Чтобы VPN узнал имя и адрес ваших жен и любовниц, а потом передал их кому попало, и в Интернет, и в гастроном надо ходить с IP на лбу.
Россиян запугивают утечкой персональных данных с помощью смешных видеороликов про VPN, запущенных в соцсети. Незатейливый «Ералаш» для взрослых, очевидно, должен отбить у склонных к непослушанию граждан желание лазать туда, куда не велено. Не ходите, дети, в экстремистскую соцсеть гулять, а то злобный VPN придет и хвостик отгрызет. А потом всем расскажет, какой этот хвостик у вас был коротенький и жалкий.
«Фонтанка» уточнила, что по этому поводу думают эксперты по цифровой безопасности.
С 16 февраля по 6 апреля общественная организация РОЦИТ (Региональный общественный центр интернет-технологий, миссия которого — «создание дружественной интернет-среды и популяризация интернет-технологий») опубликовала в своем официальном VK восемь видеороликов про VPN.
Ролики коротенькие, секунд по 20–30. И в каждом — страшная история про простака (или простачку), которые установили себе VPN. Словом, случилось страшное.
Пожалуй, самое смешное в этой «социальной рекламе» — представление о том, каких разоблачений боится среднестатистический пользователь интернета в нашей стране.
Продавщица в гастрономе вместо ответа на вопрос, какой салатик посвежее, советует стеснительному покупателю пореже ходить на порносайты, а то «жена и дети увидят». Спустя еще шесть роликов этого же пассажира пытается обуть на два миллиона ловкий официант — за то, что не расскажет его жене (имя, адрес) про имеющуюся любовницу (имя, адрес). В следующей серии доставщик еды наизусть цитирует ИНН и СНИЛС кучерявого клиента, которому привез заказ. Хмырь в ушанке знает имя и год рождения первой собаки случайного соседа по автобусной остановке (Рекс, 2000) и что это — пароль от электронной почты. Парень на первом же свидании сообщает имя бывшего девушки, ее ИНН и что она «весь вечер просидела в обнимку со своим котом под «Бриджит Джонс». «Живете в «двушке» в Жулебино, второй год не платите алименты», — говорит дама, похожая на злую школьную директрису, лопоухому мужичку, который пришел к ней на собеседование. А потом «директриса» с помощью двух пальцев и кислой ухмылки показывает «самое главное достоинство» собеседника. Кассирша в супермаркете и бармен за стойкой без запинки называют адрес регистрации и данные банковских карт незадачливой клиентки.
Культура стыда становится орудием пропаганды. Которая уверена, что в России живут на редкость ранимые и безответные люди. Потреблять ромкомы в обнимку с котом нам должно быть так же стыдно, как смотреть порно и жить в «двушке» в Жулебино. И годами не платить алименты (ладно, вот это и правда стыдно).
«В погоне за просмотром контента в запрещенных соцсетях задумайтесь, а стоит ли оно того?» — назидательно говорится в аннотации к одному из роликов. И тут же становится понятно, чьи уши торчат из этих страшилок и зачем вообще был этот, к слову, не снискавший многотысячных просмотров, «посев».
«Уши», впрочем, особо и не скрываются. Роскомнадзор разместил в своем официальном телеграм-канале комментарий с зачином: «В соцсетях обсуждают видеоролики с социальной рекламой о рисках использования VPN-сервисов».
«Сервисы VPN могут создать у пользователей ошибочное представление о собственной анонимности в интернете. Однако иностранные владельцы таких сервисов имеют доступ ко всей информации, которую российские пользователи через них передают», — говорится в сообщении. Вероятно, здесь кроется намек, что в наше тревожное время любая кассирша может оказаться агентом иностранного влияния. А это самое влияние живо интересуется анатомическими особенностями россиян, а также именами их любовниц, бывших парней и актуальных котов.
Возможно, мини-сериал про злоехидный VPN воспользовался бы некоторым успехом в телеэфире между выпуском новостей и каким-нибудь ток-шоу. Но его начали транслировать в интернете. Где водятся не только простаки с глазами пугливых оленей, но и эксперты по цифровой безопасности.
«Конечно, это пугалка и прямое вранье, — отреагировал на вопросы «Фонтанки» автор телеграм-канала «Эшер II» Филипп Кулин. — Да, VPN действительно видит весь трафик. Но не его содержимое. Как и провайдер. Без шифрования уже лет 10 назад никакие данные не ходили. Я вижу реакцию Роскомнадзора. Не знаю, зачем они опустились до прямой лжи. Единственное, что под многими программами скрываются вирусы и трояны. За играми всякими, VPN, другими популярными приложениями. Но это совсем другая проблема».
На вопрос, опасен ли VPN, Филипп Кулин отвечает однозначно: нет.
