В этой статье мы рассмотрим несколько децентрализованных VPN-приложений и сравним их с обычными централизованными VPN-сервисами и другими традиционными вариантами защиты конфиденциальности, такими как Tor и SSR.
Из-за участившихся случаев применения интернет-цензуры в мире в последние несколько месяцев наблюдается огромный спрос на VPN-сервисы. Так, жители Белоруссии были вынуждены прибегнуть к использованию обеспечивающих анонимность приложений после того, как властями была развернута настоящая Интернет-блокада для сдерживания массовых протестов после спорных президентских выборов, а запрет на популярные медиа-платформы TikTok и WeChat в США уже привел к резкому росту продаж VPN-приложений. Аналогичная тенденция наблюдалась в Индии, Гонконге и других регионах, которые ранее ввели аналогичные запреты.
VPN-приложения используют самые разные методы для маскировки IP-адреса и шифрования данных пользователя, позволяя ему обходить ограничения и получать доступ к онлайн-сервисам и веб-сайтам безопасным и частным образом. К сожалению, большинство VPN-приложений, представленных сегодня на рынке, являются централизованными системами, страдающими от собственных внутренних проблем. Протоколирование пользовательских данных, непреднамеренные утечки данных VPN и даже продажа пользовательских данных с целью монетизации – этот список внушителен и тревожен. Добавьте к этому угрозу взлома базы данных и риск сбоев в работе серверов, что является проклятием для всех централизованных систем.
В 2020 году сложилась новая тенденция – децентрализованные VPN-приложения, основанные на одноранговой сети блокчейн-узлов. Такие сети функционируют без какого-либо центрального надзорного органа. Даже если какие-то узлы выйдут из строя, функционирование VPN-сервиса от этого не пострадает. Несмотря на то, что децентрализованные решения увидели свет еще в 2017 года, только сегодня мы видим, что их усилия приносят плоды.
В этой статье мы рассмотрим несколько децентрализованных VPN-приложений и сравним их с обычными централизованными VPN-сервисами и другими традиционными вариантами защиты конфиденциальности, такими как Tor и SSR.
NordVPN
NordVPN – одно из самых популярных приложений, когда речь заходит о централизованных VPN-сервисах, имеющихся сегодня на рынке. Приложение доступно для платформ iOS, Android, macOS, Windows, Android TV и Linux и может поддерживать до 6 одновременных подключений. Задействуя более 5500 серверов в 58 странах (по состоянию на август 2020 года), NordVPN использует 256-битное шифрование AES военного класса с алгоритмом аутентификации SHA384.
NordVPN предлагает собственный протокол VPN под названием Nord Lynx, который был запущен во втором квартале 2020 года. Будучи расширением WireGuard, протокол NordLynx, по заверениям разработчиков NordVPN, более эффективен, понятен, прост в аудите и намного быстрее, чем традиционные варианты, такие как OpenVPN и IKEv2 / IPsec, которые также предлагаются приложением. WireGuard, однако, присваивает пользователям статический IP-адрес, который требует хранения пользовательских данных на VPN-сервере.
Недавно вышло дополнение к приложению NordVPN под названием CyberSec, которое блокирует рекламу, вредоносные программы и фишинговые угрозы. NordVPN также предлагает функцию «Onion over VPN», благодаря которой пользовательский трафик сначала направляется через собственную сеть NordVPN, затем направляется через сеть Onion и, наконец, к своему фактическому месту назначения. Эта функция чрезвычайно затрудняет отслеживание пути до пользователя, но также замедляет работу сервиса.
Пользователи должны быть осторожны при выборе устройства, так как некоторые функции, доступные в версиях для ПК, недоступны в мобильных приложениях, и наоборот. Например, раздельное туннелирование, которое позволяет пользователям отключать VPN для выбранных приложений, доступно в приложении для Android, но не в приложении для Windows. С другой стороны, версия для Windows имеет возможность использовать двойные VPN-серверы, но приложение для Android этого не делает.
NordVPN имеет выключатели Kill, встроенные в приложения для Windows, MacOS и iOS. Когда такой выключатель активирован, он полностью отключает интернет-соединение в случае срыва VPN-соединения, предотвращая любую утечку незашифрованных данных в сеть провайдера. Выключатель Kill еще не реализован в версии для Android.
Одним из явных преимуществ команды NordVPN перед ее централизованными «коллегами» является то, что она поддерживает строгую политику не регистрировать пользовательские данные. Компания базируется в Панаме, где нет никаких юридических требований к хранению данных. Хотя многие централизованные VPN-сервисы могут похвастаться правилом «никаких журналов», очень немногие на самом деле придерживаются его.
