Protiv čega vas VPN doista štiti (i protiv čega ne)

Protiv čega vas VPN doista štiti (i protiv čega ne)

VPN je jedan od najčešće preporučivanih alata za privatnost i to s dobrim razlogom. No marketing oko VPN-ova često obećava previše, ostavljajući korisnike s lažnim osjećajem sigurnosti. Razumjeti protiv čega VPN zapravo štiti i gdje prestaje biti koristan istinski je važno za svakoga tko gradi osobnu sigurnosnu postavku.

Kratka verzija: VPN je izvrstan za specifičan, uzak skup zadataka. Izvan tih zadataka, čini gotovo ništa da vas zaštiti od hakera.

Od čega vas VPN istinski brani

VPN funkcionira tako da šifrira vaš internetski promet i usmjerava ga kroz poslužitelj koji maskira vašu stvarnu IP adresu. Te dvije funkcije izravno se suprotstavljaju nekoliko stvarnih prijetnji.

Prisluškivanje na javnom Wi-Fiju najpraktičniji je slučaj upotrebe za većinu ljudi. Kad se spojite na nezaštićenu mrežu u kafiću, zračnoj luci ili hotelu, drugi korisnici na istoj mreži mogu potencijalno presresti nešifrirani promet. VPN šifrira taj promet prije nego što napusti vaš uređaj, čineći ga nečitljivim svakome tko prisluškuje lokalnu mrežu. To je danas manje važno nego prije jer većina web-stranica prema zadanim postavkama koristi HTTPS, no još uvijek postoje scenariji u kojima nešifrirani podaci prolaze javnim mrežama.

Izloženost IP adrese još je jedno područje u kojem VPN-i pružaju stvarnu zaštitu. Vaša IP adresa može otkriti vašu približnu fizičku lokaciju i, u nekim slučajevima, biti upotrijebljena za vašu identifikaciju među različitim uslugama. Maskiranje IP adresom VPN poslužitelja ograničava ono što oglašivači, web-stranice i neki zlonamjerni akteri mogu zaključiti o vama.

DDoS ciljanje rjeđa je, ali stvarna prijetnja, osobito za igrače, streamere i kreatore sadržaja. Distribuirani napad uskraćivanjem usluge zatrpava metu IP adrese bezvrijednim prometom kako bi je izbacio s mreže. Ako je vaša stvarna IP adresa skrivena iza VPN poslužitelja, napadači ne mogu ciljati vašu stvarnu vezu. Umjesto toga poplava pogađa VPN poslužitelj.

To su stvarne zaštite. One jednostavno nisu sveobuhvatne.

Gdje VPN zakazuje

VPN ne može pregledavati, blokirati ili filtrirati ono što odlučite raditi s vašom vezom. To znači da čitave kategorije napada posve zaobilaze VPN.

Pecanje (phishing) možda je najvažnija praznina. Ako kliknete zlonamjernu poveznicu u e-poruci i unesete svoje vjerodajnice na lažnu stranicu za prijavu, VPN ne čini ništa da to zaustavi. Šifrirani tunel vjerno vas isporučuje na lažno odredište. Napad uspijeva bez obzira.

Zlonamjerni softver (malware) djeluje na isti način. Ako preuzmete i pokrenete zlonamjernu datoteku, vaš VPN nema mehanizam da to otkrije ili blokira. Malware djeluje na aplikacijskom sloju, znatno iznad mrežne zaštite koju VPN pruža.

Kompromitacija računa putem popunjavanja vjerodajnicama, ponovne upotrebe lozinki ili otmice sesije jednako je nepromijenjena. Ako napadač pribavi vaše korisničko ime i lozinku iz procurjele baze podataka, može se prijaviti u vaše račune s bilo kojeg mjesta. Vaš VPN te vjerodajnice ne štiti.

Zero-day eksploatacije koje ciljaju vaš preglednik, operativni sustav ili aplikacije nemaju nikakve veze s vašom IP adresom ili šifriranjem mrežnog prometa. One iskorištavaju ranjivosti u samom softveru.

Ovaj obrazac proteže se i na sofisticiranije prijetnje. Kao što je obrađeno u nedavnoj analizi singapurskih APT napada na državnoj razini, napredni trajni prijeteći akteri koriste tehnike poput ciljanog phishinga, kompromitacije lanca opskrbe i eksploatacije krajnjih točaka protiv kojih VPN jednostavno nije dizajniran. Protivnici na razini nacionalnih država ne trebaju presretati vaš Wi-Fi promet.

Komplementarni sigurnosni slojevi

Budući da VPN pokriva prijetnje na mrežnom sloju i gotovo ništa drugo, ozbiljna sigurnost zahtijeva slaganje dodatnih alata.

Upravitelj lozinki s jedinstvenim, nasumično generiranim lozinkama po računu neutralizira napade popunjavanjem vjerodajnicama. Ponovno korištene lozinke jedan su od najčešćih vektora kompromitacije računa i nijedan VPN to ne rješava.

Višefaktorska autentifikacija (MFA) dodaje drugu prepreku čak i ako su vjerodajnice ukradene. Hardverski sigurnosni ključevi nude najsnažniji oblik MFA-e, iako su aplikacije za autentifikaciju značajno poboljšanje u odnosu na kodove temeljene na SMS-u.

Softver za zaštitu krajnjih točaka bavi se zlonamjernim softverom, ucjenjivačkim softverom i nekim pokušajima eksploatacije na razini uređaja. U kombinaciji s redovitim ažuriranjem i zakrpavanjem operativnog sustava i aplikacija, to se obraća površini ranjivosti softvera koju VPN-i ne mogu dotaknuti.

Navike otporne na phishing i proširenja preglednika koja označavaju sumnjive URL-ove smanjuju učinkovitost napada društvenog inženjeringa. Uvježbavanje da pomno pregledate poveznice prije klika, koliko god nezahvalno zvučalo, jedna je od najučinkovitijih dostupnih sigurnosnih mjera.

Vrijedi napomenuti da čak ni šifrirane aplikacije za razmjenu poruka nisu imune na kompromitaciju na razini korisnika. Nedavni prikaz zašto korisnici Signala bivaju hakirani unatoč snažnoj enkripciji aplikacije jasno ilustrira poantu: napadači ciljaju osobu, uređaj ili postavke računa, a ne sam protokol šifriranja. VPN ne bi pomogao ni u tim slučajevima.

Praktični okvir za primjenu

Umjesto da pitate trebate li koristiti VPN, bolje pitanje jest kada pomaže, a kada trebate posegnuti za nečim drugim.

Koristite svoj VPN kad se povezujete na javne ili nepouzdane Wi-Fi mreže, kad želite ograničiti praćenje i profiliranje temeljeno na IP adresi, kad bi vaša stvarna IP adresa mogla otkriti vašu fizičku lokaciju neprijateljski raspoloženoj strani ili kad želite smanjiti rizik od DDoS ciljanja u online igrama ili streamovima.

Posegnite za drugim alatima kad procjenjujete poveznicu u e-poruci prije nego što je kliknete (upotrijebite skener poveznica ili jednostavno izravno idite na stranicu), kad procjenjujete jesu li vaši računi sigurni (koristite upravitelj lozinki i uključite MFA-u), kad želite zaštitu od zlonamjernog softvera (koristite softver za sigurnost krajnjih točaka i održavajte sustave zakrpanima) ili kad se suočavate s ciljanim napadom sofisticiranog protivnika koji vas je već identificirao kao metu.

Što to znači za vas

VPN je koristan i legitiman alat. Spada u osobnu sigurnosnu postavku, ali ne bi smio biti jedina stvar u toj postavci i ne bi se smjelo očekivati da obavlja poslove za koje nikada nije bio dizajniran.

Prijetnje koje uzrokuju najviše stvarne štete – phishing, zlonamjerni softver, preuzimanje računa i ciljana eksploatacija – djeluju iznad mrežnog sloja. VPN-ovo šifriranje i maskiranje IP adrese irelevantno je za sve njih.

Najučinkovitiji pristup je slojeviti: koristite VPN za specifične scenarije u kojima pomaže, a namjenske alate za prijetnje kojima se ne može suprotstaviti. Razumjeti koji alat rješava koju prijetnju temelj je sigurnosnog stava koji doista izdržava pritisak. Istraživanje konkretnih scenarija napada iz stvarnog svijeta dobar je sljedeći korak za primjenu tog okvira u praksi.