vpn VPN и финансовая безопасность.

[Sapfira 581]

Назрел такой вопрос по поводу безопасного использования VPN.

Если включать VPN при совершении банковских операций (заход в Сбербанк.Онлайн, оплата покупок и т.д.), то на сколько безопасно выбирать иностранные сервера? Или для таких целей лучше выбирать российский сервер?

 

P.S. Вопрос не про конкретно Kaspersky VPN, а вообще, про любой VPN.

[sputnikk 1257]

Здесь проблема скорее в доверии к владельцам сервера, а не в стране расположения. Как известно, владельцы бесплатных VPN торгуют данными об пользователях.

P.S.В тп Касперского мне ответили, что VPN надо использовать только при работе через публичные сети Wi-Fi. Во всех остальных случаях достаточно наличия https

[Воронцов 435]

Главное уверенность, что сервер надежный и твои данные не уедут фиг знает кому. А так разницы нет, что наш, что заграничный.

Изменено 14 июля, 2020 пользователем Воронцов

[KuZbkA 13]

сижу через впн России постоянно)) денег за ксек не платил, так как ключ с форума, лишним поди не будет?:)

 

блин в тп касперского подтвердили, как сказал спутник - впн нужен для общественных сетей))

Изменено 14 июля, 2020 пользователем KuZbkA

[Sapfira 581]

Ясно, тогда одного безопасного браузера хватит.

А насчёт доверия или недоверия к разным серверам, так кто ж их знает, какие надёжные, а какие ненадёжные.

[Воронцов 435]

@Sapfira ну так free vpn это как лотерея

[Umnik 1200]

Вопрос гораздо глубже, чем может показаться на первый взгляд.

Давайте отвечу с двух разных точек зрения, каждая из которых, в общем-то, обоснована и можете выбрать для себя ту, что вам ближе.

 

Лично я делаю так. Если у меня спрашивает человек, далёкий от всего этого, я говорю про 1. И то, сильно упрощая. Если же я веду диалог с кем-то очень подкованным или же просто с тем, кто желает знать и понимать больше, то почесать его паранойю считаю обязанным и говорю о 2.

 

1. Вне зависимости от VPN, если в нём реализованы базовые вещи, типа такого-то шифрования, его будет достаточно. Цель VPN — обеспечить безопасную передачу данных от вас к точке назначения. Но для VPN такой точкой является сервер самого VPN, а не сайт, на который вы хотите зайти. Таким образом, если канал честно шифруется, то в плохой (в значении "скомпрометированной") сети данные безопасно дойдут до сервера. То есть Васян в Макдаке с поддельной точкой доступа сдампит ваш трафик, но достать ничего не сможет, потому что он шифрован. Далее появляется проблема. Трафик дешифруется на сервере. Но и здесь, в общем-то, нет чего-то опасного. Если сайт нормальный, и он реализует HSTS или же ваш браузер ранее прикопал сетртификат браузера (ниже поясню), то в нём будет не какой-нибудь SSL, а нормальный TLSv1.2 или даже 1.3. То есть владелец сервера может сдампить трафик у себя, но он один фиг будет шифрованный. Таким образом, даже если админ VPN сервера решил сливать трафик, от вас он получит непригодный к использованию мусор. Но тоже с оговорками, конечно; о них тоже ниже.

Таким образом, если мы не рассматриваем совсем уж какие-то болота, использование VPN сервера для доступа к важным данным (типа банковских счетов) однозначно повышает безопасность. Вы ведь не можете гарантировать, что даже сеть вашего провайдера прямо сейчас не скомпрометирована. Может у прова в маршрутизаторах старая прошивка с тонной уязвимостей, которыми уже воспользовались. Или, может быть, разработчики клиента банковского приложения писали его не руками, а чем-то другим. VPN и здесь поможет здорово.

