно доступен вашему интернет-провайдеру. Эти сервисы могут сильнее концентрироваться на приватности, чем большие интернет-провайдеры, но ещё они меньше по размеру, менее прозрачны и несут меньше ответственности перед общественностью.

И хотя любой VPN-провайдер поклянётся вам в том, что больше всего его заботит ваша личная приватность, некоторые из них склонны указывать пальцем на своих конкурентов и утверждать, что тем нельзя доверять.

* * *

Можно было бы начать с самого крупного провайдера – но практически невозможно узнать, кто он. Так как же выбирать? Простейший способ стать крупным VPN-провайдером заключается в том, чтобы предложить бесплатные услуги – обычно при поддержке рекламы — и это ещё сильнее осложняет ситуацию. Большая часть крупнейших фирм являются частными и не разглашают размер базы пользователей. Многие специалисты скажут, что от таких сервисов стоит держаться подальше, поскольку в таком случае интерес в сохранении приватности конфликтует с интересом подсовывать пользователям таргетированную рекламу. Бесплатные VPN также обычно ограничивают трафик и географию.

Реклама появляется периодически при использовании приложения, и её нужно просмотреть, чтобы продолжить просмотр сайтов. AnchorFree, предлагающая бесплатную версию программы Hotspot Shield для пользователей Android, говорит, что в качестве мер по решению этого конфликта демонстрирует пользователям только общую рекламу Google, не использующую данных о пользователях AnchorFree. В бесплатной версии Hotspot Shield для iOS рекламы нет, но там ограничен трафик и подсоединение разрешено устанавливать только через серверы в США.

Есть десятки сайтов с отзывами, их обзоры часто противоречат друг другу, а критерии не всегда прозрачны. Что насчёт VPN с наилучшими отзывами? А два других, Wirecutter и Tom’s Guide, сочли NordVPN медленным и полным ошибок. Два из наиболее уважаемых сайтов, где публикуются обзоры VPN, а именно PCMag и CNET, дали панамскому сервису NordVPN лучшие оценки, положительно оценивая скорость его работы, простоту использования и функции, связанные с приватностью. Как отмечают в Tom’s Guide, компания является дочерней для панамского холдинга Tefincom S. И, как ExpressVPN, NordVPN очень старается скрыть истинных владельцев сервиса. И, как в случае с ExpressVPN, этой анонимности можно придумать оправдания. A., которая, судя по всему, представляет собой шелл-компанию.

Оба сайта подчёркивают хорошую скорость сервиса и удобство использования; ни один не упоминает факта сокрытия владельцев сервиса. ExpressVPN занимает по меньшей мере первое место на вершинах двух чартов, появляющихся на первых страницах поиска Google, TechRadar и TheBestVPN.com.

Многие сайты с обзорами VPN зарабатывают на партнёрских ссылках, получая небольшие отчисления с каждого зарегистрированного пользователя, пришедшего по этим ссылкам к провайдеру. У Городянского, директора AnchorFree, есть идея по поводу того, почему его сервис не взлетает в рейтингах так высоко. Он заявляет, что они либо снижают оценку сервису Hotspot Shield, либо просто игнорируют его, поскольку не могут заработать деньги на рекомендации бесплатного сервиса. «У этих сайтов нет мотивации говорить правду», — утверждает он.

Он говорит, что это вопрос как безопасности работы, так и личной приватности. Гарольд Ли, вице-президент и единственное публичное лицо ExpressVPN, защищает степень приватности своей компании, ставя её на уровень лучших в этой области, не вопреки непрозрачности компании, а благодаря ей. Так ли удивительно, что люди, создавшие одну из лучших виртуальных частных сетей ещё в 2009 году, будут тщательно охранять тайну своих собственных личностей?

Команда ExpressVPN разбросана по всему миру, говорит Ли, и все заявления о том, что они базируются в материковом Китае или связаны с китайским правительством, неверны. Сам Ли работает в Гонконге, находящемся за пределами материкового китайского «Великого файервола», и не должен подчиняться обременительной интернет-цензуре. Также стоит отметить, что VPN-провайдер с нечестными намерениями стал бы предлагать бесплатный сервис для привлечения большего количества пользователей. «Если люди будут бросаться ничем не подтверждёнными обвинениями, то какой смысл описывать их», — сказал он. ExpressVPN, стоимость которого разнится от $8 до $13 в месяц, является одним из самых дорогих на рынке, и не предлагает бесплатных версий, что добавляет им убедительности.

