Скачать
Назад в блог
Приватность··15 мин чтения

Что на самом деле означает «без логов» в VPN

Язык: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Откройте любой сайт VPN — и почти наверняка увидите два слова в самом верху: «без логов». Эта фраза встречается так часто, что перестала что-либо означать. Её используют все: и дорогие сервисы, и бюджетные, и те, что рекламируются в аэропортах, и те, о которых вы никогда не слышали. Все говорят одно и то же. При этом те, кто это говорит, управляют реальными серверами — с реальными дисками и памятью, которые обрабатывают каждый пакет, проходящий через них.

Так что же на самом деле означает заявление VPN «без логов» и как убедиться, что оно правдиво? Именно на этот вопрос маркетинговые тексты никогда не отвечают честно. Эта статья отвечает.

Коротко: «без логов» — это отправная точка, а не финишная черта. Понятие охватывает широкий спектр практик: одни действительно вас защищают, другие представляют собой маркетинговый язык, скрывающий вполне обычное хранение данных. Чтобы разобраться, нужно понять: что VPN-провайдер вообще может видеть, какие категории логов существуют и в чём разница между политикой неведения логов и архитектурой, которая физически не позволяет их вести.

Что VPN-провайдер может видеть

Прежде чем говорить о логах, нужно поговорить о видимости. Логи — это вопрос о том, что записывается. Видимость — это вопрос о том, что вообще оказывается перед сервером. Это разные проблемы, и их смешивание — один из главных способов, которым VPN-маркетинг вводит людей в заблуждение.

Когда вы подключаетесь к VPN, ваше устройство устанавливает зашифрованный туннель к одному из серверов провайдера. Затем сервер расшифровывает ваш трафик и передаёт его в публичный интернет. Этот шаг расшифровки и есть суть работы VPN: именно так VPN подставляет свой IP вместо вашего, когда ваш трафик достигает нужного сайта. Наше введение в тему что такое VPN и как он работает подробнее рассматривает механику.

Уже только это означает, что VPN-сервер технически может видеть:

  • Ваш реальный IP-адрес в момент подключения. Ваше устройство должно сообщить серверу, куда отправлять зашифрованные ответные пакеты. Этот адрес назначения — ваш реальный IP.
  • К какому серверу VPN вы подключились и когда. Выбранный сервер, время подключения, время отключения. Это метаданные о сессии.
  • DNS-запросы, которые вы делали, если VPN использует собственный DNS-резолвер. Когда вы вводите домен в браузере, что-то должно найти соответствующий IP-адрес. Если VPN делает это за вас, он видит запросы.
  • Использованный трафик за сессию. Сколько байт прошло в каждом направлении.
  • Временны́е паттерны трафика. Даже если содержимое зашифровано для сайта назначения, размер и время пакетов могут раскрывать информацию внимательному наблюдателю.

Зашифрованного содержимого ваших HTTPS-соединений в этом списке нет. Когда ваш браузер общается, например, с вашим банком через TLS, VPN видит зашифрованные байты, идущие на IP-адрес банка, — но не само содержимое. Эта часть защиты реальна и важна.

Но перечисленные метаданные существуют. Пока сессия активна, они живут в памяти сервера — без них сервер просто не мог бы работать. Вопрос «логов» — это вопрос о том, что происходит с этими данными потом: записываются ли они на диск, хранятся, индексируются, сохраняются и могут ли быть переданы позже под юридическим давлением.

Категории логов

Не все логи одинаковы. Полезная оценка VPN «без логов» начинается с разграничения трёх категорий — потому что провайдеры намеренно их смешивают.

Логи подключений

Это минимальные метаданные сессии: запись о том, что пользователь подключился в определённое время к определённому серверу, возможно с длительностью сессии и использованным трафиком. Многие провайдеры хранят что-то подобное краткосрочно — для диагностики, защиты от злоупотреблений или планирования мощностей. Небольшое число провайдеров не хранит ничего.

Сами по себе логи подключений не катастрофа. Они не раскрывают, что вы делали. Но они фиксируют, что вы пользовались сервисом, — а это может иметь значение в ряде случаев, особенно в сочетании с идентифицирующими данными аккаунта.

Логи трафика

Это категория, которой не должно существовать. Логи трафика записывают, какие сайты или IP вы посещали, какие DNS-запросы делали, а в крайних случаях — какие URL запрашивали. VPN, ведущий логи трафика, с точки зрения конфиденциальности хуже, чем отсутствие VPN: вы сосредоточили видимость вашего браузинга в базе данных одного провайдера вместо того, чтобы рассредоточить её между вашим ISP и посещаемыми сайтами.

