Седьмая печать связи: как защититься от кражи данных через VPN
Согласно данным Регионального общественного центра интернет-технологий и V-Project, в текущем году более 72% россиян сталкивались со сложностями при использовании сайтов в интернете, при этом порядка 40% прибегают к VPN для просмотра контента на интернет-сервисах. Причины использования VPN разные — удаленная работа и доступ к важным сайтам. Как обезопаситься при использовании VPN — в материале «Известий».
Роскомнадзор уполномочен сообщить
По итогам всего прошлого года в России на 167% выросло использование VPN-сервисов: если в 2021 году VPN-приложения скачали 12,59 млн раз, то в 2022-м количество установок увеличилось до 33,54 млн, приводит данные AtlasVPN.
Однако VPN-сервисы, которые работают с нарушением российского законодательства, создают условия для доступа к противоправному контенту. Эти ресурсы могут использоваться для преступной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма и склонением к суициду.
— Иностранные владельцы VPN-сервисов имеют доступ ко всей информации, которую российские пользователи этих сервисов передают при посещении заблокированных в России ресурсов, — рассказали «Известиям» в пресс-службе Роскомнадзора (РКН). — Полученные таким путем личные данные, финансовая информация и пароли от учетных записей изучаются для использования в мошеннических целях, шантажа и других противоправных действий.
Как заверяют в РКН, российские компании и организации, которые применяют иностранные VPN-протоколы, могут столкнуться с существенными рисками утечки корпоративной и иной чувствительной информации.
VPN — технология, с помощью которой пользовательские данные передаются в зашифрованном виде через сервер VPN-провайдера. Таким образом их можно дополнительно защитить от злоумышленников. Однако от целого ряда киберугроз VPN не поможет, уверяет руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов. Например, он не защитит устройства и данные от вредоносного ПО или фишинга.
Дело в том, что VPN-провайдер не может получить доступ к зашифрованным данным. Но он может, например, собирать историю посещения сайтов, чтобы перепродать такую статистику. Поэтому следует внимательно читать, на каких условиях предоставляется тот или иной сервис.
В целом при скачивании любых программ следует быть внимательными. Так, недавно под VPN-сервис маскировался троянец-стилер, который мог красть данные из браузеров, делать скриншоты экрана и перехватывать нажатия клавиш.
— Чтобы противостоять киберугрозам, которые распространяются под видом разных приложений, следует скачивать программы только с официальных ресурсов (магазинов приложений и сайтов компаний), — говорят в «Лаборатории Касперского». — Также важно использовать защитное решение, которое в автоматическом режиме не позволит установить вредоносное ПО на устройство.
При выборе программы не лишним будет изучить независимые тесты, сравнение сервисов по множеству параметров, включая логирование и юрисдикцию.
Если вы на удаленке
Обычно схема организации удаленной работы включает в себя рабочую станцию или мобильное устройство сотрудника, канал связи и непосредственно инфраструктуру компании. Канал связи защищается c помощью VPN по зарубежным или отечественным технологиям. Взлом криптографии маловероятен, злоумышленнику проще сосредоточиться на других компонентах.
— Наиболее вероятная точка для реализации угроз — рабочая станция пользователя: не всегда компания ей полностью управляет, — говорит руководитель направления ГОСТ VPN в ГК «Солар» Александр Веселов. — Пользователь может зайти на зараженный веб-ресурс или установить потенциально опасное приложение. Чтобы как-то компенсировать эту угрозу VPN-клиенты обычно работают в связке с агентами контроля защищенности рабочей станции.
Агент проверяет состав приложений, наличие антивируса, местоположение, раскладку клавиатуры, поведенческие паттерны пользователя и многое другое. Это позволяет защититься как от атак на рабочую станцию, так и от ситуации, когда злоумышленники каким-то образом украли дистрибутив VPN-клиента и сами пытаются подключиться к инфраструктуре вместо пользователя.
Если представить, что нарушитель — это сам пользователь, то решение довольно типовое — использование Data Loss Prevention (DLP), отмечают в ГК «Солар». Этот класс систем позволяет бороться с утечками по вине внутренних нарушителей.
— С точки зрения защиты компаний нельзя не упомянуть про межсетевой экран нового поколения (NGFW), который является границей между внешней сетью и инфраструктурой компании, — говорит Александр Веселов.
Также важно отметить, что широко распространенные некорпоративные VPN-серверы, которые пользователи применяют для обхода блокировок зарубежных ресурсов, потенциально могут быть точкой для утечки. Они «видят» трафик пользователей и могут его анализировать, копировать и т.д.
Когда по «личной нужде»
Для своих личных нужд безопаснее всего будет использовать платный проверенный VPN-сервис, советует специалист Лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов. По его словам, относительно более безопасным вариантом являются бесплатные VPN-сервисы из официальных магазинов. Как правило, финансовая модель таких приложений подразумевает продажу телеметрических данных и сведений о пользователе, которые могут использоваться третьими лицами в рекламных целях. Но пользователь действительно получает те функции, о которых заявил разработчик, отмечает эксперт.
— Если установить приложение VPN не из официальных ресурсов, магазинов, например App Store и Google Play, то есть высокая вероятность, что сервис будет иметь вредоносный функционал либо это будет просто замаскированная вредоносная программа, — говорит Игорь Михайлов. — В этом случае существуют серьезные риски перехвата киберпреступниками контроля над устройством, взлома смартфона или компьютера.
В основном сайты под видом страниц разработчиков VPN, на которых предлагается скачать подобные поддельные сервисы, недолго бывают активны, зарабатывают негативную репутацию и блокируются. Но вместо удаленной страницы злоумышленники открывают аналогичную новую.
