31.05.2023
1 хв
2440
У цій статті розглядається, як сайти, банки та інтернет-провайдери можуть визначати використання VPN. Пояснюються технічні та поведінкові фактори, що впливають на виявлення анонімного трафіку, а також принципи роботи сучасних систем перевірки з’єднань. Матеріал буде корисним усім, хто цікавиться цифровою приватністю та безпекою в інтернеті.
Віртуальні приватні мережі, або просто VPN, вже давно не є чимось екзотичним. Сьогодні це такий самий звичний інструмент, як браузер чи улюблений месенджер. Ми вмикаємо цей магічний тунель, щоб зашифрувати свої дані, змінити віртуальну прописку та спокійно серфити в інтернеті.
Колись такі штуки були потрібні тільки великим компаніям. Це робилося для того, щоб співробітники могли безпечно заходити на робочі сервери просто з дому. Тепер це універсальний щит для кожного з нас. Але тут виникає логічне запитання. Якщо головна мета VPN полягає у приховуванні нашого реального маршруту і місцезнаходження, то яким чином сайти, банки та інтернет-провайдери все одно здогадуються, що ми сидимо в масці?
Секрет дуже простий. Щоб виявити VPN, зовсім не обов’язково зламувати ваше шифрування чи читати, що саме ви там пересилаєте. Все набагато хитріше. Вас видають дрібні деталі та непрямі докази. Це дуже нагадує роботу детектива, який будує свою версію на купі крихітних нестиковок.
Деякі сигнали максимально примітивні, наприклад, звичайна звірка зі списками адрес. Інші методи схожі на гру в пошук відмінностей. Система порівнює ваше заявлене місцезнаходження з тим, звідки насправді прийшов запит на DNS. Або ж вона звіряє ваш часовий пояс із заявленою країною. Найсерйозніший рівень перевірки полягає у глибокому аналізі трафіку. Його ще називають DPI. Ця технологія бачить специфічні відбитки VPN-протоколів. Звісно, жоден із цих методів сам по собі не дає стовідсоткової впевненості. Проте коли збігається одразу кілька факторів, сумнівів у системи майже не залишається.
Причини у кожного свої, і всі вони дуже прагматичні.
Стримінгові сервіси на кшталт Netflix чи Hulu. Вони зв’язані по руках і ногах суворими ліцензійними угодами. Фільм, який спокійно дивляться у США, може бути заборонений до показу в Європі. Тому вони так активно борються з віртуальними туристами, які намагаються обійти регіональні обмеження.
Банки та різні платіжні системи. Для них найголовніше полягає у безпеці ваших і власних грошей. Уявіть ситуацію. Ви все життя заходили в банківський додаток із Києва, а через хвилину намагаєтеся авторизуватися з якогось дата-центру в Нігерії. Для системи це величезний червоний прапорець. Вона сприймає такий стрибок як спробу шахрайства і відразу вимагає додаткових перевірок.
Рекламні мережі. Вони дуже хочуть знати ваше реальне місцезнаходження, щоб показувати доречну рекламу і не витрачати бюджети на ботів із клік-ферм.
Державна цензура. У країнах із жорстким контролем інтернету влада просто намагається заблокувати будь-які інструменти обходу заборон.
Реакція на ввімкнений VPN теж буває дуже різною. Деякі сайти просто замучать вас нескінченними капчами або тимчасово обмежать свої функції. Інші діють значно радикальніше. Вони можуть заблокувати цілі діапазони IP-адрес або взагалі не пустити вас в акаунт, поки ви не вимкнете свій тунель. Саме тому часто буває так, що на одному сайті з VPN все просто літає, а на іншому ви натикаєтеся на глуху стіну.
Кожне підключення до мережі має свою IP-адресу. І повірте, ці цифри можуть багато чого про вас розповісти. Сервіси дивляться не тільки на саму адресу, а й на те, кому саме вона належить.
У світі існують величезні бази даних з усією інформацією. Там чітко розписано, що ось цей діапазон адрес належить звичайному домашньому провайдеру, а ось той сусідній закріплений за великою хостинг-компанією, де люди орендують сервери. Погодьтеся, якщо ви звичайна людина, ви навряд чи будете сидіти в інтернеті з серверної ферми десь під Франкфуртом. Тому адреси дата-центрів та популярних проксі-серверів дуже часто одразу летять у чорні списки.
