Мошенники, блокировка, запрет: что будет с VPN и как его выбрать

О сервисах удалённого доступа VPN уже узнали многие, прежде всего из-за пандемии. Мошенники не отстают и активно используют VPN для проникновения в корпоративные сети и последующей кражи данных. Что же такое сегодня VPN и какое будущее уготовано ему?

 

 

 

 

 

 

1. Введение
2. VPN и мошенники
3. Нет дыма без огня
4. «Запрещённых» VPN-программ нет
5. А был ли повод?
6. Можно ли запретить VPN?
7. Зачем взламывают VPN?
8. Как выбрать корпоративный VPN?
9. Развитие VPN или замена на модель Zero Trust (ZTNA)?
10. Выводы

Введение

Виртуальные частные сети (VPN) стали неожиданным бенефициаром пандемии. Если раньше об их существовании знали в основном сотрудники ИТ-отделов, то новые реалии дистанционной корпоративной работы с интернет-ресурсами привели к тому, что как минимум само название стало известно многим.

Интересны данные аналитического агентства Research and Markets. Согласно результатам проведённого им исследования, доля работавших удалённо сотрудников до пандемии составляла в США всего 5–7 %, хотя формально такую возможность имели 58 %. Пандемия породила новую глобальную культуру «работы из дома». К концу 2021 года доля таких сотрудников (работающих удалённо в течение нескольких дней в неделю) достигла 35–40 %. По мнению аналитиков, этот принцип работы сохранится и в будущем. В России популярность VPN приобрела «национальные особенности» вследствие возникшей потребности в доступе к популярным сетевым ресурсам в интернете в обход введённых блокировок.

Быстрый рост популярности VPN породил мнение, что эти сервисы имеют абсолютную ценность и надёжно работают в любых условиях. Более того, их простота и доступность привели к тому, что многие рядовые пользователи даже не осознают риски, которым они подвергают себя, пользуясь этими удобными инструментами.

Что же реально происходит на фоне роста популярности VPN? Насколько этот инструмент надёжен и какое будущее ожидает его? Мы постараемся кратко рассмотреть эти вопросы далее.

VPN и мошенники

Многие наверняка видели социальную рекламу в московском метро: доверчивые граждане на эскалаторе подвергаются нападениям со стороны вероломных злоумышленников, которые крадут что-то из их сумок. Этот плакат активно тиражировался российскими СМИ, которые утверждали, будто применение VPN-сервисов ведёт к росту вероятности кражи персональных данных граждан.

 

Рисунок 1. Фейковая версия рекламы в московском метро

 

Формально эти риски отчасти подлинны. Это подтверждали опытные пользователи, что заставляло менее опытных верить показанной «рекламе». Но «самые опытные» обратили внимание на странность: почему изображено воровство из обычных сумок, тогда как речь идёт о краже виртуальных данных? Это гротеск со стороны рекламного агентства — партнёра московского метрополитена? 

Поиски позволили быстро обнаружить оригинал фейковой «антирекламы». VPN оказался ни при чём. Агентство советовало гражданам более внимательно следить за своими вещами из-за возросшей активности карманников. Но кто-то «постарался» и запустил фейк.

 

Рисунок 2. Оригинал рекламы, появившейся в московском метро

 

Нет дыма без огня

Предыстория этого фейка началась ещё 20 июня текущего года. Тогда глава Минцифры Максут Шадаев официально заявил, что власти не собираются вводить наказания для тех, кто пользуется VPN-сервисами. «Никаких наказаний для пользователей категорически не будет вводиться. Мы против этого. Поэтому, кому очень надо, такую возможность будет иметь, и будет иметь её дальше, и сохранит…».

Вслед за министром это подтвердил и Антон Горелкин, замглавы комитета Госдумы по информационной политике, информационным технологиям и связи. Он заявил в подкасте «Дума ТВ», что запрет применения VPN-сервисов в России не рассматривался даже в рамках законодательных инициатив. Андрей Клишас, председатель комитета Совета Федерации по конституционному законодательству и государственному строительству, также говорил, что никакого наказания за использование VPN-сервисов не планируется.

Откуда тогда страхи вокруг запрета использования VPN? Их прояснил тот же Максут Шадаев, заявивший, что «конечно, политике государства … это противоречит, но я считаю, это (отсутствие запрета VPN. — Прим. ред.) разумный компромисс». Подкрепил этот тезис и г-н Горелкин, сказав: «… очень важно, чтобы наши граждане чувствовали себя везде одинаково комфортно». Речь шла о том, что Роскомнадзор поступает правильно, вводя блокировки в сети и заставляя граждан пользоваться VPN. Это делается, чтобы «защитить права российских пользователей в онлайн».

