Kolekcja 650+ ciekawych linków z newslettera? Znajdziesz ją tutaj

Co media piszą o VPN i dlaczego to nieprawda

Stworzone przez człowieka

05.11.2024 11:30 | 14 min czytania

Tagi: Bezpieczeństwo Narzędzia VPN

VPN (ang. Virtual Private Network) to technologia, która umożliwia korzystanie z Internetu (i nie tylko) przez prywatną sieć komputerową, z własnymi (niezależnymi od operatora, który obsługuje łącze) adresami IP. Innymi słowy, dostawca usługi VPN stanowi tunel do sieci, w której łączymy się z zasobami. Przydaje się to np. do korzystania z narzędzi, które nie są wystawione do Internetu.

Schemat: Komputer pracownika → VPN → Wewnętrzna sieć firmowa (pulpit zdalny, serwer plików)

Rozwiązania oferowane przez wiele firm pod nazwą VPN, to tak naprawdę proxy. Serwery ich dostawców pośredniczą jedynie w wymianie ruchu sieciowego, nie tworząc prywatnej sieci. Jeśli chcesz poczytać o tym więcej, odsyłam do artykułu Fundacji Internet. Czas Działać!

Firm oferujących rozwiązania VPN jest sporo. Wiele z nich reklamuje swoje usługi jako remedium na wiele problemów. Obiecują ochronę przed hakerami, anonimowość, prywatność i dostęp do zablokowanych treści. Często o scharakteryzowanie oferowanych rozwiązań proszą (odpłatnie) dziennikarzy. Artykuły partnerskie zachęcają do korzystania z VPNów w sposób niekiedy bardzo ciekawy. Na przykładzie tego zjawiska chciałbym zwrócić uwagę na problem, który dotyczy nie tylko reklam rozwiązań VPN.

Przy analizowaniu treści nie interesuje mnie, czy dany artykuł został napisany przez dziennikarza z danego serwisu, czy dostarczony przez zamawiającą markę. Uważam, że za zamieszczane treści odpowiada redakcja/autor, którzy je publikują.

Zdaję sobie też sprawę, że omawiane artykuły nie są najnowsze. Ale to oznacza tylko tyle, że autorzy mieli dużo czasu na ich uzupełnienie, poprawienie, czy nawet ukrycie. Taki dobór treści pozwala też przypuszczać, że w tworzeniu dużej części z nich nie brała udziału sztuczna inteligencja (to oczywiście skrót myślowy, ściślej chodzi o modele językowe).


Jako pierwszy weźmiemy na tapet opublikowany w serwisie INN:Poland artykuł Karoliny Pałys Przez dzień korzystałam z prywatnej sieci. Jeszcze nigdy nie czułam się tak bezpiecznie w internecie. Przejdźmy pokrótce przez najciekawsze cytaty (wytłuszczenia moje).

To, co warto mieć dzisiaj na uwadze szczególnie, to fakt, że internetowi “podglądacze” mogą mieć na radarze wasze dane na komputerach, których tak teraz często używacie w domu. I doskonale zdają sobie sprawę, że urządzając home office może zbyt mocno skupiacie się na wyborze odpowiedniego fotela, a zbyt słabo na przeglądaniu ofert dostawców VPN.

Chcecie wiedzieć, co wyjdzie Wam na lepsze? Odpowiedź brzmi: wybór odpowiedniego fotela. Ciało podziękuje Wam za ergonomiczne i wygodne siedzisko, a o bezpieczeństwo danych wymienianych ze stronami internetowymi zadba SSL/TLS1.

Jeśli miałabym obrazowo wyjaśnić, czym jest VPN (ang. Virtual Private Network) porównałabym go do czapki-niewidki, którą zakładacie na głowę przed wejściem do internetu. Możecie robić to samo, co zawsze, z jedną małą różnicą: nikt tego nie widzi.

