[Информационная безопасность] «Одной канарейки мало»: у VPN-сервисов все чаще запрашивают пользовательские данные
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Как показывает практика, декларируемый образ и реальный характер взаимодействия владельцев VPN-сервисов со спецслужбами различных стран могут иметь существенные различия. Обсудим, как развиваются события в этой нише и чего ждать в ближайшее время.
Rutha Copley / CC0 Public DomainЧто происходитС каждым годом VPN-сервисы все чаще втягивают в разбирательства, связанные с незаконным распространением контента и различными правонарушениями. Обычно компании-владельцы участвуют в этих делах в качестве третьей стороны — получают запросы о раскрытии данных пользователей, которых в чем-то подозревают истцы, органы правопорядка или спецслужбы.Нередко подобные требования успешно игнорируют в силу технических особенностей работы сервисов или так называемой «no logs policy», исключающей хранение и передачу пользовательских данных каким-либо организациям и структурам. Другое дело, что иногда такая политика действует по большей части на словах, а на практике — не позволяет VPN-сервисам выполнить заявленные обещания — по причине их неполной, либо избирательной реализации.Маркетинг vs реальностьИзвестны ситуации, когда компании, оперирующие инфраструктурой VPN-сервисов, достаточно быстро сдавали логи, сдобренные существенным объемом других данных, которые изначально и «не планировали собирать», либо и вовсе могли не передавать в силу принадлежности к другой юрисдикции. В последнем случае можно было бы обойтись и без слива со стороны VPN-сервиса: подозреваемый осуществлял свои темные дела как с личного, так и с рабочего компьютера, который просто забыл вовремя «защитить» и должным образом замести за собой следы.
Похожий кейс произошел с британским сервисом, на который правоохранители вышли из-за того, что злоумышленники всего лишь упомянули его наименование в чате. Пригодились ли их логи и данные в расследовании, сказать при этом сложно.
Аналогичное дело о распространении цифровой версии картины «Падение Ангела» сейчас рассматривает Федеральный окружной суд Колорадо. Суть разбирательства сводится к тому, что правообладатели не смогли получить что-либо от VPN-сервиса, которым предположительно пользовались пираты. Компания-владелец за несколько лет до этого внедрила политику, исключающую сбор логов, и доказала ее работоспособность в суде по другому иску.Другое дело, что торрент-трекер, использованный злоумышленникам для раздачи фильма, достаточно быстро предоставил имеющиеся логи и сведения, в том числе электронную почту, IP-адреса и информацию о загрузках в учетных записях десятка с лишним пользователей. Теперь правообладатели ждут ответа на свой запрос уже к почтовым сервисам и считают, что сам факт работы с VPN говорит о том, что пользователям таких сервисов есть, что скрывать.К чему может подтолкнуть подобная риторика различные судебные инстанции, регуляторов, законодателей и общественное мнение, пока остается только предполагать и догадываться.
Unsplash / Kirill Sh
Конечно, бывает, что компания действительно делает все возможное, чтобы реализовать заявленную «no logs policy», но по той или иной причине упускает из виду уязвимости на стороне используемого дата-центра. Получается, что в этой ситуации VPN-сервис можно косвенным образом обвинить в том, что он в итоге не сдерживает свои обещания.
Жива ли канарейкаВ большинстве случаев запросы приходят вместе с требованием о неразглашении самого факта обращения и последующего обмена данными. Но несколько лет назад IT-компании предприняли элегантную попытку уведомления аудитории — начали делать это с помощью «ордерной канарейки» (warrant canary). Это мог быть бэйдж или отдельная страница, где организация отмечала, что к ней пока не обращались с просьбой о раскрытии персональных данных. Как только бэйдж снимали, обновляли (или намеренно не обновляли), клиенты компании и пользователи площадки получали однозначный сигнал о том, что «что-то» происходит. Кто-то даже вводил график обновления канарейки и подписывал каждое с помощью PGP-ключа.Эта практика была популярна в середине 2010-х, но продержалась не так и долго. Многие, включая основателя Signal Мэтью Розенфельда, говорили, что их юристы не видят смысла в подобных активностях. Аналогичного мнения стали придерживаться и крупные компании вроде Apple, а в некоторых странах «вопрос с канарейками» решили на уровне законодательства.
Не стали исключением и VPN-сервисы: какие-то начали вести себя странно, другие — все-таки продолжили регулярно обновлять статус и отчитываться о «канарейке».
Что дальшеДаже если вы используете сервисы, находящиеся под влиянием стран-участниц стремительно расширяющегося альянса «Пяти глаз», это не означает, что они в обязательном порядке хранят логи и пользовательские данные. Прямых требований на этот счет к владельцам VPN'ов нет.
