Завантажити
Назад до блогу
Конфіденційність··15 хв читання

Що насправді означає «без журналів» у VPN

Мова: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeTiếng Việt简体中文繁體中文

Відкрийте головну сторінку будь-якого VPN, і ви побачите вгорі ті самі два слова: «без журналів». Воно трапляється так часто, що перестало означати щось конкретне. Це каже кожен провайдер. Преміальні, бюджетні, ті, що мають білборди в аеропортах, ті, про яких ви ніколи не чули. Усі вони це кажуть. І все ж ті, хто це говорить, тримають справжні сервери, на справжніх дисках і в пам'яті, які обробляють кожен пакет, що ви крізь них надсилаєте.

То що ж насправді означає заява «VPN без журналів» і як вам дізнатися, чи це правда? Це питання, на яке рекламні тексти ніколи не відповідають чесно. Ця стаття відповідає.

Коротко: «без журналів» — корисна відправна точка, а не фінішна риса. Воно охоплює широкий діапазон практик, частина з яких справді вас захищає, а частина — по суті маркетингова мова, обгорнута навколо цілком звичайного зберігання даних. Щоб це оцінити, потрібно знати, що VPN-провайдер взагалі може бачити, які категорії журналів існують і яка різниця між політикою не вести журнали та архітектурою, яка вести їх не може.

Що бачить VPN-провайдер

Перш ніж говорити про логування, треба поговорити про видимість. Логування — це питання про те, що записується. Видимість — це питання про те, що взагалі опиняється перед сервером. Це різні проблеми, і ототожнення їх — один із головних способів, яким маркетинг VPN вводить людей в оману.

Коли ви під'єднуєтеся до VPN, ваш пристрій встановлює зашифрований тунель до одного із серверів провайдера. Звідти сервер розшифровує ваш трафік і пересилає його в публічний інтернет. Цей крок розшифрування і є всім сенсом — саме так VPN підставляє свій IP замість вашого, коли ваш трафік досягає того сайту, який ви відвідуєте. Наш вступ про те, що таке VPN і як він працює описує базову механіку докладніше.

Сам по собі такий устрій означає, що VPN-сервер технічно може спостерігати:

  • Вашу справжню IP-адресу в момент з'єднання. Ваш пристрій має повідомити серверу, куди надсилати зашифровані пакети відповіді. Цей пункт призначення і є вашою справжньою IP.
  • До якого VPN-сервера ви під'єдналися й коли.Сервер, який ви обрали, мітка часу під'єднання, мітка часу від'єднання. Це метадані про сеанс.
  • DNS-запити, які ви робили, якщо VPN запускає власний DNS-резолвер. Коли ви вводите домен у браузер, щось має знайти IP-адресу. Якщо ваш VPN розв'язує це для вас, він бачить ці запити.
  • Спожитий трафік за сеанс. Скільки байтів пройшло в кожному напрямку.
  • Часові патерни трафіку. Навіть якщо вміст зашифрований до сайту призначення, розмір і час пакетів можуть розкрити інформацію наполегливому спостерігачеві.

Зашифрованого вмісту ваших HTTPS-з'єднань у цьому списку немає. Щойно ваш браузер спілкується, скажімо, з вашим банком через TLS, VPN бачить зашифровані байти, що йдуть на IP вашого банку, а не власне вміст. Ця частина захисту реальна й важлива.

Але метадані вище реальні. Вони існують у пам'яті, поки ваш сеанс активний, бо серверу вони потрібні, щоб виконувати свою роботу. Питання «журналів» — це що стається з цими даними згодом — чи записуються вони на диск, чи зберігаються, індексуються, утримуються та потенційно видаються пізніше під юридичним тиском.

Категорії журналів

Не всі журнали однакові. Корисна оцінка «VPN без журналів» починається з розрізнення трьох категорій, бо провайдери навмисне їх змішують.

Журнали з'єднань

Це мінімальні метадані сеансу: запис про те, що користувач під'єднався в певний момент до певного сервера, можливо, з тривалістю сеансу та спожитим трафіком. Багато провайдерів тримають якусь версію цього короткостроково — для діагностики, протидії зловживанням чи планування потужностей. Невелика частина не зберігає нічого взагалі.

Журнали з'єднань самі по собі не є катастрофою. Вони не розкривають, що ви робили. Але вони розкривають, що ви користувалися сервісом, що в деяких контекстах має значення, і вони стають значно показовішими в поєднанні з ідентифікаційними даними облікового запису.

