Бесплатный сыр
Никто не будет тратить кучу денег только для того, чтобы кому-то предоставить VPN бесплатно. Надо поднимать сервер, иметь толстые каналы связи, содержать штат программистов и администраторов, заниматься продвижением своего сервиса. И все это огромные деньги.
VPN — это бизнес и владельцы монетизируют его по-разному. Одни строят реально приватные и защищенные сети, однако это решения для крупного бизнеса, для тех кто в состоянии заплатить деньги. А другие разрабатывают сервисы, где можно пожертвовать, например, шифрованием трафика. Или вообще не соблюдать никакой приватности. И зарабатывать на трафике или другими способами. Например, встраивать рекламу, продавать трафик, фильтровать и отслеживать трафик, собирать другую информацию.
В чем проблема бесплатного VPN
Основная проблема в том, что это посредник, который обеспечивает связь между пользователем и сайтом. И что делает этот посредник с трафиком — непонятно.
Так, например сотрудники сайта TheNextWeb исследовали работу 117 популярных VPN-сервисов. Оказалось, что 26 из них собирали логи и другие данные, хотя в пользовательских соглашениях утверждали, что не ведут слежку за своими пользователями.
Другая проблема — анонимность в сети. Большинство пользователей не обращает на это внимание, ведь по большому счету, они не делают ничего противозаконного. Однако есть ситуации, когда анонимность необходима. Однако бесплатные VPN зачастую не скрывают реальный IP-адрес. Поэтому следует сто раз подумать, прежде чем пытаться сохранить приватность надеясь на бесплатный сервис. Там анонимности может и не быть, несмотря на маркетинговые обещания.
Как зарабатывают на VPN
Трафик — это бесценный поток данных. Данные нужны различным организациям для решения своих задач. Поэтому практически все подобные сервисы собирают данные и продают их. Ну им же как-то нужно поддерживать работу сервиса и зарабатывать на жизнь.
Хайп всегда привлекает мошенников, поэтому запросто можно нарваться на абсолютно бесплатный VPN, созданный киберпреступниками с мошеннической целью. И прежде чем вскроется, что этот сервис мошеннический, пройдет много времени, достаточного для того, чтобы собрать массу интересных сведений из трафика — логины и пароли к сервисам, данные платежных карт, конфиденциальную информацию, подробности частной жизни.
Несколько примеров скомпрометированных VPN
Opera VPN — собирает анонимную информацию о действиях пользователей. Так утверждают сами разработчики. Сведения продаются другим компаниям для анализа поведения пользователей мобильных устройств в сети. Пока Оперу не поймали на сборе еще каких-то данных, однако вполне возможно, что компания собирает и другую информацию. Кроме того, это так называемый «браузерный VPN», который шифрует только http/https-трафик.
Hola — кроме сбора логов и продажи трафика, данный сервис отметился и более серьезными проблемами. Из-за уязвимости сервиса, клиенты периодически выступали в роли бот-сети и проводили DDoS-атаки. Другая уязвимость позволяла загрузить вредоносный код на компьютер пользователя и получить доступ к любым данным. Летом 2018 года стало известно об атаке на криптокошельки MyEtherWallet (MEW) под видом расширения Hola VPN для Chrome.
Hotspot Shield (официальный сайт недоступен) — собирает данные об использовании сторонних программ, названия беспроводных сетей, MAC и IMEI-адреса, а сервис не всегда соблюдает анонимность пользователей.
Betternet — собирает данные по 14 параметрам, передавая эти сведения заинтересованным лицам. Пользователь хочет одной простой телеметрии и нарывается на тотальную слежку, которая фиксирует кучу информации. Которая в итоге попадает вообще непонятно каким людям.
OpenVPN — подвержен атаке VORACLE, которая позволяет расшифровать http трафик и получить доступ к cookies и приватной информации пользователя, пользующегося данной VPN. Периодически всплывает информация об обнаруженных багах, которые позволяют перехватывать чужую сессию и пользоваться правами жертвы.
Следи за собой, будь осторожен
Сегодня они сливают логи, а завтра будут продавать наборы из логинов и паролей.
Известны случаи, когда сервисы передавали сведения обо всей деятельности в сети правоохранительным органам. Так, например, был арестован житель Массачусетса Райан С. Лин (Ryan S. Lin), который пользовался в том числе платным VPN от компании PureVPN. В компании утверждали, что не ведут логов. Однако хватило одного ареста по запросу ФБР, чтобы понять — сервис собирает все данные несмотря на то, что платный.
Стоит понимать, что даже если платные VPN собирают эти данные, то бесплатные и подавно будут это делать. Ну и плюс софт, написанный кривыми руками может открывать практически безграничный шлюз, открывающий доступ к компьютеру пользователя.
Не стоит забывать и про инициативы органов власти. Так в прошлом году обсуждалась идея полного запрета VPN и анонимайзеров. Поэтому вполне вероятно, что пользуясь запрещенным VPN, можно будет получить условный или реальный срок.