Ни один уважаемый VPN не должен вести логи трафика. Если политика провайдера неоднозначна в этом вопросе, воспринимайте неоднозначность как «нет».

Идентифицирующие метаданные

Это категория, о которой большинство людей забывает, — а именно здесь часто и скрыта настоящая история о конфиденциальности. Она включает:

  • Адрес электронной почты, с которого вы зарегистрировались
  • Способ оплаты и платёжные данные
  • IP-адрес, с которого вы зарегистрировались
  • Тикеты поддержки и IP-адреса, с которых они были отправлены
  • Любая информация для восстановления аккаунта
  • Временны́е метки входа и отпечатки устройств для безопасности аккаунта

Идентифицирующие метаданные — это ваша личность внутри VPN. Даже если провайдер действительно не ведёт ни логов трафика, ни логов подключений, электронная почта плюс банковская карта позволяют ответить на вопрос «был ли этот конкретный человек нашим пользователем?» — а это зачастую единственный вопрос, который кому-то нужно задать.

Именно поэтому заявление VPN «без логов» само по себе неполно. Провайдер, не ведущий логов, но требующий регистрации с электронной почтой и картой, построил свою историю о конфиденциальности на политике, а не на архитектуре. Данные по-прежнему существуют — просто хранятся в другой таблице. Этот момент подробнее рассмотрен в нашей статье об анонимных VPN без электронной почты.

Политика против архитектуры

Есть два принципиально разных смысла в словах «мы не ведём логи».

«Мы не ведём логи» — это заявление о политике. Системы технически способны вести логи. Они могут делать это временно, в памяти или в каком-то инструменте поддержки. Обещание состоит в том, что компания выбирает не хранить эти данные или удалять их. Это реальное обещание, которое кое-что значит — но оно требует доверия к компании. Политики меняются. Сотрудники допускают ошибки. Судебные постановления могут вынудить к изменениям, о которых не объявляют публично.

«Мы не можем вести логи» — это архитектурное заявление. Система построена так, что данные не сохраняются. Серверы работают только из памяти и забывают всё при перезагрузке. Нет таблицы в базе данных, где соответствующая информация могла бы храниться, даже если бы кто-то этого захотел. Создание аккаунта не требует сбора идентифицирующей информации с самого начала. Это значительно более сильное заявление, потому что не зависит от неизменности намерений — данных нет, потому что им некуда деться.

Архитектуру можно проверить, хотя бы в принципе. Политике нужно доверять.

Большинство провайдеров предлагают смесь того и другого. Маркетинг обычно описывает политические обещания языком, звучащим как архитектурные утверждения («серверы без логов», «инфраструктура только из RAM»). Читайте внимательно. Вопрос, который стоит задать: если завтра кто-то направит этому провайдеру законный юридический запрос с требованием предоставить всё, что у них есть о конкретном аккаунте, что они смогут реально передать? Если честный ответ — «электронная почта, платёжная запись, IP регистрации, история поддержки и, возможно, временны́е метки подключений», — это ваша реальная защита, независимо от того, что написано на главной странице.

Как оценивать заявление

Ниже — практический чеклист для оценки того, какие данные VPN собирает и насколько его заявления заслуживают доверия.

Независимый аудит третьей стороны

Ищите опубликованный отчёт авторитетной компании по безопасности, которая проверила системы, методологию и инфраструктуру провайдера. Два момента, на которые стоит обратить внимание:

  • Актуальность. Аудит четырёхлетней давности описывает компанию, которая, возможно, уже существенно изменилась. Два года или меньше — разумная планка.
  • Охват. Аудиты сильно различаются по тому, что именно проверялось. Аудит политики «без логов» значит больше, чем обобщённый аудит безопасности. Читайте раздел об охвате в самом отчёте, а не резюме в блоге VPN.

Отчёты о прозрачности и warrant canary

Некоторые провайдеры публикуют информацию о количестве юридических запросов на данные пользователей, которые они получают ежегодно, с разбивкой по юрисдикциям и типам, а также о том, что они смогли передать в ответ. Провайдер, публикующий «мы получили N запросов и не передали ничего, потому что нечего было передавать», делает более весомое заявление, чем тот, кто ничего не публикует.

