Безопасность на уровне транспортного протокола не может полностью заменить VPN

Дата: 24.06.2020. Автор: Игорь Б. Категории: Главное по информационной безопасности, Статьи по информационной безопасности.

Название статьи является несколько провокационным, поскольку отражает не весьма популярное мнение среди поклонников информационной безопасности. Но, честно говоря, это не имеет никакого значения. Интерес автора заключается в исследовании возможностей и пределов информационной безопасности и конфиденциальности, или, скорее, в нахождении их уязвимостей, связанных с Интернетом.

Автор статьи не является фанатом VPN, он достаточно образован и технически подкован, работает в области информационной безопасности уже более 20 лет и кое-что знает о сетевой безопасности, ввиду своего опыта, конечно. Тем не менее, сам опыт или количество подписчиков в социальных сетях не делают чьи-то суждения более верными или ошибочными. В конечном счете нужно взвесить представленную информацию в статье и сформировать свое субъективное мнение.

VPN как технология конфиденциальности полезна, если она правильно настроена и реализована. Однако это редко случается, о чем говорят исследования многих экспертов по безопасности. Сейчас существует бесчисленное количество мошеннических VPN-продуктов. Однако, не стоит сразу распространять панику, страх и сомнения (все в целом это еще называют FUD) по поводу VPN-технологий и считать их плохими или бесполезными.

Существует несколько доказательств в поддержку того мнения, что многие провайдеры VPN не полностью честны по поводу своих продуктов и обманывают клиентов. Означает ли это, что вся технология VPN – это полная чушь и не должна использоваться? Нет, ни в коем случае. Здесь следует процитировать старую поговорку: «Не потеряйте нечто нужное, избавляясь от ненужного». То же самое относится и ко всей шумихе, поднимаемой экспертами по безопасности. При этом не идет разговор о достоинствах TLS, которые действительно важны для того, чтобы отказаться от платных VPN-услуг.

Многим пользователям нравится заходить в Интернет, пользуясь общественными точками доступа Wi-Fi. Некоторые люди делают это каждый день. Желание проверить свою социальную сеть слишком велико, чтобы оставаться оффлайн в течение парочки часов, пока человек находится не дома, например, на работе.

В информационной безопасности некоторые, вероятно, слышали типичные и повторяющиеся фразы из разряда: «VPN не обеспечивают безопасность», «VPN – это пустая трата денег», «Он не обеспечивает конфиденциальность, потому что регистрирует просмотр страниц пользователя» и т.д. Ну, конечно, какая-то правда в этом есть. Бывают ситуации, в которых полезно использовать VPN для конфиденциальности, обеспечиваемой с помощью HTTPS и протокола Transport Layer Security (TLS), применяющихся для защиты данных при их передаче. Но сначала нужно разобраться, что такое VPN на самом деле.

Что такое VPN?

Опираясь на информацию, которую можно прочитать, перейдя по ссылке, VPN – это не что иное, как технология, созданная для обеспечения зашифрованного туннеля «точка-точка» для использования интернет-трафика. Нет абсолютно ничего плохого в VPN как в технологии. Проблема заключается в том, как она реализуется. Во многом это зависит от надежности поставщика услуг VPN.

По сути, VPN «затемняет» истинный IP-адрес компьютера или мобильного устройства, которое подключается к Интернету, и шифрует интернет-трафик, направляя его через туннель прокси-сервера. Этот туннель маскирует реальный IP и представляет пользователя в интернете как обладателя совсем иного IP-адреса. Такой подход может быть полезен для получения доступа к информации или веб-сайтам, на которых стоят ограничения по местности или запрет посещения на уровне правительства или действующего закона.

Не следует путать VPN с браузером Onion Router (Tor), который позволяет получить доступ к дакрнету а также включает в себя несколько слоев прокси-серверов для обеспечения анонимности, но даже это не обеспечивает идеальную конфиденциальность, как VPN. VPN и Tor – это разные технологии, которые выполняют одни и те же функции.

Нюансы использования VPN

VPN не является 100% безопасным или идеальным, когда речь заходит о полной конфиденциальности. Как уже упоминалось ранее, некоторые поставщики услуг VPN менее этичны, когда они говорят о совместном использовании журналов активности браузера или неправильной настройке VPN. До тех пор, пока пользователь понимает все эти существующие риски и старается изо всех сил выбрать надежного поставщика услуг VPN (желательно, платного), он поступает верно.

Все нормально, это жизнь. Люди идут на компромиссы постоянно, и это не такая большая проблема, в отличие от необходимости выбирать между оплатой счета за электричество и покупкой продуктов. Информационная безопасность в разы важнее.

