在我们进入最新的可怕 – 虚拟专用网络(VPN)新闻之前,让我们按照Naked Security的Paul Ducklin建议并在他之后重复:
VPN不会神奇地提高安全性。它真正做的就是让您的VPN提供商进入您的新ISP – 您在互联网上的“第一跳”。第一跳是一个提供商查看所有流量的地方,无论是否加密。您需要信任您的VPN提供商。很多。
很多人都信任他们的VPN提供商。很多。不幸的是,他们中的一些人不应该按照美国国土安全部(DHS)最近提出的建议。
在2019年5月22日致参议员Ron Wyden和Marco Rubio的一封信中,DHS网络安全和基础设施安全局(CISA)主任Chris Krebs写道,外国对手有兴趣利用VPN服务。从信中:
开源报告表明,民族国家的参与者已经表现出利用VPN服务和易受攻击的用户进行恶意攻击的意图和能力。
克雷布斯正在回应2019年2月7日 参议员发给他的一封信,他们担心在美国国家安全关注国家创建的应用程序所构成的威胁。
参议员们指出,Yandex,Dolphin和Opera等移动浏览器使用自己的服务器作为用户流量的中介,在将页面传送给用户之前压缩页面以保存数据。同样,VPN提供商通过他们自己的服务器路由流量,以减轻隐私问题 – 至少在名义上,参议员说。
参议员说,当政府雇员使用VPN,移动数据代理或其他可能容易受到外国政府监视的应用程序时,潜在的安全风险尤其令人担忧。他们指出,美国政府已经认识到中国电信设备所带来的国家安全风险:一年前,五角大楼禁止中国智能手机进行军事交流。
六年前,美国众议院发布了一份报告,建议华为和中兴通讯因担心间谍活动而被禁止。经过长达一年的调查显示,两家公司在试图扩大美国业务的同时,与中国共产党和人民解放军保持着密切联系。
没有阻止它的总体政策
在克雷布斯对参议员的回复中,他表示美国没有全面的政策阻止政府移动设备用户下载外国VPN应用程序。他还引用了美国国家标准与技术研究院(NIST),该机构发布了企业中移动设备安全管理指南。根据这些准则:
制造移动设备是为了从移动设备应用程序商店轻松查找,获取,安装和使用第三方应用程序。这带来了明显的安全风险,特别是对于不对第三方应用程序发布施加安全限制或其他限制的移动设备平台和应用程序商店。
最近发布到应用程序商店的第三方应用程序的问题包括政府间谍软件隐藏在Google Play中。
克雷布斯表示,根据“开源报道”,俄罗斯政府于2017年11月颁布法律,迫使国内外VPN提供商参与俄罗斯的黑名单执法系统:一个允许政府“访问和影响俄罗斯VPN的系统”提供商,“如Yandex。此外,2017年12月,印度政府向员工发布了一份咨询报告,称中国政府已使用流行的移动应用程序(包括微信,Truecaller,微博,UC浏览器和UC新闻)收集有关敏感印度安全设施的信息。
CISA认为,这些应用程序会造成影响政府运营的“低到中”风险,但克雷布斯指出,该机构对政府雇员在其联邦合同移动设备上安装的内容的可见性有限。
VPN不会改善不稳定的安全性
对于许多人而言,VPN与安全性是同义词,并且不难想象外国对手感兴趣的人在误导的情况下将其下载到私人电话以避免成为下一个John Podesta。(Podesta的Twitter 账号遭到劫持,他的Gmail在2016年美国总统大选期间遭到了重创。)
正如Naked Security多次指出的那样,您的VPN是所有流量流动的瓶颈。它的工作原理是加密网络流量并将其传输到互联网上其他地方的服务器。然后,该服务器剥离加密并在途中发送您的数据,就好像它来自VPN运营商的网络,而不是来自您的手机或笔记本电脑。
加密可以保护您的流量免受VPN本身以外的所有窥探,这将成为阅读通信的盒子。
那么什么时候VPN很有用?保罗用这种方式描述:
您在家中或在工作中使用并在旅途中使用的VPN非常适合您称之为“安全可预测性”的内容:它可以帮助您保持安全状态的好坏,就像回到基地一样。当你在一个陌生的土地上是一个陌生人时,知道你的网络数据仍然像在家一样被处理,这可能是一种安慰。
但是,根据别人的法律,其他人在其他国家为你运行的VPN – 好吧,*你*可能在家里,但现在你的数据在陌生的土地上是一个陌生人,所以你的安全性可能会提高,或者它可能会变得更糟 对于所有你知道的 – 当然,你*不知道 – 它可能会变得更糟。