W ostatnich tygodniach w Polsce znów zrobiło się głośno wokół usług VPN. A to za sprawą Kanału Zero, który nawiązał współpracę reklamową z Uncensor VPN. I choć kontrowersje dotyczą tu przede wszystkim niejasnych powiązań biznesowych właściciela firmy, nie samego narzędzia, a Kanał Zero zdążył już tę współpracę zawiesić, to jednak medialna dyskusja błyskawicznie przerodziła się w szerszą debatę o bezpieczeństwie komercyjnych VPN-ów.
Wielu ekspertów ds. cyberbezpieczeństwa od lat ostrzega, że narzędzia VPN, choć promowane jako tarcza chroniąca prywatność, nie zawsze stoją po naszej stronie. To dobry moment, by przypomnieć, czym jest VPN, jak działa i dlaczego wybór niewłaściwej usługi może narazić użytkownika na poważne ryzyko.
Czym jest VPN i jak (w teorii) powinien działać?
VPN, czyli Wirtualna Sieć Prywatna, to usługa, która tworzy bezpieczny, zaszyfrowany "tunel" dla całego naszego ruchu internetowego. Jak to działa w praktyce? Kiedy łączymy się z siecią, nasz ruch nie trafia bezpośrednio do docelowej strony (np. banku czy serwisu informacyjnego). Zamiast tego jest on najpierw kierowany na zdalny serwer należący do dostawcy VPN.
Całe połączenie pomiędzy naszym urządzeniem (np. komputerem czy smartfonem) a tym serwerem jest silnie szyfrowane. Dzięki temu nasz dostawca internetu (ISP) nie widzi, co robimy w sieci. Co więcej, dla zewnętrznego świata - czyli stron internetowych i usług, z których korzystamy - nasza lokalizacja oraz adres IP są zastępowane przez dane serwera VPN.
Daje nam to dwie główne korzyści.
- Prywatność - dostawca internetu nie może śledzić naszej aktywności, a strony internetowe nie widzą naszej prawdziwej lokalizacji i adresu IP.
- Bezpieczeństwo - szyfrowanie chroni nas przed podsłuchaniem, co jest kluczowe, gdy korzystamy z niezabezpieczonych, publicznych sieci Wi-Fi (np. na lotniskach, w kawiarniach, hotelach).
Czy jednak usługa VPN zapewnia 100 procent anonimowości? Absolutnie nie. To jeden z najczęstszych i najbardziej szkodliwych mitów. Po pierwsze, sam dostawca usługi VPN technicznie ma wgląd w nasz ruch (dlatego tak kluczowa jest jego reputacja i polityka "no-logs", czyli braku rejestrowania aktywności). Po drugie, VPN nie chroni przed wirusami, phishingiem ani przed naszą własną nieostrożnością, np. logowaniem się do serwisów swoimi prawdziwymi danymi.
Dostawcy VPN kontrolują Twój ruch. Mogą go inspekcjonować, modyfikować, rejestrować i mieć bardzo dobre pojęcie o tym, co robisz
- wyjaśnia Troy Hunt, znany ekspert ds. cyberbezpieczeństwa i twórca serwisu "Have I Been Pwned?" "Ktokolwiek widzi twój ruch - czy to twój lokalny dostawca internetu, czy dostawca VPN, z którego usług zdecydujesz się korzystać - ma na sobie ogromną odpowiedzialność, a ty obdarzasz go gigantycznym zaufaniem" - dodaje ekspert.
Ciemna strona VPN
Problemy zaczynają się, gdy usługa, która w teorii ma nas chronić, sama staje się zagrożeniem. Dotyczy to szczególnie darmowych aplikacji VPN. Dane są bezlitosne. Jak wynika z badania firmy Zimperium zLabs, która przeanalizowała ponad 800 darmowych klientów VPN, blisko dwie trzecie z nich naraża dane użytkowników na wyciek.
W jaki sposób? Wiele z tych aplikacji, zamiast chronić, zarabia na sprzedaży danych swoich użytkowników firmom reklamowym. Inne zawierają podatny na ataki kod, żądają ryzykownych uprawnień (np. dostępu do plików i kontaktów) lub po prostu... nie działają. Badanie wykazało, że wiele z nich posiadało krytyczne luki, takie jak wycieki DNS, które całkowicie demaskowały aktywność użytkownika, czyniąc rzekomą ochronę VPN bezużyteczną. Zdarzały się też aplikacje, które potrafiły wykonywać zrzuty ekranu lub sprawiały tylko wrażenie aktywnych, podczas gdy w rzeczywistości ochrona nie działała.
