Перейти к содержанию

Рекомендуемые сообщения

Назрел такой вопрос по поводу безопасного использования VPN.

Если включать VPN при совершении банковских операций (заход в Сбербанк.Онлайн, оплата покупок и т.д.), то на сколько безопасно выбирать иностранные сервера? Или для таких целей лучше выбирать российский сервер?

 

P.S. Вопрос не про конкретно Kaspersky VPN, а вообще, про любой VPN.

Ссылка на сообщение
Поделиться на другие сайты
  • Sapfira changed the title to VPN и финансовая безопасность.

Здесь проблема скорее в доверии к владельцам сервера, а не в стране расположения. Как известно, владельцы бесплатных VPN торгуют данными об пользователях.

P.S.В тп Касперского мне ответили, что VPN надо использовать только при работе через публичные сети Wi-Fi. Во всех остальных случаях достаточно наличия https

Ссылка на сообщение
Поделиться на другие сайты

Главное уверенность, что сервер надежный и твои данные не уедут фиг знает кому. А так разницы нет, что наш, что заграничный.

Изменено пользователем Воронцов
Ссылка на сообщение
Поделиться на другие сайты

сижу через впн России постоянно)) денег за ксек не платил, так как ключ с форума, лишним поди не будет?:)

 

блин в тп касперского подтвердили, как сказал спутник - впн нужен для общественных сетей))

Изменено пользователем KuZbkA
Ссылка на сообщение
Поделиться на другие сайты

Ясно, тогда одного безопасного браузера хватит.

А насчёт доверия или недоверия к разным серверам, так кто ж их знает, какие надёжные, а какие ненадёжные.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос гораздо глубже, чем может показаться на первый взгляд.

Давайте отвечу с двух разных точек зрения, каждая из которых, в общем-то, обоснована и можете выбрать для себя ту, что вам ближе.

 

Лично я делаю так. Если у меня спрашивает человек, далёкий от всего этого, я говорю про 1. И то, сильно упрощая. Если же я веду диалог с кем-то очень подкованным или же просто с тем, кто желает знать и понимать больше, то почесать его паранойю считаю обязанным и говорю о 2.

 

1. Вне зависимости от VPN, если в нём реализованы базовые вещи, типа такого-то шифрования, его будет достаточно. Цель VPN — обеспечить безопасную передачу данных от вас к точке назначения. Но для VPN такой точкой является сервер самого VPN, а не сайт, на который вы хотите зайти. Таким образом, если канал честно шифруется, то в плохой (в значении "скомпрометированной") сети данные безопасно дойдут до сервера. То есть Васян в Макдаке с поддельной точкой доступа сдампит ваш трафик, но достать ничего не сможет, потому что он шифрован. Далее появляется проблема. Трафик дешифруется на сервере. Но и здесь, в общем-то, нет чего-то опасного. Если сайт нормальный, и он реализует HSTS или же ваш браузер ранее прикопал сетртификат браузера (ниже поясню), то в нём будет не какой-нибудь SSL, а нормальный TLSv1.2 или даже 1.3. То есть владелец сервера может сдампить трафик у себя, но он один фиг будет шифрованный. Таким образом, даже если админ VPN сервера решил сливать трафик, от вас он получит непригодный к использованию мусор. Но тоже с оговорками, конечно; о них тоже ниже.

Таким образом, если мы не рассматриваем совсем уж какие-то болота, использование VPN сервера для доступа к важным данным (типа банковских счетов) однозначно повышает безопасность. Вы ведь не можете гарантировать, что даже сеть вашего провайдера прямо сейчас не скомпрометирована. Может у прова в маршрутизаторах старая прошивка с тонной уязвимостей, которыми уже воспользовались. Или, может быть, разработчики клиента банковского приложения писали его не руками, а чем-то другим. VPN и здесь поможет здорово.

 

2. Т.к. управляете сервером не вы, вы понятия не имеете, что там делают. Даже если это нормальный сервис от честной проверенной компании, они всё равно логгируют часть ваших действий. Они сохраняют, с какого именно IP вы подключились, во сколько это произошло, куда именно вы ходили (IP и хост) и всякие другие данные о вас. Вплоть до того, кто вы такой (вы купили сервис, они создали в БД ваш ID и сквозным запросом к разным таблицам они могут связать, какой CARDHOLDER NAME заходил в 5 утра на айпи такой-то. Делают они это не потому что вас ненавидят и хотят взять за одного место, а потому что они подчиняются законам стран, в которых зареганы + законам стран, в которых у них серверы. А всякие законы по противодействию терроризму обязывают их сохранять столько инфы, чтобы, в случае чего, найти любого. "Но я не террорист, я честный человек! А честному человеку нечего скрывать!" — можете сказать вы. Но нет, всем людям на планете есть что скрывать. Кто-то не желает, чтобы кто-либо знал, что у него есть любовница. Кто-то не хочет, чтобы другие узнали о его болезни. Кто-то придерживается опасных для этой страны взглядов про тараканов и 3% или про однополые браки и всё такое. Нам всем есть что скрывать. "Но я никому не нужен! Лично за мной не будут охотиться!" — последует второе оправдание. И снова нет. Возможно, вы действительно никогда не станете целью. Но думал ли создатель Kate, что его обвинят в том, в чём обвиняли? А думал ли преподаватель математики в ВУЗе, что будут обвинять его? Но не считая этого, обвинение может прийти просто "за компанию", не персонально к вам, а И К ВАМ ТОЖЕ. И сделать вы ничего не можете, это законно.

