О VPN

В наши темные времена проблема безопасного доступа к информации становится актуальной как никогда прежде. Существует несколько разных подходов к её решению, среди которых самым распространенным является VPN (Virtual Private Network). Суть его в том, что поверх неизвестных небезопасных сетей, по которым передается ваш трафик, прокладывается выделенный защищенный канал.

Проблему доступа как такового на сегодняшний день еще можно решить, воспользовавшись бесплатным браузерным VPN приложением, но проблему анонимного безопасного доступа и быстрого соединения бесплатно решить уже не получится. Итак, платный VPN. Не каждый гражданин будет арендовать личный сервер для самостоятельной организации VPN доступа. К тому же, личный сервер оформленный на собственное имя никак не решит проблему анонимности. Вместо этого можно воспользоваться услугой провайдера. В этот момент приватность начинает существенно зависеть от добросовестности поставщика услуги, что, вообще говоря, является нежелательным эффектом. Однако степень зависимости от провайдера может быть разной. В этой статье мы попробуем разобраться в данном вопросе и начнем с того, что рассмотрим существующие протоколы VPN доступа.

Самым первым (1999 год) был протокол PPTP (Point-to-Point Tunneling Protocol). Большое число уязвимостей, обнаружившееся в нём с тех пор привело к тому, что выпустившая его компания Microsoft отказалась от PPTP. Вместо него рекомендуется использовать протокол L2TP (Layer 2 Tunneling Protocol), который сам по себе позволяет создавать VPN сети, но не шифрует трафик. Поэтому, как правило, L2TP используется в связке с шифрующим протоколом IPsec. Несмотря на то, что такая комбинация является вполне актуальной и широко распространенной, у неё также есть недостатки [1]. Другая широко распространенная пара протоколов SSL (Secure Sockets Layer) и TLS (Transport Layer Security) легла в основу наиболее надежной и популярной на сегодняшний день реализации VPN доступа - OpenVPN. OpenVPN поддерживает множество инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST). Широкие возможности для настройки затрудняют использование приложения для конечного пользователя, поэтому многие провайдеры (как минимум первая страница выдачи гугла по запросу «купить vpn») распространяют собственное ПО, которое по сути является оберткой, автоматически конфигурирующей OpenVPN клиент на ПК. Поскольку чаще всего ПО провайдера не является опенсорсным, именно в этом месте и возникает недоверие. Как выясняется, оно возникает не безосновательно.

Согласно масштабному исследованию VPN клиентов [2], было установлено что 75% из них следят за поведением пользователей, 16% могут в тихую использовать ваше устройство для переброски чужого трафика, а 18% всех сервисов даже не используют шифрование. Провайдеры некоторых стран зачастую вынуждены следить за поведением пользователя чтобы соблюдать местные законы касательно доступа к противоправному или пиратскому контенту. Печально известный акт DMCA обязывает провайдеров реагировать на заявления правообладателей и блокировать пользователей, нарушающих законы об авторском праве. Под угрозой судебных разбирательств провайдеры вынуждены фиксировать время активности своих клиентов чтобы иметь возможность реагировать на претензии правообладателей. Крупнейшие провайдеры, особенно в США, активно сотрудничают с государственными органами и по запросу откроют все данные клиента, как это уже однажды случилось с PureVPN, чьи логи позволили ФБР задержать хакера [3].

Впрочем, можно подумать, что если ваше поведение в сети не расстроит никакие органы власти, то опасаться нечего, к сожалению это не так. VPN — это высоко конкурентный бизнес, поэтому для поддержания рентабельности многие провайдеры собирают и анализируют информацию о поведении пользователя для последующей продажи и использования в маркетинговых целях. Таким образом, технология может быть либо безопасна для всех, включая плохих ребят, либо небезопасна ни для кого.

Получается затруднительная ситуация: безопасность зависит от провайдера, который по целому ряду зачастую не зависящих от него причин это доверие оправдать не может. Выходом из этой ситуации является привлечение третьей стороны - нескопроментированного посредника, который предоставляет инструменты передачи данных между пользователем и провайдером и гарантирует безопасность. Такими посредниками выступают производители специальных строго протоколированных интерфейсов взаимодействия клиента и сервера.

Примером реализации такого интерфейса является решение, созданное в рамках проекта LEAP [4]. На стороне клиента используется приложение Bitmask, на стороне сервера – LEAP Platform. Так же как и вышеупомянутое провайдерское ПО, Bitmask призван конфигурировать OpenVPN. Отличие же состоит в том, что Bitmask является приложением с открытым исходным кодом, а также загружается с независимого сайта, так что у провайдера нет возможности распространять клиент с бэкдором. Bitmask в связке с LEAP гарантирует шифрование вашего трафика, а также не предусматривает переброску чужого. Подсистема LEAP, отвечающая за взаимодействие с данными пользователя, использует протокол Bonafide, который устроен так, что провайдер никогда не увидит ваш пароль, а все данные хранящиеся на сервере будут зашифрованы. Провайдер, предоставляющий услуги на основе Bitmask, заведомо не может иметь доступа к вашим паролям, конфигурациям или другим данным.

Bitmask появился недавно и сейчас на рынке есть всего несколько VPN провайдеров, использующих эту технологию, среди них ASAPVPN, codigosur.org

В заключении подчеркнем, что даже в описанных обстоятельствах проблема доверия не получает окончательного решения. Однако существенным продвижением можно считать тот факт, что от коммерческого провайдера доверие в большой части делегируется некоммерческой организации LEAP, которая прямо заявляет, что распространяет свои продукты бесплатно, по политическим соображениям и существует на пожертвования.

1. Adrian D. et al. Imperfect forward secrecy: How Diffie-Hellman fails in practice //Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. – ACM, 2015. – С. 5-17.

2. Ikram M. et al. An analysis of the privacy and security risks of android VPN permission-enabled apps //Proceedings of the 2016 Internet Measurement Conference. – ACM, 2016. – С. 349-364.

3. https://www.theregister.co.uk/2017/10/08/vpn_logs_helped_unmask_alleged_net_stalker_say_feds/

4. Bitmask