«Запрещённых» VPN-программ нет

В Сети существует официальный универсальный сервис для проверки введённых ограничений на доступ к сайтам и (или) страницам сайтов сети «Интернет», поддерживаемый Роскомнадзором. Хотя поиски там VPN-сервисов, которые подверглись блокировке, не дают результатов, информация о вводимых запретах проходила через СМИ.

Например, более двух лет назад, 27 марта 2019 года, Роскомнадзор издал в отношении любых VPN-сервисов требования по их подключению к Федеральной государственной информационной системе (ФГИС), содержащей реестр запрещённой в РФ информации. Соответствующее письмо было направлено в адрес владельцев 10 наиболее популярных в России на тот момент VPN-сервисов. В результате этой акции единственным сервисом, который подключился тогда к ФГИС для фильтрации трафика, стал VPN от «Лаборатории Касперского».

Документ стал фактически формальным основанием для блокировки любого «непослушного» VPN, и, как показало время, последствия не заставили себя ждать. 

Так, 12 июня 2021 года Роскомнадзор ввёл ограничения на использование VPN-сервисов VyprVPN и Opera VPN. Обоснованием стало то, что эти сервисы используются для доступа к ресурсам с «детской порнографией, суицидальным, пронаркотическим и подобным запрещённым контентом». После этого 17 июня компания Opera приостановила поддержку сервисов VPN в своих браузерах на территории РФ.

15 марта 2022 года Александр Хинштейн, председатель комитета Госдумы по информационной политике, заявил, что в России уже заблокировано около 20 популярных сервисов VPN и РКН намерен продолжить эту работу. Из разных источников известно, что в 2021 году в РФ была ограничена работа более десятка сервисов VPN. В их числе — Betternet, Cloudflare WARP, ExpressVPN, Nord VPN, Hola! VPN, IPVanish VPN, KeepSolid VPN Unlimited, Lantern, PrivateTunnel, Speedify VPN, Tachyon VPN, X-VPN.

В июне 2022 года Роскомнадзор подтвердил своё намерение продолжать политику блокировки VPN-сервисов. В качестве следующего кандидата на выбывание назывался сервис Proton VPN. Сообщалось, что это делается в рамках закона о «суверенном» рунете. Пакет поправок в законы «О связи» и «Об информации» (т. н. «закон о суверенном рунете») вступил в силу 1 ноября 2019 года; он предусматривает создание в РФ независимой инфраструктуры, обеспечивающей маршрутизацию в интернете при невозможности подключения к зарубежным корневым серверам.

При этом РКН оставляет возможность использования сервисов VPN только для компаний из своего «белого списка», т. е. тех, которые сообщили ведомству, что применяемые ими VPN-сервисы нужны им в работе. Поэтому речь о «тотальном запрете VPN» не идёт и действия РКН не противоречат заявлению министра Максута Шадаева.

А был ли повод?

В середине июня 2022 года агентство Reuters сообщило эксклюзивную информацию: правительство США является основным спонсором как минимум трёх VPN-сервисов — nthLink, Psiphon и Lantern. Это стало косвенно понятным по сообщению о трёхкратном росте оказываемой им спонсорской поддержки. Обоснованием для финансирования была «поддержка всплеска интереса российских пользователей к обходу цензуры и доступу к западным СМИ». 

По данным Reuters, за период с 2015 по 2021 гг. три названных VPN-сервиса получили от правительства США финансирование в размере не менее 4,8 млн долларов. За период с февраля по июнь общий объём финансирования, выделенного этим компаниям, вырос почти вдвое. Об этом сообщили в интервью Reuters пять человек, имеющих прямое отношение к процессу.

Финансирование названных сервисов ведётся через некоммерческий фонд Open Technology Fund (OTF), который действительно финансируется правительством США и работает под контролем Федерального агентства США по глобальным СМИ (USAGM). По оценкам OTF, ежедневный трафик VPN-сервисов вырос в России за прошедший год в 50 (!) раз.

Можно ли запретить VPN?

Формально инструменты, которые предоставляют доступ к запрещённым в стране сетевым ресурсам, также должны быть подвергнуты обструкции. Но в реальности сделать это безболезненно для рынка невозможно и в силу сугубо технических причин. И дело даже не во многочисленности VPN-сервисов, их высокой живучести благодаря развёртыванию новых прокси-серверов и доступности создания «собственного VPN» за вполне доступные 150 рублей в месяц даже при минимальном уровне технической подготовки.

