Как устроен VPN и что важно о нем знать

Технология VPN становится все более популярной. Раньше о ней знали только IT-специалисты, но сейчас VPN широко используют, чтобы получить доступ ко многим привычным сайтам и сервисам. Но далеко не каждый, кто включает VPN, понимает, что это за технология и как она работает. Действительно ли VPN-сервисы позволяют достичь анонимности? Безопасно ли ими пользоваться? «Как читать медиа» вместе с «Теплицей социальных технологий» и правозащитной организацией «Роскомсвобода»  отвечают на все возможные вопросы о VPN.

Что такое VPN 

Таким образом, благодаря VPN сотрудник компании может отправиться куда угодно и воспользоваться всеми привычными ресурсами. Здесь обнаружилось и важное свойство VPN — пользователь может посещать сайты и использовать приложения, даже если в определенной стране они недоступны/заблокированы. Ведь обращаться к этим ресурсам человек будет не напрямую, а через офисный сервер.

Среди обычных пользователей технология VPN стала популярной в 2010-х годах на волне растущего внимания к защите частной жизни. Сейчас в интернете есть множество VPN-сервисов, которые предлагают подобное «посредничество». Вы устанавливаете на свой компьютер или смартфон программу-клиент, она подключается к серверу VPN, и дальше весь ваш трафик течет по «зашифрованной трубе». 

По словам эксперта «Теплицы» Сергея Смирнова, особенности VPN привели к тому, что технологию стали использовать не только для того, чтобы защищать данные, но и чтобы обходить цензуру. «Вы можете заходить на любые сайты, а цензор не будет знать, на какие. Он узнает только факт вашего общения с VPN-сервисом», — поясняет Смирнов.

Что важно учитывать, когда пользуешься VPN

В 2022 году в мире насчитывается не менее 5 миллиардов интернет-пользователей, и около 1,2 миллиарда (33%) из них используют VPN. Странами с наибольшим количеством пользователей VPN (более 40 млн) в 2021 году стали Индия, Китай и Индонезия. Россия была на седьмом месте, но в 2022 году она уже почти полгода удерживает второе место в мире по числу скачиваний VPN-сервисов (например, за первые три недели июля VPN-сервисы в РФ загрузили более 12 млн раз).

Среди основных причин, почему VPN пользуются в мире, эксперты называют: конфиденциальность веб-серфинга, доступ к заблокированному в стране контенту, скачивания файлов из торрентов, обход цензуры. Причины могут меняться в зависимости от политической ситуации в стране и многих других факторов. Например, 49% активных американских пользователей VPN утверждают, что используют сервис в целях безопасности, 40% — для приватности. А до половины пользователей за пределами США скачивают VPN для получения доступа к развлечениям (в том числе потоковым сервисам) и только 34% — для доступа к социальным сетям и/или новостному контенту, который заблокирован в их стране.

Важно понимать, что VPN, как и любое другое средство обеспечения безопасности, не защищает полностью. У каждого средства, будь то VPN, антивирус, брандмауэр, парольный менеджер или утилита шифрования файлов, есть своя область применения. «VPN помогает обеспечить конфиденциальность и обходить блокировки. Но даже в своей «нише» соответствующая программа вполне может не покрывать 100% запросов всех пользователей. Потому что запросы у людей разные», — подчеркивает эксперт «Теплицы» Сергей Смирнов. 

Одна из самых частых проблем при использовании VPN — снижение скорости интернета. Это связано с тем, что у трафика появляется сервер-посредник. Чем географически дальше VPN-посредник от пользователя и чем больше он нагружен, тем сильнее это сказывается на скорости. Выход — выбрать другой сервер в настройках приложения или купить платную версию, где выбор серверов обычно шире. 

Ещё постоянно включенный сервис VPN может быстрее «сажать» аккумулятор смартфона или ноутбука. Это зависит от конкретных приложений VPN и их оптимизации. Любая программа, которая работает в фоновом режиме, потребляет хоть сколько-нибудь дополнительной энергии. Теоретически разработчикам ничто не мешает реализовать поддержку «засыпания» приложения — и либо восстанавливать соединение после «просыпания», либо сохранять соединение активным во время «сна», без его разрыва. Но любая неосторожность программистов приведёт к потере приватности и защищённости. Кроме того, VPN используют шифрование, что в принципе повышает нагрузку на процессор. В любом случае, если вам важно сберечь батарею телефона, вы можете использовать VPN не постоянно, а включать его только при необходимости. 