Warrant canary — это периодическое заявление о том, что провайдер не получал определённых типов юридических требований. Если заявление исчезает или перестаёт обновляться, само это отсутствие является сигналом. У canary есть известные правовые ограничения, но их наличие по крайней мере показывает, что провайдер задумывался об этом аспекте.

Юридическая юрисдикция

Страна регистрации VPN определяет, законы какого государства к нему применяются и в рамках каких международных соглашений о сотрудничестве он работает. В некоторых юрисдикциях действуют законы об обязательном хранении данных для телекоммуникационных провайдеров. Другие входят в формальные разведывательные альянсы, предполагающие сотрудничество через границы.

Это не бинарная шкала «хорошо — плохо»: разные модели угроз обращают внимание на разные вещи. Но стоит знать, где зарегистрирован ваш VPN и что это означает, а не выбирать по тому, чья главная страница выглядит симпатичнее.

Модель аккаунта

Это пункт, который большинство пропускает. Посмотрите, как происходит регистрация. Если для создания аккаунта нужен рабочий адрес электронной почты — значит, он у VPN есть. Если оплата картой — у VPN есть платёжная запись, связанная с вашим именем. Эти записи являются частью картины конфиденциальности независимо от того, что провайдер ещё «логирует».

Анонимные способы оплаты (подарочные карты, отдельные криптовалюты) несколько меняют ситуацию. Модели подписки через платформенный идентификатор, например Apple ID через App Store, меняют её иначе: VPN-провайдер не получает вашу личность, но платформа — получает.

Открытый исходный код клиента

Если приложение на вашем устройстве имеет открытый исходный код, исследователи в области безопасности могут проверить, что именно оно отправляет и куда. Это не покрывает серверную часть, но устраняет одну категорию неопределённости: можно убедиться, что клиент не отправляет молча телеметрию без вашего согласия.

Закрытый исходный код не означает автоматически подозрительность, но такие приложения менее проверяемы. В сочетании с данными аудита клиенты с открытым кодом повышают нижнюю планку того, что можно проверить независимо.

Прошлые судебные дела

Если VPN был вовлечён в судебные разбирательства, где требовались логи, публичный реестр покажет, что произошло. Передавали ли они данные? Были ли данные для передачи? Соответствовал ли ответ их политике?

Такие случаи редки, но чрезвычайно информативны, когда существуют. Поищите название провайдера вместе со словами «повестка» или «судебное постановление» и читайте новостные материалы, а не собственные комментарии провайдера.

Простая система сравнения

Вот компактный способ взглянуть на вопросы выше:

ВопросПолитический ответАрхитектурный ответ
Вы ведёте логи трафика?«Мы выбираем не делать этого»«В системе нет места для хранения этого»
У вас есть моя электронная почта?«Да, но мы не передаём её»«Мы никогда её не собирали»
У вас есть мой IP при регистрации?«Да, но мы удаляем его через N дней»«Мы никогда не спрашивали»
Можете ли вы определить, был ли я пользователем?«Могли бы, но не будем»«У нас нет никаких записей»
Что если суд обяжет вас?«Мы будем сопротивляться, потом выполним, если заставят»«Нам нечего передавать»

Ни один столбец не является универсально верным для всех провайдеров, и большинство из них работают где-то посередине. Но сопоставление конкретного VPN с этой таблицей полезнее, чем простое кивание на «без логов» на главной странице.

Подход Snap VPN

Snap VPN находится ближе к архитектурному столбцу, чем к политическому. Конкретно:

  • Никакой электронной почты и регистрации аккаунта. Подписка оформляется через App Store с помощью Apple ID. Мы никогда не собираем адрес электронной почты, имя пользователя, номер телефона или учётные данные. В обычном смысле базы данных аккаунтов не существует.
  • Никаких логов трафика. Мы не записываем сайты, которые вы посещаете, IP-адреса, с которыми вы общаетесь, или DNS-запросы, которые вы делаете.
  • Никаких постоянных логов подключений. Мы не храним записи о том, какой Apple ID подключался к какому серверу в какое время. Операционное состояние, необходимое для маршрутизации активной сессии, — это не то же самое, что сохранённая история подключений.
  • Никаких идентификаторов пользователя, связанных с реальным человеком. Внутренне ваша подписка идентифицируется непрозрачным значением, предоставленным App Store. У нас нет имени, электронной почты или номера телефона, привязанных к этому значению, и мы не можем их вывести.

