В этом посте мы разберём две проблемы: ложные ожидания от VPN и токсичные практики продаж.
Эта статья ориентирована на пользователей обычных коммерческих VPN-сервисов и нацелена на освещение дезинформации и уловок, которые используют VPN-провайдеры.
В погоне за ростом и прибылью алчные VPN-компании дают ложные обещания: «Мы защитим ваши данные, пароли и спасём вас от хакеров!» Играя на человеческом страхе, они предлагают свой продукт как панацею безопасности.
Разберём примеры таких обещаний, которые либо не работают, мало эффективны или работают только в связке с другими программами.
Защита переписок — это самый бредовый пример, который мы встретили. VPN-провайдеры играют дурачков и говорят, что «публичный WiFi» небезопасен. Они частично правы: если вы посещаете сайты без сертификата (http://), то подключение не является безопасным и трафик может быть прослушан/перехвачен. Если сайт доступен по протоколу (https://), такой проблемы нет.
Самое плохое в данной ситуации — это то, что некоторые провайдеры даже не упоминают об этом. Они не говорят, что это относится только к «открытым WiFi-сетям» и незашифрованному трафику (http).
Теперь главный вопрос: когда вы в последний раз открывали сайт без https://? Ваш браузер предупредит вас об этом и по умолчанию не даст доступ к такому сайту. W3techs подсчитал, что в 2020 91.3% из топ-1000 сайтов используют безопасный протокол https по умолчанию.
Единственное, в чем VPN помогает - это сокрытие вашего настоящего IP-адреса от хакера. Но поверьте, есть сотня других способов навредить вам. Второй, более редкий юзкейс — это защита своей сети от DDoS-атак.
Никакой VPN-провайдер не может гарантировать стопроцентную анонимность. Увидели такое утверждение — бегитепокупать. Особенно забавно наблюдать за провайдерами, которые говорят это, но даже не принимают платежи в криптовалюте.
Если вы нуждаетесь в максимальной анонимности, то советуем купить б/у ноутбук, подключиться к WiFi соседа, загрузиться с Tails и использовать TOR. Не идеальный вариант, но для начала хватит.
Мы всегда скептически относились к этому варианту. Перед написанием поста мы проверили 15 сайтов, которые предоставляют билеты и аренду машин. Получилось только увеличить сумму на билеты из-за местной валюты и конвертации. Допустим, у вас получилось найти билеты или аренду по более выгодной цене. Тогда возможно, что как только сервис узнает к какой стране принадлежит ваша карта или ваши паспортные данные, цена обновится. Это может сработать для покупки цифровых продуктов (например, игр) по цене для более «дешёвых» стран — но тут уже возникает риск в том, что сервис вас заблокирует за нарушение его условий и соглашений.
Скрытие GPS-локации на мобильных устройствах. Локация мобильного устройства определяется не только по IP-адресу, скрыть её нельзя — но можно подменить. Для этого нужны специализированные приложения — сам VPN это не делает.
Защита при работе из дома. Обычно VPN-провайдеры позиционируют это как “providing better security when working from home”. Если говорить о безопасности работы (то есть, видимо, речь о защите рабочей информации, корпоративных данных и так далее), то для этого существует корпоративный VPN и специальный софт. Если же удалённый сотрудник использует обычный «гражданский» VPN, то никакой дополнительной защиты он не получает.
Неэтичный VPN-маркетинг формирует у людей в корне неправильное понятие о VPN, которое разносится, размножается и мутирует как вирус. Тем самым пользователи вредят самим себе и окружающим. А потом уже новые VPN-провайдеры начинают копировать конкурентов и использует аналогичные подходы: если VasyaVPN так делает — значит, и нам нужно!
Чтобы понимать, где возможности VPN заканчиваются, надо иметь более строгое представление, что они в себя включают:
Поговорим теперь о ценовой политике и партнерских программах.
Теперь берём красный цвет, рисуем кружки и лепим огромным текстом «экономия/скидка/акция 80%».