Среди других сложностей — невозможность иметь доступ ко всему сразу через один и тот же сервер. В разных странах списки заблокированных сайтов отличаются, а некоторые сервисы и вовсе доступны только на территории самой страны. Например, некоторые российские ресурсы закрыли возможность открытия из заграницы, чтобы защититься от кибератак. Из-за всех этих ограничений вам понадобится часто переключать страну-сервер или просто включать и выключать VPN, что не очень удобно.

Какие риски остаются при использовании VPN

По мнению многих VPN — это сервис, который «обеспечивает анонимность». Просветители в области технологий подчеркивают — это не совсем так. 

Да, VPN способен скрыть IP-адрес пользователя перед сайтами, которые он посещает — это, например позволяет сохранить приватность местоположения. А еще интернет-провайдер не сможет увидеть содержимое вашего трафика, передаваемого через VPN.

Но для самого VPN-сервиса пользователь не анонимен: сервис знает, какие сайты вы посещаете. А для внешнего «зрителя» — то есть интернет-провайдера — будет известен сам факт вашего соединения с VPN.

«У интернет-провайдера вы «авторизовались» по паспорту при заключении договора, а у VPN-провайдера — при оплате банковской картой или при регистрации, — говорит Вадим Мисбах-Соловьев, технический эксперт правозащитной организации «Роскомсвобода» и ментор Privacy Accelerator. — То есть и VPN, и провайдер прекрасно знают, кто вы, и могут соотнести ваш трафик с вашим условным "профилем". На мой взгляд, это буквально антонимично анонимности».

При использовании VPN возникает риск утечки данных пользователя или даже передачи их третьим сторонам — правительствам, маркетинговым компаниям или кому угодно еще. Один из наиболее известных случаев подобной утечки произошел в 2020 году. Тогда в интернете обнаружились данные 20 млн пользователей бесплатных VPN-сервисов, среди которых могут быть как минимум десятки тысяч россиян. На незащищенном сервере оказались данные приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, в том числе электронные адреса, незашифрованные пароли, IP- и домашние адреса, данные о моделях смартфонов и идентификаторы устройств пользователей.

Другой риск — использование технологии WebRTC, которая по умолчанию включена в каждом браузере. Она позволяет передавать данные в браузере, прежде всего видео, — например, в программе Jitsi Meet. Если очень упростить, WebRTC при некоторых условиях позволяет третьей стороне, которая не участвует в диалоге, определить IP-адрес устройства, работающего через VPN. Это прямая угроза для конфиденциальности: зная настоящий IP-адрес пользователя, можно однозначно идентифицировать его в сети. Для предотвращения утечки адреса рекомендуется либо полностью отключить WebRTC в настройках браузера, либо установить специальное дополнение — например, uBlock Origin.

VPN также уязвимы для атаки, называемой дактилоскопией трафика. При этом методе подразумевается, что взлома у атакующего есть доступ одновременно к оборудованию возле «источника» и возле «получателя». В этом случае злоумышленник может проанализировать данные на обеих сторонах и понять, что за соединение приходит к компьютеру — даже если оно идет через VPN. Хотя определить конкретно какую страницу на сайте, а в случае “обычных” (не соцсетей) сайтов - часто даже и какой именно веб-сайт открывал пользователь, получится вряд ли. 

В конечном счете, не стоит сильно переживать насчёт этих уязвимостей. Все веб-сайты имеют определенные паттерны трафика, но, в отсутствии полного доступа к трафику с обеих сторон и неограниченного бюджета на его анализ, профайлинг перехваченного траффика просто на основе «шаблонов» носит очень грубый и вероятностный характер, объясняет эксперт «Роскомсвободы» Вадим Мисбах-Соловьев. Например, при просмотре роликов на YouTube и Vimeo паттерн будет практически одинаковым: куча «мелких» передач (метаданные, стили, скрипты) и следом большая передача видео. Да, вероятность угадать сайт остаётся, но стопроцентного способа определить его при использовании VPN не существует.