 

2. Т.к. управляете сервером не вы, вы понятия не имеете, что там делают. Даже если это нормальный сервис от честной проверенной компании, они всё равно логгируют часть ваших действий. Они сохраняют, с какого именно IP вы подключились, во сколько это произошло, куда именно вы ходили (IP и хост) и всякие другие данные о вас. Вплоть до того, кто вы такой (вы купили сервис, они создали в БД ваш ID и сквозным запросом к разным таблицам они могут связать, какой CARDHOLDER NAME заходил в 5 утра на айпи такой-то. Делают они это не потому что вас ненавидят и хотят взять за одного место, а потому что они подчиняются законам стран, в которых зареганы + законам стран, в которых у них серверы. А всякие законы по противодействию терроризму обязывают их сохранять столько инфы, чтобы, в случае чего, найти любого. "Но я не террорист, я честный человек! А честному человеку нечего скрывать!" — можете сказать вы. Но нет, всем людям на планете есть что скрывать. Кто-то не желает, чтобы кто-либо знал, что у него есть любовница. Кто-то не хочет, чтобы другие узнали о его болезни. Кто-то придерживается опасных для этой страны взглядов про тараканов и 3% или про однополые браки и всё такое. Нам всем есть что скрывать. "Но я никому не нужен! Лично за мной не будут охотиться!" — последует второе оправдание. И снова нет. Возможно, вы действительно никогда не станете целью. Но думал ли создатель Kate, что его обвинят в том, в чём обвиняли? А думал ли преподаватель математики в ВУЗе, что будут обвинять его? Но не считая этого, обвинение может прийти просто "за компанию", не персонально к вам, а И К ВАМ ТОЖЕ. И сделать вы ничего не можете, это законно.

То есть скрывая трафик от провайдера, вы просто убираете ситуацию, что вам прилетит автоматически, благодаря СОРМ2 какому-нибудь. Но это не значит, что, в погоне за новой звёздочкой, некий офицер не сделает официальный запрос к разным поставщикам VPN услуг.
Если серверов в России у владельца нет и сама фирма в России не зарегана, то вы будете в чуть лучшей безопасности, т.к. в этом случае таким запросом подотрутся. Но ежели этот офицер отрабатывает задачу "набить палок", то он без проблем получит разрешение суда (они там во всех странах одним миром мазаны) и тогда ему выдадут все данные за милую душу — противодействие терроризму, вся фигня. И не важно, что вы написали "Сказочный" под фотографией человека.

Таким образом, даже если это очень честный поставщик, переживающий за свою репутацию, он всё равно будет не на вашей стороне, если возникнет хоть сколько-нибудь щекотливая ситуация. Он не будет разбирать ваш трафик, но он сольёт всю лично вашу историю по щелчку правильных пальцев.

 

Теперь пояснения.

 

Про сертификаты. Когда вы впервые заходите на https сайт, то браузер запрашивает его сертификат. В сертификате есть инфа, по которому браузер проверяет, на этот ли сайт выдан сертификат, когда, не истёк ли он, выдан ли сам сертифика доверенным центором, а не Васяном из соседней квартиры. Если вся эта информация браузер устроит, то он сохранит его у себя в хранилище. И вот злоумышленник попытается снять шифрование между вами и сайтом (MITM — мен ин зе мидл — человек посередине). Для этого ему надо, когда ваш браузер обращается к сайту, дать в ответ свой сертификат. Но браузер ведь помнит всю инфу о сертификате правильном. Он увидит, что новый сертификат нифига не совпадает со старым и поймёт, что кто-то пытается его обмануть. Браузер просто откажется установить подключение к сайту и не даст вам ввести на нём свои логи и пароль.

Но что на счтёт случая, когда первого раза ещё не было? Если это ваш самый первый вход на https сайт и злоумышленник в ответ пришлё свой сертификат, то да, браузер будет ему доверять! Ну, не так просто, конечно. Злоумышленник должен подсунуть браузеру сертификат, который также выписан на этот сайт и не кем-либо, а доверенным центром. Васян из соседней квартиры таким центром не является и браузер поймёт, что ему подсовывают фигню, которой доверять нельзя. Выписать сертификат на чужой сайт у доверенного центра тоже не так, чтобы просто, нужно доказать, что это ваш ресурс. Но, будем честны, такое не просто возможно, а происходит чаще, чем хотелось бы. К тому же лично вам достаточно одного раза, не так ли? То есть провести успешный МИТМ можно до того, как браузер в первый раз сходил на сайт (где первый раз — это какой угодно по счёту раз, но первый после очистки кэша сертификатов), хотя и действительно ОЧЕНЬ сложно.

