VPN гарантия безопасности- это чушь. Тоже касается и антивирусов.
VPN вообще не гарантия
Предисловие
Вы когда-нибудь слышали высказывание эксперта в области ИТ, что VPN гарантирует вам анонимность? Не слышали? Вот и я тоже. Все "аргументы", которые я видел это:
1. Сами VPN сервисы так пишут;
2. Все ими пользуются;
3. Дядя Х сказал в своем вебинаре, что это норм (где дядя Х - это невнятный кухонный "эксперт", который сам темных дел не совершает, но почему-то считает что имеет право давать советы тем, кто хочет от этих тёмных дел защититься).
Ничего более вразумительного, чем эта дичь я пока не увидел. И я уверен на 101%, что и не увижу.
Немного терминов
Для начала давайте определимся с терминами, а то как показывает практика, далеко не все понимают что такое анонимность (что не мешает им обсуждать эту тему с экспертной позиции). Постараюсь объяснить максимально просто и доходчиво, с использованием всем понятных примеров:
Анонимность
Анонимность - это когда всем видны твои действия, но никто не знает что их совершаешь именно ты. Например, ты надел черную шапочку с дырочками для глаз, черные джинсы и черную куртку и пошел в таком виде в незнакомый двор, где справил нужду прямо при местных жителях. В этом случае ты анонимен - так как все видели как ты справлял нужду, но никто не в курсе, кто ты.
Приватность
Приватность - это когда всем видно, что ты совершаешь какие то действия, но не видно что имено ты совершал. Например ты закрыл экран смартфона ладошкой и что-то смотришь. Всем понятно, что скорее всего там что то нехорошее, но все это на уровне подозрений. В этом случае у тебя приватый просмотр porno(или ещё чего) - так как все видят что ты шифруешься, но доказать не могут.
Безопасность
Безопасность - это комплекс мер направленный на упреждение ущерба от вероятных векторов атак. То есть ты примерно представляешь, где ты можешь наступить двумя ногами в маргарин и заранее продумываешь:
А - как этого по возможности избежать
Б - как быть если это все же произошло
Мнение экспертов
VPN сервисы бывают либо платными, либо бесплатными. Хотя на мой взгляд глупо вообще писать такое, но тем не менее есть еще совсем неопытные жители интернетов, которые не понимают даже этого(если даже на лотереи ведутся).
Сервису нужны деньги, это аксиома. Так вот если платные сервисы берут за услуги ежемесячную оплату, то это вполне нормально. У меня не возникает вопросов, откуда у них бабло на зарплаты, налоги, аренду, оборудование и прочее. А вот откуда на это деньги у бесплатных сервисов?
Да все просто. От продажи логов своих абонентов. Да, именно так. Они продадут логи куда ты ходил, что смотрел, что вбивал в поиску любому кто заплатит. Обычно это покупается для анализа директ-рекламы, хотя на мой взгляд даже это паскудство, но думаю принцип "деньги не пахнут" там имеет место быть.
Так что в данной статье под VPN я подразумеваю имеено VPN, а не эту бесплатную замануху для хомячков.
"VPN НЕ МОГУТ сделать сетевые соединения полностью анонимными, но ОБЫЧНО они увеличивают приватность и безопасность, предотвращая утечки информации" (то есть даже с приватность и безопасностью не все в порядке у VPN, не то что с анонимностью).
Приватные сети не разрабатывались для решения такой тактической задачи как полная анонимность. Они тупо шифруют данные для того что бы помешать свободному перехвату конфиденциального трафика. Например нужно передать из офиса А в офис Б информацию под грифом "Коммерческая тайна". Атакующий знает о том что между двумя узлами передается информация, и даже догадывается какая. Но ее перехват практически невозможен, так как за то время пока будет идти дешифровка этих данных они уже потеряют свою ценность и перестанут является тайной.
тайной.
А вот что думают по поводу VPN разработчики T.A.I.L.S. оригинал тут -https://tails.boum.org/blueprint/vpn_support/
"Некоторые пользователи запрашивают поддержку VPN в Tails для "усиления" анонимности. Ну типа "чем больше серверов в цепочке, тем типа круче". Это тупо неверно - VPN только снижает вашу анонимность, потому что у вас будет или постоянный входной сервер (в схеме "tor over vpn") или постоянный выходной сервер (в схеме "vpn over tor").
Так что мы не хотим вводить поддержку VPN как замену Tor так как они предоставляют УЖАСНУЮ АНОНИМНОСТЬ ( в оригинале terrible anonymity - прим. автора) и это противоречит целям, для которых создавалась Tails.
Напомню, что T.A.I.L.S. распространяется бесплатно и смысла ее разработчикам врать нет, а вот с продавцами "немножко анонимности" все совсем наоборот - им есть смысл внушать людям о том что Tor это "палево" или он "дырявый", так как они могут заработать больше шекелей на доверчивых хомячках.
