WASHINGTON, DC – İki güvenlik araştırmacısı, geçtiğimiz Perşembe (24 Mart) burada ShmooCon hacker konferansında yaptığı açıklamada, çoğu tüketici VPN hizmetinin sunabileceklerinden fazlasını vaat ettiğini ve kendi kullanışlılıklarını abarttığını söyledi.
Consumer Reports araştırmacı muhabiri Yael Grauer, “Pek çok insan VPN kullanıyor çünkü gerçekte ne yaptıklarını bilmiyorlar” dedi. “İnsanlar çok para harcıyor ve hala saldırıya uğruyor ya da zaten sahip oldukları korumalar için çok para harcıyorlar.”
Tilson Broadband’da teknoloji direktörü olan James Troutman, aynı gün sonraki sunumunda daha açık sözlüydü.
Troutman, “VPN’ler internet yılan yağıdır,” dedi ve onları 20. yüzyılın başında seyahat eden satıcıların sattığı değersiz mucize tedavilerle karşılaştırdı.
VPN iddiaları ve gerçeklik
Troutman ve Grauer, gerçek yılan yağı gibi, VPN’lerin de “kırılmaz güvenlik”, “gerçek mahremiyet” ve “askeri düzeyde şifreleme” gibi etkileyici görünen ancak anlamsız terimler kullanarak her türlü güvenlik ve gizlilik sorununu çözdüğünü iddia ettiklerini açıkladı.
VPN’ler, reklamlarında ve web sitelerinde, bilgisayarınızı bilgisayar korsanlarından koruyabileceklerini veya parolalarınızı güvende tutabileceklerini veya web sitelerinin sizi izleyememesini sağlayabileceklerini iddia edebilir. Bunun için, hizmetleri için yılda 50 ila 150 dolar arasında ödeme yapmaya değdiğini iddia ediyorlar.
2021’de Grauer ve Michigan Üniversitesi’nden bir ekip 51 tüketici VPN servis sağlayıcısını test etti ve CyberGhost, ExpressVPN, Hotspot Shield, IPVanish, NordVPN, Private Internet Access, ProtonVPN ve Surfshark dahil olmak üzere 16 büyük VPN markasının daha kapsamlı analizini yaptı. (Grauer ve Troutman, daha az bilinen VPN’lerin, özellikle de mobil uygulama mağazalarında açılan ücretsiz VPN hizmetlerinin kullanılmasına karşı uyardı.)
Grauer, analiz ettiği 16 tanınmış VPN hizmetinden 12’sinin abartılı iddialar gerçekten ne kadar koruma sağlayabilecekleri hakkında.
Tanınmış bir VPN, eğer kullanırsanız “verileriniz asla tehlikeye atılmaz” dedi, Grauer ve Michigan ekibi, kendi raporlarında belgelediler. Beyaz kağıt. Başka bir VPN “koruyacağını” söyledi [you] Bilgisayar korsanlarından ve çevrimiçi izlemeden.” Üçüncüsü “tüm cihazlarda mutlak gizlilik” sözü verdi ve bir diğeri “anonim gezinme” garantisi verdi.
Daha iyi gizlilik, ancak daha iyi güvenlik değil
Gerçek şu ki, Grauer ve Troutman, VPN’lerin sizi bilgisayar korsanlarından veya kötü amaçlı yazılımlardan koruyamayacağını söyledi. VPN’ler çevrimiçi gizliliğinizi artırırken, bilgisayarlarınızı ve sistemlerinizi daha güvenli hale getirmek için fazla bir şey yapmıyorlar.
VPN’ler ayrıca kişisel bilgilerinizin veri ihlallerinde ifşa edilmesini engelleyemez. Web sitelerinin sizi izlemesini engelleyemezler – sizi çevrimiçi izlemenin yalnızca İnternet Protokolü (IP) adresinizi takip etmenin yanı sıra başka birçok yolu vardır.
VPN’ler, kimlik avı sitelerine girmenizi veya kandırılarak şifrelerinizi bir suçluya vermenizi engelleyemez. Troutman, gizliliğinizi “garanti edemezler” dedi.
Grauer, “İnsanlar bana bir VPN kullanmaları gerekip gerekmediğini sorduğunda,” dedi, “Onlara hayır diyorum, onun yerine bir şifre yöneticisi kullanmalılar.”
