VPN - 10 мифов о полной анонимности

Я заметил тревожную тенденцию в VPN-индустрии. Все больше и больше провайдеров VPN обещают "полную анонимность" или "не ведение логов", обеспечивая при этом минимальные или нулевые заявления о том, как они на самом деле обрабатывают ваши данные. Эти, так называемые, «анонимные» VPN провайдеры делятся на две категории:

1) рекламируют "анонимные услуги" на их сайте, но мелким шрифтом в своей политике конфиденциальности указывают, что они собирают N-ое количество данных о клиентах.

2) рекламируют "анонимные услуги" на своем сайте, но их политика конфиденциальности просто говорит, что "мы не ведем журналов" без дальнейших объяснений и подробностей.

Я не единственный, кто ставит под сомнение правдивость заявлений VPN провайдеров об анонимности и ведении логов:

"Если кто-то скажет вам, что вы будете полностью анонимным, если у вас будет VPN, работающий все время - он лжет." SpiderOak, VPN, privacy and anonymity.

"У вас нет абсолютно никакого достоверного способа узнать наверняка, насколько безопасно и правдиво замечание "Не ведем логов" на самом деле. Доверяя свою жизнь определенному VPN - это похоже на игру в русскую рулетку со своей жизнью." Wipe Your Data, “No logs” EarthVPN user arrested after police finds logs

"Любой, кто имеет достаточно большую IT-инфраструктуру, знает, что запуск этой инфраструктуры без ведения логов невозможен. Spotflux, Debunking the Myths of VPN Service Providers

Провайдеры VPN по сути, лишь отвлекли сознательных пользователей своими заявлениями об анонимности и не ведении логов, вместо того чтобы сосредоточиться на том, что действительно имеет значение при выборе поставщика VPN: прозрачность, доверие, простота использования, производительность и надежность. Я постараюсь рассеять некоторые из этих распространенных мифов, что по моему мнению приведет к более прозрачной и открытой дискуссии о конфиденциальности в VPN индустрии и в Интернете в целом. Итак приступим!

Миф #1. Я могу быть полностью анонимным в интернете

Анонимность определяется как неопознанностью или неидентифицированностью. Вы не анонимны, когда вы находитесь в интернете, даже при использовании функций приватности таких инструментов, как Tor, Bitcoin или VPN. Каждая служба имеет по крайней мере одну фишку(а чаще намного больше), которая может быть использована для отличия пользователей, будь то набор IP-адресов (VPN и Tor) или кошелек (Bitcoin). Даже если в этой информации нет ничего, что может выявить какие-либо личные сведения о пользователе, но она может быть связана с другими подобными сведениями, которые в конечном счете помогут идентифицировать человека.

Множество публикаций в сети правильно отметили, что ни Tor , ни Bitcoin не могут сделать вас анонимным полностью. Виртуальная частная сеть не делает вас анонимным, но это позволяет значительно увеличить вашу конфиденциальность и безопасность в Интернете. Виртуальная частная сеть похожа на занавески для окон вашего дома. Шторы обеспечивают конфиденциальность для всей деятельности которая происходит внутри - даже если ваш дом-адрес является публичным.

Конфиденциальность как правило, означает возможность исключить возможность доступа к информации о вас. 

Миф #2. Анонимность и конфиденциальность являются одинаковыми понятиями

Программы или сервисы, которые утверждают, что сделают вас анонимными - это попытка устранить любые идентифицирующие данные (которые не является главной целью, в чем мы убедились из 1 мифа). Тем не менее, сервисы, предназначенные для защиты частной жизни позволяют пользователям контролировать доступ к своим персональным данным, но не устранить все идентифицирующие данные.

Пользователи могут использовать частные веб-браузеры, прокси, Tor, зашифрованные сообщения, впн и другие средства, чтобы увеличить свою конфиденциальность личной жизни в Интернете. Эти инструменты конфиденциальности помогают защититься от массового наблюдения правительствами или использоваться частными корпорациями для сбора информации по указанию правительства (в компаниях США, таких как AT&T, Verizon, Time Warner, Comcast). Но ни один из этих инструментов, по отдельности или в любой комбинации, не сделает вас полнолстью анонимным. Конфиденциальность в Интернете с помощью безопасной связи является реалистичной, но анонимность является ложным обещанием.

Сноуден недавно призвал пользователей интернета сосредоточиться на повышении конфиденциальности, чтобы победить "массовое наблюдение".