Главное препятствие на пути запрета VPN — то, что этот сервис применяется далеко не только для обхода блокировок. Его главное назначение — создание защищённого канала, например для удалённой работы сотрудников. 

Поэтому поддержка VPN входит в набор функций многих ОС. Настройка VPN существовала уже в Windows 95 / 98 / ME. Начиная с Windows 7 в операционных системах Microsoft появилась упрощённая процедура настройки VPN; целью было сделать эту функцию максимально доступной для всех пользователей.

 

Рисунок 3. Подключение через VPN в Windows 7

 

У сервисов VPN много различных применений. Нередко они используются при маркетинговых исследованиях. Благодаря VPN можно, например, узнать цены в других странах, получив информацию в обход ограничений, вводимых поставщиком услуги или продукта в рамках региональной политики. Эта информация несёт также существенную практическую пользу: она позволяет получить доступ к региональным скидкам, помогает изучать приёмы маркетологов на других рынках и использовать эти сведения для развития локального бизнеса.

Следующее полезное применение VPN — это повышение безопасности выхода в интернет через бесплатные точки доступа. Поскольку гарантировать безопасность настройки роутеров в таких ситуациях не представляется возможным, каждому следует опасаться мошенничества со стороны владельцев устройства и других пользователей, находящихся рядом. Все эти участники при небольших усилиях со своей стороны могут выйти в административный режим и осуществлять мошеннические действия. 

VPN может также применяться для строительства защищённой домашней сети из нескольких устройств. Этот список можно продолжать и продолжать. Как бы ни хотелось, возможно, запретить VPN, «малой кровью» это точно не будет достигнуто.

Зачем взламывают VPN?

Согласно проведённым исследованиям, главной причиной компрометации всё-таки весьма уязвимых VPN-устройств служат данные CVE — официальная информация об уязвимостях, которая открыто распространяется по Сети. 

Если злоумышленнику удаётся реализовать атаку через ту или иную CVE-уязвимость, то он, как правило, использует эту возможность для решения следующих задач:

• сбор учётных данных пользователя;
• удалённое выполнение произвольного кода на устройстве VPN;
• снижение уровня криптографической защиты для передаваемых сеансов зашифрованного трафика;
• перехват сеансов зашифрованного трафика;
• произвольное чтение конфиденциальных данных (например, сведений о конфигурациях, учётных данных, ключей).

Атака на VPN-устройство хотя и является вспомогательным этапом для мошенников, но позволяет им реализовать эскалацию злонамеренных действий в масштабах корпоративной сети, инфраструктуры идентификации или конкретного устройства.

Пользоваться сервисом VPN, который не гарантирует строгий контроль за выполняемыми операциями, действительно опасно.

Как выбрать корпоративный VPN?

Чаще всего корпоративный VPN-сервер развёртывается в рамках используемой в компании сетевой ОС. Однако переход в облака вкупе с ростом количества небольших компаний ведёт к тому, что подчас проще и удобнее выбрать и использовать общедоступный VPN-сервис. Многие из них бесплатны, но даже для платных сервисов стоимость подписки не столь велика, чтобы стать проблемой для бизнеса.

Поскольку в России нет крупных официальных организаций, которые предлагали бы бизнесу полный набор рекомендаций по выбору VPN, мы приведём те предписания, что предлагает своим сотрудникам Агентство национальной безопасности США.

• Избегайте выбора нестандартных решений VPN. К их числу могут относиться специальные VPN-решения, работающие на уровне SSL / TLS (например, веб-приложения). Эти продукты доступны в официальных магазинах приложений, но их безопасность часто весьма низка. Их использование создаёт дополнительный риск.

В качестве примера можно привести приложение VPN Proxy Free Unlimited (частная разработка). Долгое время оно было свободно доступным в официальном магазине приложений Google, однако весной этого года появилось сообщение о его компрометации. После этого приложение просто пропало из магазина. О том, какие данные могли быть получены через него, а также о причинах исчезновения сервиса не сообщается.