Ancak Grauer ve ekibinin yakından analiz ettiği 16 VPN’den dördü dürüstlük için yüksek puanlar aldı.
IVPN, Mozilla VPN, Mullvad ve TunnelBear, VPN’lerin yapabilecekleri ve yapamayacakları konusunda net ve doğruydu. Ayrıca potansiyel müşterilere, iki faktörlü kimlik doğrulama (2FA) kullanma ve tarayıcı izleyicilerini engelleme gibi alabilecekleri diğer en iyi güvenlik ve gizlilik uygulamaları hakkında önerilerde bulundular.
VPN’ler neler yapabilir?
Hem Grauer hem de Troutman, VPN kullanmanın meşru nedenleri olduğunu ve çoğunlukla daha iyi bilinen VPN’lerin ağ bağlantılarınızı daha özel hale getirmek için iyi bir iş çıkardığını söyledi.
VPN’ler, bir kahve dükkanında veya otelde açık Wi-Fi ağlarını kullanırken karşılaşabileceğiniz “ortadaki adam” saldırılarına karşı koruma sağlar, ancak bunun riskleri artık çoğu web sitesi şifreli bağlantılar kullandığı için riskleri azdır.
VPN’ler, internet servis sağlayıcılarının (ISS’ler) hangi web sitelerini ziyaret ettiğinizi görmesini zorlaştırır, ancak Troutman, VPN’nizin bunun yerine bu bilgileri göreceğini belirtti.
VPN’ler, Rusya’nın yakın zamanda Facebook ve Instagram’ı engellemesi gibi baskıcı ülkelerdeki insanların kitlesel sansürden kaçmasına yardımcı olabilir. Ve elbette, VPN’ler genellikle (ancak her zaman değil) denizaşırı Netflix’e ve coğrafi olarak kısıtlanmış diğer hizmetlere erişmenize izin verebilir.
Ancak Troutman, VPN’lerin pratikte belirli kişileri devlet gözetiminden korumak için fazla bir şey yapamayacağını söyledi. Ulusal istihbarat teşkilatları, bir VPN’nin hedeflenen bir kişiye sağlayacağı korumalardan kolayca kaçabilecek araçlara sahiptir.
Troutman, “Mossad, Mossad olacak” dedi.
Grauer ve Troutman, VPN’lerin IPv4 olarak bilinen “eski” IP adresleri biçimini maskeleme konusunda iyi bir iş çıkarsa da, daha yeni IPv6 standardını kullanan IP adresleri konusunda pek yardımcı olamayacaklarını ekledi. Bunun nedeni, her aygıtın IPv6 adresinin (veya adreslerinin) aygıtın benzersiz ağ donanımı bilgilerine bağlı olmasıdır.
VPN push’un arkasında ne var?
Troutman, yine de tüketici VPN endüstrisinin, kısmen doğrulanamayan iddiaları tekrarlayarak ve tüketicilerin gözetim teknolojisi korkusundan yararlanarak yılda tahmini 30 milyar dolar alacak şekilde büyüdüğünü söyledi.
VPN’in benimsenmesi için büyük bir itici güç, Edward Snowden’in Amerikan veri toplamanın ne kadar kapsamlı olabileceğini gösteren 2013 NSA belgelerini sızdırmasıydı. Bir diğeri, ABD Senatosu’nun, ISP’lerin tüketici davranışlarıyla ilgili verileri yeniden satmasını engelleyecek bir FCC kuralını engellemeye yönelik 2017 oylamasıydı. Son olarak, Tom’s Guide dahil olmak üzere birçok güvenlik uzmanı ve güvenlik odaklı web sitesi VPN’lerin kullanılmasını önerdi ve önermeye devam ediyor.
VPN sağlayıcıları, yalnızca hizmetleri için ödeme yapmanın çevrimiçi gizliliğinizi koruyabileceğini iddia ederek bu sorunlar etrafında reklam kampanyaları başlattı. Reklam hala endüstrinin büyük bir parçası.
“Kaçınız podcast dinliyor?” Troutman, ShmooCon kalabalığına sordu. “Görünüşe göre her podcast bir VPN tarafından destekleniyor.”
VPN’ler hakkında dürüst bilgi sağlamak için her zaman inceleme web sitelerine güvenemezsiniz. Troutman ve Grauer, bir Google aramasıyla bulabileceğiniz VPN “inceleme” sitelerinin çoğunun aslında VPN sağlayıcılarına ait olduğuna dikkat çekti. Bir site birden fazla VPN önerse bile, son VPN endüstrisi konsolidasyonu, en büyük markaların çoğunun aynı birkaç şirkete ait olduğu anlamına gelir.