Миф #3. Когда мой VPN провайдер рекламирует "анонимность" - это означает, что они не собирают любую идентифицирующую меня информацию

VPN рекламируют "анонимность" на своих сайтах, а мелким шрифтом в своей политики конфиденциальности, указывают на противоположное.

Вот некоторые примеры подобных VPN провайдеров, которые сами себе противоречат, если обратить внимание на их политику конфиденциальности:

• Express VPN:

Website: “surf anonymously”

Privacy Policy: “In addition to the information you provide through our order-form, we may store the following pieces of data: IP address, times when connected to our service, and the total amount of data transferred per day. We store this to be able to deliver the best possible network experience to you. We keep this information secure and private. If we receive complaints regarding copyrighted materials such as music and movies being shared over our network, we may filter traffic to see which account is sending it, and then cancel that account.”

• Pure VPN:

Website: “PureVPN anonymous VPN service;” “makes you anonymous;” “anonymous web surfing”

Privacy Policy: “…we will never release any information about you or your account to anyone except law enforcement personnel with the proper documentation and paperwork.”

“Furthermore, in the course of using PureVPN services, you or someone else on your behalf may give out information about yourself or give access to your system. This information may include, but not limited to: Names and IP addresses, Operating systems, Operational logs”.

• Zenmate:

Website: “surf anonymously;” “browse anonymously”

Privacy Policy: “In order to prevent attacks against ZenGuard your IP address will be saved temporarily on the server without being stored permanently or used for any other purposes.”

“When choosing an access point please note that only this server will process your IP address and request for the webpage you would like to access (the “Targeted Website”).”

“…on the server you selected, your site request and your IP address are received via an encrypted connection.”

• CyberGhost:

Website: “surf anonymously;” “top notch security and anonymity”

Privacy Policy: “CyberGhost keeps no logs which enable interference with your IP address, the moment or content of your data traffic.”

Note: The CyberGhost privacy policy was updated recently but previously stated they “may process and use personal data collected in the setup and delivery of service (connection data). This includes Customer identification and data regarding time and volume of use.” Despite this privacy policy, they still advertised an “anonymous” service. Unfortunately, their newly updated privacy policy is confusing. It appears they say they don’t log the content of your traffic, but what about connection data such as IP address? Due to their previous marketing messages contradicting their prior privacy policy, we have concerns about their current privacy policy.

Миф #4. Если политика конфиденциальности моего VPN-провайдера говорит, что они не ведут логов - это означает, что я анонимен

Когда VPN провайдер говорит, что они не ведут никаких голов, это не гарантирует анонимность или конфиденциальность. Любой системный администратор подтвердит, что некоторый минимальный журнал протоколирования требуется для надлежащего обслуживания и оптимизации системы или сети. Если бы поставщики VPN не держали бы абсолютно никаких журналов, они попросту не смогли:

• Предлагать тарифы с ограничениями по использованию трафика

• Ограничивать VPN соединения с 1, 3 или 5 на каждого пользователя

• Устранять проблемы подключения или предлагать поддержку для серверных задач

• Обрабатывать ваши запросы DNS при использовании службы VPN

• Предотвращать злоупотребления, такие, как спам, скан портов и DDOS, чтобы защищать своих пользователей

Проблема регистрации является более сложной, чем размещение одной строки в политике конфиденциальности заявив, что "мы не ведем журналы", а затем рекламировать услугу, как "анонимную". Пользователи VPN должны требовать большей прозрачности от своих поставщиков VPN.

Миф #5. Даже если мой VPN провайдер использует или организует сервис на базе облака, я все еще могу быть анонимным

Любой, кто работает с серверной инфраструктурой знает, как трудно содержать сервис без ведения логов. Теперь представьте, как трудно было бы устранить протоколирование, если бы вы не запускали свою собственную инфраструктуру, а вместо этого арендовали сервера и сети от третьих лиц.

В 2016 году, еще один поставщик VPN с "идеальной конфиденциальностью", имел проблемы с изъятием двух своих серверов полицией в Нидерландах. В этом случае власти пошли прямо к хостинг-провайдеру, чтобы получить оборудование, полностью минуя провайдера VPN. И это случай уже не из ряда вон. Это еще раз иллюстрирует опасность использования третьих сторон. 

Несколько вопросов, которые нужно задать VPN провайдерам:

• Как арендованные сервера или облака могут защитить своих пользователей от их хостинговых компаний, делающие бекапы своих машин для целей резервного копирования, целей DDOS, или по указанию правоохранительных органов?

• Что происходит с данными, когда хостинг больше не используется провайдером VPN?

