Оглавление

Почему опасны бесплатные VPN и как на вас зарабатывают

Последний год поднял много хайпа на тему VPN. Лютует Роскомнадзор, блокирует сайты и мессенджеры, а обычный пользователь вынужден искать способы обойти все блокировки с помощью VPN

Бесплатный сыр



Никто не будет тратить кучу денег только для того, чтобы кому-то предоставить VPN бесплатно. Надо поднимать сервер, иметь толстые каналы связи, содержать штат программистов и администраторов, заниматься продвижением своего сервиса. И все это огромные деньги.

VPN — это бизнес и владельцы монетизируют его по-разному. Одни строят реально приватные и защищенные сети, однако это решения для крупного бизнеса, для тех кто в состоянии заплатить деньги. А другие разрабатывают сервисы, где можно пожертвовать, например, шифрованием трафика. Или вообще не соблюдать никакой приватности. И зарабатывать на трафике или другими способами. Например, встраивать рекламу, продавать трафик, фильтровать и отслеживать трафик, собирать другую информацию.

В чем проблема бесплатного VPN



Основная проблема в том, что это посредник, который обеспечивает связь между пользователем и сайтом. И что делает этот посредник с трафиком — непонятно.

Так, например сотрудники сайта TheNextWeb исследовали работу 117 популярных VPN-сервисов. Оказалось, что 26 из них собирали логи и другие данные, хотя в пользовательских соглашениях утверждали, что не ведут слежку за своими пользователями.

Другая проблема — анонимность в сети. Большинство пользователей не обращает на это внимание, ведь по большому счету, они не делают ничего противозаконного. Однако есть ситуации, когда анонимность необходима. Однако бесплатные VPN зачастую не скрывают реальный IP-адрес. Поэтому следует сто раз подумать, прежде чем пытаться сохранить приватность надеясь на бесплатный сервис. Там анонимности может и не быть, несмотря на маркетинговые обещания.



Как зарабатывают на VPN



Трафик — это бесценный поток данных. Данные нужны различным организациям для решения своих задач. Поэтому практически все подобные сервисы собирают данные и продают их. Ну им же как-то нужно поддерживать работу сервиса и зарабатывать на жизнь.

Хайп всегда привлекает мошенников, поэтому запросто можно нарваться на абсолютно бесплатный VPN, созданный киберпреступниками с мошеннической целью. И прежде чем вскроется, что этот сервис мошеннический, пройдет много времени, достаточного для того, чтобы собрать массу интересных сведений из трафика — логины и пароли к сервисам, данные платежных карт, конфиденциальную информацию, подробности частной жизни.



Несколько примеров скомпрометированных VPN



Opera VPN — собирает анонимную информацию о действиях пользователей. Так утверждают сами разработчики. Сведения продаются другим компаниям для анализа поведения пользователей мобильных устройств в сети. Пока Оперу не поймали на сборе еще каких-то данных, однако вполне возможно, что компания собирает и другую информацию. Кроме того, это так называемый «браузерный VPN», который шифрует только http/https-трафик.

Hola — кроме сбора логов и продажи трафика, данный сервис отметился и более серьезными проблемами. Из-за уязвимости сервиса, клиенты периодически выступали в роли бот-сети и проводили DDoS-атаки. Другая уязвимость позволяла загрузить вредоносный код на компьютер пользователя и получить доступ к любым данным. Летом 2018 года стало известно об атаке на криптокошельки MyEtherWallet (MEW) под видом расширения Hola VPN для Chrome.

Hotspot Shield (официальный сайт недоступен) — собирает данные об использовании сторонних программ, названия беспроводных сетей, MAC и IMEI-адреса, а сервис не всегда соблюдает анонимность пользователей.

Betternet — собирает данные по 14 параметрам, передавая эти сведения заинтересованным лицам. Пользователь хочет одной простой телеметрии и нарывается на тотальную слежку, которая фиксирует кучу информации. Которая в итоге попадает вообще непонятно каким людям.

OpenVPN — подвержен атаке VORACLE, которая позволяет расшифровать http трафик и получить доступ к cookies и приватной информации пользователя, пользующегося данной VPN. Периодически всплывает информация об обнаруженных багах, которые позволяют перехватывать чужую сессию и пользоваться правами жертвы.



Следи за собой, будь осторожен



Сегодня они сливают логи, а завтра будут продавать наборы из логинов и паролей.
Известны случаи, когда сервисы передавали сведения обо всей деятельности в сети правоохранительным органам. Так, например, был арестован житель Массачусетса Райан С. Лин (Ryan S. Lin), который пользовался в том числе платным VPN от компании PureVPN. В компании утверждали, что не ведут логов. Однако хватило одного ареста по запросу ФБР, чтобы понять — сервис собирает все данные несмотря на то, что платный.

Стоит понимать, что даже если платные VPN собирают эти данные, то бесплатные и подавно будут это делать. Ну и плюс софт, написанный кривыми руками может открывать практически безграничный шлюз, открывающий доступ к компьютеру пользователя.

Не стоит забывать и про инициативы органов власти. Так в прошлом году обсуждалась идея полного запрета VPN и анонимайзеров. Поэтому вполне вероятно, что пользуясь запрещенным VPN, можно будет получить условный или реальный срок.

Обсудить