Журнали трафіку

Це категорія, якої не має існувати. Журнали трафіку фіксують, які сайти чи IP ви відвідували, якими були ваші DNS-запити, а в крайніх випадках — URL-адреси, які ви запитували. VPN, що тримає журнали трафіку, з погляду приватності гірший, ніж відсутність VPN узагалі — ви сконцентрували видимість свого перегляду в базі даних одного провайдера замість того, щоб розпорошити її між вашим інтернет-провайдером і сайтами, які ви відвідуєте.

Жоден поважний VPN не повинен тримати журнали трафіку. Якщо політика провайдера в цьому пункті неоднозначна, сприймайте неоднозначність як «ні».

Ідентифікаційні метадані

Це категорія, про яку більшість людей забуває, і саме тут часто живе справжня історія приватності. Вона охоплює:

  • Адресу електронної пошти, з якою ви зареєструвалися
  • Ваш спосіб оплати та платіжні дані
  • IP-адресу, з якої ви зареєструвалися
  • Звернення до підтримки та IP, з яких їх надіслано
  • Будь-яку інформацію для відновлення облікового запису
  • Мітки часу входу та відбитки пристроїв, використані для безпеки облікового запису

Ідентифікаційні метадані — це ваша особистість для VPN. Навіть якщо провайдер справді не тримає жодних журналів трафіку та жодних журналів з'єднань, електронна пошта плюс кредитна картка означають, що він може відповісти на питання «чи мала ця конкретна людина в нас обліковий запис?» — а це часто єдине питання, на яке комусь треба відповіді.

Саме тому заява «VPN без журналів» сама по собі неповна. Провайдер, який не тримає журналів, але вимагає реєстрації з поштою та карткою, побудував свою історію приватності на політиці, а не на архітектурі. Дані все одно існують; вони просто живуть в іншій таблиці. Той самий момент виринає в нашому матеріалі про анонімні VPN-сервіси без електронної пошти.

Політика проти архітектури

Є дві принципово різні речі, які провайдер може мати на увазі, коли каже, що не веде журнали.

«Ми не ведемо журнали»— це заява про політику. Системи здатні вести журнали. Вони можуть логувати тимчасово, у пам'яті чи в якомусь інструменті підтримки. Обіцянка в тому, що компанія вирішує не утримувати ці дані або вирішує їх відкинути. Це справжня обіцянка, і вона чогось варта — але вона спирається на довіру до компанії. Політики можуть змінюватися. Працівники можуть припускатися помилок. Судові накази можуть змусити до змін, які не рекламуються.

«Ми не можемо вести журнали»— це заява про архітектуру. Система побудована так, що дані не зберігаються. Сервери працюють лише з пам'яті й забувають усе під час перезавантаження. Немає таблиці бази даних, де відповідну інформацію можна було б утримати, навіть якби хтось цього хотів. Створення облікового запису взагалі не потребує збору ідентифікаційної інформації. Це значно сильніша заява, бо вона не залежить від тривалої доброї волі — даних немає, бо їм нема куди подітися.

Архітектуру можна перевірити, принаймні в принципі. Політика потребує довіри.

Більшість провайдерів пропонують суміш. Маркетинг схильний описувати обіцянки політики мовою, що звучить архітектурно («сервери без журналів», «інфраструктура лише в RAM»). Читайте уважно. Питання, яке варто поставити: якби хтось завтра подав цьому провайдеру законний юридичний запит із вимогою всього, що той має про конкретний обліковий запис, що вони насправді змогли б надати? Якщо чесна відповідь — «електронна пошта, запис про оплату, IP реєстрації, історія підтримки й, можливо, мітки часу з'єднань», то це ваш мінімум приватності, незалежно від того, що каже головна сторінка.

Як оцінити заяву

Ось практичний чек-лист для оцінки того, які дані збирає VPN і чи заслуговують їхні заяви на довіру.

Незалежний сторонній аудит

Шукайте опублікований звіт від поважної фірми з безпеки, яка переглянула системи, методологію та інфраструктуру провайдера. Два моменти варто перевірити:

  • Свіжість. Аудит чотирирічної давності описує компанію, якої, можливо, вже не існує в тому самому вигляді. Два роки чи новіше — розумна планка.
  • Обсяг. Аудити надзвичайно різняться тим, що саме вони фактично перевіряли. Аудит політики «без журналів» вагоміший, ніж загальний аудит безпеки. Читайте розділ про обсяг у самому звіті, а не резюме в блозі VPN.

Звіти про прозорість і warrant canary

Деякі провайдери публікують, скільки юридичних запитів на дані користувачів вони отримують щороку, з розбивкою за юрисдикцією та типом, і що вони змогли надати у відповідь. Провайдер, який публікує «ми отримали N запитів і не надали даних у жодному з них, бо нам не було чого надавати», робить сильнішу заяву, ніж той, що не публікує нічого.

