Медвежьи сервисы. Проверяем 6 популярных провайдеров *** на предмет приватности

В наше время без *** никуда: анонимность, безопасность и возможность обойти региональные ограничения и блокировки приводят к этой технологии не только технически подкованную публику, но и людей попроще. А они, конечно же, не будут ставить и настраивать Open*** на своем сервере и предпочтут услуги провайдера. Какой выбор нас ждет в таком случае и можно ли доверять провайдерам ***? Давай пройдемся по наиболее известным из них и проверим.


Сначала определимся с критериями, на которые будем смотреть. Я предлагаю выдвигать такие требования.


SSL-сертификация доменов. Если с ней есть проблемы, то возможны атаки типа MITM.

Отсутствие подстав в лицензионном соглашении. Провайдер, для которого приватность пользователей не пустой звук, не должен пытаться заставить тебя соглашаться на что угодно.

Поддержка стойкого шифрования и современных протоколов. В некоторых странах при помощи DPI-аппаратуры успешно блокируются стандартные типы подключения, такие как PPTP, L2TP IKEv1, Open*** UDP и прочие. Уважающий себя провайдер должен предоставлять пути обхода. Что касается шифрования, здесь все индивидуально. Отмечу лишь, что протокол PPTP, используемый вкупе с MS-CHAP, был взломан в 2012 году. С тех пор любой человек, заплатив 17 долларов, имеет возможность дешифровать трафик.


CyberGhost ***

CyberGhost*** — немецко-румынский сервис, ведущий свою деятельность с 2007 года. Немногие остаются на плаву столько времени. Этот сервис предлагает три типа подключения: L2TP, Open***, IPSec.


Способы обхода блокировок отсутствуют. Есть лишь возможность подключения по протоколу TCP на 443-м порте при использовании Open***, что уже неэффективно в странах с DPI. SSL-сертификат ресурсу выдан компанией Comodo и действителен до 23.02.2019.


Два года назад CyberGhost оказался в центре скандала. Одно из обновлений его клиента устанавливало на машины пользователя корневой SSL-сертификат. Чем это плохо? Дело в том, что, когда ты устанавливаешь соединение по HTTPS, твои данные защищаются протоколом SSL/TLS, который подтверждается специальным сертификатом, выданным уполномоченной компанией. Браузер сверяется со списком сертификатов ОС и, если все сходится, разрешает войти на сайт. Обновление CyberGhost добавляло свой сертификат в этот список, что открыло возможность атаки типа man in the middle.


Компания поспешила выпустить опровержение, однако позже вскрылась другая проблема: фирменный клиент для Windows логирует системные данные компьютера, такие как название видеочипа, модель процессора и имя пользователя. Что тут сказать? Репутация подпорчена.


Что касается Privacy Policy, тут все очень интересно. В статье из своей базы знаний руководство сервера отчетливо и без ужимок заявляет о том, что **** не ведутся. Однако просмотр «политики конфиденциальности» вызвал у меня определенные вопросы.


В «анонимизацию» IP верится с трудом, да и остальное не вызывает теплых чувств. Любой сбор данных противоречит ответу в базе знаний, где заявлено, что ***** нет.


Nord***

Nord*** — стремительно набирающий популярность сервис, зарегистрированный в Литве. Ведет деятельность с 2013 года. В графе «Наши партнеры» раньше было указано, что контора получила CCNP-сертификат от CISCO, но потом эта информация пропала с сайта.


Сертификат CISCO с веб-архива


Графа «Партнеры» без сертификата


Почему информация о сертификате пропала с сайта? Как удалось получить этот сертификат, не имея никаких заслуг? Ответов нет, и убрали явно не просто так.


В «Политике конфиденциальности» тоже нашлись проблемы. Один пункт гласит, что **** не ведутся вообще, другой говорит нам, что сервис имеет право хранить ограниченное количество (сколько?) личной информации в течение двух лет.



Политика конфиденциальности Nord***

На сайте утверждается, что пул серверов состоит из 5178 единиц, которые расположены в 62 странах. Используемые методы подключения: Open***, L2TP, IPSec. Приятный бонус — возможность обхода DPI через stunnel.


С Nord*** все было бы хорошо, если бы не история с сертификатом CISCO и не лицензионное соглашение, которое разрешает владельцам сервиса собирать информацию, но не конкретизирует, какую именно.


Но есть и еще один интересный момент. Двое пользователей Reddit предприняли независимое исследование, судя по которому Nord*** принадлежит известной датамайнинговой компании TesoNet.


