Выбор подходящего VPN-сервиса

Термин VPN – это аббревиатура от английского Virtual Private Network, что означает «виртуальная частная сеть ». При подключении к VPN все отправленные вами данные   (например, запросы к серверам при работе в интернете) как будто отправлены с VPN, а не от вашего интернет-провайдера. Таким образом скрывается ваш IP-адрес . Это очень важно при обеспечении конфиденциальности, так как IP-адрес предоставляет информацию о вашем приблизительном местоположении и может быть использован для вашей идентификации.

При рекламе своих услуг VPN-провайдеры зачастую преувеличивают возможности по обеспечению безопасности, утверждая, что VPN – единственный инструмент, необходимый для борьбы с киберпреступниками, вредоносными программами, государственной слежкой и онлайн-трекингом. Но зачастую это лишь маркетинговые уловки для набивания цены VPN-сервису. Реальность такова, что VPN лучше всего подходит для одной цели: маршрутизации вашего сетевого подключения через другую сеть. На практике VPN полезен в двух случаях.

• Обход интернет-цензуры, блокирующей доступ к определённым сайтам или сервисам. Например, при работе из учебного заведения или в стране, практикующей подобные блокировки, VPN позволяет обходить часть географических ограничений или запретов, создавая видимость подключения из другого места. Польза от использования VPN для обхода цензуры зависит от нескольких факторов. Это руководство поможет определить, какое решение подходит вам лучше всего. Примечание: очень важно следить за новостями в области безопасности и быть в курсе изменений законодательства определённых стран по отношению к VPN (например, о запретах на использование VPN). Кроме того, контент-провайдеры (особенно платформы потокового видео) всё чаще блокируют доступ к своим сервисам при подозрении на подключение при помощи VPN. Поэтому VPN не может гарантировать обход географических ограничений.
• Подключение к внутренней корпоративной сети во время путешествий заграницей, для работы из дома или в любом другом случае, когда вы находитесь вне офиса. А персональный VPN, настроенный на домашнем компьютере, поможет подключиться к домашней сети во время путешествий.

Итак, нужен ли вам VPN? Какой VPN использовать? Данное руководство поможет продумать, какие инструменты подходят именно вам и какие факторы следует учитывать при выборе VPN.

Начнём с основ: как работает VPN? #

VPN направляет весь ваш веб-трафик через «зашифрованный туннель» между вашими устройствами и VPN-сервером. Затем трафик покидает VPN и направляется к конечной цели, тем самым скрывая ваш реальный IP-адрес. Со стороны веб-сайта кажется, что ваше местоположение там, где находится VPN-сервер.

Также VPN скрывает ваш трафик от интернет-провайдера и владельца локальной сети (например, кафе или отеля). Это важный момент, потому что, согласно отчету FTC за 2021 год, интернет-провайдеры США передают третьим лицам гораздо больше данных об интернет привычках пользователей, чем вы могли бы ожидать. Однако, несмотря на то что VPN скрывает ваши данные о посещении сайтов от интернет-провайдера, они остаются видны самому VPN-сервису. Если вы используете VPN для просмотра контента, недоступного в вашем регионе, VPN-провайдер может продавать эту информацию точно так же, как это мог бы делать интернет-провайдер.

Если вам интересно узнать о работе VPN подробнее, эта статья Центра демократии и технологий охватывает больше технических аспектов.

На что VPN не способен #

Защитить от угроз безопасности в общественных сетях Wi-Fi #

Правильно настроенный VPN может защитить любой незашифрованный интернет-трафик от перехвата в общественных сетях. Раньше использование VPN при подключении к публичному Wi-Fi (например, в кафе или аэропортах) было стандартной рекомендацией, однако сейчас, когда большая часть веб-трафика шифруется с помощью HTTPS, общественные сети не так опасны. Кроме того, если программное обеспечение для подключения к VPN регулярно не обновляется и имеет уязвимости (например TunnelVision), то польза от использования VPN сомнительна даже в очень редких случаях взлома общественной сети.

HTTPS защищает только содержимое передаваемых сообщений, но не метаданные . Поэтому, даже когда вы подключены к HTTPS сайту, любой с доступом к сети на каждом этапе передачи данных (от вашего интернет-провайдера до магистрального провайдера и хостинг-провайдера сайта) может видеть, когда и какие домены вы посещаете (например, wikipedia.org). Конечно, им не будет известно ваше имя пользователя, они не увидят отправляемые вами сообщения или посещаемые на сайте страницы (например, wikipedia.org/controversial-topic). Однако они могут видеть размеры посещаемых страниц и размеры скачиваемых или отправляемых вами файлов. При использовании общественной Wi-Fi сети находящиеся в зоне ее действия люди могут перехватывать ваш трафик. Они смогут увидеть все те же метаданные, которые видит ваш интернет-провайдер в случае с домашней сетью. Если эти данные не представляют для вас риск , использование общественного Wi-Fi не должно вызывать опасений. Использование VPN потенциально защитит метаданные от перехвата в локальной сети, но в таком случае доступ к этой информации будет иметь уже ваш VPN-провайдер.

