在我們進入最新的可怕 – 虛擬專用網路(VPN)新聞之前,讓我們按照Naked Security的Paul Ducklin建議並在他之後重複:
VPN不會神奇地提高安全性。它真正做的就是讓您的VPN提供商進入您的新ISP – 您在互聯網上的「第一跳」。第一跳是一個提供商查看所有流量的地方,無論是否加密。您需要信任您的VPN提供商。很多。
很多人都信任他們的VPN提供商。很多。不幸的是,他們中的一些人不應該按照美國國土安全部(DHS)最近提出的建議。
在2019年5月22日致參議員Ron Wyden和Marco Rubio的一封信中,DHS網路安全和基礎設施安全局(CISA)主任Chris Krebs寫道,外國對手有興趣利用VPN服務。從信中:
開源報告表明,民族國家的參與者已經表現出利用VPN服務和易受攻擊的用戶進行惡意攻擊的意圖和能力。
克雷布斯正在回應2019年2月7日 參議員發給他的一封信,他們擔心在美國國家安全關注國家創建的應用程序所構成的威脅。
參議員們指出,Yandex,Dolphin和Opera等移動瀏覽器使用自己的伺服器作為用戶流量的中介,在將頁面傳送給用戶之前壓縮頁面以保存數據。同樣,VPN提供商通過他們自己的伺服器路由流量,以減輕隱私問題 – 至少在名義上,參議員說。
參議員說,當政府僱員使用VPN,移動數據代理或其他可能容易受到外國政府監視的應用程序時,潛在的安全風險尤其令人擔憂。他們指出,美國政府已經認識到中國電信設備所帶來的國家安全風險:一年前,五角大樓禁止中國智能手機進行軍事交流。
六年前,美國眾議院發布了一份報告,建議華為和中興通訊因擔心間諜活動而被禁止。經過長達一年的調查顯示,兩家公司在試圖擴大美國業務的同時,與中國共產黨和人民解放軍保持著密切聯繫。
沒有阻止它的總體政策
在克雷布斯對參議員的回復中,他表示美國沒有全面的政策阻止政府移動設備用戶下載外國VPN應用程序。他還引用了美國國家標準與技術研究院(NIST),該機構發布了企業中移動設備安全管理指南。根據這些準則:
製造移動設備是為了從移動設備應用程序商店輕鬆查找,獲取,安裝和使用第三方應用程序。這帶來了明顯的安全風險,特別是對於不對第三方應用程序發布施加安全限制或其他限制的移動設備平台和應用程序商店。
最近發布到應用程序商店的第三方應用程序的問題包括政府間諜軟體隱藏在Google Play中。
克雷布斯表示,根據「開源報道」,俄羅斯政府於2017年11月頒布法律,迫使國內外VPN提供商參與俄羅斯的黑名單執法系統:一個允許政府「訪問和影響俄羅斯VPN的系統」提供商,「如Yandex。此外,2017年12月,印度政府向員工發布了一份諮詢報告,稱中國政府已使用流行的移動應用程序(包括微信,Truecaller,微博,UC瀏覽器和UC新聞)收集有關敏感印度安全設施的信息。
CISA認為,這些應用程序會造成影響政府運營的「低到中」風險,但克雷布斯指出,該機構對政府僱員在其聯邦合同移動設備上安裝的內容的可見性有限。
VPN不會改善不穩定的安全性
對於許多人而言,VPN與安全性是同義詞,並且不難想像外國對手感興趣的人在誤導的情況下將其下載到私人電話以避免成為下一個John Podesta。(Podesta的Twitter 賬號遭到劫持,他的Gmail在2016年美國總統大選期間遭到了重創。)
正如Naked Security多次指出的那樣,您的VPN是所有流量流動的瓶頸。它的工作原理是加密網路流量並將其傳輸到互聯網上其他地方的伺服器。然後,該伺服器剝離加密並在途中發送您的數據,就好像它來自VPN運營商的網路,而不是來自您的手機或筆記本電腦。
加密可以保護您的流量免受VPN本身以外的所有窺探,這將成為閱讀通信的盒子。
那麼什麼時候VPN很有用?保羅用這種方式描述:
您在家中或在工作中使用並在旅途中使用的VPN非常適合您稱之為「安全可預測性」的內容:它可以幫助您保持安全狀態的好壞,就像回到基地一樣。當你在一個陌生的土地上是一個陌生人時,知道你的網路數據仍然像在家一樣被處理,這可能是一種安慰。
但是,根據別人的法律,其他人在其他國家為你運行的VPN – 好吧,*你*可能在家裡,但現在你的數據在陌生的土地上是一個陌生人,所以你的安全性可能會提高,或者它可能會變得更糟 對於所有你知道的 – 當然,你*不知道 – 它可能會變得更糟。