Несмотря на все функции, заточенные на обеспечение безопасности, NordVPN по-прежнему остается централизованным сервисом с присущими ему проблемами в части безопасности. Так, еще в 2018 году компания NordVPN пострадала от взлома данных. Тогда злоумышленник получил корневой доступ к серверу Nord в Финляндии из-за того, что этот дата-центр оставил свою систему управления серверами без должной защиты. Хуже всего то, что компания NordVPN сообщила об этом взломе спустя больше года! Хоть NordVPN и обнаружила взлом с помощью серии проверок, факт остается фактом: централизованные поставщики услуг VPN всегда подвержены таким рискам.
Tor
Tor сегодня является синонимом «Невидимой сети» (или так называемой «Глубокой сети», где веб-страницы Всемирной паутины не индексируются поисковыми системами). Будучи акронимом английского названия «The Onion Router» (луковичный маршрутизатор), Tor – это протокол с открытым исходным кодом, который позволяет пользователям скрывать их данные от просмотра, оборачивая их в несколько шифровальных слоев по аналогии с луковицей. Пользователи ОС Windows, macOS и Linux могут подключаться к сети Tor с помощью браузера Tor, а пользователи Android и iOS для этого могут использовать приложение Orbot и браузер Onion.
Следует отметить, что несмотря на кажущуюся схожесть целей, Tor – это не то же самое, что VPN. По сути, сеть VPN делает акцент на конфиденциальности, а Tor на анонимности. Несмотря на то, что сеть VPN может обеспечивать высокую степень конфиденциальности, скрывая IP-адрес пользователя, провайдер VPN-услуг все еще может видеть данные подключения и трафик, проходящий через его серверы.
Технология, лежащая в основе луковичной маршрутизации Tor, была разработана Исследовательской лабораторией ВМС США и DARPA в 1990-х гг. Сеть Tor в первую очередь разрабатывалась как средство «анонимного доступа без цензуры» к открытому интернету. Пользовательские данные, поступающие в сеть Tor, шифруются и проходят как минимум через 3 добровольческих сервера (называемых «ретрансляторами»), тем самым исходный IP-адрес остается скрытым. Данные защищены с помощью шифрования AES-128 и методов криптографии эллиптической кривой Curve25519 DH.
Каждый ретранслятор расшифровывает по одному слою шифрования и передает оставшиеся зашифрованные данные. Последний ретранслятор (называемый «выходным узлом») расшифровывает самый последний слой шифрования и отправляет исходные данные в пункт назначения. Ни один узел не может знать полный путь между пользовательским устройством и веб-сайтом, к которому обращается пользователь.
Однако данные входят и выходят из выходного узла незашифрованными. Хотя выходной узел не может получить доступ к IP-адресу пользователя, он все равно может следить за действиями пользователя, если осуществляется доступ к незащищенному HTTP-сайту. Это главный недостаток технологии Tor. И наоборот, доброволец, запускающий выходной узел, также может столкнуться с судебным преследованием, если через этот IP-адрес проходят незаконные данные, даже если виновником может оказаться совершенно случайный пользователь Tor.
Еще одним недостатком сети Tor является то, что она обеспечивает анонимность в ущерб скорости. Поскольку данные проходят и повторно шифруются как минимум на 3 случайных узлах (расположенных в любой точке мира), скорость сети может быть чрезвычайно низкой. Потоковая передача высококачественного контента происходит мучительно медленно. Доступ к торрент-сайтам через Tor также не рекомендуется, так как это может полностью замедлить работу сети, а торрент-трафик может раскрыть IP-адрес пользователя.
Tor – это жизненно важный инструмент борьбы с цензурой для пользователей Интернета, которым требуется максимальная степень анонимности, например, правозащитникам, разоблачителям, политическим инакомыслящим и т.д. К сожалению, репрессивные правительства идут на многое, чтобы противостоять этому, с разной степенью успеха блокируя доступ к самой сети Tor. Как ни странно, доступ к сети Tor может вызвать подозрение и привлечь внимание к пользователю: провайдеру хорошо видно, что пользователь подключен к сети Tor!
Tachyon VPN
Команда Tachyon Protocol использовала комбинацию технологии блокчейна и методов шифрования для создания децентрализованного VPN-приложения. Приложение Tachyon для macOS было выпущено в декабре 2019 года, а в марте 2020 года вышли приложения для Android и iOS. Приложение для Windows планируется запустить в конце этого года. Недавно компания Tachyon запустила Node Manager 2.0, инструмент для глобальных провайдеров узлов, позволяющий им самим создавать и запускать узлы, а также присоединяться или управлять размещением собственных токенов Tachyon IPX.