Standardowo to, z jakimi stronami się łączymy, widzi jeden podmiot — nasz dostawca Internetu (ISP). Gdy zdecydujemy się na VPN, zamiast naszego operatora zobaczy je firma, z której VPNa korzystamy. Mowa oczywiście tylko o tym, na jakie strony wchodzimy, bo dane z nimi wymieniane będą zaszyfrowane (pod warunkiem że korzystamy z SSL/TLS2). Zawsze jednak ktoś widzi (lub może widzieć) nasz ruch, choć w ograniczonym zakresie.

A jeśli połączenie z jakąś stroną nie jest szyfrowane, to po prostu z niej nie korzystajmy. Podawanie danych podmiotom, które nie szyfrują ruchu (a więc nie dbają o bezpieczeństwo swoich użytkowników) nie jest bezpieczne, także gdy używamy VPN.

O szyfrowaniu warto pomyśleć nie tylko podczas przesyłania maili czy SMS-ów, ale również wybierając prezenty pod choinkę. Wiadomo, że każdy godny zaufania sklep szyfruje swoje połączenia za pomocą “kłódeczki” (czyli protokołu https), nie mniej jednak przezorny dwa razy ubezpieczony.

Jak widać, autorka podkreśla to, o czym mówię. Nie komentuję wątku o szyfrowaniu maili i SMS-ów, bo VPN w tym nie pomoże.

Co bardziej podejrzliwi z was mogą zapytać: “No dobrze, miło, że w sieci jesteśmy niewidzialni, ale przecież Surfshark musi śledzić nasze kroki”. Odpowiedź brzmi: i tak, i nie.
Tak, bo teoretycznie możliwość śledzenia naszych działań, a nawet ich rejestrowania istnieje.
Nie, bo Surfshark nie przechowuje żadnych danych poza tymi, dotyczącymi naszego konta i dostępu do niego.

Ostatnie zdanie opiera się jedynie na oświadczeniu dostawcy. W praktyce różnica między VPN a brakiem VPN to tylko przenoszenie danych (logów) między dostawcą Internetu a dostawcą VPN. O ile firma taka może nie gromadzić logów, o tyle jest to wciąż tylko słowne zapewnienie.


Przeszliśmy przez pierwszą publikację. A co do powiedzenia ma bardziej techniczny serwis?

Spójrzmy na artykuł VPN — sposób na bezpieczną pracę, opublikowany w serwisie Komputer Świat (wytłuszczenia i nawiasy moje).

(Gdy używamy VPN) Owszem musimy pamiętać o dbaniu o swoje hasła, o nieodpowiadaniu na podejrzane maile i nieprzekazywaniu nikomu poufnych informacji, ale pozostałymi technicznymi szczegółami nie powinniśmy się martwić.

Z treści artykułu nie wynika, co oznacza dbanie o swoje hasła. Może należy je zapisywać tylko na kartkach w linie? A może za często ich nie używać, bo się zmęczą? Nie mam pojęcia, co miała wnieść ta porada.

Idziemy jednak dalej. Zdarza Wam się odpowiadać na podejrzane maile? Mnie czasem kusi, na całe szczęście redakcja ostrzega przed tym zagrożeniem. Bardzo ważna jest też ostatnia rada, szczególnie że — tak jak pierwsza — nie wnosi nic konkretnego.

Okazuje się, że z zamieszczeniem kilku porad bezpieczeństwa akceptowalnie poradziłby sobie nawet ChatGPT (choć oczywiście nie był on dostępny w dniu publikacji artykułu, tj. 8 marca 2021).

Prompt: Napisz 3 pierwsze-lepsze, krótkie (hasłowe) porady cyberbezpieczeństwa; Odpowiedź ChatGPT: Używaj unikalnych haseł dla każdego konta i stosuj menedżera haseł. Włącz dwuskładnikowe uwierzytelnianie (2FA) tam, gdzie to możliwe. Nie otwieraj podejrzanych linków i załączników w e-mailach od nieznanych nadawców.

