Před čím VPN skutečně chrání (a před čím ne)

Před čím VPN skutečně chrání (a před čím ne)

VPN je jedním z nejčastěji doporučovaných nástrojů na ochranu soukromí, a to z dobrého důvodu. Marketing kolem VPN však často přehání a zanechává uživatelům falešný pocit bezpečí. Pochopení toho, před čím VPN ve skutečnosti chrání a kde přestává být užitečná, je skutečně důležité pro každého, kdo si buduje osobní bezpečnostní nastavení.

Krátce řečeno: VPN je vynikající pro specifickou, úzkou sadu úkolů. Mimo tyto úkoly nedělá téměř nic, aby vás ochránila před hackery.

Před čím vás VPN opravdu chrání

VPN funguje tak, že šifruje váš internetový provoz a směruje ho přes server, který skrývá vaši skutečnou IP adresu. Tyto dvě funkce přímo řeší několik reálných hrozeb.

Odposlech na veřejné Wi-Fi je pro většinu lidí nejpraktičtějším případem použití. Když se připojíte k nezabezpečené síti v kavárně, na letišti nebo v hotelu, ostatní uživatelé stejné sítě mohou potenciálně zachytit nešifrovaný provoz. VPN tento provoz zašifruje ještě předtím, než opustí vaše zařízení, takže je nečitelný pro kohokoli, kdo na místní síti slídí. To má dnes menší význam, protože většina webových stránek standardně používá HTTPS, ale stále existují scénáře, kdy po veřejných sítích procházejí nešifrovaná data.

Odhalení IP adresy je další oblastí, kde VPN poskytují skutečnou ochranu. Vaše IP adresa může prozradit vaši přibližnou fyzickou polohu a v některých případech ji lze použít k vaší identifikaci napříč službami. Její maskování pomocí IP adresy VPN serveru omezuje, co o vás mohou zjistit inzerenti, webové stránky a někteří útočníci.

Cílení DDoS útoků je méně častou, ale reálnou hrozbou, zejména pro hráče, streamery a tvůrce obsahu. Distribuovaný denial-of-service útok zaplaví cílovou IP adresu nevyžádaným provozem, aby cíl odpojil od internetu. Pokud je vaše skutečná IP adresa skryta za VPN serverem, útočníci nemohou cílit na vaše skutečné připojení. Záplavu místo toho pohltí server VPN.

To je skutečná ochrana. Jen není komplexní.

Kde VPN nestačí

VPN nedokáže kontrolovat, blokovat ani filtrovat to, co se rozhodnete se svým připojením dělat. To znamená, že celé kategorie útoků ji zcela obcházejí.

Phishing je možná tou nejdůležitější mezerou. Pokud kliknete na škodlivý odkaz v e-mailu a zadáte své přihlašovací údaje na falešné přihlašovací stránce, VPN s tím nic neudělá. Šifrovaný tunel vás věrně dopraví na podvodnou stránku. Útok je přesto úspěšný.

Malware funguje stejným způsobem. Pokud si stáhnete a spustíte škodlivý soubor, VPN nemá žádný mechanismus, jak ho detekovat nebo zablokovat. Malware působí na aplikační vrstvě, výrazně nad úrovní ochrany na síťové vrstvě, kterou VPN poskytuje.

Kompromitace účtů pomocí credential stuffingu, opakovaného používání hesel nebo převzetí relace je podobně nedotčena. Pokud útočník získá vaše uživatelské jméno a heslo z databáze, která unikla, může se přihlásit k vašim účtům odkudkoli. VPN tyto přihlašovací údaje nechrání.

Zero-day zneužití zaměřená na váš prohlížeč, operační systém nebo aplikace nemají s vaší IP adresou ani šifrováním síťového provozu nic společného. Zneužívají zranitelnosti v samotném softwaru.