Компания Tachyon создала свой собственный децентрализованный протокол для улучшения распространенного стека протоколов TCP/IP и решения лежащих в его основе проблем безопасности и конфиденциальности. В отличие от многих других децентрализованных проектов, разработчики Tachyon не стали использовать популярную платформу для смарт-контрактов Ethereum и разработали свое приложение на блокчейне VSYS. В блокчейне VSYS используется основанный на PoS (доказательстве доли) алгоритм консенсуса под названием Supernode Proof-of-Stake (Spots), который обеспечивает более быстрые транзакции, чем блокчейны на основе PoW (доказательство работы). Команды VSYS и Tachyon фактически работали вместе над разработкой этого приложения.
Ядром архитектуры Tachyon является Tachyon Booster UDP (TBU), который заменяет собой сетевой, транспортный и прикладной уровни модели TCP/IP. TBU исполняет роль децентрализованной одноранговой сети, основанной на PPPoIP, и использует UDP на транспортном уровне для повышения эффективности передачи данных. В будущем ожидается, что маршрутизация в TBU будет проходить в реальном времени для выбора оптимального соединения и дальнейшего увеличения скорости передачи данных.
Tachyon Security Protocol (TSP) осуществляет сквозное шифрование ECDHE-ECDSA, чтобы предотвратить перехват трафика пользователей VPN-узлами. Уникальной особенностью Tachyon является схема моделирования протокола, где TSP имитирует стандартные протоколы связи, такие как HTTPS, SMTP и FTP. Это маскирует данные Tachyon и делает их похожими на обычную передачу электронной почты или файлов, не позволяя Firewalls распознавать VPN-трафик и даже пытаться перехватить его. Кроме того, опция для запутывания следов под названием «Tachyon Anti-Analysis» (TAA) использует многопутевую маршрутизацию для распределения VPN-трафика через несколько узлов и предотвращения сбоев и атак в одной какой-то точке.
Поскольку VSYS – это PoS-блокчейн, держатели токенов IPX могут размещать свои монеты и получать вознаграждение за стейкинг. Команда Tachyon также занимается реализацией маркетплейса для одноранговой сети, где пользователи VPN могут приобретать свободную пропускную способность у узлов, совершая платежи в токенах IPX. Эти наноплатежи будут рассчитываться вне сети с помощью набора специальных смарт-контрактов, что значительно сократит транзакционные сборы и время расчетов.
Концепция Tachyon по созданию нового протокола сама по себе чрезвычайно амбициозна. Но всегда есть риск, связанный с использованием еще незрелых технологий, а в случае Tachyon даже выбранная в качестве базовой блокчейн-платформа не проходила строгого тестирования, которое команда Ethereum проводила на протяжении многих лет. Разработка смарт-контрактов на VSYS займет достаточно много времени, что в конечном итоге может помешать прогрессу Tachyon. Команда Tachyon хорошо поработала над созданием базы пользователей в 1,5 миллиона человек без каких-либо серьезных проблем с сетью, но все еще остаются вопросы относительно масштабируемости и надежности в долгосрочной перспективе.
Shadowsocks
Shadowsocks – это проект протокола шифрования с открытым исходным кодом, основанный на SOCKS5. Впервые он был выпущен в 2012 году китайским программистом под псевдонимом clowwindy с намерением обойти «Великий Брандмауэр Китая». 2 августа 2015 года полиция вынудила программиста закрыть проект. Однако с тех пор Shadowsocks значительно улучшился, и с течением времени стало доступно несколько версий исполнения этого протокола.
Принцип действия Shadowsocks основан на обходе ограничений трафика с помощью HTTPS, маскируя трафик так, чтобы он мог пройти мимо действующих мер цензуры. SOCKS – это интернет-протокол, который контролирует обмен сетевыми пакетами между клиентом и сервером через прокси-сервер. Благодаря использованию прокси-серверов SOCKS5 Shadowsocks не отправляет весь пользовательский трафик через один сервер: клиентское программное обеспечение подключается к стороннему прокси-серверу SOCKS5, через который затем направляется интернет-трафик, аналогично работе SSH-туннеля.
Как и VPN, Shadowsocks также предназначен для борьбы с интернет-цензурой, но его фундаментальный принцип работы совершенно иной. Shadowsocks не предназначен для конфиденциальности и анонимности. В то время как VPN использует самые современные протоколы шифрования, чтобы полностью скрыть трафик на своих серверах, Shadowsocks маскирует данные, чтобы они выглядели как трафик HTTPS, так что он может перемещаться без ограничений. Shadowsocks не скрывает данные, а просто маскирует их.
