Перейти к содержанию

Рекомендуемые сообщения

Назрел такой вопрос по поводу безопасного использования VPN.

Если включать VPN при совершении банковских операций (заход в Сбербанк.Онлайн, оплата покупок и т.д.), то на сколько безопасно выбирать иностранные сервера? Или для таких целей лучше выбирать российский сервер?

 

P.S. Вопрос не про конкретно Kaspersky VPN, а вообще, про любой VPN.

Ссылка на сообщение
Поделиться на другие сайты
  • Sapfira changed the title to VPN и финансовая безопасность.

Здесь проблема скорее в доверии к владельцам сервера, а не в стране расположения. Как известно, владельцы бесплатных VPN торгуют данными об пользователях.

P.S.В тп Касперского мне ответили, что VPN надо использовать только при работе через публичные сети Wi-Fi. Во всех остальных случаях достаточно наличия https

Ссылка на сообщение
Поделиться на другие сайты

Главное уверенность, что сервер надежный и твои данные не уедут фиг знает кому. А так разницы нет, что наш, что заграничный.

Изменено пользователем Воронцов
Ссылка на сообщение
Поделиться на другие сайты

сижу через впн России постоянно)) денег за ксек не платил, так как ключ с форума, лишним поди не будет?:)

 

блин в тп касперского подтвердили, как сказал спутник - впн нужен для общественных сетей))

Изменено пользователем KuZbkA
Ссылка на сообщение
Поделиться на другие сайты

Ясно, тогда одного безопасного браузера хватит.

А насчёт доверия или недоверия к разным серверам, так кто ж их знает, какие надёжные, а какие ненадёжные.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос гораздо глубже, чем может показаться на первый взгляд.

Давайте отвечу с двух разных точек зрения, каждая из которых, в общем-то, обоснована и можете выбрать для себя ту, что вам ближе.

 

Лично я делаю так. Если у меня спрашивает человек, далёкий от всего этого, я говорю про 1. И то, сильно упрощая. Если же я веду диалог с кем-то очень подкованным или же просто с тем, кто желает знать и понимать больше, то почесать его паранойю считаю обязанным и говорю о 2.

 

1. Вне зависимости от VPN, если в нём реализованы базовые вещи, типа такого-то шифрования, его будет достаточно. Цель VPN — обеспечить безопасную передачу данных от вас к точке назначения. Но для VPN такой точкой является сервер самого VPN, а не сайт, на который вы хотите зайти. Таким образом, если канал честно шифруется, то в плохой (в значении "скомпрометированной") сети данные безопасно дойдут до сервера. То есть Васян в Макдаке с поддельной точкой доступа сдампит ваш трафик, но достать ничего не сможет, потому что он шифрован. Далее появляется проблема. Трафик дешифруется на сервере. Но и здесь, в общем-то, нет чего-то опасного. Если сайт нормальный, и он реализует HSTS или же ваш браузер ранее прикопал сетртификат браузера (ниже поясню), то в нём будет не какой-нибудь SSL, а нормальный TLSv1.2 или даже 1.3. То есть владелец сервера может сдампить трафик у себя, но он один фиг будет шифрованный. Таким образом, даже если админ VPN сервера решил сливать трафик, от вас он получит непригодный к использованию мусор. Но тоже с оговорками, конечно; о них тоже ниже.

Таким образом, если мы не рассматриваем совсем уж какие-то болота, использование VPN сервера для доступа к важным данным (типа банковских счетов) однозначно повышает безопасность. Вы ведь не можете гарантировать, что даже сеть вашего провайдера прямо сейчас не скомпрометирована. Может у прова в маршрутизаторах старая прошивка с тонной уязвимостей, которыми уже воспользовались. Или, может быть, разработчики клиента банковского приложения писали его не руками, а чем-то другим. VPN и здесь поможет здорово.

