Ujawniamy okropną sieć VPN
Wszyscy znamy czołowych dostawców usług VPN. W naszych artykułach często piszemy o topowych graczach takich jak NordVPN czy ExpressVPN. Dostawców VPN jest jednak o wiele więcej. Wystarczy wejść do sklepu Google Play, lub Apple Store, wpisać „VPN”, aby uzyskać dziesiątki, jeżeli nie setki wyników wyszukiwania konkurencyjnych dostawców, zarówno tylko płatnych jak i darmowych.
Postanowiliśmy dać jednemu z nich szansę i poddać skrupulatnemu testowi. Pomyśleliśmy, że być może niektórzy z nich oferują równie dobre usługi, ale nie mogą się przebić przez konkurencję branżowych gigantów, albo rzeczywiście nie zasługują na miejsce w gronie czołowych dostawców.
Naszą misją jest walka o bezpieczny, prywatny i nieograniczony dostęp do Internetu na całym świecie. Chcemy, aby nasi czytelnicy mogli podjąć właściwą decyzję jeśli chodzi o wybór niezawodnego dostawcy VPN. Nie chcielibyśmy jednak prowadzić negatywnej kampanii i rujnować czyjejś pracy, dlatego postanowiliśmy usunąć z tego artykułu nazwę dostawcy poddanemu krytyce.
Co zrobiliśmy?
Wybraliśmy losowo nasz obiekt testów spośród nieznanych szerszej publiczności dostawców VPN. Wybór padł na serwis, który ku naszemu zaskoczeniu, cenowo przewyższa ofertę znanych dostawców.
Reklamuje się natomiast jako gwarantujący całkowitą prywatność i całkowity brak logów. Postanowiliśmy się mu przyjrzeć z bliska.
Jako, że program posiada otwarte oprogramowanie, mogliśmy przeprowadzić bardzo dokładne dochodzenie. Cały kod mieliśmy podany jak na tacy. Bardzo szybko okazało się, że dostawca, który twierdzi, że zapewnia bezpieczeństwo online nie wiele wie o bezpieczeństwie. A to tylko początek jego problemów.
HTTP zamiast HTTPS
Jeszcze dobrze nie rozpoczęliśmy testów a już trafiliśmy na ciężkie działa.
Dostawca do zapytań API używał http zamiast https.
Dzisiaj szyfrowanie SSL jest standardem, prawie każdy sklep internetowy go używa. Jeżeli traficie na stronę, która nie posiada certyfikatu SSL, nie należy absolutnie pozostawiać tam swoich danych, a już na pewno nie dokonywać żadnych transakcji.
Jeżeli dostawca VPN twierdzi, że zapewni Ci bezpieczeństwo online, a sam nie posiada tej podstawowej funkcji, dowodzi to, że sam nie wie nic o bezpieczeństwie. Było to dla nas wręcz zdumiewające.
Dlaczego jest to niebezpieczne?
Brak podstawowego zabezpieczenia, jakim jest szyfrowanie SSL pozwala każdemu zobaczyć, jakie informacje są przesyłane poprzez API pomiędzy twoim urządzeniem a serwerem.
Nawet przy dodatkowych środkach podjętych przez dostawcę sieci, twoje dane, takie jak loginy i hasła nadal będą podatne na kradzież.
Żądania GET zamiast POST
Po wpadce z brakiem szyfrowania SSL byliśmy już gotowi na prawie wszystko.
Pewnie dla wielu osób to nie wiele znaczy, ale testowany dostawca VPN użył do logowania żądań GET, zamiast POST. Już spieszymy z wyjaśnieniem, dlaczego jest to grzech śmiertelny dla każdego serwisu VPN.
Dlaczego jest to szczególnie niebezpieczne?
W bardzo dużym uproszczeniu: istnieją dwa rodzaje żądań przesyłania danych od użytkownika do serwera podczas logowania: GET i POST. Istnieją zastosowania dla obydwu z nich.