Возможна ли блокировка VPN

Если вы включите VPN, вы не сможете скрыть сам факт, что используете эту технологию и что обращаетесь к конкретному VPN-сервису. Это позволяет правительствам блокировать VPN технически — анализируя трафик и прямо запрещая доступ к сайтам сервисов VPN. 

Дополнительным рычагом воздействия могут быть юридические запреты. С их помощью правительства принуждают VPN-сервисы к сотрудничеству: чтобы они, например, блокировали клиентам доступ к запрещенным сайтам. Наконец, в будущем нельзя исключать запреты непосредственно на использование VPN. То есть преследовать уже не провайдеров VPN, а самих пользователей этих сервисов.

Как объясняет Никита Истомин, юрист Digital Rights Center, эксперт «Роскомсвободы», в большинстве государств мира использование VPN само по себе не влечет ответственности. Прямой запрет использования VPN предлагали ввести лишь однажды — в Иране. Но весной 2022 рассмотрение законопроекта отложили. 

«В некоторых государствах использование VPN может послужить основанием для «взятия на карандаш». Например, человека занесут в списки неблагонадежных граждан, заведут дело оперативного учета, снимут «социальные баллы» и так далее. Известно, что в Китае могут заставить явиться в полицию для удаления VPN, — рассказывает Никита Истомин. — В ОАЭ использование VPN не запрещено, но если вы откроете запрещенный сайт, в том числе с помощью VPN, вас могут наказать штрафами и лишением свободы. А в Омане необходимо получать разрешение у государства на доступ к любым зашифрованным коммуникациям в Интернете. Но все эти законы исполняются слабо, и большинство людей их игнорирует».

В целом, вероятность того, что в любой стране заблокируют все VPN, очень мала, рассказывает Вадим Мисбах-Соловьев. «В России в будущем возможна более «умная» блокировка VPN-трафика, нежели та, что существует сейчас. Это усложнит использование VPN обычными пользователями. Но совсем заблокировать все возможные способы подключения по VPN, не привязываясь к блокировке конкретных сервисов или смены модели с «чёрных списков» на «белые» (об этом дальше — прим. КЧМ), вряд ли получится», — уверен эксперт.

Подробнее о блокировках

Заблокировать VPN в целом как технологию сложно, потому что «верхний» слой работы VPN-приложений — это только установление соединения между несколькими компьютерами и сам факт передачи данных между ними — как правило, шифрованных. Вся «нижняя» часть работы — то есть непосредственно настройка сети между этими компьютерами и её маршрутизация — происходит через обмен данными уже внутри этого соединения. А значит, для внешнего вмешательства она недоступна.

«Можно заблокировать какие-то уже существующие технологии VPN, изучив алгоритмы, по которым они обмениваются этими данными и научившись их опознавать, — объясняет Вадим Мисбах-Соловьев. — Но универсально и однозначно отделить VPN-трафик от не-VPN во всех случаях невозможно. И не все из уже существующих приложений можно заблокировать, даже детально изучив их алгоритмы».

Радикальным способом борьбы с обходом блокировок могут стать разве что «белые списки», уверяют эксперты. Дело в том, что в большинстве стран, в том числе и в России, используются так называемые «черные списки» — то есть реестры запрещенных ресурсов. Согласно им, разрешено все, что не запрещено. Принцип же «белых списков» — обратный: запрещено все, что не разрешено. Если власть вводит «белые списки», внутри страны формируется аналог «интранета» — внутренней изолированной сети. Так функционирует сеть в Северной Корее, и бороться с блокировками там довольно трудно для рядовых пользователей.

Тем не менее, нельзя говорить о VPN как о панацее, что позволит обойти все блокировки и запреты. Например, государственные органы могут привлекать специалистов и настраивать технические средства противодействия угрозам (ТСПУ). Это такие коробочки (в реальности они иногда занимают несколько шкафов оборудования) , которые устанавливаются у операторов связи и используют технологию анализа трафика DPI. Теоретически с помощью ТСПУ можно определять каждый сервис и каждое приложение и прицельно их блокировать. Этот механизм становится умнее и обходить его сложнее. 