«ExpressVPN по своей сути противостоит правительственной цензуре и слежке, и наш сервис каждый день помогает многим людям в Китае и по всему миру обходить цензуру, — написано там. После выхода оригинала статьи Ли отправил в редакцию более подробное заявление, где отрицал любую связь с китайским правительством. Любые намёки на нашу связь с китайским правительством на 100% ложны». – По этой причине китайское правительство периодически пытается блокировать наш сервис и удалить приложение из китайского App Store.

Он указал на международный инцидент, когда практика работа с данными в компании подверглась проверке. Для установки доверия к ExpressVPN Ли предложил взглянуть на историю её работы. Власти надеялись, что данные смогут пролить свет на общение подозреваемого в убийстве и турецкого общественного деятеля Фетхуллаха Гюлена, скрывающегося в США. В 2017 году турецкое правительство конфисковало серверы ExpressVPN в рамках расследования трагического убийства российского посла Андрея Карлова. Однако на серверах не нашлось никаких логов, что доказывает утверждения ExpressVPN о том, что компания не ведёт записей деятельности пользователей.

Некоторые члены VPN-индустрии считают, что такие факты подчёркивают сомнительную сторону продукта, который должен заниматься онлайн-безопасностью, а не помогать людям обходить законы. Возможно, защиту лиц, подозреваемых в международном заговоре, не стоит записывать в плюс VPN-провайдеру.

Динья посчитал притянутыми за уши обвинения ExpressVPN в связях с китайским правительством, и сказал, что владельцы сервиса прячутся, скорее всего, потому, что их сервис в первую очередь предназначен для пиратства или другой незаконной деятельности. Когда VPN прячет личности владельцев и регистрируется в офшоре, «обычно это происходит потому, что компания нарушает законы», — говорит Франсис Динья, сооснователь и директор OpenVPN, сервиса с открытым кодом, направленного на бизнес-клиентов. Он отмечает, что VPN не помешает таким платформам, как Facebook и Google, идентифицировать и отслеживать вас другими способами, кроме определения IP-адреса. С его точки зрения VPN в первую очередь нужно использовать для кибербезопасности, а не анонимности.

Многие VPN-провайдеры говорят, что не хранят логи пользовательских действий, но это заявление сложно подтвердить в отсутствии международных инцидентов, устраивающих им проверку. Однако в мире безопасности эпизод с Карловым можно считать серьёзным доказательством: если ExpressVPN подходит для политических наёмных убийц, его услуг должно хватить и остальным людям.

Чтобы подтвердить свои честные намерения, ExpressVPN в прошлом году вместе с четырьмя другими VPN-провайдерами организовала партнёрство с CDT для запуска инициативы, направленной на повышение доверия к VPN. Джером из Центра демократии и технологий (CDT) хорошо знаком с ExpressVPN. Вопрос по владению просит компанию раскрыть полное легальное наименование, все родительские компании и местоположение их штаб-квартир. Он составили список "признаков добросовестных VPN", предлагая другим провайдерам ответить на восемь вопросов, связанных с такими темами, как владение компанией, бизнес-модель и практики, связанные с приватностью. Он не спрашивает только фамилий директоров компаний.

«Мы работали с этими компаниями на доверии,- сказал он. Джером на мой вопрос об управляющих ExpressVPN извинился и сказал, что не может ничего комментировать. Джером говорит, что он изначально надеялся провести более подробный аудит, но для этого потребовалось бы больше ресурсов и более тесная кооперация со стороны провайдеров. – Наш итоговый продукт отражает некоторые из трудностей, с которыми мы столкнулись». – Я думаю, все они считают себя честными игроками. «Было очень сложно заставить их согласиться с тем, как мы будем их оценивать, и кто конкретно будет их оценивать, — сказал он. Но я думаю, что присутствует страх того, что если люди заглянут к ним под капот, то увидят там что-то плохое».

* * *

Она заказала свою версию аудита у немецкой компании AV-TEST, оценивающей антивирусы и ПО для безопасности компьютера. AnchorFree не участвовала в проекте CDT. AV-TEST также отметила те фирмы, которые выпускают ежегодный отчёт по прозрачности – а этим совсем недавно начала заниматься AnchorFree. Неудивительно, что в её отчёте раскрытие информации о владельцах и управляющих компании стало основным критерием, а провайдеры ExpressVPN и NordVPN были раскритикованы за отсутствие прозрачности. А, и ещё AnchorFree попала на первое место среди провайдеров по скорости соединения.