 

2. Т.к. управляете сервером не вы, вы понятия не имеете, что там делают. Даже если это нормальный сервис от честной проверенной компании, они всё равно логгируют часть ваших действий. Они сохраняют, с какого именно IP вы подключились, во сколько это произошло, куда именно вы ходили (IP и хост) и всякие другие данные о вас. Вплоть до того, кто вы такой (вы купили сервис, они создали в БД ваш ID и сквозным запросом к разным таблицам они могут связать, какой CARDHOLDER NAME заходил в 5 утра на айпи такой-то. Делают они это не потому что вас ненавидят и хотят взять за одного место, а потому что они подчиняются законам стран, в которых зареганы + законам стран, в которых у них серверы. А всякие законы по противодействию терроризму обязывают их сохранять столько инфы, чтобы, в случае чего, найти любого. "Но я не террорист, я честный человек! А честному человеку нечего скрывать!" — можете сказать вы. Но нет, всем людям на планете есть что скрывать. Кто-то не желает, чтобы кто-либо знал, что у него есть любовница. Кто-то не хочет, чтобы другие узнали о его болезни. Кто-то придерживается опасных для этой страны взглядов про тараканов и 3% или про однополые браки и всё такое. Нам всем есть что скрывать. "Но я никому не нужен! Лично за мной не будут охотиться!" — последует второе оправдание. И снова нет. Возможно, вы действительно никогда не станете целью. Но думал ли создатель Kate, что его обвинят в том, в чём обвиняли? А думал ли преподаватель математики в ВУЗе, что будут обвинять его? Но не считая этого, обвинение может прийти просто "за компанию", не персонально к вам, а И К ВАМ ТОЖЕ. И сделать вы ничего не можете, это законно.

То есть скрывая трафик от провайдера, вы просто убираете ситуацию, что вам прилетит автоматически, благодаря СОРМ2 какому-нибудь. Но это не значит, что, в погоне за новой звёздочкой, некий офицер не сделает официальный запрос к разным поставщикам VPN услуг.
Если серверов в России у владельца нет и сама фирма в России не зарегана, то вы будете в чуть лучшей безопасности, т.к. в этом случае таким запросом подотрутся. Но ежели этот офицер отрабатывает задачу "набить палок", то он без проблем получит разрешение суда (они там во всех странах одним миром мазаны) и тогда ему выдадут все данные за милую душу — противодействие терроризму, вся фигня. И не важно, что вы написали "Сказочный" под фотографией человека.

Таким образом, даже если это очень честный поставщик, переживающий за свою репутацию, он всё равно будет не на вашей стороне, если возникнет хоть сколько-нибудь щекотливая ситуация. Он не будет разбирать ваш трафик, но он сольёт всю лично вашу историю по щелчку правильных пальцев.

 

Теперь пояснения.

 

Про сертификаты. Когда вы впервые заходите на https сайт, то браузер запрашивает его сертификат. В сертификате есть инфа, по которому браузер проверяет, на этот ли сайт выдан сертификат, когда, не истёк ли он, выдан ли сам сертифика доверенным центором, а не Васяном из соседней квартиры. Если вся эта информация браузер устроит, то он сохранит его у себя в хранилище. И вот злоумышленник попытается снять шифрование между вами и сайтом (MITM — мен ин зе мидл — человек посередине). Для этого ему надо, когда ваш браузер обращается к сайту, дать в ответ свой сертификат. Но браузер ведь помнит всю инфу о сертификате правильном. Он увидит, что новый сертификат нифига не совпадает со старым и поймёт, что кто-то пытается его обмануть. Браузер просто откажется установить подключение к сайту и не даст вам ввести на нём свои логи и пароль.