Честно о том, что существует: работа VPN требует определённого операционного состояния. Сервер должен знать, что есть активная сессия, чтобы маршрутизировать пакеты обратно к вам. Есть краткосрочные счётчики и метаданные, необходимые для работы сети, — так же как любой маршрутизатор должен отслеживать активные соединения для выполнения своей функции. Вот как в реальности выглядит категория «логи подключений» из приведённой выше таксономии: краткосрочные, ограниченные живой сессией, не сохраняемые как записи о вашей активности и не привязанные ни к чему, что вас идентифицирует.

Принцип, лежащий в основе этих решений, прост: чем меньше данных собирается, тем меньше данных может быть потеряно, похищено или истребовано. Если информация никогда не была собрана, её нельзя похитить при взломе, нельзя запросить по повестке и нельзя использовать не по назначению, когда изменятся бизнес-требования или кто-то приобретёт компанию. Архитектура лучше политики не потому, что политики неискренни, — а потому что архитектура устраняет саму возможность.

Если вы хотите подробнее разобраться в модели аккаунта, читайте наш материал об анонимной регистрации в VPN без электронной почты.

Чего VPN не может сделать

Стоит прямо сказать об ограничениях, потому что часть доверия, которое возлагается на VPN, не по адресу — и это разочаровывает людей, ожидавших большего, чем технология способна дать.

  • VPN не скроет вас от сайтов, на которых вы авторизованы. Если вы открываете Gmail через VPN, Google всё равно знает, что это вы. Вы вошли в аккаунт. VPN меняет маршрут, но не личность.
  • VPN не остановит снятие отпечатка браузера. Сайты строят идентификаторы на основе версии браузера, размера экрана, шрифтов, часового пояса и сотен других мелких деталей. VPN вообще не затрагивает этот уровень.
  • VPN не защищает от вредоносного ПО. Он шифрует ваш трафик, но не проверяет его на угрозы. Антивирус — это отдельный вопрос.
  • VPN не может волшебным образом обеспечить анонимность в сервисах, где вы уже авторизованы. Анонимность должна быть заложена в дизайн. Если ваша отправная точка — авторизованный аккаунт, VPN лишь иначе маршрутизирует трафик этого аккаунта — вот и весь эффект.

VPN — это один слой в стеке конфиденциальности, а не весь стек. По теме: распространённые мифы о VPN, что такое VPN на самом деле, и более широкий чеклист конфиденциальности для iPhone для выстраивания остального.

Итог

«Без логов» — это сокращение для гораздо более объёмного разговора. Когда вы видите эту фразу на главной странице VPN, воспринимайте её как заголовок, а не как ответ. Вопросы, которые действительно важны:

  • Какие данные система вообще собирает, включая идентифицирующие метаданные при регистрации?
  • Из того, что она собирает, что она хранит, в какой форме и как долго?
  • Заявление «без логов» — это политика (мы обещаем) или архитектура (мы не можем)?
  • Кто-то независимый недавно проверял это заявление, и что именно они проверяли?
  • Каков опыт провайдера при юридическом давлении?

Провайдер, отвечающий на эти вопросы простым языком — с чётким разграничением между тем, что он обещал, и тем, что его архитектура делает невозможным, — это провайдер, о котором можно рассуждать рационально. Тот, кто расплывчато указывает на «без логов» и меняет тему, — нет.

Причина, по которой это различие важно, проста: конфиденциальность, полностью зависящая от неизменного добросовестного поведения компании, — это конфиденциальность, которую вы не полностью контролируете. Конфиденциальность, структурно ограниченная тем, что данные никогда не собирались, — это версия, которая переживёт смену владельца, юрисдикции, руководства и правового климата.

Snap VPN был разработан вокруг этой второй идеи. Никакой регистрации по электронной почте, никаких учётных данных аккаунта, никаких пользовательских идентификаторов, привязанных к реальному человеку. Подписка оформляется через Apple ID в App Store, трафик не логируется, а операционное состояние, необходимое для работы сети, не привязано к тому, кто вы есть. Это не единственный способ построить VPN, и он не решает все вопросы конфиденциальности. Но он устраняет класс рисков, которые одно лишь политическое обещание не может устранить. Если именно такой дизайн вы хотите за своим трафиком — вот что мы предлагаем. Просто честное описание сделанных нами выборов и их причин.

The Snap VPN Team
Editorial