Unsplash / Chris PanasНо в этих юрисдикциях с каждым днем крепнет запрос властей и спецслужб на потенциальный ввод существенных ограничений на end-to-end шифрование. Достигнет ли он своих целей, либо мы все-таки увидим еще больше кейсов с получением данных через различные лазейки на стороне хостеров и дата-центров, покажет дальнейшее развитие событий. Умеренное сопротивление со стороны VPN-сервисов может сыграть не последнюю роль в этом процессе.Что еще почитать у нас по теме:
- Работа интернет-провайдеров и систем связи
- Материалы о сетевых технологиях и миграции на IPv6
- Избранные заметки о протоколах и IT-инфраструктуре
- Доступный интернет: промежуточные итоги и мнения
- Как запустить бесплатный Wi-Fi согласно законодательству
- Интернет в деревню — как построить радиорелейную Wi-Fi-сеть
- Экономия на спичках: обсуждаем ошибки в строительстве сетей связи
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Криптография, Научно-популярное] Задача о ранце в криптографии (Knapsack problem in cryptography)
- [Информационная безопасность, Гаджеты, Научно-популярное, Интернет вещей] Прослушка с помощью лидаров пылесоса — новая угроза частной жизни. Делаем лазерный микрофон в домашних условиях
- [Cisco, Сетевые технологии] Внедрение Multicast VPN на Cisco IOS (часть 2 — Profile 1)
- [Информационная безопасность, Платежные системы] Как я нашёл уязвимость в QIWI и заработал $200
- [Информационная безопасность, Разработка под iOS, Разработка мобильных приложений, Разработка под Android] Виды биометрии в мобильном приложении
- [Open source] Переведут ли госсофт на open source технологии — возможности для развития этого тренда в США
- [IT-инфраструктура, Облачные сервисы] Архитектура и стоимость простого бессерверного веб-приложения Amazon Web Services
- [IT-инфраструктура, Хранение данных] «Зеленый тренд» в мире дата-центров — почему это становится популярным?
- [Информационная безопасность, Разработка под Android, Аналитика мобильных приложений] Приложение Go SMS Pro раскрывает данные миллионов пользователей по ссылкам
- [Информационная безопасность, Криптография, Научно-популярное] Безопасность предприятий: ключевые угрозы и средства защиты
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_vas_experts, #_informatsionnaja_bezopasnost (информационная безопасность), #_vpn, #_itinfrastruktura (it-инфраструктура), #_personalnye_dannye (персональные данные), #_blog_kompanii_vas_experts (
Блог компании VAS Experts
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 23:30
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Как показывает практика, декларируемый образ и реальный характер взаимодействия владельцев VPN-сервисов со спецслужбами различных стран могут иметь существенные различия. Обсудим, как развиваются события в этой нише и чего ждать в ближайшее время.  Rutha Copley / CC0 Public DomainЧто происходитС каждым годом VPN-сервисы все чаще втягивают в разбирательства, связанные с незаконным распространением контента и различными правонарушениями. Обычно компании-владельцы участвуют в этих делах в качестве третьей стороны — получают запросы о раскрытии данных пользователей, которых в чем-то подозревают истцы, органы правопорядка или спецслужбы.Нередко подобные требования успешно игнорируют в силу технических особенностей работы сервисов или так называемой «no logs policy», исключающей хранение и передачу пользовательских данных каким-либо организациям и структурам. Другое дело, что иногда такая политика действует по большей части на словах, а на практике — не позволяет VPN-сервисам выполнить заявленные обещания — по причине их неполной, либо избирательной реализации.Маркетинг vs реальностьИзвестны ситуации, когда компании, оперирующие инфраструктурой VPN-сервисов, достаточно быстро сдавали логи, сдобренные существенным объемом других данных, которые изначально и «не планировали собирать», либо и вовсе могли не передавать в силу принадлежности к другой юрисдикции. В последнем случае можно было бы обойтись и без слива со стороны VPN-сервиса: подозреваемый осуществлял свои темные дела как с личного, так и с рабочего компьютера, который просто забыл вовремя «защитить» и должным образом замести за собой следы. Похожий кейс произошел с британским сервисом, на который правоохранители вышли из-за того, что злоумышленники всего лишь упомянули его наименование в чате. Пригодились ли их логи и данные в расследовании, сказать при этом сложно.
 Unsplash / Kirill Sh Конечно, бывает, что компания действительно делает все возможное, чтобы реализовать заявленную «no logs policy», но по той или иной причине упускает из виду уязвимости на стороне используемого дата-центра. Получается, что в этой ситуации VPN-сервис можно косвенным образом обвинить в том, что он в итоге не сдерживает свои обещания.
Не стали исключением и VPN-сервисы: какие-то начали вести себя странно, другие — все-таки продолжили регулярно обновлять статус и отчитываться о «канарейке».
 Unsplash / Chris PanasНо в этих юрисдикциях с каждым днем крепнет запрос властей и спецслужб на потенциальный ввод существенных ограничений на end-to-end шифрование. Достигнет ли он своих целей, либо мы все-таки увидим еще больше кейсов с получением данных через различные лазейки на стороне хостеров и дата-центров, покажет дальнейшее развитие событий. Умеренное сопротивление со стороны VPN-сервисов может сыграть не последнюю роль в этом процессе.Что еще почитать у нас по теме:
=========== Источник: habr.com =========== Похожие новости:
Блог компании VAS Experts ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 23:30
Часовой пояс: UTC + 5