Mitä VPN oikeasti suojaa vastaan (ja mitä se ei suojaa)

Mitä VPN oikeasti suojaa vastaan (ja mitä se ei suojaa)

VPN on yksi laajimmin suositelluista yksityisyyden työkaluista, eikä syyttä. VPN-palveluiden markkinointi kuitenkin usein lupaa liikoja, jolloin käyttäjille syntyy väärä turvallisuudentunne. Ymmärtäminen, mitä vastaan VPN todella suojaa ja missä sen hyöty loppuu, on aidosti tärkeää kenelle tahansa, joka rakentaa henkilökohtaista tietoturva-asetelmaa.

Lyhyesti sanottuna: VPN on erinomainen tietyssä, kapeassa tehtäväjoukossa. Niiden ulkopuolella se ei juuri lainkaan suojaa hakkereilta.

Mitä vastaan VPN aidosti puolustaa

VPN toimii salaamalla internet-liikenteesi ja reitittämällä sen palvelimen kautta, joka peittää todellisen IP-osoitteesi. Nämä kaksi toimintoa torjuvat suoraan useita todellisia uhkia.

Julkisen Wi-Fi-verkon salakuuntelu on useimmille käytännöllisin käyttötapaus. Kun muodostat yhteyden suojaamattomaan verkkoon kahvilassa, lentokentällä tai hotellissa, muut saman verkon käyttäjät voivat mahdollisesti kaapata salaamatonta liikennettä. VPN salaa tuon liikenteen ennen kuin se lähtee laitteeltasi, jolloin se on mahdotonta lukea kenellekään, joka urkkii paikallisverkossa. Tällä on vähemmän merkitystä kuin aiemmin, sillä useimmat verkkosivustot käyttävät nykyään oletuksena HTTPS:ää, mutta yhä on tilanteita, joissa salaamatonta dataa kulkee julkisissa verkoissa.

IP-osoitteen paljastuminen on toinen osa-alue, jossa VPN tarjoaa aitoa suojaa. IP-osoitteesi voi paljastaa likimääräisen fyysisen sijaintisi ja joissain tapauksissa sitä voidaan käyttää tunnistamaan sinut eri palveluissa. Sen naamioiminen VPN-palvelimen IP-osoitteella rajoittaa sitä, mitä mainostajat, verkkosivustot ja jotkin uhkatekijät voivat päätellä sinusta.

DDoS-hyökkäyksen kohteeksi joutuminen on harvinaisempi mutta todellinen uhka, erityisesti pelaajille, striimaajille ja sisällöntuottajille. Hajautettu palvelunestohyökkäys (DDoS) tulvii kohteen IP-osoitteeseen roskaliikennettä, jotta kohde putoaa pois verkosta. Jos todellinen IP-osoitteesi on piilotettu VPN-palvelimen taakse, hyökkääjät eivät voi kohdistaa iskua varsinaiseen yhteyteesi. Sen sijaan VPN-palvelin ottaa vastaan tulvan.

Nämä ovat todellisia suojakeinoja. Ne eivät vain ole kattavia.

Missä VPN jää vajaaksi

VPN ei voi tarkastaa, estää tai suodattaa sitä, mitä päätät yhteydelläsi tehdä. Se tarkoittaa, että kokonaiset hyökkäyskategoriat ohittavat sen täysin.

Tietojenkalastelu (phishing) on ehkä tärkein aukko. Jos klikkaat haitallista linkkiä sähköpostissa ja syötät tunnuksesi väärennetylle kirjautumissivulle, VPN ei tee mitään sen estämiseksi. Salattu tunneli toimittaa sinut tunnollisesti huijaussivustolle. Hyökkäys onnistuu VPN:stä huolimatta.

Haittaohjelmat toimivat samalla tavalla. Jos lataat ja suoritat haitallisen tiedoston, VPN:llä ei ole mekanismia havaita tai estää sitä. Haittaohjelmat toimivat sovelluskerroksella, selvästi ylempänä kuin VPN:n tarjoama verkkotason suojaus.

Käyttäjätilien murto tunnusten täyttämisen (credential stuffing), salasanojen uudelleenkäytön tai istuntokaappauksen kautta on samalla tavoin koskematon. Jos hyökkääjä saa käsiinsä käyttäjätunnuksesi ja salasanasi vuotaneesta tietokannasta, hän voi kirjautua tileillesi mistä päin maailmaa tahansa. VPN ei suojaa näitä tunnuksia.

Nollapäivähyökkäykset (zero-day exploits), jotka kohdistuvat selaimeesi, käyttöjärjestelmääsi tai sovelluksiisi, eivät liity mitenkään IP-osoitteeseesi tai verkkoliikenteen salaukseen. Ne hyödyntävät haavoittuvuuksia itse ohjelmistoissa.