Tento vzorec se vztahuje i na sofistikovanější hrozby. Jak bylo uvedeno v nedávné analýze státních APT útoků v Singapuru, aktéři pokročilých perzistentních hrozeb používají techniky, jako je spear phishing, kompromitace dodavatelského řetězce a zneužívání koncových bodů, proti nimž VPN jednoduše nebyla navržena. Protivníci na úrovni národních států nemusejí odposlouchávat vaši Wi-Fi.

Doplňková bezpečnostní sada

Protože VPN pokrývá hrozby na síťové vrstvě a téměř nic jiného, vážné zabezpečení vyžaduje vrstvení dalších nástrojů.

Správce hesel s jedinečnými, náhodně generovanými hesly pro každý účet neutralizuje útoky typu credential stuffing. Opakovaně používaná hesla jsou jedním z nejběžnějších vektorů kompromitace účtů a VPN to neřeší.

Vícefaktorové ověřování (MFA) přidává druhou bariéru, i když jsou přihlašovací údaje odcizeny. Hardwarové bezpečnostní klíče nabízejí nejsilnější formu MFA, i když autentizační aplikace jsou výrazným zlepšením oproti kódům založeným na SMS.

Software pro ochranu koncových bodů se stará o malware, ransomware a některé pokusy o zneužití na úrovni zařízení. V kombinaci s udržováním operačního systému a aplikací záplatovaných a aktuálních to řeší plochu softwarových zranitelností, na kterou VPN vůbec nedosáhne.

Návyky v oblasti e-mailu odolné vůči phishingu a rozšíření prohlížeče, která označují podezřelé adresy URL, snižují účinnost útoků sociálního inženýrství. Naučit se kontrolovat odkazy před kliknutím je, bez nadsázky, jedním z nejúčinnějších dostupných bezpečnostních opatření.

Stojí za zmínku, že ani šifrované komunikační aplikace nejsou imunní vůči kompromitaci na úrovni uživatele. Nedávný rozbor proč jsou uživatelé Signalu hackováni navzdory silnému šifrování aplikace to jasně ilustruje: útočníci míří na osobu, zařízení nebo nastavení účtu, nikoli na samotný šifrovací protokol. VPN by v těchto případech také nepomohla.

Praktický rámec použití

Místo otázky, zda byste měli používat VPN, je lepší se ptát, kdy pomáhá a kdy potřebujete sáhnout po něčem jiném.

Používejte VPN při připojování k veřejným nebo nedůvěryhodným Wi-Fi sítím, když chcete omezit sledování a profilování na základě IP adresy, když by vaše skutečná IP adresa mohla odhalit vaši fyzickou polohu nepřátelské straně, nebo když chcete snížit riziko cílení DDoS útoků při online hrách nebo streamování.

Sáhněte po jiných nástrojích, když hodnotíte odkaz v e-mailu před kliknutím (použijte skener odkazů nebo prostě přejděte přímo na danou stránku), když posuzujete, zda jsou vaše účty bezpečné (použijte správce hesel a zapněte MFA), když chcete ochranu před malwarem (použijte software pro ochranu koncových bodů a udržujte systémy záplatované), nebo když čelíte cílenému útoku sofistikovaného protivníka, který vás již identifikoval jako cíl.

Co to pro vás znamená

VPN je užitečný a legitimní nástroj. Patří do osobního bezpečnostního nastavení, neměl by však být jedinou položkou v tomto nastavení a nemělo by se od něj očekávat, že bude vykonávat úkoly, pro které nebyl nikdy navržen.

Hrozby, které způsobují nejvíce škod v reálném světě – phishing, malware, převzetí účtů a cílené zneužívání – působí nad síťovou vrstvou. Šifrování VPN a maskování IP adresy jsou pro ně irelevantní.

Nejúčinnějším přístupem je vrstvený přístup: použijte VPN pro konkrétní scénáře, kde pomáhá, a pro hrozby, které nedokáže řešit, použijte účelově vytvořené nástroje. Pochopení toho, který nástroj zvládá kterou hrozbu, je základem bezpečnostního postoje, který pod tlakem skutečně obstojí. Zkoumání konkrétních reálných scénářů útoků je dobrým dalším krokem k uplatnění tohoto rámce v praxi.