Ostatni punkt nie został najlepiej sformułowany, jest jednak bardziej trafny niż „nie odpowiadaj na podejrzane maile i nie przekazuj nikomu poufnych informacji”.

(w kontekście publicznych sieci WiFi) Najlepiej korzystać z własnej sieci, na przykład puntu dostępowego uruchomionego na smartfonie. Znacznie lepszą ochronę zapewni jednak solidna usługa VPN.

Pierwsze zdanie wróżyło całkiem niezły akapit. O ile ataki przez publiczne sieci WiFi są jedynie teoretyczne (o czym więcej za chwilę), o tyle doradzenie korzystania z własnego hotspota nie jest niczym złym. Skąd jednak pomysł, że znacznie lepszą ochronę zapewni jednak solidna usługa VPN? Naprawdę chciałbym wiedzieć.

Może być gorzej.

Nie chcę mieć przesadnych pretensji do dziennikarzy, którzy nie zajmują się ściśle cyberbezpieczeństwem. Musimy liczyć się z tym, nie udzielą oni najlepszych rad w tym zakresie.

Takich treści nie spodziewałbym się jednak po portalu, który porusza problematykę cyberbezpieczeństwa, cyfryzacji i technologii3, a jego celem jest informowanie i edukowanie odbiorców w dziedzinie cybersecurity4. Tak, mowa o CyberDefence24. Rzućmy więc okiem na to, co piszą o VPNach.

Nie podlega dyskusji fakt, że VPN to kluczowe narzędzie pozwalające zachować bezpieczeństwo podczas surfowania w sieci. Jeżeli nie czujemy się komfortowo z myślą, że nasza aktywność online jest śledzona, a osobiste dane kradzione, VPN to jeden ze środków, który złagodzi te lęki.
~ Chroń swoją prywatność z CyberGhost VPN (wytłuszczenia moje)

Zaczynamy z grubej rury. Według redakcji fakt, że VPN to kluczowe narzędzie pozwalające zachować bezpieczeństwo, nie podlega dyskusji. A ja z nim podyskutuję. Już nawet nie wspominam o tym, że za tezą tą nie stoi żaden argument.

Jeżeli coś ma zachować nasze bezpieczeństwo, to — co do zasady — powinno chronić nas przed jakimś zagrożeniem. Przykładowo, używanie menadżerów haseł chroni nas przed przejęciem kont w wyniku wycieku pojedynczego hasła. Narzędzie generuje i przechowuje hasła do wszystkich serwisów, w których mamy konto (co byłoby trudne do osiągnięcia w głowie).

Przed przejęciem kont ochroni nas również dwuetapowe uwierzytelnianie (np. przez aplikację z tymczasowymi kodami), wymuszając dodatkową weryfikację poza podaniem hasła. Jeśli zaś hasło zostanie pozyskane przez atak phishingowy (np. wpisane na fałszywej stronie logowania), konto może ochronić jedynie klucz U2F — sprzętowy token przypominający wyglądem pendrive – nie dając się użyć na fałszywej stronie logowania.

Z przytoczonego fragmentu nie wiemy, przed czym chronić ma VPN. Zobaczmy więc, co ciekawego skrywa inny artykuł w serwisie:

Uzytkownik otrzymuje także inny adres IP, przez co nieznana jest jego lokalizacja w danym kraju z którego łączy się z siecią. To także większa ochrona przy korzystaniu z np. połączenia wifi, a szczególnie znajdującego się w publicznych miejscach. Możliwe jest również dokonywanie wszelkich transakcji i płatności anonimowo, a dane są szyfrowane.
~ Technologiczny zestaw przetrwania. Jak przygotować się na kryzys? (wytłuszczenia moje)

Czytamy, że VPN ma zapewnić nam inny adres IP, ukrywając naszą lokalizację — to faktycznie główna funkcjonalność VPN (a w zasadzie proxy), jednak nie ma ona istotnego wpływu na nasze bezpieczeństwo (o czym redakcja CyberDefence24 dobrze wie, ale temu przyjrzymy się za chwilę).