Естественно посетителю будет тяжело отказаться от такого заманчивого предложения. Маркетологи успешно подчеркнули невероятную экономию, и посетитель уже в поисках банковской карты. Но на самом деле за завышенной (для многих — запретительно высокой) ценой месячной подписки стоит не просто желание нарисовать скидку побольше — это напрямую связано с тем, как работают партнёрские программы VPN (об этом ниже).
Часть первая
Эта статья ориентирована на пользователей обычных коммерческих VPN-сервисов и нацелена на освещение дезинформации и уловок, которые используют VPN-провайдеры.
В погоне за ростом и прибылью алчные VPN-компании дают ложные обещания: «Мы защитим ваши данные, пароли и спасём вас от хакеров!» Играя на человеческом страхе, они предлагают свой продукт как панацею безопасности.
Разберём примеры таких обещаний, которые либо не работают, мало эффективны или работают только в связке с другими программами.
1) Защита паролей, переписок, аккаунтов и кредитных карт
Защита переписок — это самый бредовый пример, который мы встретили. VPN-провайдеры играют дурачков и говорят, что «публичный WiFi» небезопасен. Они частично правы: если вы посещаете сайты без сертификата (http://), то подключение не является безопасным и трафик может быть прослушан/перехвачен. Если сайт доступен по протоколу (https://), такой проблемы нет.
Самое плохое в данной ситуации — это то, что некоторые провайдеры даже не упоминают об этом. Они не говорят, что это относится только к «открытым WiFi-сетям» и незашифрованному трафику (http).
Теперь главный вопрос: когда вы в последний раз открывали сайт без https://? Ваш браузер предупредит вас об этом и по умолчанию не даст доступ к такому сайту. W3techs подсчитал, что в 2020 91.3% из топ-1000 сайтов используют безопасный протокол https по умолчанию.
2) Защита от хакеров
Единственное, в чем VPN помогает - это сокрытие вашего настоящего IP-адреса от хакера. Но поверьте, есть сотня других способов навредить вам. Второй, более редкий юзкейс — это защита своей сети от DDoS-атак.
3) Полная анонимность
Никакой VPN-провайдер не может гарантировать стопроцентную анонимность. Увидели такое утверждение — бегите
Если вы нуждаетесь в максимальной анонимности, то советуем купить б/у ноутбук, подключиться к WiFi соседа, загрузиться с Tails и использовать TOR. Не идеальный вариант, но для начала хватит.
4) Экономия на авиабилетах и аренде машин
Мы всегда скептически относились к этому варианту. Перед написанием поста мы проверили 15 сайтов, которые предоставляют билеты и аренду машин. Получилось только увеличить сумму на билеты из-за местной валюты и конвертации. Допустим, у вас получилось найти билеты или аренду по более выгодной цене. Тогда возможно, что как только сервис узнает к какой стране принадлежит ваша карта или ваши паспортные данные, цена обновится. Это может сработать для покупки цифровых продуктов (например, игр) по цене для более «дешёвых» стран — но тут уже возникает риск в том, что сервис вас заблокирует за нарушение его условий и соглашений.
5) "Military Grade Encryption", "256-bit bank-level encryption"
"Military grade" означает AES-256 — то есть, просто зашифрованное соединение. Статья, которую вы сейчас читаете, была “military grade encrypted”, потому что Хабр использует https. HTTPS не позволяет пассивному обозревателю сетевого соединения видеть, что именно вы читаете, а активному сетевому посреднику — изменять содержимое данных по мере их поступления к вам. Но это ничего не говорит о том:- Какие средства контроля доступа используются для защиты данных, а также кто и как их можно обойти (например, администратор базы данных).
- Является ли шифрование прозрачным или непрозрачным: во многих случаях прозрачное шифрование также прозрачно для злоумышленников.
- При использовании AES ключ дешифрования используется всеми сторонами, которым необходим доступ. Напрашивается вопрос: кто может видеть ключ(и)? У кого был доступ? Как ключи защищены?
- У AES существует довольно много режимов, каждый со своими компромиссами. Какой режим (GCM, CBC, CTR и т. д.) используется и подходит ли он в вашем случае?