Похоже, именно это позволяет сервису тратить по полмиллиона долларов в месяц (только вдумайся в эту цифру!) на покупку отзывов и рекламы своего продукта. Так, по данным сайта adweek.com, Nord*** потратил на рекламу 497 тысяч долларов за один лишь февраль 2018 года. Откуда такие деньги? Думаю, ответ очевиден.


Выходит, пользоваться этим сервисом крайне опасно: вместо анонимности есть шанс предоставить подробные **** для датамайнинга. И напоследок еще одна неприятная история. В рекламном порыве сотрудники Nord*** накрутили рейтинг подложным отзывам на сайте trustpilot.com. Этот факт подтвержден администрацией ресурса.


Накрутка отзывов Nord***


Private Internet Access

Private Internet Access — широко известный среди зарубежных пентестеров ***-сервис. Среди аналогов выделяется детальными настройками шифрования (можно менять порт подключения, тип шифровки и ключа), наличием встроенных способов обхода DPI, а также своего SOCKS5-****** и SSH-туннеля. Одним словом, хоть сейчас медаль давай, но увы…


Во-первых, web.archive.org ничего не знает о времени существования этого сервиса и о старых версиях сайта. Похоже, администрация попросила их удалить, а это тревожный знак.


Результаты поиска в веб-архиве

Мне удалось обнаружить, что этот провайдер находится на территории США, а также принадлежит некоему псевдоконгломерату, область деятельности которого раскидывается от *** до бутиков.


Да, у Private Internet Access есть возможность шифрования 4096-битным ключом. Да, он спокойно кладет на лопатки DPI, но какой в этом смысл, если по первому зову Дяди Сэма все данные окажутся в руках властей?


Информация о сервисе

Попробуем поискать информацию о фирме-хозяине — London Trust Media. Поиски быстро привели меня к статье, сообщающей, что исполнительным директором этой компании был назначен Марк Карпелес (Mark Karpeles), при полном попустительстве которого была ограблена японская криптобиржа Mt.Gox. Доверия к этому товарищу у меня нет и быть не может.


HideME ***

HideME — самый известный в рунете ***-сервис. Ведет деятельность с 2007 года. Авторизоваться можно, только если есть цифровой код, который Google легко находит на тематических форумах.


Один из типов подключения к HideME *** — это PPTP, что само по себе нехорошо — протокол уязвим. Кроме того, в 2016 году по запросу властей РФ HideME отключил анонимайзер для российских пользователей. На этом можно было бы и остановиться, но я предлагаю еще заглянуть в политику конфиденциальности.


Политика конфиденциальности HideME ***

Да, может быть, они и отказались от регистрации, но ключи, абсолютно ничем не хешированные, при должной сноровке можно подобрать за три дня. Кроме того, обрати внимание на первый абзац, а также на то, как был отработан запрос РКН. Использования этого сервиса для чего-то, кроме доступа к Spotify, стоит избегать любой ценой.

Hide My Ass! ***

Hide My Ass — один из самых известных провайдеров в мире. Принадлежит он компании Avast. Многих это отпугнет сразу же, но мы продолжим изучение. Сервис существует в качестве анонимайзера с 2005 года, функция *** у него появилась в 2009-м. Грандиозное отличие Hide My Ass от всех рассмотренных провайдеров — колоссальное количество выходных стран. Однако, к большому сожалению, радоваться тут нечему.


В 2011 году этот провайдер выдал властям США одного из участников группировки LulzSec — Коди Эндрю Кретзингера. Мало того, администраторы еще написали длинный пост в свое оправдание. Выдача ***** якобы была обоснованной. Но на месте этого человека мог быть любой журналист или же правозащитник в тоталитарной стране.


Пост оправдания Hide My Ass

Вывод напрашивается сам собой: Hide My Ass в любой момент выдаст то самое, что обещал надежно спрятать, а потому не годится для серьезных применений.


Vypr***

Vypr*** начал активную деятельность в 2010 году. Зарегистрирован в Швейцарии. Имеет стандартный набор протоколов: Open*** (AES-256), IPSec, L2TP. Радует наличие обхода через stunnel, который маркетологи гордо именуют Chameleon — оставим это на их совести.


Нас же интересует лицензионное соглашение, которого вполне достаточно для выводов.


В течение тридцати дней хранится входной (настоящий) IP-адрес, и этим все сказано.

Вывод

Получается, что ни один из изученных нами популярных ***-сервисов не прошел даже элементарную проверку без применения технического аудита. Лично для меня это значит, что веры таким провайдерам нет и быть не может. Поэтому всем, кто беспокоится об анонимности и приватности, советую все-таки изучить документацию и поднять свой сервер Open***. А для обхода DPI можешь самостоятельно добавить stunnel.

p.s. Если интересно было читать, заходи в мой телеграм https://t.me/deepernetwork_news