Kluczowa jest jednak informacja, że VPN ma także chronić (szyfrować) nasze dane, zwłaszcza gdy korzystamy z publicznych sieci WiFi. Szkoda tylko, że nie.

Zdjęcie niedźwiedzia z dopiskiem 'Sorry to be the bearer of bad news.'

Dane, które podajemy na stronach internetowych

Czy można wykraść dane, które wymieniamy ze stronami internetowymi? Oczywiście, że tak. W końcu są one przesyłane w ciele (ang. body), ale też w nagłówkach (np. cookies) żądań HTTP.

Ale rozwiązaniem na to nie jest VPN. Tak naprawdę rozwiązanie, które w 100% zabezpieczy naszą komunikację ze stronami internetowymi, istnieje już długo i jest standardem na wszystkich szanujących się witrynach. Nazywa się TLS/SSL5. To tak zwana kłódka przy pasku adresu. Dzięki temu potencjalny atakujący może jedynie podejrzeć, z jaką stroną się łączymy.

Publiczne WiFi

Faktycznie, atak przez publiczną sieć WiFi jest dużym zagrożeniem dla użytkowników Internetu. Najlepiej obrazuje to lista wszystkich upublicznionych ataków z tego roku:

Wszyscy ludzie, których dane zostały wykradzione przez publiczne WiFi, wciąż żałują, że nie używali VPNa. To znaczy — żałowaliby, gdyby istnieli.

Tak, trochę się teraz wyśmiewam. Nie mam problemu z tym, że firmy tworzą sobie produkty zabezpieczające przed teoretycznymi zagrożeniami. Ale gdy wieść o takim produkcie podaje portal edukujący odbiorców w dziedzinie cybersecurity, to coś już jest nie tak. Choć atak przez WiFi nie jest niemożliwy, na pewno nie jest to zjawisko, którego powinien bać się przeciętny użytkownik Internetu.

Oczywiście przedstawiłem tę kwestię w sposób ironiczny, dlatego jeśli oczekujesz konkretnego wytłumaczenia, odsyłam do artykułu na blogu Informatyk Zakładowy. Skoro mogę podlinkować tak rzeczowy tekst, to nie będę bawił się w odkrywanie koła na nowo. Wątpię też, że wyjaśniłbym temat lepiej niż Tomasz Zieliński — autor bloga.

Ale przywołane wyżej fragmenty to nic w starciu z tym:

VPN może używać praktycznie każdy. Szczególnie rekomendowany jest maniakom prywatności, ponieważ narzędzie chroni wszystkie dane i sprawia, że nic nam nie grozi, gdy korzystamy z Internetu
~ VPN na miarę naszych czasów (wytłuszczenia moje)

VPN chroni wszystkie dane i sprawia, że nic nam nie grozi. Dziękuję, można się rozejść.

Tak jak z poprzednimi tezami warto polemizować, bo świadczyć mogą jedynie o częściowej nieświadomości czy niekonsekwencji autorów, jednak w tym przypadku nawet nie wiem, czy powinienem cokolwiek komentować.

Jakby tego było mało, serwis CyberDefence24 szczyci się posiadaniem tytułu #DigitalEUAmbassador, zamieszczając pod (prawdopodobnie) każdym artykułem dopisek:

Serwis CyberDefence24​.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@​cyberdefence24.​pl.

Na stronie programu DigitalEU Ambassadors Komisji Europejskiej ambasadorzy są zdefiniowani jako exclusive pool of journalists, editors and influencers, active in the field of digital & tech topics (w przekładzie własnym: ekskluzywna pula dziennikarzy i influencerów, działających w obszarze technologii cyfrowych).