Ті ж самі стримінги діють максимально прямолінійно. Вони просто банять цілі масиви адрес хмарних хостингів на кшталт AWS чи Azure. Саме через це ваш улюблений VPN раптом перестає відкривати бібліотеку серіалів. Банки теж починають сильно нервувати, коли бачать спробу входу з серверної адреси. Особливо їх лякає, якщо ця адреса знаходиться в іншій країні.
Ось на що система звертає увагу в першу чергу:
Чи належить ваша IP-адреса дата-центру, а не звичайному інтернет-провайдеру.
Чи відбулася різка зміна країни порівняно з вашою звичною історією входів.
Чи не занадто часто ви змінюєте IP-адреси за короткий час. Для алгоритмів це явна ознака ботів або хитрих проксі-ланцюжків.
Все це працює як базова лінія оборони. Вона досить дешева в налаштуванні і дуже швидка. Проте назвати її ідеальною не можна, адже іноді під гарячу руку потрапляють і цілком нормальні адреси звичайних людей.
Деякі сайти копають набагато глибше і починають порівнювати загальний контекст. Просто уявіть ситуацію. У вашому профілі вказана Україна, ви завжди розраховувалися українською банківською карткою, а сьогодні раптом заходите з японської IP-адреси. Звучить підозріло? Ще й як. Звісно, це ще не стовідсотковий привід для блокування. Але алгоритм точно попросить вас підтвердити свою особу через SMS або електронну пошту.
Навіть ті платформи, які не мають жодного відношення до фінансів, постійно використовують геолокацію для вашої ж зручності. Якщо ви раптом віртуально перемістилися в іншу країну, сайт може автоматично змінити мову інтерфейсу, валюту в магазині або показати зовсім інші варіанти доставки. Для систем безпеки такі різкі стрибки по планеті є чітким сигналом про те, що тут явно щось нечисто.
А тепер перейдемо до найцікавішого. Поговоримо про дрібні технічні збої, які здають вас із потрохами.
Почнемо з витоків DNS. Щоб відкрити будь-який сайт, вашому комп’ютеру треба спочатку дізнатися його цифрову адресу. Саме цим і займається DNS-сервер. В ідеальному світі при включеному VPN усі ці запити також мають йти виключно через зашифрований тунель прямісінько до сервера вашого VPN-провайдера. Але в реальності буває інакше. Іноді через помилки в налаштуваннях або якісь системні глюки ваш комп’ютер відправляє цей запит напряму через вашого звичайного домашнього провайдера.
У результаті сайт бачить просто чудову картину. Ви нібито прийшли з адреси десь у Нідерландах, але запит на пошук сайту надійшов від провайдера з Житомира. Виходить очевидна нестиковка. Для системи безпеки це просто величезний червоний прапорець.
Далі йде WebRTC. Це така спеціальна технологія у вашому браузері. Вона дозволяє здійснювати відеодзвінки та обмінюватися файлами напряму між користувачами. Для такого з’єднання використовується протокол STUN. І ось саме він може абсолютно випадково засвітити вашу реальну IP-адресу повністю в обхід VPN. Це дуже часто трапляється, якщо ви використовуєте VPN у вигляді простого розширення для браузера, а не як повноцінну програму на комп’ютері.
В такому випадку сайт знову бачить подвійну картину. Ви ніби підключені через один маршрут, але ваш браузер через WebRTC тихенько шепоче системі вашу реальну адресу. Такий двоголосий цифровий слід є стовідсотковою ознакою того, що ви використовуєте анонімайзер.
Навіть за умови ідеального шифрування завжди залишаються дрібні деталі вашого оточення. Різноманітні скрипти на сторінці можуть без проблем дізнатися ваш системний час, мову операційної системи або звичний формат дати. Уявіть, що ваш VPN впевнено каже системі про перебування в Нью-Йорку. При цьому ваш системний годинник вперто показує київський час. Звісно, у системи одразу виникають дуже закономірні питання.
Само по собі це не є прямим доказом використання VPN. Але в сукупності з іншими дрібними факторами це сильно підвищує ваш бал ризику. І саме це часто стає головною причиною раптової появи тієї самої набридливої капчі з картинками.
Ваш домашній інтернет-провайдер дійсно не бачить, що саме ви там передаєте через свій зашифрований тунель. Проте він просто чудово бачить те, яким чином ви це робите.