Если вам нужно подключиться к Wi-Fi сети, которой вы не доверяете (например, вы не знаете, кто является интернет-провайдером) или владельца которой вы вовсе не знаете, но при этом у вас есть VPN, которому вы доверяете, то использование VPN будет правильным решением.

Предоставить полную анонимность #

VPN не является инструментом для обеспечения анонимности. Хотя он и может скрыть ваше местоположение от некоторых компаний, существует множество других способов, которыми можно вас выследить: например, GPS, cookie файлы, пиксели отслеживания или цифровой отпечаток устройства.

VPN не защищает ваши данные от самого VPN, которым вы пользуетесь. Если вы подключены к VPN вашей компании, то ваш трафик будет видеть администратор корпоративной сети. Если вы используете коммерческий VPN -сервис, то владелец сервиса будет видеть ваш трафик. Недобросовестный VPN-сервис может заниматься этим намеренно: для сбора личной информации или других потенциально ценных данных.

Администратор корпоративной или коммерческой VPN-сети также может подвергнуться давлению со стороны властей или правоохранительных органов с требованием предоставить информацию о данных, которые вы передавали. Поэтому следует ознакомиться с политикой конфиденциальности вашего VPN-сервиса, чтобы понимать условия, при которых владелец VPN может передавать ваши данные властям или правоохранительным органам.

Большинство коммерческих сервисов VPN требуют оплачивать свои услуги банковской картой. Таким образом вы передаёте VPN-сервису информацию, которую вы, возможно, не хотели бы раскрывать, так как она может помочь идентифицировать вас. Если вы желаете сохранить номер банковской карты в тайне, используйте услуги VPN-сервиса, принимающего к оплате подарочные сертификаты, либо используйте временные или одноразовые способы оплаты. Также имейте в виду, что сервис VPN может собирать данные о ваших IP-адресах. Это может быть использовано для определения личности даже при использовании альтернативных методов оплаты.

Если вас интересует повышенная анонимность, то вместо VPN вам следует использовать Tor. VPN-провайдер может видеть ваш трафик, но благодаря устройству сети Tor ни один сервер Tor не может видеть, что именно вы посещаете. Для дополнительной информации о Tor прочтите нашу статью.

Защитить от всех запросов со стороны правоохранительных органов и государственных учреждений #

VPN может скрыть ваши интернет привычки от интернет-провайдера и таким образом защитить вас от раскрытия им информации о вас в случае получения соответствующего запроса от правоохранительных органов. Однако VPN-сервисы также обязаны отвечать на запросы со стороны правоохранительных органов, и многие из них собирают ту же информацию, что и интернет-провайдеры. Также VPN не поможет, если правоохранительные органы получат доступ к истории браузера или к вашему аккаунту с сохранённой историей поисковых запросов.

Также следует выяснить, в каких странах ведёт бизнес данный сервис VPN. Он обязан подчиняться законам в странах присутствия, в том числе законам, регулирующим запросы государственных служб о предоставлении информации. В каждой стране свои правовые нормы. Иногда они позволяют властям собирать информацию, не уведомляя пользователей, или не предоставляют возможности оспорить сбор информации. Если страна, в которой сервис ведёт бизнес, заключила договор о взаимной правовой помощи с другими странами, то сервис VPN может получать юридические запросы о предоставлении информации и из этих стран.

VPN не является универсальным инструментом для цифровой защиты #

Во многих случаях VPN является далеко не самой приоритетной мерой для цифровой защиты. Для обеспечения безопасности в интернете гораздо более важно следующее:

• использование надежных паролей,
• настроенная двухфакторная аутентификация,
• активированный режим «только HTTPS»,
• шифрование устройств,
• регулярное обновление программного обеспечения,
• использование шифрования DNS,
• блокировщики трекеров.

Как выбрать сервис VPN для моих нужд? #

Если вы решили, что VPN будет вам полезен, то оценивать его следует по следующим критериям:

Заявление о возможностях #

Что заявляет VPN-сервис о возможностях своего продукта или сервиса? Возможно, он утверждает, что не собирает пользовательские данные о подключениях (см. раздел «Сбор данных» ниже) или не передаёт и не продает эти данные третьим лицам. Помните, что подобные заявления не являются гарантией – обязательно убедитесь в их реальности. Подробно ознакомьтесь с политикой конфиденциальности провайдера VPN, чтобы узнать, как монетизируются ваши данные, даже если поставщик услуг не продаёт эти данные третьим лицам напрямую. Также обращайте внимание на наличие преувеличений в заявлениях о конфиденциальности или безопасности, содержащихся в рекламных материалах VPN-сервиса. Потому что сервис, который публикует заведомо неосуществимые обещания, не может заслуживать доверия по другим вопросам.