Tämä kuvio ulottuu myös kehittyneisiin uhkiin. Kuten tuoreessa analyysissa Singaporen valtiotason APT-hyökkäyksistä kerrottiin, kehittyneet jatkuvat uhkatoimijat (APT) käyttävät tekniikoita, kuten kohdistettua tietojenkalastelua (spear phishing), toimitusketjun kompromisointia ja päätelaitteiden hyväksikäyttöä, joita VPN:ää ei yksinkertaisesti ole suunniteltu torjumaan. Kansallisvaltiotason vastustajien ei tarvitse urkkia Wi-Fi-liikennettäsi.

Täydentävä tietoturvapino

Koska VPN kattaa lähinnä verkkotason uhat eikä juuri muuta, vakava tietoturva edellyttää lisätyökalujen kerrostamista.

Salasananhallinta, jossa on yksilölliset, satunnaisesti luodut salasanat jokaista tiliä kohden, tekee tunnusten täyttämishyökkäykset vaarattomiksi. Uudelleenkäytetyt salasanat ovat yksi yleisimmistä tilimurtojen leviämistavoista, eikä VPN vaikuta niihin mitenkään.

Monivaiheinen tunnistautuminen (MFA) lisää toisen esteen, vaikka tunnukset varastettaisiin. Laitepohjaiset FIDO2-turva-avaimet tarjoavat vahvimman MFA:n muodon, mutta todennussovelluksetkin ovat huomattava parannus tekstiviestipohjaisiin koodeihin verrattuna.

Päätelaitesuojaus huolehtii haittaohjelmista, kiristysohjelmista ja joistakin hyväksikäyttöyrityksistä laitetasolla. Yhdistettynä siihen, että pidät käyttöjärjestelmän ja sovellukset päivitettyinä, se kattaa ohjelmistohaavoittuvuuksien pinta-alan, johon VPN ei koske.

Tietojenkalastelua vastustavat sähköpostitottumukset ja selainlaajennukset, jotka merkitsevät epäilyttäviä URL-osoitteita, vähentävät sosiaalisen manipuloinnin hyökkäysten tehoa. Itsensä kouluttaminen tutkimaan linkkejä tarkasti ennen klikkaamista on – vähemmän hohdokkaasti – yksi tehokkaimmista käytettävissä olevista turvatoimista.

On syytä huomata, etteivät edes salatut viestisovellukset ole immuuneja käyttäjätason kompromisseille. Tuore erittely siitä, miksi Signal-käyttäjät joutuvat hakkeroinnin kohteeksi sovelluksen vahvasta salauksesta huolimatta, valaisee asiaa selvästi: hyökkääjät kohdistavat iskun henkilöön, laitteeseen tai tilin asetuksiin sen sijaan, että murtaisivat salausprotokollaa itsessään. VPN ei olisi auttanut näissäkään tapauksissa.

Käytännön viitekehys

Sen sijaan, että kysyisit, pitäisikö sinun käyttää VPN:ää, parempi kysymys on, milloin siitä on apua ja milloin on tartuttava johonkin muuhun.

Käytä VPN:ää, kun muodostat yhteyden julkisiin tai epäluotettaviin Wi-Fi-verkkoihin, kun haluat rajoittaa IP-pohjaista seurantaa ja profilointia, kun todellinen IP-osoitteesi voisi paljastaa fyysisen sijaintisi vihamieliselle taholle tai kun haluat pienentää DDoS-hyökkäyksen riskiä verkkopeleissä tai striimeissä.

Tartu muihin työkaluihin, kun arvioit sähköpostilinkkiä ennen klikkaamista (käytä linkkiskanneria tai siirry suoraan sivustolle), kun selvität, ovatko tilisi turvassa (käytä salasananhallintaa ja ota MFA käyttöön), kun haluat suojaa haittaohjelmilta (käytä päätelaitesuojausta ja pidä järjestelmät päivitettyinä) tai kun kohtaat kohdennetun hyökkäyksen, jonka takana on kehittynyt, sinut jo kohteeksi tunnistanut uhkatoimija.

Mitä tämä tarkoittaa sinulle

VPN on hyödyllinen ja toimiva työkalu. Se kuuluu henkilökohtaiseen tietoturva-asetelmaan, mutta sen ei pitäisi olla asetelman ainoa osa, eikä siltä pitäisi odottaa tehtäviä, joita varten sitä ei koskaan suunniteltu.

Uhat, jotka aiheuttavat eniten todellista vahinkoa – tietojenkalastelu, haittaohjelmat, tilien kaappaukset ja kohdennettu hyväksikäyttö – toimivat verkkotason yläpuolella. VPN:n salaus ja IP-osoitteen naamiointi eivät vaikuta niihin lainkaan.

Tehokkain lähestymistapa on kerroksellinen: käytä VPN:ää niissä tilanteissa, joissa siitä on hyötyä, ja käytä tarkoitukseen suunniteltuja työkaluja niitä uhkia vastaan, joihin VPN ei pysty. Sen ymmärtäminen, mikä työkalu torjuu minkäkin uhan, on perusta turvallisuusasenteelle, joka todella kestää painetta. Erityisten todellisten hyökkäysskenaarioiden tutkiminen on hyvä seuraava askel tämän viitekehyksen käytäntöön viemisessä.