Gizliliğiniz için en büyük tehdidi satın aldınız
Yine de Troutman’ın belirttiği gibi, gizliliğinize yönelik en büyük tehdit muhtemelen ISS’niz veya PC’nizde ziyaret ettiğiniz web siteleri veya hatta (çoğu insan için) NSA, CIA, Ruslar, İranlılar veya Çinliler değildir.
Bunun yerine, gizliliğiniz için en büyük tehdit, çok para ödediğiniz ve cebinizde taşıdığınız akıllı telefondur. Çevrimiçi etkinlikleriniz, fiziksel konumunuz, seyahatleriniz, sağlığınız ve ilgi alanlarınız hakkında binlerce veri noktasını sürekli olarak telefonun üreticisine, kablosuz taşıyıcınıza ve üreticilerine ileten son teknoloji ürünü bir izleme cihazıdır. yüklediğiniz uygulamaların çoğu – Troutman’ın dediği gibi “yaygın ve karmaşık çevrimiçi kullanıcı etkinliği gözetimi”.
Troutman, akıllı telefonunuzda bir VPN kullanmanın bu izleme yöntemlerinden bazılarını geçici olarak karıştıracağını söyledi, ancak uzun sürmedi. Bir IP adresine bağlı olmayan davranış ve bilgilerinizi toplamanın başka birçok yöntemi vardır.
VPN’ler gerçekten ne işe yarar?
Peki, gerçeği genişleten bir VPN kullanmanın herhangi bir dezavantajı var mı? O kadar da değil, bunun dışında ihtiyacınız olmayan bir şey için ödeme yapıyor olabilirsiniz.
Grauer ve ekibi, baktığı en iyi 16 sağlayıcının çoğunun güçlü şifreleme kullandığını, bilinen hiçbir güvenlik açığı olmadığını, çok fazla kullanıcı bilgisi toplamadığını, üçüncü taraflarla bilgi paylaşmadığını ve net ve kolay- hizmet şartlarını bulun.
Ayrıca, bir VPN sağlayıcısının hizmetlerini kullanmanın faydaları hakkında kalın harflerle abartılı iddialarda bulunması durumunda, bu iddiaların genellikle ince baskıda geri çevrildiğini buldular.
Grauer, en iyi sağlayıcıların çoğunun, kullanıcı etkinliğini günlüğe kaydedip kaydetmedikleri konusunda daha şeffaf olabileceğini söyledi. Neredeyse tüm VPN’ler, kullanıcılarının yaptıklarını kaydetmediklerini iddia ediyor, ancak Michigan Üniversitesi ekibi, birkaç üst düzey sağlayıcı tarafından kullanılan VPN istemci yazılımının, kullanıcıların bilgisayarlarında günlükler tuttuğunu buldu.
Birçok VPN, topladıkları kullanıcı verilerini ne kadar süreyle sakladıkları konusunda daha net olabilir ve çoğu, kullanıcıların kendileri hakkında ne toplandığını görmesine izin vermez.
Kimler VPN kullanmalı?
Peki bir VPN kullanmalı mısınız? Troutman, bunu ne için kullanmak istediğinize bağlı, dedi. Birçok ISS, yıllarca müşteri davranışlarının günlüklerini tutar ve bu sizi rahatsız ediyorsa ve ISS’nizden daha fazla güvendiğiniz bir VPN bulabilirseniz, devam edin ve kullanın.
Ulusal sınırların ötesinde içerik akışı birkaç yıl önce olduğu kadar güvenilir olmasa da, yurtdışındayken güvenli bağlantılara ihtiyaç duyan sık seyahat edenlerin de VPN’lere ihtiyacı olacaktır. Ve yaşadığınız ülkede yasa dışı bir şey yapıyorsanız, çevrimiçi etkinliklerinizi maskelemenin ilk adımı bir VPN olmalıdır.
Ancak, ISS’lerinin ne bildiğiyle ilgilenmeyen ve denizaşırı ülkelerden akış hizmetlerine erişmesi gerekmeyen ortalama bir ev kullanıcısı için, bir VPN için ödeme yapmaya değmeyebilir.