Но как можно и эту лазейку закрыть? Для этого используется HSTS: https://ru.wikipedia.org/wiki/HSTS, а точнее, в данном случае, HSTS preload list. Говоря простым языком, HSTS — это механизм, который принудительно перекидывает с http на https и не даёт никакой возможности оставаться на http. Но т.к. это не убирает проблему "первого захода", то есть прелоад лист — это готовый список сертификатов для множества известных сайтов, который изначально зашит в браузер. То есть ваш браузер, будьте уверены, УЖЕ знает сертификаты Гугла, Яндекса, Мейл.Ру, Википедии и кучи других. То есть у злоумышленника просто нет вот этого момента "заходите в первый раз".

 

Теперь про SSL/TLS. SSL всех версий (последняя — третья) — дно и уязвимы. Современные браузеры и программы не доверяют SSL. TLS версии 1.0 — это тоже самое, что и SSL 3.0, то есть тоже решето. 1.1 также считается непригодным более к использованию и современные браузеры либо уже ему недоверяют, либо вот-вот перестанут. Нормальные версии — это 1.2 и последняя на сегодня 1.3. НО! Браузер может быть и устаревшим и доверять даже протухшему SSL. А ещё в браузере может быть включена опция доверия (к примеру, некоторые ресурсы ВТБ для юриков не работали без включения поддержки уже запрещённых к использованию SSL!!!). А ещё это может быть не браузер, а, например, приложение на телефоне. И если за Мозиллу и Гугул вы можете быть уверены, их последние версии браузеров гарантировано не дадут вам загрузить сайт с решетом вместо шифрования, то за приложение от владельца банка уверенным быть уже нельзя, не так ли? Так что обёрнутый в VPN коннект к банку может закрыть от злоумышленника ваш трафик. Теперь, если его сдампить, дырявый SSL снять будет нельзя, потому что он поверх обёрнут нормальным слоем шифрования от вашего ВПН сервиса.

 

И теперь о непригодном к использованию мусоре. Хотя нельзя будет сказать, что это за полный URL, т.к. виден только домен (то есть не https://google.com/s=ваш_поисковый_запрос, а только https://google.com и всё), и тем более  не виден контент, который вы просматриваете, всё равно сам домен может быть "интересным". То есть для кого-то сам факт захода на сайт уже может быть полезной инфой, которую можно продать.

[Umnik 1200]

Прям как по заказу, вот про п.2: https://t.me/addmeto/3320

В двух словах. У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов. Вес того, что не сохранялось, составлял 1.2 терабайта. Цитата из ссылки:

Quote

А так же, внезапно утекли: пароли в открытом виде, токены самого vpn-а. И самое страшное: IP адреса, геолокация, время соединения, тип устройства и его фингерпринт, короче все данные для того, чтобы максимально легко идентифицировать вас.

 

[Sapfira 581]

1 час назад, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых "не сохраняющихся" данных и логов.

Жуть. Ладно пароли, их можно сменить, а вот если данные банковских карт утекут, это уже рискованно. Но это хоть какой-то малоизвестный и бесплатный VPN, мало доверия к таким фирмам.

[DIMANDUC 14]

Данные самого пользователя вроде как не ушли не куда. Только данные, связанные с VPN.

[Umnik 1200]

Если бы сервис ещё и трафик всех пользователей дампил, он бы на хранилищах разорился.

 

Но это не значит, что не мог собираться трафик "каких надо" пользователей.

[Peter15 19]

19.07.2020 в 14:56, Umnik сказал:

У ВПН сервиса, который заявлял о том, что не хранит данных и логов, произошла утечка этих самых

Browsec могли забыть упомянуть? У него могла быть утечка? Не знаю, кстати, к платному, или нет, отнести его.

[Umnik 1200]

Не могу, я не занимаюсь отслеживанием конкретных сервисов. И в любом случае, к самым хорошим сервисам полностью применим пункт 2.