Перейти к содержимому

Чем может быть опасен VPN и как VPN-сервисы крадут ваши данные

Может ли быть опасен ВПН? Коротко — да. VPN может быть опасен, если используется ненадежный сервис, который может передавать или хранить личные данные без шифрования, подвергаясь риску утечек или кражи данных. Кроме того, некоторые VPN могут содержать вредоносное ПО или использовать слабое шифрование, что снижает защиту пользователя.

Накопленный опыт (только в 2024 год в vpnРоссия мы протесировали более 20 сервисов) показывает, что в плане защиты надежнее платные сервисы. В них применяют более совершенные алгоритмы шифрования, дополнительные функции вроде Kill Switch или работы без логирования. Бесплатные ВПН могут похвастаться разве что отсутствием затрат на подключение. Рассмотрим более подробно риски использования виртуальных частных сетей, и поговорим о том, как их минимизировать.

Чем опасен VPN?

Многие пользователи считают, что VPN – гарантия безопасного и анонимного веб-серфинга. И это само по себе является потенциальной угрозу. Поставщики услуг склонны преувеличивать качество защиты, иногда напрямую вводя клиентов в заблуждение. Последнее особенно характерно для так называемых «бесплатных ВПН». Весьма агрессивная, назойливая реклама создает у потребителей ложное впечатление непревзойденной конфиденциальности, защиты от хакеров.

Чем опасен VPN

Разработано немало способов, при помощи которых даже таргетологи способны отслеживать все или практически все действия пользователя (несмотря на скрытый IP-адрес, иные попытки остаться анонимным). Потенциальную опасность несут в себе риски блокировки ВПН-сервиса со стороны Роскомнадзора. В любой момент привычная система может прекратить работу, как это произошло с Hola! VPN или Speedify. Пользователь же останется один на один с «открытым интернетом».

Вернемся к вопросу, почему VPN опасен сам по себе:

  1. Создается ложное впечатление абсолютной безопасности. Сервисы не устранят уязвимости на компьютере или мобильном устройстве. Из-за этого риски утечки данных остаются.
  2. Социальная инженерия, фишинговые, вирусные атаки сохраняют свою эффективность. Нет смысла в шифровании и прочих фишках, если хакер получит доступ к логину и паролю.
  3. Зараженные вирусами файлы скачиваются через ВПН-канал столь же легко, как и без него. Не всегда встроенная защита позволяет обнаружить 100% вредоносного кода.
  4. Ссылки в электронных письмах, сообщениях, переданных через мессенджеры, продолжают работать и после отключения VPN. Это сохраняет риски заражения ПК или смартфона.
  5. Бесплатные сервисы содержат в политике конфиденциальности неприемлемые условия для использования, от отслеживания активности до отсутствия прозрачности передачи.

По результатам исследований CSIRO, до 38% бесплатных VPN для Android содержат вредоносные программы. Они включают назойливую рекламу, иногда открывают скрытый доступ к телефону и его настройкам. По коммерческим сервисам нужно понимать, что каждый из них соблюдает лишь «законы своей страны». Важно заранее уточнять, где зарегистрирован провайдер и что можно от него ожидать в юридическом аспекте.

Интересен факт, что многие риски, от которых пользователи пытаются защититься при помощи VPN, уже в значительной степени снижены за счет использования большинством сайтов протокола HTTPS. Если учитывать это, получается, что применение дополнительных сервисов избыточно и не приносит дополнительной защиты (только добавляет рисков взлома). В бесплатных сервисах ВПН пользователям предоставляют ограниченное число IP-адресов.

Это существенно упрощает хакерские атаки, если они нацелены на конкретный хост, ограничивает возможности по блокировке отслеживания действий потребителя, зашедшего на сайт через якобы анонимный канал. На смартфонах посредством «бесплатных» программ злоумышленники могут получить доступ как к записной книжке, так и к камере, микрофону, функциям отправки СМС и пр. С коммерческим софтом проще рассчитывать на защиту от подобных манипуляций.

Как происходит кража данных через VPN-подключение

При переходе на ВПН сервисы для защиты передаваемых данных нужно учитывать массу нюансов. Например, наличие уязвимости на этапе шифровки/дешифровки информации. Хакер может учесть этот момент и осуществить атаку на локальный хост, где принятые данные уже раскодированы. Еще важно понимать, что интернет представляет собой целую цепь серверов, каждый из которых может содержать собственные «дыры», позволяющие получить доступ к передаваемому трафику.

Часть способов взлома в 2024 году уже неактуальны ввиду нецелесообразности тратить слишком уж много времени на попытки получения доступа к защищенным данным. Но их нужно учитывать, ведь на рынке присутствуют и бесплатные сервисы, использующие устаревшие алгоритмы передачи информации. Внешне они работают идеально, но содержат всем известные «дыры». Пользователи редко интересуются, например, какая версия OpenVPN установлена у провайдера.

