Сейчас у меня есть платная подписка на Proton VPN. Я озадачен следующим рекомендацией, которая недавно была выпущена Агентством кибербезопасности США.
Я не знаю, что это агентство называет «сомнительными политиками безопасности и конфиденциальности». Это относится к Proton VPN?
«Не используйте личную виртуальную частную сеть (VPN). Личные VPN просто перемещают остаточные риски от вашего интернет-поставщика (ISP) к поставщику VPN, что часто увеличивает поверхность атаки. У многих бесплатных и коммерческих поставщиков VPN есть сомнительные политики безопасности и конфиденциальности.»
Я понимаю точку зрения CISA, и у некоторых (большинства?) VPN действительно очень плохие практики в отношении безопасности и конфиденциальности, поэтому их предупреждение является справедливым. Тем не менее, я доверяю Proton, так что не думаю, что это здесь применимо.
Однако они пропустили несколько моментов:
VPN защитит ваше устройство и трафик при использовании WiFi
VPN сделает ваш трафик анонимным для всех, включая ваш ISP. Он не будет полностью защищен, но его будет невозможно (или труднее) связать с вами
VPN может позволить обойти геоблокировку
VPN усложняет хакерам задачу отслеживания вашего трафика и затем нацеливания на вас.
Повторение правительством США того же сообщения, что и российское и пакистанское правительства своим гражданам, может быть лучшей рекламой использования VPN, которую я когда-либо видел.
Это имеет смысл для меня. Телекоммуникации, как правило, достаточно защищены и регулируются. Таким образом, с точки зрения безопасности данных их можно считать существенно более проверенными, чем случайный поставщик VPN.
Но это чисто с точки зрения безопасности. Google и Microsoft тоже очень надежны. Это не имеет никакого отношения к их политикам конфиденциальности и сбору данных.
Цель использования виртуальной частной сети — достичь более высокой степени конфиденциальности и анонимности, чем при использовании только телефонного подключения. В подавляющем большинстве случаев вы получаете это. В какой степени, это в значительной степени зависит от качества поставщика VPN и денег, которые вы платите за услугу. Их индивидуальные практики и политики, очевидно, различаются от компании к компании. Как и с любым другим поставщиком услуг, вам необходимо вложить определенное количество доверия в них, когда вы входите в бизнес-отношения.
Совершенно логично, что, говоря о любых и всех провайдерах VPN на планете, «сомнительные политики безопасности и конфиденциальности» определенно представлены в некоторых из них. Как говорит римское выражение, Caveat Emptor, или покупатель, остерегайся.
Совет предназначен для «высоконацеленных» людей, которые менее обеспокоены дружелюбным мониторингом правительства и больше озабочены тем, чтобы стать целью передовых киберугроз (например, враждебные государства) и т. д. В этих случаях доверять вашему ISP намного лучше, чем использовать VPN.
Мы говорим об американском правительстве. Они хотят контролировать наше население и следить за нами. Я не могу добавить ничего нового, что другие комментаторы уже сказали. Все отличные пункты и прочее. Они правы в том, что некоторые сервисы VPN имеют ужасную безопасность, но я доверяю Proton. Я использую его уже некоторое время, особенно чтобы «путешествовать по открытым морям», и он отлично работает для меня.
Однако, если вашей организации требуется клиент VPN для доступа к своим данным, это уже другая ситуация.
Эта часть очень важна.
Предупреждение касается бесплатных и коммерческих поставщиков VPN. Большинства из них вы никогда не должны трогать, независимо от того, насколько хорошими выглядят цены.
Думайте о поставщике VPN как о поставщике интернет-услуг, потому что именно это на самом деле представляет собой поставщик VPN. Оба могут контролировать ваш трафик.
Это забавно, когда люди говорят, что хотят использовать поставщика VPN, чтобы избежать слежки со стороны своего поставщика интернет-услуг. Они продолжают находиться под наблюдением, только у другого поставщика.
Есть очень немного поставщиков VPN, которым можно доверять. Mullvad VPN и Proton VPN являются одними из очень немногих надежных поставщиков.
Дорогой CISA, убирайтесь! Я доверяю Proton VPN больше, чем своему ISP, и определенно больше, чем бесплатному WiFi.
Что я не доверяю, так это совету от агентства, которое не смогло предотвратить вторжения иностранных врагов через задние двери, которые они создали для внутреннего шпионажа. Почему не должны внутренние ISP быть скомпрометированы?
Эх… Слишком обобщено. Нужны больше обоснования этого, но большинству людей на самом деле не важно о технологиях, и они просто хотят, чтобы что-то работало.
В мудрых словах комментатора с github: “…Просто дайте мне хренов exe, вы вонючие nerds!”
VPN определенно стоит использовать, но просто найти дешевую или бесплатную без исследований и использовать её, не зная, что вам это принесет… Да, это как бы увеличивает вашу поверхность атаки.
Это разумная точка. VPN предоставляет вам зашифрованный туннель, поэтому ни ваш ISP, ни кто-либо другой между вами и провайдером VPN не могут видеть, что вы делаете. Но провайдер VPN может видеть, что вы делаете. Так что вам нужно спросить себя, кому вы доверяете больше — ISP или провайдеру VPN?
Если это значит: «Что я доверяю больше, Comcast или Proton?» это не так трудно ответить, но для некоторых людей это не так ясно.
Я использую поставщика VPN с открытым исходным кодом, проверенного без логирования, высокой скорости, чтобы обойти сетевые фильтры на корпоративных сетях, зашифровать мой трафик в публичном WiFi и скрыть свою активность от моего ISP, чтобы предотвратить продажу ее рекламодателям для целевых объявлений, когда я уже плачу им за привилегию использования их инфраструктуры.
Понять это не так уж сложно и не сложно. Не каждый, кто использует VPN, является ненормальным по вопросу конфиденциальности или заговора. Некоторые просто имеют практические случаи использования.