Открытость и надёжность #

Некоторые VPN-провайдеры регулярно (в идеале ежегодно) заказывают третьим лицам аудит безопасности своих сервисов, а затем публикуют результаты этих проверок. Подобная практика открытости может выявить неизвестные ранее уязвимости в приложениях, инфраструктуре и доступе к данным VPN-сервиса. Для потенциального пользователя это признак того, что VPN-сервис серьёзно относится к безопасности. Но нет гарантии в том, что методы работы не изменятся после аудита, особенно если к этому сервис вынудит государство.

Бизнес-модель #

Даже если VPN-сервис не продаёт ваши данные, он должен каким-то образом зарабатывать. Если сервис VPN бесплатен, каким образом поддерживается его работа? Просит ли он внести пожертвования? Какова бизнес-модель этого сервиса? Некоторые VPN-сервисы используют модель «freemium» (условно бесплатное использование). Она подразумевает ограниченное бесплатное использование, и при достижении определённого объёма переданных данных сервис требует оплату. VPN-сервис может быть абсолютно бесплатным, но будет продавать ваши данные. Сервис может работать по платной подписке, о которой можно забыть, но списания продолжатся. Всё это является полезной информацией для тех, чей бюджет ограничен. Также VPN-сервис может предоставлять дополнительные возможности, например блокировку рекламы и трекеров (имейте в виде, что это предоставит вам гораздо меньше контроля, чем расширения для браузера с подобными функциями).

Репутация #

Имеет смысл разузнать о людях и организациях, стоящих за VPN-сервисом. Одобрен ли он специалистами по безопасности? Имеются ли статьи в СМИ о данном VPN? Если сервис VPN основан известными в сообществе информационной безопасности людьми, то ему будут больше доверять. Скептически относитесь к сервису, с которым никто не хочет связывать личную репутацию или которым управляет никому неизвестная компания. Будет неплохо зайти на страницу «О компании», чтобы посмотреть, указаны ли там её владельцы или сотрудники. Открытость руководства компании не является гарантией хорошей репутации компании, но демонстрирует желание это доверие завоевать.

Ошибочно предполагать, что наличие приложения в Google Play или Apple App Store является признаком надежности сервиса. Это не мешает VPN-сервису по-прежнему собирать и передавать данные пользователей, распространять вредоносное ПО и т. д. Не стоит полагать, что приложение VPN, доступное в официальном магазине, является безопасным.

Сбор данных #

Сервис, не собирающий данные, не может их продать. При ознакомлении с политикой конфиденциальности узнайте, собирает ли VPN-сервис пользовательские данные и использует ли он их для дальнейшей продажи. Компания может собирать данные о вашем подключении, если в политике конфиденциальности прямо не говорится об обратном. В разных юрисдикциях власти могут либо напрямую запросить эти данные, либо получить к ним доступ по решению суда.

Даже если компания утверждает, что не собирает данные о подключениях, это ещё не значит, что ей можно доверять. Рекомендуем проверить, есть ли упоминания о сервисе в новостях. Возможно, вы найдёте публикации об обмане или вводящей в заблуждение рекламе.

Шифрование #

Насколько надёжно шифрование VPN? Если сервис VPN использует ненадёжное шифрование, например туннельный протокол типа точка-точка (PPTP), то любые передающиеся данные могут быть легко расшифрованы и стать доступны интернет-провайдеру или властям. Проверьте, использует ли VPN один из двух ставших стандартом протоколов: OpenVPN и WireGuard. Некоторые VPN-провайдеры могут использовать свои собственные реализации WiregGuard, а OpenVPN по-прежнему широко используется в корпоративном секторе благодаря гибкости в настройках. Если вы используете корпоративный VPN, свяжитесь с IT отделом и поинтересуйтесь насчёт безопасности подключения.

EFF не может поручиться ни за какой VPN-сервис или рейтинг-сравнение. VPN-сервис может иметь эталонную политику конфиденциальности, но находиться во владении у недобропорядочных людей. Не используйте сервис, которому не доверяете.

Запомните: не существует универсального сервиса VPN, который мог бы угодить пожеланиям каждого. При выборе VPN необходимо учитывать множество факторов. Всегда проводите оценку ваших рисков перед тем, как принимать какие-либо решения об использовании инструментов цифровой безопасности.