Shadowsocks легкий и простой в настройке. Он работает с несколькими TCP-соединениями, а также прокси-трафиком UDP. Конечным результатом является гораздо более высокая скорость по сравнению с имеющимися альтернативами. Кроме того, пользователь может выборочно маскировать трафик через Shadowsocks, что делает возможным доступ к ограниченным (гео-заблокированным) сайтам как внутри, так и за пределами местоположения пользователя.
Будучи проектом с открытым исходным кодом, за последние пару лет технология Shadowsocks претерпела значительные изменения. В V2ray, следующем поколении Shadowsocks, интегрирован протокол vmess, который предоставляет пользователям несколько вариантов туннелирования и запутывания, улучшая тем самым производительность традиционного протокола Shadowsocks.
Несмотря на все эти особенности, есть одна серьезная критика против Shadowsocks – он абсолютно ничего не делает, чтобы скрыть личность пользователя. Shadowsocks полезен только тогда, когда пользователь хочет обойти интернет-цензуру, не опасаясь ответной реакции со стороны властей. Даже его создатель не смог избежать действий полиции, поскольку Shadowsocks никогда не был предназначен для этой цели. Если цель состоит в том, чтобы сохранить в безопасности свою цифровую личность и скрыть историю посещений, тогда следует выбирать VPN.
Orchid VPN
Orchid VPN – это еще одно децентрализованное VPN-приложение, построенное на блокчейне Ethereum. Оно было разработано компанией Orchid Labs, основанной в 2017 году. Android-приложение Orchid было запущено в декабре 2019 года, а приложения для ОС iOS и macOS стали доступны в июле 2020 года.
Orchid поддерживает WireGuard, OpenVPN и свой родной протокол Orchid VPN protocol.
Приложение Orchid работает поверх популярного веб-стандарта WebRTC, который обычно используется для передачи аудио и видео из веб-браузера. Серверы Orchid хранят регистрационную информацию в стейк-реестре и каталоге провайдеров. Стейк-реестр позволяет клиенту Orchid выбирать случайные серверы для пользователей, а каталог провайдеров позволяет узлам серверов регистрировать метаданные.
Orchid VPN дает пользователям понимание и контроль над сетевым подключением их устройства. Пользователи могут выбрать однопоточные или многопоточные схемы луковичной маршрутизации. Маршрут с одним потоком аналогичен обычному VPN-соединению, создающему туннель для маршрутизации интернет-трафика через общедоступную сеть или интернет-провайдера пользователя; конфигурация с несколькими потоками позволяет пользователям разделять свой трафик на «потоки» между несколькими узлами, провайдерами и протоколами, обеспечивая большую конфиденциальность.
Orchid создала одноранговый маркетплейс, где пользователи VPN могут покупать пропускную способность у провайдеров на пакетной основе, используя собственную криптовалюту Orchid OXT, которая является токеном ERC-20. Такая схема обычно требует проведения наноплатежей по исключительно высокой ставке, что приводит к колоссальным суммам, которые пользователи платят в качестве комиссии за газ на блокчейне Ethereum. Orchid утверждает, что решила эту проблему, внедрив уникальную платежную архитектуру, где пользователи отправляют наноплатежи на основе функции вероятности, балансируя платежи между несколькими транзакциями и сторонами.
Весь трафик, проходящий через сеть Orchid, шифруется на уровне протокола, который служит дополнительным уровнем шифрования. Конечный выходной трафик затем расшифровывается выходным узлом и отправляется в пункт назначения. Однако VPN-сервис Orchid работает на уже существующих интернет-протоколах: не весь трафик в Интернете зашифрован, и Orchid не может решить эту проблему. Выходной поток будет посылать пользовательские запросы в сеть Интернет, и текстовая информация может открыться узлу Orchid. Пользователи всегда должны использовать протоколы безопасности SSL/TLS для конфиденциальных интернет-подключений, даже на Orchid.
Orchid VPN также страдает от другой уязвимости, которая влияет на централизованные VPN-сервисы. Интернет-браузеры запускают различные виды «активного контента», такие как Javascript, Adobe Flash, элементы управления ActiveX, VBScript и так далее. Эти приложения могут хранить файлы cookie, обходить настройки прокси-сервера и обмениваться информацией непосредственно с другими сайтами. Пользователь несет ответственность за отключение этих технологий, чтобы гарантировать надежную безопасность в сочетании с использованием Orchid.
PS: Хоть автор и является поклонником децентрализованных технологий, он не имеет никакого корыстного интереса к Tachyon или Orchid. Что касается других вариантов, то автор однажды попробовал Tor и был сильно разочарован его медленной скоростью.