Как правителствата проследяват потребителите на VPN: Какво трябва да знаете

Руските приложения следят дали използвате VPN

Ново разследване на групата за интернет свобода RKS Global разкри тревожна практика за наблюдение, вградена в някои от най-широко използваните приложения в Русия. От 30 основни руски приложения, които бяха изследвани, 22 бяха установени като активно засичащи и регистриращи дали потребителите имат активиран VPN на устройството си. Списъкът включва приложения на добре познати имена като Sberbank, Yandex и VKontakte. Според разследването тези данни се съхраняват на сървъри, до които държавните служби за сигурност имат достъп, което представлява значителна ескалация в начина, по който правителствата проследяват потребителите на VPN.

Това не е просто въпрос за блокиране на VPN. Става дума за идентифициране на хората, които се опитват да ги използват.

Как приложенията засичат VPN активност

Може би приемате, че VPN прави интернет активността ви невидима. На мрежово ниво VPN наистина криптира трафика ви и маскира IP адреса ви. Но приложенията, инсталирани директно на устройството ви, работят на съвсем различен слой, и това разграничение е изключително важно.

Когато дадено приложение работи на смартфона ви, то може да наблюдава определени характеристики на средата на устройството ви. Няколко технически метода позволяват на приложенията да установят използването на VPN, без да инспектират криптирания ви трафик:

• Инспекция на мрежовия интерфейс: Приложенията могат да правят справка кои мрежови интерфейси са активни на дадено устройство. VPN обикновено създава виртуален мрежов адаптер с разпознаваеми конвенции за именуване, което прави присъствието му засечимо от всяко приложение с основни мрежови разрешения.
• Кръстосана проверка на IP адреси: Приложения, които знаят приблизителното ви местоположение (чрез GPS, данни от клетъчни кули или Wi-Fi позициониране), могат да сравнят това местоположение с IP адреса, от който изглежда, че произхожда трафикът ви. Несъответствието е силен индикатор за използване на VPN.
• Засичане на DNS течове: Ако дадено приложение прави DNS заявки и установи, че отговорите идват от неочаквани сървъри, то може да маркира потенциална VPN активност.
• Анализ на латентност и маршрутизиране: VPN връзките често въвеждат измерима латентност. Усъвършенстваните приложения могат да засичат необичайни модели на маршрутизиране, които подсказват, че трафикът се тунелира.

Нито един от тези методи не изисква VPN да се провали или да изтече. Засичането се случва на приложния слой, а не на мрежовия слой, което е причината тази форма на наблюдение да е особено трудна за противодействие само чрез конвенционалното използване на VPN.

Глобалните последици от наблюдението на ниво приложения

Русия не действа изолирано в случая. Описаните по-горе техники не са собственост на руски разработчици. Всяко правителство, което може да задължи разработчиците на приложения да вградят код за засичане, или всеки разработчик, готов да го направи доброволно, би могъл да повтори този подход.

Това има значение за потребителите извън Русия по няколко причини. Първо, много хора по света използват приложения, разработени в страни с рестриктивна интернет политика, понякога без да осъзнават произхода или собствеността на тези приложения. Второ, нормализирането на регистрирането на VPN засичане поставя прецедент, който други правителства могат да последват или вече тихо следват. Трето, всеки, който пътува до страни с ограничен интернет достъп и използва познати приложения на устройството си, може да разкрива използването на VPN без никакъв сигнал, че това се случва.

Откритията на RKS Global подчертават и по-широка истина за дигиталната поверителност: криптирането защитава данните ви при пренос, но не ви защитава от софтуера, работещ директно на устройството ви.

Какво означава това за вас

Ако разчитате на VPN за поверителност или за достъп до ограничено съдържание, разбирането на границите на тази защита е от съществено значение. Ето конкретни стъпки, които можете да предприемете:

Одитирайте разрешенията на приложенията си. Прегледайте кои приложения на устройството ви имат достъп до данни за местоположение, мрежово състояние и информация за устройството. И на Android, и на iOS можете да ограничите тези разрешения поотделно. Приложение, което не може да чете мрежовия ви интерфейс или местоположение, не може лесно да съпостави тези данни с IP адреса ви.

Бъдете избирателни относно това кои приложения инсталирате. Приложенията от разработчици в страни с изисквания за държавно наблюдение носят по-висок риск от вграден код за проследяване. Това не означава, че всички такива приложения го правят, но правната среда в тези страни означава, че разработчиците може да нямат избор, ако са принудени от властите.

Обмислете отделно устройство за чувствителна дейност. Някои защитници на поверителността препоръчват използването на специално устройство с минимален брой инсталирани приложения за дейности, при които VPN защитата има най-голямо значение. По-малко приложения означава по-малко потенциални вектори за засичане.

Използвайте инструменти за комуникация с отворен код или с одит. За чувствителни комуникации приложенията, преминали независими одити на сигурността, предоставят по-голяма увереност, че не вграждат скрита функционалност за засичане или регистриране.

Разберете, че нито един единствен инструмент не е пълно решение. VPN е един слой от стратегия за поверителност, а не всеобхватен щит. Комбинирането на защита на мрежово ниво с внимателна хигиена на приложенията и управление на устройствата осигурява значително по-добро покритие.

Разследването на RKS Global е напомняне, че възможностите за наблюдение се развиват и че приложенията на началния ви екран могат да бъдат участници в тази система. Да бъдете информирани за начина, по който тези механизми работят, е първата стъпка към вземането на по-обмислени решения относно дигиталната ви поверителност.