1. Криптографические алгоритмы

При передаче данных ВПН-сервисы используют целый ряд известных алгоритмов шифровки вроде AES, RSA, TripleDES, DES, ГОСТ 28147-89. Теоретически их нельзя расшифровать, но для некоторых специалистов нет нерешаемых задач.
Используют разные варианты взлома:

  1. Дифференциальный криптоанализ.
  2. Анализ статистического распределения символов.
  3. Атака с известным незашифрованным текстом.

Последнее предполагает, что злоумышленнику удалось получить часть пакетов, например, путем инициирования временного сбоя канала ВПН и переключения передачи на незашифрованный тип коммуникации. Тогда путем сравнения открывается возможность подбора ключа.

Все, что нужно хакеру, это взломать точку Wi-Fi или сервисы провайдера и начать выдавать такие настройки, что часть трафика приложений пойдет в незашифрованном виде. Называется методика TunnelCrack. Она работает независимо от работающего протокола.

2. Криптографические ключи

Проще взламывать конкретный ключ. В теории достаточно запустить атаку «полным перебором», но на практике достаточно длинную комбинацию будет нереально подобрать в разумные сроки. Например, российский алгоритм ГОСТ 28147-89 с 256-битным шифрованием взламывать смысла нет. Зато зарубежные аналоги, поставляемые с экспортными ограничениями сложности шифровки, вполне реально. Они дают минимальную защиту от хакеров.

3. Протоколы аутентификации

Принцип атак на устанавливаемые между хостами соединения основан на требовании их взаимной аутентификации. Популярный сегодня способ защиты путем использования сертификатов оказался довольно «дырявым». Все, что требуется от злоумышленника, это подменить сертификат, который система получает от удостоверяющего центра. Есть и другие способы взлома ВПН, основанные на уязвимостях конкретных протоколов аутентификации (RADIUS, TACACS и пр.).

4. Протоколы VPN

Использование устаревших версий софта, например, OpenVPN, приводит к появлению уязвимостей. Например, CVE-2017-7521 позволяла запускать произвольный код на ВПН-сервере путем отправки специально сформированного сертификата. В тот же год была обнаружена еще одна опасность – CVE-2017-7520, позволяющая осуществить атаку типа «человек посередине» (при подключении к прокси по протоколу NTLMv2).

Подобные проблемы обнаруживают регулярно. Вот один из более свежих примеров – CVE-2023-46850, CVE-2023-46849. Они позволяют вызывать ошибки в памяти устройства и отказ в работе ВПН. Выявленные уязвимости устраняются в новых версиях программного обеспечения, но их надо устанавливать, чтобы закрыть «дыры» в уже действующих системах. Если этого не делать, риски утечки информации будут только увеличиваться.

Довольно восприимчиво к хакерским атакам семейство протоколов IPsec, включая IKEv1 и IKEv2. Здесь также регулярно выявляют уязвимости вроде CVE-2023-26463, позволяющей запустить код, нужный хакеру, на стороне сервера или клиента.

Решается проблема все тем же обновлением релиза программного обеспечения. Если этого не сделать, сервис ВПН становится потенциально опасным для передачи конфиденциальных данных

.

    5. DNS-запросы

    Есть еще один специфический способ несанкционированного доступа к данным, передаваемым по ВПН-каналу. Он использует уязвимости того же OpenVPN, которые допускают передачу запросов DNS вне защищенного тоннеля. Например, из-за того, что у системы нет доступа к конфигурации Linux (при запуске ВПН не сохраняются нужные данные в клиентский файл, отвечающий как раз за перенаправлением DNS-запросов).

    Подобная проблема выявлена и в Android, включая версию 14. В ее коде имеется баг, позволяющий системе открывать данные по запрашиваемым DNS даже при включенной функции «блокировать соединения без VPN». Из-за этого провайдер видит, куда обращаются пользователи, на какие сайты заходит и т.д. Фактически это на 100% нивелирует функцию конфиденциальности, гарантируемую VPN-сервисом.

    6. Реализация VPN

    Один из наиболее простых и популярных способов взлома – играть на слабостях пользователей, их некомпетентности в вопросах безопасности.

    Примеры некорректной реализации системы защиты данных:

    1. Секретный ключ шифрования хранится на накопителе с открытым доступом.
    2. Информация о нем остается в оперативной памяти после отключения ВПН-канала.
    3. Открыт доступ к скомпрометированным ключам (так называемым «черным спискам»).
    4. Отсутствует контроль целостности программ VPN.