То есть скрывая трафик от провайдера, вы просто убираете ситуацию, что вам прилетит автоматически, благодаря СОРМ2 какому-нибудь. Но это не значит, что, в погоне за новой звёздочкой, некий офицер не сделает официальный запрос к разным поставщикам VPN услуг.
Если серверов в России у владельца нет и сама фирма в России не зарегана, то вы будете в чуть лучшей безопасности, т.к. в этом случае таким запросом подотрутся. Но ежели этот офицер отрабатывает задачу "набить палок", то он без проблем получит разрешение суда (они там во всех странах одним миром мазаны) и тогда ему выдадут все данные за милую душу — противодействие терроризму, вся фигня. И не важно, что вы написали "Сказочный" под фотографией человека.

Таким образом, даже если это очень честный поставщик, переживающий за свою репутацию, он всё равно будет не на вашей стороне, если возникнет хоть сколько-нибудь щекотливая ситуация. Он не будет разбирать ваш трафик, но он сольёт всю лично вашу историю по щелчку правильных пальцев.

 

Теперь пояснения.

 

Про сертификаты. Когда вы впервые заходите на https сайт, то браузер запрашивает его сертификат. В сертификате есть инфа, по которому браузер проверяет, на этот ли сайт выдан сертификат, когда, не истёк ли он, выдан ли сам сертифика доверенным центором, а не Васяном из соседней квартиры. Если вся эта информация браузер устроит, то он сохранит его у себя в хранилище. И вот злоумышленник попытается снять шифрование между вами и сайтом (MITM — мен ин зе мидл — человек посередине). Для этого ему надо, когда ваш браузер обращается к сайту, дать в ответ свой сертификат. Но браузер ведь помнит всю инфу о сертификате правильном. Он увидит, что новый сертификат нифига не совпадает со старым и поймёт, что кто-то пытается его обмануть. Браузер просто откажется установить подключение к сайту и не даст вам ввести на нём свои логи и пароль.

Но что на счтёт случая, когда первого раза ещё не было? Если это ваш самый первый вход на https сайт и злоумышленник в ответ пришлё свой сертификат, то да, браузер будет ему доверять! Ну, не так просто, конечно. Злоумышленник должен подсунуть браузеру сертификат, который также выписан на этот сайт и не кем-либо, а доверенным центром. Васян из соседней квартиры таким центром не является и браузер поймёт, что ему подсовывают фигню, которой доверять нельзя. Выписать сертификат на чужой сайт у доверенного центра тоже не так, чтобы просто, нужно доказать, что это ваш ресурс. Но, будем честны, такое не просто возможно, а происходит чаще, чем хотелось бы. К тому же лично вам достаточно одного раза, не так ли? То есть провести успешный МИТМ можно до того, как браузер в первый раз сходил на сайт (где первый раз — это какой угодно по счёту раз, но первый после очистки кэша сертификатов), хотя и действительно ОЧЕНЬ сложно.

Но как можно и эту лазейку закрыть? Для этого используется HSTS: https://ru.wikipedia.org/wiki/HSTS, а точнее, в данном случае, HSTS preload list. Говоря простым языком, HSTS — это механизм, который принудительно перекидывает с http на https и не даёт никакой возможности оставаться на http. Но т.к. это не убирает проблему "первого захода", то есть прелоад лист — это готовый список сертификатов для множества известных сайтов, который изначально зашит в браузер. То есть ваш браузер, будьте уверены, УЖЕ знает сертификаты Гугла, Яндекса, Мейл.Ру, Википедии и кучи других. То есть у злоумышленника просто нет вот этого момента "заходите в первый раз".

 

Теперь про SSL/TLS. SSL всех версий (последняя — третья) — дно и уязвимы. Современные браузеры и программы не доверяют SSL. TLS версии 1.0 — это тоже самое, что и SSL 3.0, то есть тоже решето. 1.1 также считается непригодным более к использованию и современные браузеры либо уже ему недоверяют, либо вот-вот перестанут. Нормальные версии — это 1.2 и последняя на сегодня 1.3. НО! Браузер может быть и устаревшим и доверять даже протухшему SSL. А ещё в браузере может быть включена опция доверия (к примеру, некоторые ресурсы ВТБ для юриков не работали без включения поддержки уже запрещённых к использованию SSL!!!). А ещё это может быть не браузер, а, например, приложение на телефоне. И если за Мозиллу и Гугул вы можете быть уверены, их последние версии браузеров гарантировано не дадут вам загрузить сайт с решетом вместо шифрования, то за приложение от владельца банка уверенным быть уже нельзя, не так ли? Так что обёрнутый в VPN коннект к банку может закрыть от злоумышленника ваш трафик. Теперь, если его сдампить, дырявый SSL снять будет нельзя, потому что он поверх обёрнут нормальным слоем шифрования от вашего ВПН сервиса.