Многие современные VPN имеют такие протоколы, как Shadow socks — они умеют обманывать DPI и обходить блокировки через маскировку трафика под что-то иное. Для этого в VPN-приложении должна быть возможность включить соответствующую опцию. Например, у VPN-сервиса Tunnelbear есть режим GhostBear. Но, к сожалению, далеко не все провайдеры VPN поддерживают такие протоколы. И не все сервисы успевают быстро перенастроить конфигурацию своего продукта, если какой-то протокол заблокирован.

При маскировке трафик просто делается более похожим на «безобидный», зачастую путем «упаковывания» в дополнительный «слой», объясняет Вадим Мисбах-Соловьев. «В итоге при попытке анализа трафика он выглядит как что-то другое — например, посещение сайтов или общение в мессенджерах, — говорит эксперт. — Но учтите, что из-за особенностей работы интернета два очень важных параметра скрыть все равно не получится: откуда идет пакет данных (внешний, от самого приложения VPN на вашем устройстве) и куда (сервер владельцев VPN-сервиса) он идет. Так же и в обратную сторону. И даже при всей возможной маскировке трафик может блокироваться на основе этих данных».

Наиболее надежное решение для того, чтобы обходить блокировки и снизить риск блокировки используемого средства, — настройка собственной VPN с использованием арендуемых серверов, уверен Вадим Мисбах-Соловьев. Помочь в этом вам может, например, Amnezia VPN или Outline. Правда, последний использует техническую и аналитическую инфраструктуру Google. Так что с большой долей вероятности при его использовании Google будет собирать о вас ещё больше информации, чем собирает уже сейчас. Кроме того, сейчас возможность блокировки Google кажется уже не такой невозможной как, например, ещё пару лет назад.

Настройка собственной VPN может показаться непривычной и сложной задачей для пользователя без IT-образования. Но по инструкции сделать это возможно и без специальных знаний. Хотя большинство пользователей, конечно, предпочитает готовый и уже настроенный сервис.

Как выбрать VPN 

Не существует одного универсального VPN, который подойдет всем. А вот общие сложности есть — например, после ухода Visa и MasterCard большинство зарубежных VPN нельзя оплатить с территории России. А еще у некоторых сервисов отсутствует поддержка той или иной платформы — например, есть версия для Windows и macOS, но нет поддержки Linux. 

Выбирая из доступных вам вариантов, не спешите установить незнакомый вам VPN с ярким и привлекательным логотипом и названием. Не исключено, что такой сервис может, например, собирать данные о вас в маркетинговых целях или даже передать данные о вашей активности в государственные органы по их запросу. 

Помните о том, что VPN-сервис знает, какие сайты посещают его пользователи, и о рисках, которые возникают в связи с этим. Изучите сведения о вашем VPN: его юрисдикцию, репутацию, историю. Почитайте, что сам владелец VPN говорит о сборе данных. Если он собирает информацию — уточните, какую именно, как с ней поступает.

Не принимайте решения, основываясь на платности сервиса. То, что VPN стоит денег, еще не значит, что он надежный. Ровно как и его бесплатность не говорит об обратном. Прямой зависимости качества и эффективности любой программы/сервиса от его цены нет, уверен Сергей Смирнов. Ненадежность всех бесплатных VPN — стереотип, которым часто пользуются те, кто продвигает платные решения. Можно найти надежный бесплатный VPN или выбрать отлично защищающую вас бесплатную версию платного провайдера. 

«Обращать внимание на модель финансирования проекта — дело хорошее, но тут недостаточно делать вывод по одному лишь «платно или бесплатно», — говорит Сергей Смирнов. — Задайтесь вопросом, как финансируется проект? Возможно, он живет на гранты, пожертвования и так далее. Или за счет продажи других продуктов или других версий того же продукта. А значит, ничего подозрительного в том, что VPN бесплатный, нет».

В целом пользователям стоит ориентироваться на проверенные и рекомендованные экспертами сервисы, которые предпринимают усилия по обходу блокировок и, что самое главное, не сливают и не продают данные своих клиентов. Подборки таких VPN-сервисов — среди них есть и бесплатные — составляют, например, Теплица социальных технологий и Роскомсвобода.