    Последнее позволяет злоумышленнику изменить код программного обеспечения и начать передачу в сеть незашифрованных данных (при визуальной работоспособности софта).

    Как обезопаситься от кражи данных используя ВПН

    Первый шаг к безопасному использованию VPN – пользоваться только проверенными сервисами. Изучение отзывов пользователей, истории провайдера, рейтингов поможет выяснить насколько он безопасен. Стоит заранее поинтересоваться политикой по хранению логов активности, соответствие поддерживаемых стандартов/протоколов современным требованиям. В зоне риска все бесплатные, особенно, «новые» сервисы, т.к. еще нет достаточной статистики, отзывов и пр.

    Существуют риски расшифровки передаваемых данных на сервере провайдера. Никто никогда не будет предоставлять услуги бесплатно. Все некоммерческие проекты на чем то, да зарабатывают – это реклама других компаний, наличие платных версий, когда начальная обладает весьма ограниченным функционалом.

    Последнее прямо говорит о том, что она не предоставляет серьезной защиты, а лишь предлагает ознакомиться с интерфейсом, протестировать, скорость работы.

    Есть еще правила, рекомендованные при использовании ВПН:

    1. Пользователь сам должен ограничивать пересылку важных персональных сведений, включая номера банковских карт, паспортные данные, пароли и т.п.
    2. Желательно вручную ограничить доступ VPN-сервиса к «ненужным» функциям смартфона вроде камеры, системы геолокации.
    3. Важно самостоятельно, вручную проверять доменные имена сайтов, к каким планируется подключиться, во избежание входа на фейковые ресурсы.
    4. Перед подключением необходимо убедиться, что в настройках установлены значения DNS, соответствующие провайдеру, Яндексу или Google.
    5. Нужно запретить перенаправления на уровне браузера, чтобы избежать перевода на сайты-клоны (фишинговые копии и пр.).
    6. Обращайте внимание на сообщения о недействительной цифровой подписи приложений и ее отсутствия.
    7. Выбирайте надежные протоколы, желательно современные версии OpenVPN и WireGuard, обеспечивающих достаточную защиту от взлома.
    8. Используйте дополнительные функции вроде блокировки утечки DNS-запросов, закрытия доступа к вредоносным сайтам, отключения рекламы и т.д.
    9. Проверьте, поддерживает ли провайдер функцию Kill Switch, автоматически отключающие соединение при сбое в работе VPN-сервиса.

    Еще важно устанавливать все актуальные обновления операционной системы, программы для ВПН, драйверов и т.д. Только так можно гарантировать закрытие уже выявленных «дыр», новых, старых и даже пока еще неизвестных, потенциальных. Только скачивать обновления нужно с официальных сайтов. Нельзя ничего устанавливать, если приложения, драйвера были получены из непроверенных источников. Этим пользуются злоумышленники: предлагают трояны под видом полезного ПО.

    Стоит избегать открытия файлов или ссылок, присланных по электронной почте, даже с известного адреса. Знакомого могли взломать и использовать для рассылки вредоносного кода. Сейчас мало кто общается по Email, чаще это происходит через мессенджеры и социальные сети. При открытии, если это необходимо, лучше вручную скопировать ссылку и убедиться в соответствии с оригиналом сайта. Фишинговые сервисы часто отличаются всего 1-2 символами.

    Если нет другого варианта, как воспользоваться бесплатным VPN, лучше избегать передачи через него конфиденциальной информации. Их обычно используют для доступа к заблокированным или изначально недоступным в стране сайтам. Например, чтобы скачать торренты. Заходить в личный кабинет онлайн-банкинга стоит только напрямую, без посредников. Особое внимание при отсеве подозрительных сервисов нужно уделять небезопасному протоколу HTTP.

    Бесплатные VPN небезопасны

    Разберем подробнее, чем опасен бесплатный VPN. Отметим, что неплохие некоммерческие сервисы все-таки существуют. Только уровень защиты, анонимности на них априори ниже, чем на платных, т.к. последние имеют возможность оплачивать доступ к более мощным системам криптографии и подключать различные дополнительные функции. Отсутствие такого комплексного подхода делает бесплатные ВПН специфическим инструментом, подходящим для ограниченного круга дел.

    Встраивание рекламы

    Одним из вполне легальных способов заработка провайдера является рекламирование сторонних компаний. Прямой угрозы данным пользователя это не несет, но переход на внешние сайты по клику на ссылку может перевести на фишинговый сайт или же привести к загрузке на компьютер/смартфон вредоносного кода, встроенного в ПО.

    Передача данных третьим лицам

    На серверах бесплатных сервисов скапливается огромное количество информации потенциально интересное для злоумышленников. Защита от взлома на них может оказаться недостаточной, чтобы эффективно противодействовать хакерам. А это в итоге приведет к получению доступа посторонних.