Но что на счтёт случая, когда первого раза ещё не было? Если это ваш самый первый вход на https сайт и злоумышленник в ответ пришлё свой сертификат, то да, браузер будет ему доверять! Ну, не так просто, конечно. Злоумышленник должен подсунуть браузеру сертификат, который также выписан на этот сайт и не кем-либо, а доверенным центром. Васян из соседней квартиры таким центром не является и браузер поймёт, что ему подсовывают фигню, которой доверять нельзя. Выписать сертификат на чужой сайт у доверенного центра тоже не так, чтобы просто, нужно доказать, что это ваш ресурс. Но, будем честны, такое не просто возможно, а происходит чаще, чем хотелось бы. К тому же лично вам достаточно одного раза, не так ли? То есть провести успешный МИТМ можно до того, как браузер в первый раз сходил на сайт (где первый раз — это какой угодно по счёту раз, но первый после очистки кэша сертификатов), хотя и действительно ОЧЕНЬ сложно.

Но как можно и эту лазейку закрыть? Для этого используется HSTS: https://ru.wikipedia.org/wiki/HSTS, а точнее, в данном случае, HSTS preload list. Говоря простым языком, HSTS — это механизм, который принудительно перекидывает с http на https и не даёт никакой возможности оставаться на http. Но т.к. это не убирает проблему "первого захода", то есть прелоад лист — это готовый список сертификатов для множества известных сайтов, который изначально зашит в браузер. То есть ваш браузер, будьте уверены, УЖЕ знает сертификаты Гугла, Яндекса, Мейл.Ру, Википедии и кучи других. То есть у злоумышленника просто нет вот этого момента "заходите в первый раз".

 

Теперь про SSL/TLS. SSL всех версий (последняя — третья) — дно и уязвимы. Современные браузеры и программы не доверяют SSL. TLS версии 1.0 — это тоже самое, что и SSL 3.0, то есть тоже решето. 1.1 также считается непригодным более к использованию и современные браузеры либо уже ему недоверяют, либо вот-вот перестанут. Нормальные версии — это 1.2 и последняя на сегодня 1.3. НО! Браузер может быть и устаревшим и доверять даже протухшему SSL. А ещё в браузере может быть включена опция доверия (к примеру, некоторые ресурсы ВТБ для юриков не работали без включения поддержки уже запрещённых к использованию SSL!!!). А ещё это может быть не браузер, а, например, приложение на телефоне. И если за Мозиллу и Гугул вы можете быть уверены, их последние версии браузеров гарантировано не дадут вам загрузить сайт с решетом вместо шифрования, то за приложение от владельца банка уверенным быть уже нельзя, не так ли? Так что обёрнутый в VPN коннект к банку может закрыть от злоумышленника ваш трафик. Теперь, если его сдампить, дырявый SSL снять будет нельзя, потому что он поверх обёрнут нормальным слоем шифрования от вашего ВПН сервиса.

 

И теперь о непригодном к использованию мусоре. Хотя нельзя будет сказать, что это за полный URL, т.к. виден только домен (то есть не https://google.com/s=ваш_поисковый_запрос, а только https://google.com и всё), и тем более  не виден контент, который вы просматриваете, всё равно сам домен может быть "интересным". То есть для кого-то сам факт захода на сайт уже может быть полезной инфой, которую можно продать.

Ссылка на сообщение
Поделиться на другие сайты

Прям как по заказу, вот про п.2: https://t.me/addmeto/3320

В двух словах. У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов. Вес того, что не сохранялось, составлял 1.2 терабайта. Цитата из ссылки:

Quote

А так же, внезапно утекли: пароли в открытом виде, токены самого vpn-а. И самое страшное: IP адреса, геолокация, время соединения, тип устройства и его фингерпринт, короче все данные для того, чтобы максимально легко идентифицировать вас.

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов.

Жуть. Ладно пароли, их можно сменить, а вот если данные банковских карт утекут, это уже рискованно. Но это хоть какой-то малоизвестный и бесплатный VPN, мало доверия к таким фирмам.

Ссылка на сообщение
Поделиться на другие сайты

Если бы сервис ещё и трафик всех пользователей дампил, он бы на хранилищах разорился.

 

Но это не значит, что не мог собираться трафик "каких надо" пользователей.