Протокол Acronym Soup

HTTP, HTTPS, TLS и DNS – это куча сетевых аббревиатур, о которых многие люди, пользующиеся интернетом, не имеют и малейшего представления. Эти интернет-протоколы – это то, как работает интернет, проще говоря, интерпретация того, что происходит за кулисами, – где в игру вступают информационные технологии (IT) и IТ-безопасность (ITSec). Ученые по безопасности изучают, исследуют и пытаются усовершенствовать эти технологии на благо всего Интернета. Цель этого раздела состоит лишь в том, чтобы кратко рассказать о некоторых наиболее важных протоколах и не слишком углубляться в историю каждого из них.

Протокол передачи гипертекста (HTTP) является базовым протоколом, используемым всемирной паутиной. Этот протокол определяет, как форматируются и передаются сообщения, а также какие действия веб-серверы и браузеры должны предпринимать в ответ на различные команды. Первоначально он был введен Tim Berners-Lee в 1991 году; HTTP был разработан для упрощения передачи файлов, поиска индексов, согласования форматов [между различными серверами, браузерами и клиентами] и направления адресов клиентов на другие серверы.

Протокол защищенной передачи гипертекста (HTTPS) – это улучшенная версия HTTP, которая предоставляет пользователю больше безопасности, необходимой всему Интернету, хотя и делает это довольно медленно. В то время как HTTP отправлял передаваемые данные в формате обычного текста, который был плохим в плане паролей и конфиденциальной информации, HTTPS был специально разработан для обеспечения шифрования передаваемых данных. Он использует цифровые сертификаты, которые проверяются браузером, применяемым человеком для подключения к определенному веб-сайту. Пользователь может доверять тому, что Центр сертификации (CA), который выдал сертификат на веб-сайт, должным образом проверил его, и страницу можно безопасно просматривать. Иногда, конечно, даже сертификата бывает мало.

HTTPS не позволяет интернет-провайдерам (ISP), таким как Verizon, Time Warner, Comcast, AT&T, вмешиваться в работу веб-страниц, записывать файлы cookie для отслеживания истории просмотров и маскировать просмотренные страницы. Интернет-провайдер все еще знает, что пользователь посетил Victoria’s Secret или, скорее, сайт www.victoriassecret.com  [то есть, его DNS-эквивалент 98.158.58.30], но он не сможет отслеживать, по каким ссылкам человек переходил или какие веб-страницы на сайте он открывал. Так происходит, только если провайдеры не заразили интернет-браузер файлами cookie, которые отслеживают подобного рода данные и передают их на серверы. Интернет-провайдеры иногда собирают сторонние данные и продают их маркетологам и рекламодателям. Такие инициативы, как HTTPS Everywhere и let’s Encrypt project, помогают улучшить безопасность всего Интернета.

The Open Source Interconnection (OSI) Reference Model или «стек» состоит из 7 уникальных слоев.

Transport Layer Security (TLS) – это замена протокола Secure Sockets Layer (SSL), созданного компанией Netscape для обеспечения шифрования конфиденциальных данных клиентов на прикладном уровне 7 эталонной модели Open Systems Interconnection (OSI). SSL был собственностью Netscape, и поэтому с помощью RFC 2246 целевая группа по разработке Интернета (IETF) создала TLS 1.0 в январе 1999 года. TLS работает поверх протокола управления передачей (TCP) на уровне 4 (транспортный уровень), который с тех пор эволюционировал до последней версии TLS 1.3, появившейся на рынке в августе 2018 года, и был адаптирован для работы с протоколом пользовательских дейтаграмм (UDP).

TLS 1.3 – это самый важный протокол безопасности в Интернете, обеспечивающий превосходную конфиденциальность, безопасность и производительность, по мнению IETF blog.

Преимущества использования TLS для передачи данных заключаются в том, что он обеспечивает шифрование, аутентификацию и целостность данных с помощью так называемой «совершенной форфордной стойкости» или PFS. Но что все это значит? Это означает, что при нажатии клавиши Enter данные пользователя шифруются перед отправкой по сети с использованием симметричной криптографии Advanced Encryption Standard (AES) (то есть обмена ключами Diffie-Hellman); что данные не могут быть изменены в процессе передачи; и протокол будет проверять подлинность сертификатов веб-сайта, чтобы убедиться, что он действительно безопасен, прежде чем передавать данные. Это потрясающе, не так ли? Но есть небольшая загвоздка.

Как бы ни был хорош TLS версии 1.3, этот маленький замок в дальнем левом углу поля URL-адреса не совсем означает то, что думает пользователь. Цифровые сертификаты могут быть подделаны или скомпрометированы, как это было с Comodo еще в 2011 году.

Хотя здесь очень мало общего с VPN. Суть заключается в том, чтобы проиллюстрировать, что эта система HTTPS с TLS все еще уязвима для атак. Никогда не будет идеального решения, когда дело доходит до безопасности, Пользователи вынуждены довольствоваться «достаточно хорошей» безопасностью, например, в случае «довольно хорошей конфиденциальности» (PGP) шифрования для электронной почты. Она тоже не идеальна, но тем не менее работает довольно неплохо. Далее следует далее рассказать о полезности VPN.