Наверняка возникнет вопрос - а почему количество серверов не "усиливает" анонимность. Внесу ясность:
Для решения такой тактической задачи достаточно всего трех "хопов" - прыжков от сервера к серверу, типа так:
[user] --hop1--> [node] --hop2--> [node] --hop3-->[internet]
Cмысл такой цепочки в том, что бы в ней не было узла, который знаком одновременно и с "юзером" и с "конечным сайтом" - то есть некоего слабого звена, которое "знает слишком много". При условии постоянной смены узлов и цепочек (что в Tor что, в i2p цепочки/тунели "живут" всего 10 минут) такого количества уже достаточно. При этом мы имеем всего два промежуточных узла, на которых может остаться информация, интересная вероятному противнику, типо взломщику.
Если же увеличить количество узлов в цепочке, скажем в два раза, то это не даст никакого прироста в анонимности - что в прошлом примере что в этом "юзер" и "конечная станция" разделены так, что нет "слабого звена" на котором останутся данные и юзера и конечного сайта. Но вот количество узлов на которых мы "запалимся" увеличится ровно в два раза, равно как и шансы, что какой то из узлов находится под контролем вероятного противника.
Так что дальнейший прирост промежуточных узлов будет уменьшать, а не увеличивать нашу защиту. Особенно если они "перманентные" - не меняющиеся. И особенно если на них есть данные про наши кошельки. И уж тем более если их IP адреса известны всем желающим (адреса серверов VPN лежат в открытом доступе на сайтах сервисов).
Как антивирусы продают вашу историю браузера
Дочерняя компания антивируса Avast продавала каждый поисковой запрос. Каждое нажатие. Каждую покупку. С каждого сайта. Среди клиентов были, Google, Microsoft, Pepsi и другие.
Как показало совместное расследование Motherboard и PCMag, антивирус Avast, который используется миллионами людей по всему миру, продает конфиденциальные данные своих пользователей крупным компаниям. Утечка внутренних документов доказывает торговлю строго конфиденциальными данными, включая историю браузеров пользователей.
Документы от дочерней компании Avast, под названием Jumpshot, проливают свет на секретную торговлю и цепочки поставок историй браузеров пользователей.
Они показывают, что после установки Avast на свой компьютер, он начинает сбор данных и передает их компании Jumpshot, после чего они продаются многим мировым компаниям таким, как Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit и другим.
Некоторые из этих компаний платят миллионы долларов, чтобы получать данные о каждом вашем нажатии, что позволяет им анализировать ваше поведение в сети.
Пользовательская база Avast составляет около 435 миллионов пользователей и 100 миллионов устройств. Все они подписали пользовательское соглашение предусматривающее сбор данных, но некоторые из пользователей сообщили Motherboard и PCMag, что не знали какие именно данные собираются или, что они вообще собираются.
Возникает вопрос, насколько хорошо были информированы пользователи?
О каких именно данных идет речь? О поисковых запросах в Google, переходах между веб сайтами, GPS координатах с Google Maps, посещений LinkedIn, YouTube и порно сайтов. Хоть эти данные не содержат никаких имен, но на их основе можно с легкостью идентифицировать пользователей.
В июле компания Jumpshot утверждала, что раскрывает данные, чтобы маркетологи имели более глубокое представление о рынке в Интернете.
Jumpshot ранее публично упоминала некоторых из своих клиентов, как Expedia, IBM, Intuit, TurboTax, Loreal и Home Depot. Сотрудникам рекомендовали не говорить публично об отношениях Jumpshot с этими компаниями.
До недавнего времени Avast обирал данные с помощью расширения браузера, которое было создано для того, чтобы ограничивать доступ к вредоносным веб сайтам.
Исследователь по кибербезопасности и создатель AdBlock Plus Владимир Палант опубликовал об этом пост в своем блоге. А немного позже Mozilla, Opera и Google Chrome удалили это расширение из своих браузеров.
Ранее Avast уже объяснял этот сбор данных и обмен ими в блоге и на форуме в 2015 году. С тех пор Avast пообещал прекратить отправлять данные просмотра, собранные этими расширениями, в Jumpshot, говорится в заявлении Avast для Motherboard и PCMag.
Однако, сбор данных все же продолжился. Если раньше Avast делал это через расширение браузера, то теперь он стал это делать это через свой антивирус
Издания Motherboard и PCMag связались с более чем двумя десятками компаний, упомянутых во внутренних документах. Лишь немногие ответили на вопросы о том, что они делают с данными, основанными на истории поиска пользователей Avast.
"Иногда мы используем информацию от сторонних поставщиков, чтобы улучшить наш бизнес, продукты и услуги. Мы требуем, чтобы эти поставщики имели соответствующие права на передачу нам этой информации.
В этом случае мы получаем анонимные данные о пользователях, которые нельзя использовать для идентификации отдельных клиентов", - написал представитель Home Depot в заявлении по электронной почте.