Ссылка на сообщение
Поделиться на другие сайты
19.07.2020 в 14:56, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых

Browsec могли забыть упомянуть? У него могла быть утечка? Не знаю, кстати, к платному, или нет, отнести его.

Ссылка на сообщение
Поделиться на другие сайты

Не могу, я не занимаюсь отслеживанием конкретных сервисов. И в любом случае, к самым хорошим сервисам полностью применим пункт 2.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Imri
      От Imri
      Добрый день.
      Не могу разобраться, как реализовать такую задачу:
      Необходимо, чтобы устройства с установленными KES, при подключении к корпоративной сети по vpn, качали обновления не по vpn, а из интернета с серверов Касперского.
      Пробовал настраивать Профили соединений агента администрирования, но пока безрезультатно.
      Кто знает, подскажите пожалуйста.
    • anastasia001
      От anastasia001
      Привет.
       
      У меня 2 вопроса касаемо vpn сервисов.
       
      Дело в том что я не могу зайти на фейсбук! мой сотовый оператор блокирует вход в это приложение.  Прочитала про vpn.  Но устанавливать и использовать vpn на айфоне  не хочу - не доверяю что то я таким приложениям интуитивно даже учитывая что они есть в appstore и вроде как apple их должны (?) проверять на зловредность, а почитав отзывы о том что у некоторых украли пароли то перехотелось ещё сильнее поэтому не решилась устанавливать vpn приложения на смартфон и не рисковать авторизациями всех своих соцсетей которые там есть и решила искать способ зайти на фейсбук но используя компьютер (на компе у моего браузера Firefox после каждого сеанса  куки чистятся автоматически при закрытии) Поэтому решила что так меньше шансов украсть куки с паролями от соцсетей ! Так в поисках новых способов зайти на фейсбук почитала про браузер Tor (это типа тоже vpn своего рода правильно я понимаю?!)
      Я скачала этот браузер Tor на официальном сайте ! но пока не залогинилась в фейсбуке.
       
      У меня 2 вопроса !
      1) Если зайти через tor (скаченный на официальном сайте)  на фейсбук и авторизироваться то какой шанс потерять страницу в результате того что мою учетную запись украдут держатели этого браузера ? А если я залогинюсь и затем включу в настройках двухфакторную аунтификацию то злоумышленники уже не смогут ничего сделать с сохраненными куками ?

      2) Запуск браузера Tor не даст никому доступ к моему компьютеру ,рабочему столу ,папкам ? Он если и может что то своровать то только куки браузера  ?
    • misska
      От misska
      "Если ты чего-то не видишь, это еще не значит, что оно не существует. А если ты видишь что-то, это вовсе не значит, что оно существует на самом деле, а не просто мерещится твоим органам чувств."
       
      Здравствуйте!
      И снова к Вам, уважаемые, за помощью.
       
      Прошу подсказки для поиска норы в моей системе безопасности. Прецедент уже был, поэтому с недавнего времени появилась паранойя не без основания -- не знаю где (комп или телефон), не знаю как. До этого дело было в настройках маршрутизатора. На данный момент роутер поменялся, но вот никаких ревизий по настройкам я не проводила. Сейчас на какие моменты мне нужно обратить внимание в настройках: исправить/убрать/изменить?
      Могу кинуть скрин.
       
    • Татьяна303
      От Татьяна303
      Здравствуйте. Подскажите, пожалуйста, аккаунт Гугл будет видеть реальный (географический, страну) адрес моего устройства илипри включенном VPN должна быть видна страна, через которую подключен VPN?
    • login1231
      От login1231
      Как удалить группу BUILTIN\Администраторы из раздела "Безопасность" в консоли KSC11?
      Кнопка удаления недоступна (серая). В некоторых серверах этой группы нет. В некоторых серверах кнопка удаления активна. Так же кнопка активна в этом же сервере но для других групп и пользователей в разделе "Безопасность".
      От чего это зависит? Может какую таблицу отредактировать в MSSQL базе?
×
×
  • Создать...