Zdaje się więc, że posiadacze tytułu przekazują treści precyzyjne i zgodne z aktualną wiedzą, zwłaszcza że pełnią funkcję edukacyjną dla odbiorców. Czy tak jest? Opinię pozostawiam Wam.

Co ciekawe, redaktorzy zdają się — wbrew wszystkiemu, co zacytowałem powyżej — mieć świadomość w zakresie wpływu VPN na realną prywatność użytkownika. W innym artykule zamieszczono dwie bardzo ważne tezy.

Zmiana adresów IP nie gwarantuje jednak pełnej prywatności. Użytkownicy są monitorowani także za pomocą m.in. plików cookies, skryptów śledzących, indetyfikatorów urządzeń itp. – zwraca uwagę serwis Cybernews.
~ CyberDefence24: Większa ochrona w Google Chrome. Ukryjesz swój adres IP

Nie mam zastrzeżeń co do ich słuszności. Co prawda trochę podważają one ideę wychwalania usług VPN w innych artykułach na łamach serwisu, ale to nie jest największy problem.

Najbardziej dziwi mnie zdanie Użytkownicy są monitorowani także za pomocą m.in. plików cookies, skryptów śledzących, indetyfikatorów urządzeń itp. Dlaczego więc strona główna CyberDefence24 wysyła dane swoich czytelników licznym podmiotom zewnętrznym?

Zrzut ekranu strony głównej CyberDefence24.pl, w otwartym oknie narzędzi deweloperskich widać liczne zapytania do domen zewnętrznych, w tym skrypty X/Twitter i Google Analytics

Może zamiast podkreślać problem skryptów śledzących w artykule promującym przeglądarkę Google Chrome, warto byłoby usunąć skrypty śledzące (w tym — o ironio — Google Analytics) na własnej stronie?

Skrypty zewnętrznych dostawców (a szczególnie dużych — mogących agregować dane z wielu swoich usług) źle wpływają na prywatność użytkowników strony i często stwarzają problemy w zakresie zgodności z RODO. Gromadząc informacje o aktywności w różnych serwisach, nierzadko przetwarzają dane osobowe nie spełniając obowiązujących wymagań.

Podsumowanie

Ten artykuł nie miał na celu bezrefleksyjnej krytyki zacytowanych serwisów, tylko zwrócenie uwagi na istotny — obecny nie tylko w kontekście VPNów — problem powielania niesprawdzonych informacji. Niektóre fragmenty tekstu przyjęły ironiczny charakter, starałem się jednak zachować wartość merytoryczną całości. Z tego powodu nie użyłem w żadnym akapicie słowa bzdury — po prostu nie o to tu chodzi.

Nie mam na celu też uderzania w konkretnych dziennikarzy, a szczególnie w Panią Karolinę Pałys z INN:Poland — jako jedyna podpisała się ona pod swoim artykułem i nie przypisuje sobie kompetencji w dziedzinie cyberbezpieczeństwa. Na wspomniany tekst natrafiłem przypadkowo i użyłem go (zresztą jak wszystkich przywołanych fragmentów) jako przykład większego zjawiska.

Co do serwisów bardziej technicznych — wierzę, że mają one potencjał w zakresie fact–checkingu, szczególnie w obszarach technologicznych. Trzeba go jednak bardziej wykorzystać i — jak przypuszczam — skrupulatnie weryfikować również treści przygotowywane przez sponsorów/partnerów.

Materiały dodatkowe, źródła

Przypisy

1, 2, 5 zob. DigiCert, Inc.: What is SSL, TLS & HTTPS? [dostęp 28.10.2024]
3, 4 na podstawie https://cyberdefence24.pl/o‑nas [dostęp 28.10.2024]


Zamieszczony w artykule obrazek z niedźwiedziem pochodzi z serwisu makeameme​.org.

Chcesz więcej takich treści? Zapisz się na newsletter!

Udostępnij:

Dodaj komentarz