Natomiast w przypadku VPN wybór może być tylko jeden. Używanie żądania GET do wysyłania wrażliwych danych jest niezwykle niebezpieczne. Jednym z wielu powodów jest to, że pliki dziennika serwera WWW będą teraz zawierać wszystkie nazwy użytkownika i hasła.
W przypadku żądań POST, dane te nigdy nie są rejestrowane.
Teraz połącz to z niezabezpieczonym połączeniem HTTP. Istna mieszanka wybuchowa. Dostawca przy tym wykazał się niezwykłym poczuciem humoru. Ciężko inaczej określić reklamowanie jego produktu jako gwarantującego „brak logów”.
Rozwiązanie to ma tyle wspólnego z wirtualną siecią prywatną, co zapisywanie kodu pin do naszej karty kredytowej na karteczce w portfelu celem ochrony stanu naszego konta.
Obsługa klienta
Popełnianie błędów jest rzeczą ludzką. Jesteśmy zwolennikami tworzenia Internetu jako lepszej, bezpieczniejszej i bardziej prywatnej przestrzeni dla wszystkich. Postanowiliśmy więc pomóc naszym kolegom od testowanej aplikacji i wysłaliśmy im nasze spostrzeżenia, aby pomóc im polepszyć świadczone usługi.
Konstruktywna krytyka nie została przyjęta z zadowoleniem. Nasz zespół do spraw cyberbezpieczeństwa został zruzgany. Nie obyło się też bez drażliwych epitetów.
Co w tym złego?
Serwis twierdzi, że świadczy profesjonalne usługi VPN zapewniające bezpieczeństwo swoim użytkownikom. Jeżeli nie jest jednak w stanie przyjąć uzasadnionej, konstruktywnej krytyki, możemy domyślać się, że nie będzie również potrafił odnieść się do wiadomości wysyłanych przez swoich klientów.
Niestety po takiej reakcji dostawcy, możemy tylko domniemać, że jest wyrafinowanym oszustem, składającym fałszywe obietnice swoim klientom, albo nie ma pojęcia o bezpieczeństwie i nie wie co robi. Szczerze? Nie mamy pojęcia, co byłoby bardziej perfidne.
Co stało się dalej?
W ciągu kilku dni od naszej rozmowy z przedstawicielami dostawcy VPN, częściowo naprawili wspomniane problemy. Przede wszystkim dodali certyfikat SSL do swojego połączenia. To dobry pierwszy krok do bezpieczeństwa ich serwisu.
Nadal używają żądań GET, co w zasadzie oznacza, że ich twierdzenia o braku logów można wsadzić do kosza (czysto teoretycznie mogą nie rejestrować, ani nie przechowywać czegokolwiek na serwerach, ale jest to bardzo mało prawdopodobne i nie wymaga żądań GET).
W kwestii obsługi klienta mają długą lekcję do odrobienia. Po tym czego doświadczyliśmy ciężko uwierzyć, że są reformowalni w tej kwestii.
Wnioski
To prawda, że usługi VPN są zdominowane przez kilku czołowych graczy, którzy posiadają największy udział w rynku. Na pewno w przeciągu kilku lat, będą pojawiać się kolejni śmiałkowie, którzy będą rzucać rękawice liderom rynku. Absolutnie nie namawiamy nikogo, aby korzystać tylko i wyłącznie z najbardziej znanych rozwiązań.
Przestrzegamy jednak przed bezmyślnym wyborem niesprawdzonego rozwiązania. Nie niektórych rzeczach, a w szczególności na naszym bezpieczeństwie, nie warto eksperymentować.
Zanim wybierzemy dostawcę VPN dla siebie, sprawdźmy o nim opinie, przeczytajmy recenzje ekspertów i upewnijmy się, że w sprawie naszego bezpieczeństwa w sieci nie uciekamy z deszczu pod rynnę.
Odpowiedz