Проверить ресурс можно, посмотрев с помощью сервиса WHOIS дату создания. Должно насторожить, если страница существует меньше года. Второй путь — использование веб-сервиса Wayback Machine (архив интернета). Если в этом сервисе нет информации о веб-сайте или есть информация о нем только за последний год, это должно вызвать подозрения.
— С введением ограничений на использование различных сервисов и социальных сетей количество VPN-приложений в магазинах многократно возросло, — говорит руководитель исследовательской группы департамента аналитики в Positive Technologies Ирина Зиновкина. — Это связано с возросшим спросом на их использование среди обычных пользователей.
По ее словам, злоумышленники воспользовались этой ситуацией и появилось огромное множество бесплатных сервисов, основной целью которых является сбор пользовательских данных для той или иной задачи (в лучшем случае эти данные будут использоваться для рекламных целей). Среди подобных сервисов можно также выделить фейковые VPN.
«Вы и есть товар»
В настоящее время российские операторы связи соблюдают законодательство и понимают, что информация о трафике охраняется Конституцией РФ как «тайна связи». Но сторонние сервисы, которым мы осознанно отдаем весь трафик, когда включаем VPN, могут не выполнять эти обязательства, указывает руководитель Центра информационной безопасности Университета Иннополис Михаил Серегин. Принцип «если вы не платите за товар, то вы и есть товар» здесь раскрывается в полной мере — в лучшем случае VPN-провайдеры собирают данные о посещаемых нами интернет-сайтах, продавая такую аналитику рекламным площадкам.
— Но в случае использования технологий не пассивного чтения трафика, а активного кроме угроз нашей приватности появляются ощутимые угрозы безопасности, — говорит эксперт. — Несмотря на то что 99% трафика зашифровано, что исключает возможность его прочитать и изменить, модификация оставшегося 1% может нести угрозы кражи учетных записей, перенаправления на мошеннические сайты, встраивания модулей, крадущих данные о наших паролях и платежных картах, — вплоть до заражения вирусами тех файлов, которые мы скачиваем из Сети.
По словам Серегина, специальных инструментов, которые бы давали гарантию отсутствия злонамеренного прослушивания или модификации трафика, всё же не существует. Основное, на что можно опираться, — репутация VPN-провайдера, а именно юрисдикция компании, количество пользователей, рейтинг приложения, отсутствие негативных публикаций в интернете и условия использования VPN-провайдера — цена и наличие добавленной рекламы. IT-специалисты могут использовать специализированные либо самописные утилиты по типу mitm-detector, но для большинства пользователей это сложно.
— В России кража данных через VPN сегодня не так распространена, как за рубежом, — подчеркивает директор департамента развития решений в области информационной безопасности, вендор отечественного ПО НОТА (Холдинг Т1) Федор Трифонов. — Но это не значит, что такого явления не существует и с ним нельзя столкнуться в повседневной жизни. VPN-сервисы напрямую взаимодействуют с трафиком, шифруя его, поэтому они могут вычленить из него практически любые данные. Так, под угрозой может оказаться платежная информация или логин и пароль от соцсетей.
Федор Трифонов очень рекомендует обязательно использовать двухфакторную аутентификацию везде, где это возможно. Фейковые VPN, о которых идет речь, можно сравнить с массовым фишингом. Если сервис установят 100 человек, то из них пострадают именно те, кто не озадачился дополнительной мерой защиты.
Как правило, фейковые VPN-сервисы имеют небольшое количество отзывов и низкий рейтинг. Обычно они указывают использованные протоколы шифрования. На надежных протоколах с открытым исходным кодом работают, например, OpenVPN и WireGuard.
Если пароль скомпрометировали, узнать об этом можно при помощи уведомлений о входе в аккаунт, напоминает специалист. Они кажутся назойливыми, зато в случае несанкционированного доступа оперативно дадут знать о чужом IP-адресе и геолокации. После такого скомпрометированный пароль лучше сразу изменить, так как большинство пользователей используют один и тот же пароль для нескольких приложений и соцсетей.
— Бойтесь того, когда фейковые сервисы мимикрируют под оригинальные и, попадая на устройство пользователя, крадут персональные данные, — замечает директор центра компетенций по информационной безопасности Холдинга Т1 Виктор Гулевич. — Во-вторых, киберпреступники создают фальшивые VPN-сайты или отправляют фишинговые электронные письма, чтобы перехватывать данные пользователя для входа в аккаунт VPN. Но хуже того, когда некоторые VPN-сервисы отслеживают и регистрируют активность пользователя в Сети, включая посещенные веб-сайты и передаваемые данные. И вот эта информация может быть использована для создания профиля активности и продажи третьим лицам.
Золотые правила
Технический директор Центра безопасности данных Дмитрий Будаев свел основные принципы, которые могут помочь снизить риски при использовании VPN и защитить данные, в следующий список:
— выбирайте надежные VPN-сервисы;
— по возможности не используйте бесплатные VPN;
— пользуйтесь VPN только при необходимости;
— убедитесь, что ваш VPN-сервис использует протоколы шифрования (например, OpenVPN, WireGuard, L2TP/IPsec);
— обновляйте VPN-клиент и операционную систему;
— не раскрывайте личные данные на ненадежных веб-сайтах и в приложениях, в безопасности которых не уверены;
— будьте внимательны при вводе паролей;
— познакомьтесь с признаками фишинга и будьте осторожны при нажатии на подозрительные ссылки в письмах или на веб-сайтах.