Полезные свойства VPN

VPN-сервисы помогают людям обойти запреты на доступ к сайтам в определенных частях мира. Если пользователь когда-либо использовал VPN, то он может оценить конфиденциальность, которую ему предоставляют.

Ниже перечислены основные преимущества технологии VPN, но наверняка есть и другие варианты его использования:

  • Безопасный доступ к личным и корпоративным сетям во время путешествий
  • Скрытие активности пользователя от провайдера при просмотре веб-страниц
  • Защита от атак «Man-in-the-Middle» (MiTM), с помощью которых можно шпионить за пользователем во время использования общедоступных точек доступа Wi-Fi в местном Starbucks или другом заведении, когда человек заходит в Интернет со своего мобильного устройства или ноутбука
  • Доступ к аудио/видео веб-контенту и обход правительственной цензуры, которая может быть географически обусловлена (например, Netflix, YouTube, Hulu)
  • Загрузка торрент-файлов, которые в ином случае могут быть ограничены или недоступны из-за вмешательства интернет-провайдеров

VPN, конечно, не идеален, ни в коем случае, но все еще является важной технологией для защиты активности браузера и обхода некоторых интернет-ограничений. Отбрасывать эту технологию, считая ее бесполезной или малофункциональной, очень глупо. 

Уязвимости при подключении к общественному Wi-Fi (в отеле, аэропорту, кафе)

Более безопасно использовать VPN для подключения к общественным точкам доступа Wi-Fi, находящимся в торговом центре, кафе, аэропорту или отелях. Такое подключение не сделает пользователя полностью анонимным, но защитит осуществляемую деятельность в Интернете, берущую начало с устройства и до самого веб-сайта. Риск, который пользователь таким образом пытается снизить, известен как атака «Man-in-The-Middle» (MiTM), при которой злоумышленник может установить поддельную беспроводную точку доступа (WAP), например, в кафе, и обмануть пользователей, подключившихся к ней.

Необходимость в прозрачности и принятии соответствующих законов

Провайдеры VPN должны открыть занавес и показать пользователям, что происходит за ним. Одним из способов достижения хотя бы некоторой прозрачности стало бы требование регулярного аудита VPN-провайдеров, чтобы привлечь их к ответственности за «шифрование высокого уровня» и «отсутствие регистрации» ложных заявлений, чтобы дать возможность клиентам понять, что они получают то, за что платят. Пользователи должны настаивать на том, чтобы интернет-провайдеры сотрудничали с поставщиками услуг VPN для того, чтобы их действия были более прозрачными.

Установка своего собственного VPN-сервера

Есть возможность настроить свой собственный VPN-сервер, если человек технически подкован. Это гораздо дешевле, чем платить ежемесячную подписку после оплаты первоначальных затрат на настройку. Пользователь также получает душевное спокойствие, что его активность в Интернете не регистрируется никем, кроме него самого. Перейдя по ссылке, можно найти хорошую статью, которая объясняет, как настроить свой собственный VPN-сервер с помощью Algo VPN.

Полезные ресурсы

Важно отметить, что VPN не дает идеальной конфиденциальности. Тем не менее, он может быть очень полезен при правильной реализации и реалистичных ожиданиях пользователей.

Нужно взглянуть на privacytools.io, на котором есть много хороших статей. Кроме того, “That One Privacy Guy” имеет прекрасную сравнительную диаграмму VPN, которая постоянно обновляется здесь: https://thatoneprivacysite.net/#detailed-vpn-comparison. Для конкретных рекомендаций по поводу VPN-провайдеров рекомендуется использовать либо Avast SecureLine VPN, либо ProtonVPN.

Бесполезное распространение FUD

Пользователи следят за так называемыми учеными в сфере безопасности и «экспертами по кибербезопасности», которые распространяют FUD о том, насколько небезопасны VPN по всем типам причин, многие из которых совершенно необоснованны.

Суть в том, что есть те, кто попытается использовать свое влияние в социальных сетях, чтобы отговорить людей от определенной технологии по любым уважительным причинам. VPN – это одна из тех областей, где есть много FUD и дезинформации. Конечно, возможности VPN может быть значительно преувеличены, но это не значит, что люди должны полностью прекратить его использовать. Вместо того чтобы осуждать использование VPN, как насчет того, чтобы, оценивая VPN-сервисы и предоставляя отчеты и рекомендации среднестатистическим пользователям, сделать выводы о том, чего стоит избегать в деятельности интернет-провайдерам? Легко указать на недостатки в технологии, но гораздо труднее обеспечить приемлемые для них решения.

Не стоит верить всему, что говорят. До сих пор существует много разногласий и непонимания относительно того, что такое технология VPN и каковы ее настоящие полезные стороны. Ученым предстоит еще многое изучить, а пока не нужно делать преждевременных выводов.

Автор переведенной статьи: Ian Barwise

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

четыре × два =