Звичайний веб-серфінг виглядає для провайдера як величезна купа коротких з’єднань із абсолютно різними сайтами. А от трафік через VPN виглядає зовсім інакше. Зазвичай це одне дуже довге і стабільне з’єднання з якимось одним сервером десь далеко за кордоном. І по цьому каналу йде дуже щільний потік зашифрованих даних. Якщо цей закордонний сервер ще й належить якомусь відомому хостингу, то для провайдера взагалі все стає абсолютно очевидним.
Крім того, провайдери часто не вигадують велосипед і просто блокують стандартні порти. Саме через них зазвичай і працюють популярні VPN-протоколи. Це максимально дешевий і сердитий спосіб обмежити використання таких тунелів. При цьому провайдеру навіть не потрібно вдаватися до якогось складного та дорогого аналізу трафіку.
Там, де з VPN борються по-справжньому серйозно, зазвичай вмикають технологію DPI. Це робиться, наприклад, на державному рівні в країнах із цензурою. Така система не просто дивиться на ваші IP-адреси. Вона буквально розбирає на частини заголовки ваших пакетів даних і шукає там характерні ознаки VPN-протоколів. Річ у тім, що навіть надійно зашифрований трафік має свою унікальну структуру. Це можуть бути специфічні цифрові рукостискання під час підключення, певний розмір самих пакетів або характерні інтервали між ними.
Звісно, розробники сучасних VPN намагаються максимально маскувати свій продукт під звичайний трафік. Вони роблять усе можливе, щоб обдурити розумні системи DPI. По суті, це нагадує вічну гру в кішки-мишки. Одні постійно придумують нові й нові методи маскування, а інші наполегливо вчаться їх розпізнавати за допомогою складного статистичного аналізу.
Варто розуміти, що жодна з перерахованих вище ознак сама по собі не є остаточним вироком. Ту ж саму адресу з дата-центру можна використовувати абсолютно легально для роботи. Ви могли реально взяти квиток і переїхати жити в іншу країну. А ваш системний час міг просто випадково збитися через глюк комп’ютера.
Але фішка в тому, що сучасні системи захисту завжди працюють комплексно. Коли в них збігається абсолютно все одночасно, ситуація змінюється. Уявіть, що алгоритм бачить вашу IP-адресу з хостингу, ваші DNS-запити від домашнього провайдера, явні сліди WebRTC і дуже дивну статистику трафіку. У такому випадку ймовірність використання вами VPN стрімко наближається до ста відсотків. Тут немає ніякої магії. Це просто математична статистика та грамотне поєднання багатьох слабких сигналів.
Якщо ви живете у вільній країні без жорсткої інтернет-цензури, вашому домашньому провайдеру скоріше за все абсолютно байдуже на ваш VPN. Застосовувати надзвичайно дорогі системи DPI для стеження за кожним звичайним абонентом просто фінансово невигідно. Максимум з того, що вони можуть зробити, це заблокувати кілька стандартних портів. Так вони просто натякають, щоб ви не надто сильно захоплювалися обходом їхніх дрібних обмежень.
Зовсім інша справа починається, коли мова заходить про банки та великі стримінгові платформи. Перші дуже серйозно захищають ваші власні гроші, а другі бережуть свої дорогі ліцензії на контент. Вони завжди будуть миттєво реагувати на будь-яку підозрілу активність. Тому ніколи не дивуйтеся, якщо з увімкненим VPN вам доведеться набагато частіше розгадувати капчу або підтверджувати свій вхід через телефон. Повірте, це зовсім не полювання на вас особисто. Це просто щоденна рутинна робота із захисту інтересів великого бізнесу.
Зрештою, VPN є дійсно крутим і корисним інструментом. Проте його точно не варто сприймати як чарівну шапку-невидимку. Він чудово приховує сам вміст вашого трафіку. Але при цьому сам факт його використання дуже часто залишає за собою чітку та виразну тінь у мережі. І цю тінь формує цілий набір факторів. Сюди входить ваша IP-адреса, записи у світових геобазах, поведінка вашого DNS, дрібні налаштування браузера та навіть ваш системний час.
Завжди пам’ятайте одну дуже просту річ. Повна і абсолютна анонімність в сучасному інтернеті є скоріше красивим міфом. По-справжньому розумна модель вашої приватності складається не тільки з купленого VPN. Вона обов’язково включає в себе базову цифрову гігієну, чітке розуміння контексту ваших дій і спокійну готовність до того, що іноді вас все одно попросять довести системі свою людяність.