    Разрывы подключения

    Мало кого удивляет нестабильная работа бесплатных инструментов. Только за этим могут скрываться преднамеренные попытки скрыть передачу информации в незашифрованном виде.

    Вирусная активность

    Бесплатные сервисы ВПН обычно не имеют ресурсов для борьбы с фейковыми копиями. Поэтому пользователи легко попадаются на «удочку», скачав похожее приложение с сайта, также имеющего внешний вид схожий с оригиналом.

    Схожесть ярлыка, интерфейса программы дополнительно запутывает пользователя и тот спокойно передает сведения злоумышленникам. Фейковые ВПН даже может выполнять прямые функции, это приведет к более серьезным последствиям. Ведь тогда потребитель передаст намного больший объем сведений, включая номера банковских карт, паспортных данных и пр. Ваши логины и пароли к сайтам на телефоне хранятся открыто, это дополнительно упрощает задачу хакерам.

    Защитит ли VPN от хакеров?

    Одна из стандартных задач ВПН-сервисов – защита от хакеров. Шифрация трафика, подмена IP и остальные функции предназначены сделать пользователя, его трафик незаметным для остальных участников обмена данными. Если же поток данных все-таки перехватят, что характерно для атак «злоумышленник в середине», его не сумеют прочитать. Это удобно при работе через общественные Wi-Fi, доступ, предоставленный соседом и т.п.

    VPN — отличный инструмент для предотвращения следующих киберугроз:

    Взлом удаленного хоста

    Чаще всего хакеры атакуют конкретный IP-адрес, но т.к. провайдер подменяет/маскирует реальный адрес, злоумышленники в большинстве случаев неспособны провести прямое подключение. Естественно, остаются теоретические возможности найти способ выяснить реальные данные подключения, но таким будут заниматься в экстренных случаях, когда компьютер содержит действительно бесценные сведения.

    DDoS-атаки

    Эта ситуация аналогичная с предыдущей. Хакеры стремятся нарушить работу сервера путем наполнения трафика огромным объемом поступающих данных при помощи специальных ботов. Но для реального эффекта необходимо знать настоящий IP или хотя бы сегмент, где находится компьютер/сервер пользователя. Из-за маскировки адреса целиться в конкретную сеть не представляется возможным.

    Перехват сеансов

    Сервисы ВПН шифруют как передаваемую пользователем информацию, так и служебные пакеты, включая идентификаторы сеанса. Благодаря такому подходу при активном канале не требуется вводить логин/пароль каждый раз, когда нужно открыть какой-либо сайт. Это лишает возможности перехватить учетные данные.

    Не помогут VPN-провайдеры, если злоумышленник получил доступ к ключу шифрования. Сервис будет воспринимать подключение постороннего как легитимное. Также появляется возможность дешифровки перехваченных сведений. Скомпрометированная учетная запись способны привести к потере доступа к онлайн-банкингу, иным критически важным сайтам. Внешне никаких признаков взлома ни пользователь, ни администраторы сервисов не увидят.

    Еще одна типовая причина кражи данных через VPN – слишком простые пароли. Злоумышленнику достаточно выяснить логин или подобрать его при помощи специальных перечней и ввести какую-либо стандартную комбинацию символов. Например, 12345 или дату рождения. Чем меньше символов в пароле, тем проще его будет взломать путем перебора вариантов. Не зря некоторые сервисы стали требовать применения заглавных букв и специальных символов, чтобы усложнить задачу хакерам.

    Чек-лист для безопасного VPN-подключения

    Проговорим еще раз, как выбрать безопасный ВПН. Правила простые:

    1. Выбирайте проведенных провайдеров.
    2. Старайтесь избегать бесплатных сервисов.
    3. Пользуйтесь VPN только при необходимости.
    4. Регулярно обновляйте приложение и операционку.
    5. Применяйте самые современные протоколы шифрования.
    6. Ограничивайте передачу критически важных данных.
    7. Будьте дотошны при выборе пароля.

    Еще стоит научиться отличать фишинговые сайты от оригинальных.

    ЧАВо

    Может ли провайдер отслеживать посещаемые сайты?

    При прямом подключении через сети провайдера – да, сведения о посещаемости фиксируются везде «на автомате». Если трафик идет зашифрованный, как при включении ВПН, то нет.

    Опасен ли VPN для телефона?

    Потенциальную опасность несут в себе приложения бесплатных сервисов VPN. Их нередко качают с непроверенных сайтов, без применения антивирусов и пр.

    Может ли VPN украсть пароли?

    Теоретически на сервере провайдера данные могут расшифровываться. Тогда к ним получат доступ посторонние. Выше подобные риски в бесплатных системах выше.

    Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.