Однако она появляется не во многих рейтингах, частично из-за предубеждённости экспертов по отношению к бесплатному VPN, частично из-за плохих показателей в тестах скорости, проводимых сторонними компаниями. Учитывая популярность бесплатного сервиса компании, агрессивный сбор инвестиций и партнёрство с такими компаниями как Samsung – чьи телефоны теперь поставляются со встроенное бесплатной версией Hotspot Shield VPN – AnchorFree, возможно, занимает наилучшую позицию среди компаний, пытающихся монетизировать бум популярности VPN.

Городянский из AnchorFree называет эти заявления «прискорбным недопониманием», однако AnchorFree вскоре после этого изменила свои правила обслуживания. Оказывается, самый серьёзный удар по репутации AnchorFree получила со стороны CDT в 2017 году, когда последний отправил жалобу в Федеральную торговую комиссию, утверждая, что Hotspot Shield вводит пользователей бесплатного VPN в заблуждение, записывая о них больше данных, чем это необходимо, а в некоторых случаях перенаправляя их на сайты рекламных партнёров. В 2018 году Комиссия опубликовала запись в блоге касательно преимуществ и рисков VPN, но никаких других действий с её стороны не последовало.

В тексте обзора встречаются намёки на то, что ExpressVPN могла бы занять и первое место, если бы не одно «но»: отказ раскрыть сведения о владельцах. ExpressVPN почти выиграла долгожданную рекомендацию со стороны Wirecutter, опубликовавшего очень подробный и обширный обзор VPN. Редактор Wirecutter Марк Смирниотис отметил, что ExpressVPN предложила организовать конфиденциальный разговор с владельцами, но он решил, что этого будет недостаточно для того, чтобы поменять его оценку.

Официально IVPN находится в Гибралтаре, который, как и Виргинские острова, принадлежит к Британским заморским территориям. Вместо этого Wirecutter порекомендовал менее крупный сервис IVPN, который, по заявлению автора статьи, «прекрасно справляется с вопросами доверия и прозрачности». VPN часто избирают в качестве базы оффшорные территории, поскольку они лежат за пределами прямой юрисдикции правительств главных мировых держав, а также редко обладают крупными агентствами национальной безопасности.

Шагом в этом направлении являются партнёрства с некоммерческими компаниями и аудиты, проводимые сторонними организациями. С ростом запроса на VPN у индустрии есть серьёзная мотивация на то, чтобы вырасти из фазы Дикого Запада. Однако подобные аудиты были бы гораздо более осмысленными, если бы их не запрашивали отдельные VPN-провайдеры. NordVPN недавно пошла по этому пути вслед за AnchorFree и ExpressVPN, заказав аудит у PricewaterhouseCoopers, чтобы подтвердить свои заявления о защите приватности пользователей. Такие люди, как Джером, пытаются продвигать стандарты индустрии, но пока что VPN-провайдеры уклоняются от аудитов, методологию которых они не в состоянии контролировать.

Конечно, публичные компании не застрахованы от сомнительных действий, но они должны подчиняться законам о публикации информации и проходить аудит. Более серьёзные изменения могут последовать, когда некоторые из лидеров рынка решат стать публичными компаниями или продаться таким компаниям. Другие провайдеры останутся частными компаниями, рискуя вызвать скептическое отношение к себе ради возможности оставаться в тени – или вне досягаемости правительств крупных держав.

Прошло несколько недель, сделано десятки звонков, написаны тысячи слов – и не могу сказать, что я приблизился к чёткому выбору. Начиная эту статью, я думал, что выберу VPN, которому смогу доверять для личного использования.

Если вы просто хотите безопасно использовать интернет, имеет смысл выбрать крупную американскую компанию, ясно рассказывающую о своих владельцах и о том, как она относится к пользовательским данным. Одним из определённых выводов, кроме «держаться подальше от бесплатных VPN», будет то, что выбор VPN должен зависеть от того, для чего вы собираетесь её использовать. Если вы хотите скачивать пиратские файлы с торрентов, смотреть заблокированный контент, убит посла или как-то ещё убежать от длинной руки вашего правительства (и других правительств, с которыми оно сотрудничает), лучше выбирать оффшорный VPN – если вы уверены, что у провайдера нет тайных связей с правительством, от которого вы пытаетесь скрыться.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть