Що насправді захищає VPN (а що — ні)

Що насправді захищає VPN (а що — ні)

VPN — один із найпоширеніших рекомендованих інструментів для приватності, і небезпідставно. Але маркетинг навколо VPN часто обіцяє забагато, створюючи в користувачів хибне відчуття безпеки. Розуміння того, від чого VPN справді захищає, і де його ефективність закінчується, справді важливе для кожного, хто будує власну систему безпеки.

Якщо коротко: VPN чудово справляється з конкретним, вузьким набором завдань. Поза цими завданнями він майже нічого не робить для захисту від хакерів.

Від чого VPN справді захищає

VPN працює, шифруючи ваш інтернет-трафік і пропускаючи його через сервер, який маскує вашу справжню IP-адресу. Ці дві функції безпосередньо протидіють кільком реальним загрозам.

Перехоплення даних у публічних Wi-Fi — найпрактичніший сценарій для більшості людей. Коли ви під’єднуєтесь до незахищеної мережі в кав’ярні, аеропорту чи готелі, інші користувачі цієї мережі потенційно можуть перехопити незашифрований трафік. VPN шифрує цей трафік ще до того, як він покине ваш пристрій, роблячи його нечитабельним для всіх, хто прослуховує локальну мережу. Сьогодні це менш критично, адже більшість сайтів за замовчуванням використовують HTTPS, але все ще трапляються ситуації, коли незашифровані дані передаються через публічні мережі.

Розкриття IP-адреси — ще одна сфера, де VPN дає справжній захист. Ваша IP-адреса може видати ваше приблизне фізичне місцезнаходження, а в деяких випадках — використовуватися для вашої ідентифікації на різних сервісах. Маскування її IP-адресою VPN-сервера обмежує те, що рекламодавці, вебсайти й деякі зловмисники можуть про вас дізнатися.

Націлювання через DDoS — менш поширена, але реальна загроза, особливо для геймерів, стримерів і творців контенту. Розподілена атака на відмову в обслуговуванні закидає цільову IP-адресу сміттєвим трафіком, щоб вибити жертву з мережі. Якщо ваша справжня IP-адреса прихована за VPN-сервером, атакувальники не можуть цілити ваше реальне з’єднання. Удар натомість поглинає VPN-сервер.

Це реальні рівні захисту. Просто вони не всеосяжні.

Де VPN не справляється

VPN не може перевіряти, блокувати чи фільтрувати те, що ви робите зі своїм з’єднанням. А це означає, що цілі категорії атак оминають його повністю.

Фішинг — чи не найважливіша прогалина. Якщо ви клацнете шкідливе посилання в електронному листі й уведете свої облікові дані на підробленій сторінці входу, VPN ніяк цього не зупинить. Зашифрований тунель сумлінно доставить вас на шахрайський сайт. Атака однаково успішна.

Шкідливе ПЗ працює так само. Якщо ви завантажите й запустите зловмисний файл, VPN не має механізмів виявити чи заблокувати його. Шкідливе програмне забезпечення діє на прикладному рівні, значно вище від мережевого захисту, який надає VPN.

Компрометація облікових записів через підбір облікових даних (credential stuffing), повторне використання паролів або перехоплення сеансу так само не зачіпається VPN. Якщо зловмисник отримає ваш логін і пароль зі зламаної бази даних, він зможе увійти до ваших акаунтів звідусіль. VPN ці дані не захищає.

Експлойти нульового дня, націлені на ваш браузер, операційну систему або застосунки, не мають жодного стосунку до вашої IP-адреси чи шифрування мережевого трафіку. Вони використовують уразливості в самому програмному забезпеченні.

Ця закономірність поширюється й на складні загрози. Як висвітлено в нещодавньому аналізі державних APT-атак у Сінгапурі, суб’єкти постійних просунутих загроз використовують такі методи, як цілеспрямований фішинг, компрометація ланцюга постачання та експлуатація кінцевих точок — те, проти чого VPN просто не був спроєктований. Супротивники рівня національних держав не потребують перехоплення вашого Wi-Fi-трафіку.

Додатковий набір засобів безпеки

Оскільки VPN покриває загрози на мережевому рівні й майже нічого більше, серйозна безпека вимагає нашарування додаткових інструментів.

Менеджер паролів з унікальними, згенерованими випадково паролями для кожного облікового запису нейтралізує атаки підбору облікових даних. Повторне використання паролів — один із найпоширеніших векторів компрометації акаунтів, і жоден VPN цю проблему не вирішує.

Багатофакторна автентифікація (MFA) додає другий бар’єр, навіть якщо облікові дані викрадено. Апаратні ключі безпеки пропонують найсильнішу форму MFA, хоча й додатки-автентифікатори значно кращі за коди, отримані через SMS.

Захист кінцевих точок бореться зі шкідливим ПЗ, програмами-вимагачами та деякими спробами використання експлойтів на рівні пристрою. У поєднанні зі своєчасним оновленням операційної системи та застосунків це перекриває поверхню програмних уразливостей, яку VPN не зачіпає.

Звички захисту від фішингу в електронній пошті та браузерні розширення, що позначають підозрілі URL-адреси, знижують ефективність атак із соціальної інженерії. Тренування уважно перевіряти посилання перед клацанням — один із найефективніших, хоч і неяскравих, заходів безпеки.

Варто зауважити, що навіть застосунки з наскрізним шифруванням не застраховані від компрометації на рівні користувача. Нещодавній розбір того, чому користувачів Signal зламують, попри сильне шифрування застосунку, добре ілюструє цю думку: зловмисники цілять у людину, пристрій або налаштування облікового запису, а не в сам протокол шифрування. VPN і в цих випадках не допоміг би.

Практичний підхід до сценаріїв використання

Замість запитувати, чи варто користуватися VPN, краще поставити запитання, коли він допомагає, а коли потрібно звернутися до інших засобів.

Користуйтеся VPN, коли під’єднуєтеся до публічних або ненадійних Wi-Fi-мереж, коли хочете обмежити відстеження та профілювання за IP-адресою, коли ваша справжня IP-адреса може викрити ваше фізичне місцезнаходження перед ворожою стороною, або коли хочете зменшити ризик націлювання через DDoS в онлайн-іграх чи стримах.

Звертайтеся до інших інструментів, коли оцінюєте посилання в електронному листі перед тим, як клацнути (скористайтеся сканером посилань або просто перейдіть на сайт напряму), коли перевіряєте, чи безпечні ваші облікові записи (використовуйте менеджер паролів і вмикайте MFA), коли потребуєте захисту від шкідливого ПЗ (застосовуйте захист кінцевих точок і оновлюйте системи), або коли маєте справу з цілеспрямованою атакою складного супротивника, який уже ідентифікував вас як мішень.

Що це означає для вас

VPN — корисний і легітимний інструмент. Він має бути у вашому наборі особистої безпеки, але не повинен бути єдиним елементом цього набору, і від нього не варто очікувати виконання завдань, для яких його ніколи не створювали.

Загрози, які завдають найбільше шкоди в реальному світі — фішинг, шкідливе ПЗ, захоплення облікових записів і цілеспрямована експлуатація — діють вище мережевого рівня. Шифрування VPN і маскування IP-адреси для них не мають жодного значення.

Найефективніший підхід — багаторівневий: використовуйте VPN у тих конкретних сценаріях, де він допомагає, і застосовуйте спеціально створені для інших загроз інструменти. Розуміння того, який інструмент якій загрозі протистоїть, — це основа такої моделі безпеки, яка справді витримує випробування. Вивчення конкретних реальних сценаріїв атак — добрий наступний крок, щоб застосувати цю модель на практиці.