Większość darmowych produktów i tak musi w jakiś sposób zarabiać, więc jeśli nie płacisz pieniędzmi, prawdopodobnie płacisz swoimi danym
- zauważa Jamie Akhtar, CEO i współzałożyciel CyberSmart, cytowany przez Yahoo.
Raport Open Technology Fund, przytoczony przez Deutsche Welle, wskazuje na inny problem. W krajach autorytarnych, gdzie VPN często jest narzędziem walki z cenzurą, użytkownicy często instalują pierwszą znalezioną aplikację, nie analizując jej pochodzenia. To otwiera drogę do nadużyć - od przechwytywania danych, przez wymuszanie płatności, po współpracę twórców usług VPN z lokalnymi władzami. Według ekspertów wiele "antycenzorskich" VPN-ów działa bez jakiejkolwiek weryfikacji bezpieczeństwa i może w rzeczywistości stanowić większe zagrożenie niż cenzura, którą próbują obejść.
Google też ostrzega: Twój VPN może cię szpiegować
Do chóru ostrzeżeń dołączył niedawno sam Google. Gigant z Mountain View w swoim cyklicznym raporcie na temat oszustw i cyberzagrożeń zauważa, że wiele aplikacji VPN to w rzeczywistości "spyware w przebraniu". Cyberprzestępcy doskonale wiedzą, że ludzie szukają prywatności. Tworzą więc aplikacje, które udają legalne usługi VPN, często kusząc darmową ofertą i chwaląc się milionami pobrań w oficjalnych sklepach, jak Google Play.
W rzeczywistości aplikacje te są zaprojektowane, by pod pretekstem ochrony kraść wrażliwe dane użytkowników. Według Google'a fałszywe VPN-y mogą przechwytywać historię przeglądania, prywatne wiadomości, dane logowania do bankowości, a nawet dane portfeli kryptowalut.
To ważne, bo użytkownicy często uważają VPN za "bezpieczną przystań". Tymczasem mechanizmy, które mają chronić, mogą zostać użyte do działań odwrotnych. Google przyznało, że fałszywe usługi VPN to zagrożenie dla setek milionów użytkowników ekosystemu Androida, a weryfikacja aplikacji jest jednym z najtrudniejszych procesów w ramach zapewniania bezpieczeństwa sklepu Google Play.
Jak żyć (i jak mądrze wybrać VPN)>
Czy to oznacza, że powinniśmy całkowicie zrezygnować z VPN? Niekoniecznie. W wielu przypadkach jest to narzędzie niezwykle pomocne. Pozwala bezpiecznie korzystać z publicznych sieci Wi-Fi, a w niektórych krajach (np. objętych cenzurą) jest wręcz niezbędne do swobodnego funkcjonowania w sieci. Kluczem jest jednak świadomy wybór.
Wiele usług VPN obiecuje nam więcej prywatności - w rzeczywistości jedynie zmieniamy podmiot, który może naszą prywatność naruszać. Jeśli korzystamy z komercyjnego VPN-a, to nasz operator internetu, najczęściej polska firma telekomunikacyjna, działająca w ramach polskich przepisów, przestaje móc widzieć, jakie strony odwiedzamy w sieci
- podkreśla w rozmowie z Next.gazeta.pl Adam Haertle, ekspert ds. cyberbezpieczeństwa oraz założyciel i redaktor naczelny serwisu ZaufanaTrzeciaStrona.pl
Niestety jednocześnie dajemy taką możliwość dostawcy VPN-a, firmie zagranicznej, często zarejestrowanej w raju podatkowym, której właścicieli nie znamy i nie wiemy, jakie przepisy chronią w tej sytuacji naszą prywatność. Wolę zaufać polskiemu dostawcy internetu niż anonimowym właścicielom firmy o nieznanej reputacji i metodach zarobku
- dodaje nasz rozmówca.
Rynek VPN-ów jest pełen produktów wątpliwej jakości - od darmowych aplikacji śledzących użytkowników, po komercyjne usługi powiązane z niejasnymi podmiotami. Dlatego przed wyborem warto poświęcić czas na weryfikację dostawcy, przejrzeć niezależne testy i opinie ekspertów oraz sprawdzić, czy ma realną, zewnętrznie audytowaną politykę "no-logs" (braku logów).
I na koniec najważniejsze: nic nie daje nam 100-procentowej prywatności i anonimowości. VPN to nie magiczna pelerynka niewidka, ale narzędzie. I, jak każde narzędzie, może się okazać zawodne.
