VPN действительно может защитить конфиденциальность? Руководитель по информационной безопасности IBM анализирует риски доверия, стоящие за этим

С развитием виртуальных частных сетей (VPN), которые становятся широко распространенным «инструментом конфиденциальности» в интернете, реклама этого инструмента повсюду — на сайтах, в приложениях и в YouTube-роликах, подчеркивающих анонимность и защиту личных данных. В связи с этим, руководитель отдела информационной безопасности IBM Jeff Crume в аналитическом видео, исходя из реальных сценариев передачи данных в сети, подробно разбирает техническую работу VPN, модель доверия и ограничения конфиденциальности, показывая, что VPN — не панацея, а инструмент «перераспределения доверия».

Передача чувствительных данных в открытые сети, злоумышленный Wi-Fi — распространенные методы атак

Crume отмечает, что когда пользователь передает по сети номера кредитных карт, данные удостоверений личности или коммерчески ценные сведения, эти данные фактически передаются через «открытую сеть», словно громко говоря на общественном месте, что может привести к перехвату неограниченными лицами.

Особое внимание он уделяет одному из распространенных методов атаки — в общественных местах, таких как кафе или отели, злоумышленник может создать точку доступа с названием, практически совпадающим с легитимным Wi-Fi, чтобы заманить пользователя на подключение. Как только соединение установлено, данные даже не успели попасть в интернет, как злоумышленник уже полностью их перехватил и может просматривать.

Основной принцип VPN: создание зашифрованного канала

В ответ на эти риски Crume объясняет, что основная функция VPN — это создание зашифрованного канала передачи данных между устройством пользователя и провайдером VPN.

В этой архитектуре все исходящие данные сначала шифруются, отправляются провайдеру VPN, который расшифровывает их, определяет конечную точку назначения, затем повторно шифрует и передает на реальный сайт. Обратный путь данных осуществляется по тому же принципу.

Таким образом, внешние слушатели, атакующие публичные Wi-Fi, и даже интернет-провайдер (ISP) могут видеть только, что между пользователем и VPN существует соединение, но не могут узнать содержимое или конечный пункт назначения.

Суть VPN: не устранение доверия, а его перераспределение

Crume подчеркивает, что независимо от использования VPN, «доверие» не исчезает, а только перераспределяется. Он выделяет разные сценарии доверия:

Без VPN: пользователь должен доверять провайдеру интернет-услуг (ISP) и всем возможным неизвестным лицам, которые могут получить доступ к пакетам данных в процессе передачи.

Корпоративный VPN: сотрудник подключается к внутренней сети компании удаленно, фактически доверяя работодателю, при этом важна безопасность корпоративных данных, а не личная конфиденциальность.

Третий сторонний VPN: пользователь передает доверие, которое ранее было распределено между сетью и ISP, провайдеру VPN.

Он прямо говорит, что истинная роль VPN — это превращение «того, кому вы должны доверять много людей», в «того, кому вы должны полностью доверять одному человеку или организации».

Реальные риски использования сторонних VPN

Jeff Crume указывает, что поскольку провайдер VPN должен расшифровывать трафик на промежуточных этапах, он может видеть направления соединений пользователя, IP-адреса, частоту использования и даже содержимое данных. Это порождает несколько важных рисков:

Модель монетизации данных бесплатных VPN: если пользователь не платит, провайдер может зарабатывать на сборе и продаже данных.

Риски информационной безопасности: даже если провайдер не имеет злых намерений, при взломе его системы данные пользователей могут быть утечками.

Юридические и правовые требования: в некоторых странах провайдеры VPN могут быть обязаны по закону предоставлять записи о пользователях.

Он напоминает, что ключ к использованию сторонних VPN — не в том, «используете ли вы его», а в том, «понимаете ли вы, кому доверяете».

Самостоятельная настройка VPN также не полностью решает проблему доверия

Для пользователей, которые очень ценят конфиденциальность, Crume также упоминает о возможности «самостоятельной настройки VPN», что позволяет держать всю инфраструктуру под контролем. Но он одновременно отмечает, что даже в этом случае пользователь все равно должен доверять программному обеспечению VPN, будь то открытый исходный код или коммерческое решение, поскольку это связано с доверием к исходному коду и механизмам обновления, а не исключает риски.

(Технологические новости: главы двух берегов заявляют, что в Китае вообще не блокируют VPN, и всё можно смотреть, просто используя VPN)

Эта статья «Может ли VPN действительно защитить конфиденциальность?» Аналитика руководителя IBM по информационной безопасности о рисках доверия впервые опубликована на ABMedia.