Warrant canary — це періодична заява про те, що провайдер не отримував певних типів юридичних вимог. Якщо заява зникає або перестає оновлюватися, сама ця відсутність є сигналом. Canary мають відомі юридичні слабкості, але їхня наявність принаймні демонструє, що провайдер замислювався над цим виміром.

Юридична юрисдикція

Країна, у якій зареєстровано VPN, визначає, чиї закони до нього застосовуються і за якими угодами про міжнародну співпрацю він працює. Деякі юрисдикції мають обов'язкові закони про зберігання даних для телекомунікаційних провайдерів. Інші належать до формальних альянсів з обміну розвідданими, що зобов'язують до співпраці через кордони.

Це не бінарна вісь «добре чи погано» — різні моделі загроз дбають про різне. Але варто знати, де зареєстровано ваш VPN і що це означає, а не обирати за тим, чия головна сторінка виглядає найчистіше.

Модель облікового запису

Це той момент, який більшість людей пропускає. Подивіться, як ви реєструєтеся. Якщо створення облікового запису потребує дійсної електронної пошти, то VPN має дійсну електронну пошту про вас. Якщо оплата кредитною карткою, то VPN має платіжний запис, прив'язаний до вашого імені. Ці записи є частиною картини приватності незалежно від того, чи «логує» провайдер щось іще.

Анонімні способи оплати (подарункові картки, певні криптовалюти) дещо це зміщують. Моделі підписки, що спираються на платформну особистість, яку ви вже маєте, як-от Apple ID через App Store, зміщують це інакше: VPN-провайдер не отримує вашої особистості, але платформа отримує.

Відкритий вихідний код клієнта

Якщо застосунок на вашому пристрої має відкритий код, дослідники безпеки можуть перевірити, що він насправді надсилає й куди. Це не покриває бік сервера, але прибирає одну категорію невизначеності: ви можете знати, чи не дзвонить клієнт нишком «додому» з телеметрією, на яку ви не давали згоди.

Клієнти із закритим кодом не є автоматично підозрілими, але їх важче перевірити. У поєднанні з картиною аудиту клієнти з відкритим кодом підіймають планку того, що ви можете перевірити незалежно.

Минулі судові справи

Якщо VPN був причетний до судових проваджень, де вимагали журнали, публічний запис покаже, що сталося. Чи надали вони дані? Чи мали вони дані для надання? Чи відповідала реакція їхнім заявам про політику?

Такі справи не часті, але коли вони існують, вони надзвичайно інформативні. Шукайте назву провайдера плюс «subpoena» чи «court order» і читайте новинні матеріали, а не власне подання провайдера.

Проста рамка для порівняння

Ось компактний спосіб поглянути на питання вище:

ПитанняВідповідь політикиВідповідь архітектури
Чи логуєте ви трафік?«Ми обираємо цього не робити»«Системі нема де це зберігати»
Чи маєте ви мою електронну пошту?«Так, але ми нею не ділимося»«Ми ніколи її не збирали»
Чи маєте ви мій IP під час реєстрації?«Так, але видаляємо його за N днів»«Ми ніколи не питали»
Чи можете ви сказати, що я був користувачем?«Могли б, але не будемо»«У нас немає запису»
А якщо суд вас зобов'яже?«Ми опиратимемося, а тоді скоримося, якщо змусять»«Нам нема чого надати»

Жоден стовпець не є однаково правильним для кожного провайдера, і більшість працює десь посередині. Але розкласти конкретний VPN по цій таблиці корисніше, ніж кивати на «без журналів» на головній сторінці.

Підхід Snap VPN

Snap VPN стоїть ближче до стовпця архітектури, ніж до стовпця політики. Конкретно:

  • Без електронної пошти чи реєстрації облікового запису. Підписка обробляється через App Store за допомогою вашого Apple ID. Ми ніколи не збираємо адресу електронної пошти, ім'я користувача, номер телефону чи будь-які облікові дані. Бази облікових записів у звичному сенсі не існує.
  • Без журналів трафіку. Ми не записуємо сайти, які ви відвідуєте, IP, з якими ви спілкуєтеся, чи DNS-запити, які ви робите.
  • Без постійних журналів з'єднань.Ми не тримаємо утримуваного запису про те, який Apple ID під'єднався до якого сервера в який час. Операційний стан, потрібний для маршрутизації активного сеансу, — це не те саме, що збережена історія з'єднань.
  • Без ідентифікаторів користувача, прив'язаних до реальної особи. Усередині ваша підписка ідентифікується непрозорим значенням, наданим App Store. У нас немає імені, електронної пошти чи номера телефону, прив'язаних до цього значення, і ми не можемо їх із нього вивести.