 

Рисунок 4. Ошибка при поиске VPN Proxy Free Unlimited

• Внимательно прочитайте документацию на VPN-продукт и убедитесь, что для туннелирования используется IKE / IPsec. Следует избегать VPN-продуктов, где отсутствует информация об используемых стандартах шифрования трафика. Это может также означать поддержку проприетарных методов создания VPN.
• Следует проверить выбор протокола по умолчанию в случае невозможности установить VPN-соединение IKE / IPsec. Особое внимание нужно обратить на те продукты, где предусматривается переход на использование SSL / TLS. Если есть возможность, то следует отключить проприетарный или нестандартный резервный вариант установки VPN-соединения на базе SSL / TLS. Необходимо разобраться также с условиями, которые могут привести к сбою при согласовании подключения на базе IKE / IPsec.
• Необходимо проверить криптографические модули и убедиться, что при их настройке могут быть использованы только одобренные криптографические алгоритмы (для российских пользователей применяются отраслевые стандарты).
• Выбираемый VPN-продукт должен поддерживать надёжный контроль за сохранностью учётных данных и протоколы проверки подлинности. При попытке подключения с использованием слабых методов контроля учётных данных (логин / пароль) и протоколов по умолчанию созданное VPN-соединение должно быть принудительно разорвано. Рекомендуется использовать многофакторную аутентификацию.
• Необходимо выбирать поставщика, который регулярно выпускает обновления ПО и быстро устраняет уязвимости, информация о которых становится общедоступной. 
• Следует убедиться, что в VPN-продукте имеется механизм проверки целостности собственного кода, работающий регулярно. Если проверка целостности отсутствует, то обнаружить вторжение зачастую невозможно.
• Применяемый VPN-продукт должен иметь средства защиты от вторжений. В их числе называются:
  • использование подписанных двоичных файлов;
  • безопасный процесс загрузки, перед запуском которого выполняется проверка загрузочного кода;
  • проверка целостности исполняемых процессов и файлов.
• Особое внимание следует обращать на конфигурации, когда всё-таки приходится пользоваться VPN-сетью на базе SSL / TLS. В этом случае рекомендуется убедиться, что для работы VPN-сервиса будут применяться только поздние версии протокола TLS (TLS 1.2 или выше). Остальные подключения по протоколу SSL и TLS должны сбрасываться.
• При аутентификации сервера следует проверять сроки действия их сертификатов. Использование сертификатов с истёкшим сроком действия и с неизвестной подписью чревато рисками.

Развитие VPN или замена на модель Zero Trust (ZTNA)?

Хотя VPN был и остаётся популярным инструментом для удалённого доступа к корпоративным сетям, эта технология постепенно уходит в прошлое. Взамен уже развивается модель доступа к сети с «нулевым доверием» (Zero Trust Network Access, ZTNA).

Сетевая модель ZTNA представляет собой серию практических шагов по реализации концепции Zero Trust в сетевом окружении, которая позволяет свести к минимуму риски при подключении. Суть состоит в том, что каждое устройство должно «знать» любые устройства, обнаруживаемые ею в своей, сколь угодно масштабной, сети.

Принципиальное отличие ZTNA от VPN состоит в следующем. VPN создаёт заслон на пути доступа к корпоративной сети, но как только пользователь проходит проверку и аутентификацию, он получает разрешение не только на пересечение «границы», но и на получение свободного доступа ко всем активам компании в пределах периметра. Доступ, конечно, может быть ограничен с учётом вводимых политик, но этот процесс трудно управляем и, как показывает практика, легко подвержен компрометации.

ZTNA функционирует иначе. Подключаясь к сети, любое устройство сначала проходит первоначальную аутентификацию. После этого проверенные пользователи могут получить доступ только к определённым приложениям, контенту или системам, используя защищённый зашифрованный туннель. Он обеспечивает дополнительный уровень безопасности благодаря скрытию IP-адресов приложений и сервисов, которые в противном случае были бы видимыми. 

Решения ZTNA действуют аналогично программно определяемым периметрам (SDP), полагаясь на концепцию «тёмного облака». Они предотвращают визуализацию других приложений и сервисов, к которым не имеют доступа. Новая модель обеспечивает защиту от горизонтальных атак, поскольку даже если злоумышленник получит доступ, он не сможет выполнить сканирование сети для поиска других сервисов.

Процесс перехода к ZTNA уже начался, но он не будет одномоментным. Если при VPN защитная граница была единственным средством безопасности, то при ZTNA допускается, что устройство может быть скомпрометировано даже находясь в пределах этой границы. 

Ожидается, что в ближайшем будущем будут одновременно работать как VPN, так и отдельные элементы доступа по принципу Zero Trust. По оценкам Gartner, более 90 % компаний в США уже внедряют ZTNA как услугу.

 

Рисунок 5. Иллюстрация блокировки доступа к устройствам при компрометации сервера внутри закрытой сети

 

Выводы

На рынке VPN назревают большие перемены. Но это связано не с запретами сервисов как таковых из-за того, что они позволяют обходить блокировки. VPN постепенно будет заменяться на новую технологию ZTNA, которая даёт возможность более гибко управлять не только доступом, но и запретами. Это — технологический, а не политический путь развития.