Microsoft отказалась комментировать особенности того, почему она приобретала данные у Jumpshot, но заявила, что сейчас она не имеет отношений с этой компанией. Southwest Airlines заявила, что обсуждала возможность работы с Jumpshot, но компании не достигли соглашения. IBM заявила, что не была клиентом, а Altria заявила, что тоже не работает с Jumpshot, хотя не уточнила, работала ли ранее. Sephora заявила, что не работает с Jumpshot. Компания Google так и не ответила на запрос.
На своем веб-сайте и в пресс-релизах Jumpshot называет клиентами Pepsi и консалтинговых гигантов Bain & Company и McKinsey. Там также перечислены некоторые примеры использования данных об истории просмотра веб страниц. Издательство и цифровой медиа-гигант Condé Nast, например, использовал продукты Jumpshot, чтобы увидеть, приводит ли реклама компании к увеличению продаж на Amazon и в других местах.
All Click Feed
Это не все, был еще один продукт Jumpshot под названием All Click Feed. Он позволяет покупать информацию обо всех кликах, которые Jumpshot регистрировал в определенном домене, например Amazon.com, Walmart.com, Target.com, BestBuy.com или Ebay.com.
Данные Jumpshot могут показать, как кто-то с установленным на компьютере антивирусом Avast искал продукт в Google, переходил по ссылке, ведущей на Amazon, затем, возможно, добавлял товар корзину на каком-то другом веб-сайте, прежде чем совершить покупку.
Согласно копии контракта с Jumpshot, одной из компаний, купивших All Clicks Feed, является маркетинговая фирма Omnicom Media Group из Нью-Йорка. Jumpshot предоставил Omnicom доступ ко всем кликам пользователей из 14 разных стран мира, включая США, Англию, Канаду, Австралию и Новую Зеландию. Данные также включали в себя предполагаемый пол пользователей, их предполагаемый возраст и «полную строку URL-адреса», но с удаленной личной информацией, заявляется в контракте.
Согласно контракту с Omnicom, «идентификатор устройства» каждого пользователя хешируется, а это означает, что компания, покупающая данные, не должна иметь возможность идентифицировать, кто именно стоит за каждым просмотром.
Вместо этого продукты Jumpshot должны помогать компаниям узнавать, какие продукты особенно популярны или насколько эффективна их рекламная кампания.
Но данные Jumpshot могут быть не полностью анонимными. Во внутреннем справочнике по продукту говорится, что идентификаторы устройств не меняются для каждого пользователя, если он полностью не удалит и не переустановит программное обеспечение безопасности.
Многочисленные статьи и академические исследования показали, как можно узнать личность человека, используя якобы анонимные данные. Это подтвердили репортеры New York Times в 2006 году, а также исследователи из Стэндфордского университета в 2017 году.
Деанонимизация становится куда более серьезной проблемой, если вспомнить о том, что конечные покупатели данных Jumpshot могут объединить их со своими собственными данными.
"Большинство угроз, создаваемых деанонимизацией, исходит из способности объединять информацию с другими данными".
Временная метка с точностью до миллисекунды может позволить компании, имеющей собственный банк данных о клиентах, видеть, как один пользователь посещает их собственный сайт, а затем следить за ними через другие сайты с помощью Jumpshot.
"Обезличить данные практически невозможно, - сказал Эрик Голдман, профессор юридического факультета Университета Санта-Клары.
Журналисты из Motherboard и PCMag задали Avast ряд подробных вопросов о том, как она защищает анонимность пользователей, а также детали некоторых контрактов компании. Avast не ответил на большинство вопросов, но написал в заявлении: "Благодаря нашему подходу мы гарантируем, что Jumpshot не получит никакой идентификационной информации, включая имя, адреса электронной почты или контактные данные, от людей, использующих наше популярное бесплатное антивирусное программное обеспечение".
У нас большой опыт защиты устройств и данных пользователей от вредоносных программ, и мы понимаем и серьезно относимся к ответственности за балансирование конфиденциальности пользователей с необходимым использованием данных », - говорится в заявлении.
Также компания заявила, что соблюдает Калифорнийский закон о конфиденциальности потребителей (CCPA) и Европейский регламент по защите данных (GDPR) касательно всей своей пользовательской базы.
Когда редактор PCMag впервые установил антивирусный продукт Avast, программа действительно спросила, хотят ли они принять участие в сборе данных.
"Если Вы дадите разрешение, мы предоставим нашей дочерней компании Jumpshot Inc. сбор обезличенных данных, полученных из Вашей истории просмотров, с целью позволить Jumpshot анализировать рынки и бизнес-тенденции и собирать другую ценную информацию", однако во всплывающем окне не было рассказано ничего о том, как именно Jumpshot затем использует эти данные.
Советую канал Инвестидеи с Алмазом. Узнайте куда стоит инвестировать свои деньги, однако помните о рисках инвестиций. Никто не может дать 100% гарантию прибыльности.