Щоб бути чесними щодо того, що таки існує: запуск VPN потребує певного операційного стану. Сервер має знати, що є активний сеанс, аби маршрутизувати пакети назад до вас. Існують короткоживучі лічильники й метадані, потрібні, щоб мережа взагалі функціонувала, так само як будь-який маршрутизатор має відстежувати активні з'єднання, аби виконувати свою роботу. Ось як категорія журналів з'єднань із таксономії вище виглядає на практиці: короткоживуча, обмежена живим сеансом, не утримувана як запис вашої активності й не прив'язана до чогось, що вас ідентифікує.

Принцип за цими рішеннями буденний: менше зібраних даних — це менше даних, які можна втратити, зламати чи вимагати. Якщо якусь інформацію ніколи не збирали, її не можна викрасти під час витоку, не можна витребувати повісткою і не можна перепрофілювати пізніше, коли бізнес-потреби змінюються чи хтось купує компанію. Архітектура перемагає політику не тому, що політики нещирі, а тому, що архітектура прибирає сам вибір.

Якщо хочете заглибитися саме в модель облікового запису, перегляньте наш пояснювач про анонімну реєстрацію у VPN без адреси електронної пошти.

Чого не може жоден VPN

Варто чітко сказати про обмеження, бо частина довіри, яку приписують VPN, є хибною і врешті розчаровує людей, що очікували більшого, ніж може дати технологія.

  • VPN не може сховати вас від сайтів, у які ви входите. Якщо ви відкриваєте Gmail через VPN, Google усе одно знає, що ви — це ви. Ви увійшли. VPN змінює маршрут, а не особистість.
  • VPN не може зупинити відбиток браузера. Сайти будують ідентифікатори з версії вашого браузера, розміру екрана, шрифтів, часового поясу й сотні інших дрібних деталей. VPN цього шару взагалі не торкається.
  • VPN не запобігає зловмисному ПЗ. Він шифрує ваш трафік; він не перевіряє його на загрози. Антивірус — окрема справа.
  • VPN не може магічно надати анонімність у сервісах, де ви вже автентифікувалися. Анонімність треба закладати в дизайн. Якщо ваша відправна точка — автентифікований обліковий запис, VPN маршрутизує трафік цього запису інакше — і це весь ефект.

VPN — це один шар стека приватності, а не весь стек. Дотичне читання: поширені міфи про VPN, розвінчані, що таке VPN насправді, і ширший чек-лист приватності iPhone для нашарування решти.

Підсумок

«Без журналів» — це скорочення для значно більшої розмови. Коли ви бачите це на головній сторінці VPN, сприймайте це як заголовок, а не як відповідь. Питання, які насправді мають значення, такі:

  • Які дані система взагалі збирає, зокрема ідентифікаційні метадані під час реєстрації?
  • З тих даних, що вона збирає, що вона утримує, у якій формі та як довго?
  • Заява «без журналів» — це політика (ми обіцяємо) чи архітектура (ми не можемо)?
  • Чи перевіряв хтось незалежний цю заяву нещодавно, і що саме вони фактично переглядали?
  • Який послужний список провайдера, коли застосовувався юридичний тиск?

Провайдер, який відповідає на ці питання простою мовою, з чітким розрізненням між тим, що він обіцяв, і тим, що його архітектура робить неможливим, — це провайдер, про якого ви можете міркувати. Той, хто туманно киває на «без журналів» і змінює тему, — ні.

Причина, чому це розрізнення має значення, проста: приватність, що цілком залежить від тривалої доброї поведінки компанії, — це приватність, яку ви не контролюєте повністю. Приватність, яка структурно обмежена, бо дані ніколи й не збирали, — це версія, що переживає зміни власності, юрисдикції, керівництва й правового клімату.

Snap VPNспроєктовано навколо цієї другої ідеї. Без реєстрації з електронною поштою, без облікових даних, без ідентифікаторів користувача, прив'язаних до реальної особи. Підписка тримається на вашому Apple ID через App Store, трафік не логується, а операційний стан, потрібний для роботи мережі, не прив'язаний до того, хто ви. Це не єдиний спосіб побудувати VPN, і він не вирішує кожної проблеми приватності. Але він прибирає клас ризику, який жодна обіцянка політики сама по собі прибрати не може. Якщо саме такий дизайн ви хочете за своїм трафіком, то це те, що пропонується тут. Просто чесний опис вибору, який ми зробили, і чому.

The Snap VPN Team
Editorial