23. října 2019

NordVPN, poskytovatel VPN služeb, byl někdy v roce 2018 hacknut. V oficiální reakci stojí, že se jednalo jen o jeden server a že to bylo kvůli nezabezpečenému systému pro vzdálenou správu, který na stroji ponechal správce datacentra. Unikly nějaké privátní klíče (to je špatné), podobný problém se prý týkal i dalších poskytovatelů VPN (to je taky špatné), ale o tomhle vlastně psát nechci (to je fajn), o tom si přečtěte jinde.

NordVPN: Ain't no hacker can steal your online life. \(If you use VPN). keksec: This one isn't our work, its just been floating around mostly unnoticed. Plus a link to some private keys and more.

Tweet od keksec, ve kterém incident oznamují širšímu publiku

Nepoužívám žádnou VPNku pro bezpečnost. Dokonce nepoužívám žádnou VPN ani pro anonymitu. Tu stejně poskytovatelé VPN nedokáží zaručit, takový poskytovatel VPN je jenom další poskytovatel připojení k Internetu (Internet Service Provider, ISP). Na pár „vépéenek“ jsem se díval zblízka a můžu celkem v klidu říci, že trh s VPN se proměnil v minové pole s rádoby anonymními vedoucími společnostmi, s rozšířeními prohlížečů, z nichž některé uživatele jen přesměrují na weby s reklamou, zatímco jiné pro jistotu přenášená data nešifrují vůbec.

Dělám ale něco jiného. Snažím se tlačit weby k přechodu na HTTPS a k implementaci věcí jako např. HSTS – HTTP Strict Transport Security (to řekne browseru, že má požadavky automaticky upgradovat na https:// i když kliknete na odkaz začínající na http:// nebo když do browseru to https:// nenapíšete protože proč byste to dělali), takže zabezpečení se zvýší každému návštěvníkovi. Tlačím na služby, aby přešly na šifrované protokoly a nešifrované varianty ani nenabízely – líbí se mi jak to dělá např. Gmail a fakt mi vadí místní velcí hráči, kteří nabízí nešifrované poštovní protokoly (ale tak aspoň napíšou, že to není doporučované). Na webech, které nemají HTTPS nic nekupuju.

Ale aby se neřeklo, tak nějakého VPN poskytovatele používám – k obcházení různých hloupých geo omezení, pro porovnání cen při přístupu z různých zemí, pro hledání divných věcí na gůglu, protože nechci, aby ostatní zařízení na mé síti viděla kapču, protože zrovinka já se snažím hledat věci, které hledají i různí roboti. Ale nepoužívám VPN na to, abych byl „safe online“.

Pro lepší zabezpečení vašich prohlížečů si nainstalujte extenzi HTTPS Everywhere od EFF, díky které bude váš browser na HTTPS „auto-upgradovat“ ještě víc webů. Ale na to, abyste byli „safe online“ na veřejných sítích (jako např. Internet) žádnou VPN-as-a-service nepotřebujete. A jen teda pro úplnost, tohle je o VPN službách pro koncové uživatele, ne o nějakých ciscách pro firmy apod.

Před několika lety jsem nějaké poskytovatele VPN služeb doporučoval, ale už to nedělám. Web (a celý Internet) se posunul kupředu a HTTPS používá čím dál tím víc webů 🎉 Takhle to vypadá v grafu za poslední tři roky:

Nov 2, 2016: USA users 57.76291%, All users 48.55465%, Japan users 24.53105%; Oct 8, 2019: USA users 89.36207%, Japan users 80.20807%, All users 79.97562%

Procento stránek načtených Firefoxem pomocí HTTPS (zdroj, podobná data z Chrome)

Samozřejmě, můžu si postavit vlastní VPN server pomocí nástrojů jako Algo nebo Streisand a být tak poskytovatelem sám sobě, ale to by pro mě znamenalo mít další separátní stroj na zabezpečování a to už raději budu otravovat ostatní, aby si zabezpečili ty svoje 😜

Vlastní VPN server pro vás taky vůbec nemusí být to nejlepší možné řešení, protože v takovém případě váš síťový provoz nebude pocházet od vás, ale z vašeho serveru (a jenom z vašeho serveru a jenom váš provoz, vidíte ten drobný problém?) Samozřejmě to všechno záleží na tom co děláte a potřebujete. Ale pro nějaké zabezpečení a online anonymitu žádnou VPN službu nepoužívejte. Zkuste raději Tor Browser, ale pozor na to, že takové anonymní surfování je docela oříšek, zvlášť z dlouhodobého hlediska, takže možná bude lepší, když se do situací, které anonymitu vyžadují vůbec nedostanete, jo?


Mohlo by vás také zajímat

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Bezpečnost PHP aplikací
(prosinec 2019 Praha)

HTTPS pro vývojáře a správce
(prosinec 2019 Praha)