 

И теперь о непригодном к использованию мусоре. Хотя нельзя будет сказать, что это за полный URL, т.к. виден только домен (то есть не https://google.com/s=ваш_поисковый_запрос, а только https://google.com и всё), и тем более  не виден контент, который вы просматриваете, всё равно сам домен может быть "интересным". То есть для кого-то сам факт захода на сайт уже может быть полезной инфой, которую можно продать.

Ссылка на сообщение
Поделиться на другие сайты

Прям как по заказу, вот про п.2: https://t.me/addmeto/3320

В двух словах. У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов. Вес того, что не сохранялось, составлял 1.2 терабайта. Цитата из ссылки:

Quote

А так же, внезапно утекли: пароли в открытом виде, токены самого vpn-а. И самое страшное: IP адреса, геолокация, время соединения, тип устройства и его фингерпринт, короче все данные для того, чтобы максимально легко идентифицировать вас.

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов.

Жуть. Ладно пароли, их можно сменить, а вот если данные банковских карт утекут, это уже рискованно. Но это хоть какой-то малоизвестный и бесплатный VPN, мало доверия к таким фирмам.

Ссылка на сообщение
Поделиться на другие сайты

Если бы сервис ещё и трафик всех пользователей дампил, он бы на хранилищах разорился.

 

Но это не значит, что не мог собираться трафик "каких надо" пользователей.

Ссылка на сообщение
Поделиться на другие сайты
19.07.2020 в 14:56, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых

Browsec могли забыть упомянуть? У него могла быть утечка? Не знаю, кстати, к платному, или нет, отнести его.

Ссылка на сообщение
Поделиться на другие сайты

Не могу, я не занимаюсь отслеживанием конкретных сервисов. И в любом случае, к самым хорошим сервисам полностью применим пункт 2.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Ytkaaa
      Здравствуйте, постоянно слышу о каких-то правилах безопасности ПК, есть ли у кого нибудь ссылка на их список?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • От Mrak
      Всем привет!
       
      Подскажите пожалуйста, существует ли браузер, соответствующий максимальному числу критериев полезности:
      1) Встроенный VPN (чтобы если куда-то не пускают, нажал кнопку и прошёл, а не переключаться на оперу. И чтобы не выискивать какому ВПН довериться, где его скачать, что там с расширениями и т.п.).
      2) Кросплатформенная синхронизация (чтобы с винды, мака, андроида все закладки на своих местах).
      3) Поддержка КПМ (менеджера паролей Касперского), которой, увы, в опере я не нашёл. 
       
      Буду благодар
    • От linktab
      Пытался завести почту в Яндексе подключившись к KSC. Айпишник показывал Москву. Регистрация не прошла,  т.к.ответ на контрольный вопрос, который высвечивался в виде двух полей не проходил, но вводил символы правильно. Голосовой вопрос тоже не проходил. Когда просмотрел трафик, то оказалось, что из 300 Мб было использовано за несколько минут 294,76 Мб. В чем дело? Откуда такой бешеный трафик?  В ответе на контрольный вопрос "Дата рождения бабушки" ответил 1577. Похоже на попытку взлома.
    • От Mrak
      Всем привет!
       
      Мой рабочий почтовый ящик оказался переполнен. И нужно бы его почистить. А с другой стороны, иногда в нем же проще всего найти некоторую информацию (не нужно заморачиваться с синхронизацией). 
      Но если кто-то ящик взломает, то сможет прочитать не только корреспонденцию, но даже получить некоторые пароли (если бы я их не поменял), т.к. сайты шлют пароли на ящик.
       
      Выходит двоякая ситуация - с одной стороны надо стереть всё для пущей верности, с другой - это создаст ряд неудобств (докажи потом, что отправлял человеку проект договора, жалобы, ходатайства, если тот в наглую заявит, что этого не было).
       
      Подскажите, как вы обычно действуете? Удаляете или храните почту?

    • От Тётя Евдокия
      Опишу проблему подробно.
       
      Началась 31 января.
       
      Вдруг интернет стал тормозить по страшному и обрываться. А надо было посмотреть предидущие серии Ланцета. 
       
      1 февраля все по прежнему. Тут уж осторожность моя уснула и я попробовала  выключить VPN. И... о чудо! Кино смотрела в очень комфортных условиях, даже ни разу не тормознулся, а не то что бы выключаться. После кино включила VPN. Опять то же самое на всех сайтах. И так до сегодняшнего дня. При включении компа VPN автоматически подключается и... увы, мешает...
       
      До этого долго было подключение через Германию. Может поэтому было хорошо? 
×
×
  • Создать...