- Ротируются ли ключи шифрования? Правильно ли используются векторы инициализации (IV)? А как насчет источника генерации случайных чисел? Если генерация не по-настоящему рандомная, шифрование может быть скомпрометировано.
6) И так далее
Решение всех проблем с приватностью, защита от утечек личной информации в интернете. VPN - это только один маленький шаг на пути к приватности. Он не отменяет и не заменяет другие необходимые меры цифровой гигиены, включая смену браузера и поисковой системы, очистку куков после завершения сессии итд. Более продвинутые пользователи меняют операционную систему, частично или полностью отказываются от популярных сервисов вроде Google/Microsoft/Facebook, увлекаются селфхостингом и используют кастомные ROM на смартфонах.Скрытие GPS-локации на мобильных устройствах. Локация мобильного устройства определяется не только по IP-адресу, скрыть её нельзя — но можно подменить. Для этого нужны специализированные приложения — сам VPN это не делает.
Защита при работе из дома. Обычно VPN-провайдеры позиционируют это как “providing better security when working from home”. Если говорить о безопасности работы (то есть, видимо, речь о защите рабочей информации, корпоративных данных и так далее), то для этого существует корпоративный VPN и специальный софт. Если же удалённый сотрудник использует обычный «гражданский» VPN, то никакой дополнительной защиты он не получает.
Неэтичный VPN-маркетинг формирует у людей в корне неправильное понятие о VPN, которое разносится, размножается и мутирует как вирус. Тем самым пользователи вредят самим себе и окружающим. А потом уже новые VPN-провайдеры начинают копировать конкурентов и использует аналогичные подходы: если VasyaVPN так делает — значит, и нам нужно!
Зачем вам нужен VPN на самом деле?
Данная критика не относится к использованию корпоративных VPN-сетей организациями — там совершенно другая ситуация, и «безопасники» компаний гораздо лучше понимают, зачем и почему они используют VPN. Также VPN необходим для людей в ситуации повышенного риска: журналистам, активистам в стране с репрессивным режимом или под наблюдением. В данном случае стоит использовать VPN для дополнительной защиты и приватности. И, конечно, VPN необходим для обхода блокировок как популярных, так и профессиональных ресурсов: будь то «Инстаграм» или «Линкедин», или заблокированные в России медиа.Чтобы понимать, где возможности VPN заканчиваются, надо иметь более строгое представление, что они в себя включают:
- Сокрытие вашего реального IP-адреса от ресурсов, которые вы посещаете. Дополнительный слой приватности.
- Возможность выбрать страну для обхода блокировок и региональных ограничений со стороны ресурса.
- Обход блокировок со стороны интернет-провайдера.
- Сокрытие трафика, посещаемых сайтов от своего интернет-провайдера.
- Скачивать торренты и не получать письма от правообладателей.
- Защита при посещении сайтов без https, когда вы подключены к публичным WiFI-сетям.
Часть вторая
Поговорим теперь о ценовой политике и партнерских программах.
Трёхлетние тарифы под видом невероятной скидки
При выборе подписки вы наверное часто замечали, что большинство VPN-провайдеров не хотят, чтобы вы покупали подписку меньше чем на 2-3 года. Они делают сильный акцент на тарифы (+2 года), противопоставляя их с месячным тарифам. Однако это не значит, что они делают скидку за приобретение длительного тарифа. Это не имело бы смысла, потому что аренда и содержание серверов магическим образом в три раза дешевле от того, что клиент оплатил сразу три года, не становится. Всё как раз наоборот: средняя цена за длительный период — это реальная, рыночно оправданная цена VPN, и составляет она порядка 3-4 долларов или евро в месяц. Это цена за месяц специально завышена втрое.Теперь берём красный цвет, рисуем кружки и лепим огромным текстом «экономия/скидка/акция 80%».
Естественно посетителю будет тяжело отказаться от такого заманчивого предложения. Маркетологи успешно подчеркнули невероятную экономию, и посетитель уже в поисках банковской карты. Но на самом деле за завышенной (для многих — запретительно высокой) ценой месячной подписки стоит не просто желание нарисовать скидку побольше — это напрямую связано с тем, как работают партнёрские программы VPN (об этом ниже).