• Если вы не являетесь владельцем сервера, как вы можете быть уверены, что владелец этого сервера не имеет к нему доступ или лазейки?

Миф #6. Даже если мой VPN провайдер владеет и управляет своими серверами я могу быть анонимным

Большинство провайдеров VPN не запускают свою собственную сеть, а используют сети хостинг провайдеров, что позволяет им полностью контролировать входящий и исходящий трафик. Прослушивание интернет-трафика дает доступ к огромному количеству информации и идентификации пользовательской активности.

Например, если вы слушаете двух людей которые говорят в ресторане, вы можете узнать достаточно много полезного из разговора, чтобы определить кто говорит - даже если вы не знаете их лично. Если VPN сервис не запускает свои маршрутизаторы, то он не может контролировать тех, кто слушает их пользователей. 

Миф #7. Любое протоколирование - это плохо

Собирая минимальное количество данных, VPN-провайдеры могут значительно улучшить ваш опыт использования VPN. Они должны сохранять минимальное количество данных, чтобы управлять своим бизнесом и удалять эти данные, как только они не нужны.

Минимальное протоколирование предоставляет пользователям VPN следующие преимущества:

• Улучшенная скорость и производительность, позволяя VPN провайдерам оптимизировать сетевые соединения

• Повышенная надежность, позволяя выявлять и устранять проблемы

• Устранение конкретных проблем клиентов, в том числе скорость связи и вопросы пользования сервисом

Миф #8. Приватные компании не собирают и не продают мои данные

Если компании предлагают услуги конфиденциальности - это не означает, что они будут держать свои данные в тайне. Это особенно актуально для сервисов, которые предлагают бесплатные услуги. При их использовании, от вас часто требуется предоставить доступ к большему количеству информации, чем их инструмент может защитить, так что вы должны доверять сервису и внимательно читать их условия использования данных.

• Onavo (от Facebook)

Facebook купил VPN сервис под названием Onavo в 2013 году. Зачем Facebook купил VPN? Поскольку функциональность VPN дает возможность следить практически за всем, что происходит с вашим телефоном. Следовательно, такая информация, как URL-адреса и то, как и какими приложениями вы пользуетесь на своем телефона, дает возможность Facebook использовать эту информацию для своих собственных и корыстных целей. Цена бесплатности в данном случае слишком высока.

Политика конфиденциальности: "При использовании нашего сервиса, все данные вашего мобильного трафика проходят через наш сервис. В результате, мы получаем информацию о вас, вашей деятельности в интернете, об устройстве или браузерах, которыми вы пользуетесь. "

• HOLA

Hola - еще один преступник под видом сервиса о конфиденциальности. Hola предлагает "безопасный просмотр" для своих пользователей, но в последнее время открыто заявляет, что будет продавать пропускную способность своих бесплатных пользователей без их ведома, превращая их в ботнет.

Политика конфиденциальности: "Персональная информация, которую мы собираем, включает ваш IP адрес, ваше имя и адрес электронной почты".

• Web Proxy Services

Многие сервисы, которые предлагают услуги, которые помогут вам быть "анонимными", на самом деле собирают много личной и идентифицирующей информации о своих пользователях - информацию , которую они могли бы продать.

Миф #9. Все VPN используют одинаковое ПО 

В недавнем исследовании указывалось, что некоторые VPN сервисы могут пострадать от утечки DNS и уязвимости IPv6, в результате чего многим пользователям надо дважды подумать о том, каким сервисом пользоваться для собственной безопасности в интернете. Не все виртуальные частные сети созданы одинаково. Когда дело доходит до утечки IPv6, многие сервисы пасуют и проваливают этот тест. Что касается уязвимости DNS, большинство провайдеров VPN не используют свои DNS сервера. Когда запросы DNS отправляются через третьих лиц к сетям третьих сторон DNS - серверы, пользователи наиболее уязвимы для мониторинга, регистрации или манипуляций с траффиком.

Миф #10. TOR является лучшей альтернативой, чем VPN

TOR часто приводится в качестве альтернативы использованию VPN. Однако, как правильно отметили несколько публикаций, Tor также не делает вас полностью анонимным. Даже Tor признает , что он не может решить все проблемы анонимности и предупреждает пользователей о некоторых опасностях и привычках. Тор труден для среднего интернет -пользователя в тонких настройках, а пользователи часто жалуются на то, что Tor работает медленно. В одной из публикаций даже сказано: "Если вы по-прежнему доверяете Tor свою безопасность - вы сошли с ума."