«Как и любая программа, VPN опасен тем, что вы доверяете производителю программы, — уточняет эксперт. — Вы доверяете Windows (сейчас по большей части ворованному), взломанному Microsoft office, или, простите, «Яндекс.Браузеру». Я думаю, что VPN будет самой маленькой вашей проблемой. И да, любой VPN имеет ограниченную, но возможность отслеживать ваше поведение — грубо говоря, ходили ли вы на PornHub. Толку с этого без «обогащения» данных, правда, немного. Что такое «обогащение»? Есть VPN. А мы, например, тот самый сервис, который хочет торговать поведенческими данными. К нам подключается какой-то IP (уникальный числовой идентификатор устройства в компьютерной сети. — Прим. ред.) и куда-то ходит. Пока мы не знаем, кто это, или хотя бы не можем разделить по людям трафик — никто у нас его не купит. Потому что вообще непонятно, чьё это поведение. Там же роутер может быть. Или ещё один VPN. Чем больше мы знаем о подключаемом, тем, конечно, лучше. Но это отдельная большая задача. Не очень понятно, насколько цена продажи поведенческих данных окупит цену «обогащения». Мы (опять представим, что мы — VPN-сервис), в принципе, можем увязать, что вот некто ходит на сайт VK, ходит на Pornhub, в «Госуслуги» и, например, читает «Роскомнадзор» и «Новую Газету» (мы видим в заголовках перед установкой шифрованного соединения). Но видим, только если прямо очень специально собираем. Ценность этой информации не очень ясна. Да, можно кого-то ловить и по паттернам поведения выловить. Но только если у нас есть ещё какие-то данные поведения на того же человека, то есть адресно и очень дорого. Но никаких ИНН, СНИЛС, других данных так просто не летает. Мы в лучшем случае можем дать поведенческую оценку вот этого IP».
При всем при этом Филипп Кулин отмечает, что злонамеренная программа может украсть всё. «Даже я не всегда смотрю запросы прав и просто всё подтверждаю, — говорит он. — Тут есть тоже «но». Google или Apple следят за приложениями, их проверяет секьюрити чек смартфона. Приложение быстро выносится из магазинов по жалобам, а разработчик блокируется. Аналогичные правила есть и в альтернативных магазинах».
Другие популярные в Telegram эксперты по цифровой безопасности тоже не оценили «страшилки».
Директор АНО «Информационная культура» Иван Бегтин назвал опубликованные РОЦИТом ролики «двуличными», да еще и вдвойне. «Публичными VPN-сервисами, меняющими юрисдикцию, пользуются для обхода политической (блокировки сайтов), санкционной (сервисы блокируют по российским IP) и другим причинам, — пишет Бегтин. — VPN-сервисы при этом не могут, при всём желании, собирать о вас больше данных, чем ваш провайдер, магистральный провайдер, сотовый оператор (как провайдер интернета) или работодатель». Кроме того, эксперт отмечает, что утечки персональных данных происходят потому, что «экономически или политически мотивированные хакеры взламывают инфраструктуру компаний и отдельных лиц в выкладывают эти данные в открытый доступ или в теневой, но свободный экономический оборот». «Первопричины в недостаточной безопасности хранения данных, в избыточном их сборе компаниями и государством и в хорошо мотивированных людях с жёсткой позицией, — утверждает Иван Бегтин. — А из роликов получается, что утечки из-за VPN'ов, а не потому, что службы инфобеза банков, или Минтруда, или АСИ продолбали утечки данных из своих информационных систем. Поэтому ролики РОЦИТа я не могу назвать ничем иным, как целенаправленным введением граждан в заблуждение. Верить им, разумеется, нельзя».
Специалист по информационной безопасности Алексей Лукацкий, в свою очередь, отметил, что эта социальная реклама выглядит «немного туповато»: «Во-первых, в России нет своих VPN-сервисов, которые могли бы активно воровать ПД россиян и продавать их тут же в России. Во-вторых, VPN бывают еще и корпоративные. И это не говоря, что даже привычные обывателю VPN-сервисы бывают вполне себе достойными и не замеченными в воровстве данных. А тут РОЦИТ одним росчерком всех под одну гребенку и облил грязью».
По данным Роскомнадзора, только за 2022 год в России было зафиксировано около 150 крупных утечек персональных данных. Самые резонансные были связаны отнюдь не с VPN. Так, в марте прошлого года в результате утечки персональных данных клиентов сервиса «Яндекс.Еда» в Сети появилась интерактивная карта, на которой многие пользователи нашли свои адреса, телефоны и суммы заказов. Месяц спустя мировой суд Замоскворецкого района Москвы назначил сервису «Яндекс.Еда» штраф за утечку данных пользователей в открытый доступ в размере 60 тысяч рублей. Но такого сюжета в серии «социальных» видеороликов о цифровой безопасности почему-то нет.
Венера Галеева, «Фонтанка.ру»
Больше новостей в нашем официальном телеграм-канале «Фонтанка SPB online». Подписывайтесь, чтобы первыми узнавать о важном.