VPN i bezpieczeństwo Twojego domowego stanowiska pracy
Artykuł powstał przy współpracy z marką NordVPN.
Praca zdalna, która została mocno spopularyzowana w efekcie pandemii, powoli zaczyna stawać się standardem. Wydaje się, że pracodawcy, którzy początkowo podchodzili do tego tematu dość sceptycznie, w efekcie przekonali się do tego rozwiązania. Niewątpliwie ma ono sporo zalet, ale i pewnych wad. Wszystko zależy od danej firmy, jej kultury pracy czy rodzaju wykonywanych obowiązków.
Na co dzień zajmuję się programowaniem aplikacji mobilnych więc w moim przypadku (programisty) home office nie jest żadną pandemiczną nowością. Przez ostatnie lata wypracowałem system, który skrótowo można nazwać „4 do 1”. Oznacza on, że w pięciodniowym tygodniu roboczym, cztery dni pracuję zdalnie, a jeden stacjonarnie w biurze. Dla mnie jest to spora wygoda, w postaci braku codziennych dojazdów, biurowego zgiełku i „wypraw” na kawę do kuchni. Korzyści w postaci oszczędności na powierzchni biurowej ma również mój pracodawca.
„Shared desk” to nie takie straszne rozwiązanie.
Praca zdalna wymaga pewnych inwestycji również ze strony pracownika. To, co jest oczywiste, a często pomijane, to stworzenie odpowiednich warunków ergonomicznych, które zniwelują skutki dość długiego siedzenia przed komputerem. Są pewne rozwiązania, które dość fajnie się sprawdzają – ale o tym napiszę w najbliższym czasie osobny artykuł. Dzisiaj chciałbym się skupić na trochę ciekawszym temacie – temacie cyberbezpieczeństwa.
Hakerem, a w zasadzie crackerem żadnym nie jestem, lecz pewną wiedzę o tej tematyce mam (choćby ze studiów, gdzie miałem przyjemność uczestniczyć w kursie informatyki śledczej – pozdrawiam prowadzącego, jeśli to czyta :)). Dzisiaj, chciałbym poruszyć jeden z tematów związany z cyfrowym bezpieczeństwem, a który w ostatnim czasie stał się dość popularny. Mowa o wirtualnych sieciach prywatnych (ang. Virtual Private Network, VPN).
VPN komercyjny vs VPN prywatny
Na wstępie uporządkujmy trochę pojęcia. Pisząc o wirtualnych sieciach prywatnych – na potrzeby tego artykułu – nie mam na myśli wszelkiego rodzaju sieci „firmowych” lub „prywatnych”, stawianych głównie na potrzeby ograniczenia dostępu z zewnątrz, do określonych zasobów cyfrowych. Posługując się terminem „VPN” bądź jego rozwinięciem, mam na myśli usługę odpowiedzialną za szyfrowanie i zabezpieczanie danych wychodzących z Twojego komputera podczas internetowego surfowania.
Temat ten chciałbym poruszyć głównie z powodu coraz popularniejszej pracy zdalnej, która już jakieś dwa lata temu mocno zagościła w Polsce (jak ta pandemia szybko leci :)). Dodatkowo tak się akurat złożyło, że robię małe przemeblowanie domowego biura, więc poza wymianą biurka i krzesła, pomyślałem, że może warto napisać co nieco o VPN. Większość programistów jest pewnie tak zapracowana, że raczej nie ma czasu zagłębiać się w tego typu tematy. Dla takich osób mały spoiler – jeśli chcesz zadbać o prywatność swoją oraz swojego klienta/pracodawcy, to koniecznie zainstaluj VPN, ale taki, który ma dużo serwerów (np. NordVPN).
Bezpieczeństwo
Przeglądając dowolną stronę internetową – przykładowo bloga „Strefa Kodera” (https://strefakodera.pl) – wpisujesz jego adres (w postaci domeny internetowej) w odpowiednim polu przeglądarki. Następnie, Twoje zapytanie trafia do ISP (ang. Internet Service Provider), a ten „dostarcza” Ci żądaną treść. Za każdym razem bazujesz na pośrednikach, którzy są w stanie powiązać stronę, którą przeglądasz z konkretną osobą fizyczną (czyli z Tobą). Oczywiście, aby normalnie funkcjonować, zakładamy, że taki pośrednik: nie podsłuchuje przesyłanych danych (poufność komunikacji), nie modyfikuje ich (integralność komunikacji) i nie ogranicza do nich dostępu (niezawodność komunikacji).
Takie podejście oparte na zaufaniu jest jednak trochę naiwne. W dzisiejszych czasach metadane dotyczące Twojej aktywności w sieci są niezwykle cenne. To rodzi pokusę „dorobienia” poprzez ich zbieranie i dalsze sprzedawanie. Co więcej, niektórzy ISP otwarcie deklarują, że zasada integralności i poufności nie jest u nich respektowana.
Czy to legalne? Tak.
Przy okazji, takie pytanie na rozluźnienie: Kiedy ostatnio czytałeś bądź czytałaś, regulamin lub inne dokumenty dostarczone przez swojego dostawcę internetowego?
httpS
Jeśli myślisz, że temat ten Cię nie dotyczy, bo korzystasz ze stron szyfrowanych protokołem HTTPS, to muszę Cię sprowadzić prędko na ziemię. W takim przypadku Twój ISP i tak jest w stanie uzyskać wiele cennych informacji. Jedyne, do czego nie ma dostępu to do szyfrowanych treści (zawartości strony). Mimo tego, można uzyskać logi zawierające informacje takie jak:
- czas zapytania,
- Twój adres IP,
- adres IP serwera docelowego,
- nazwę domeny osadzonej na serwerze (np. strefakodera.pl).
Jesteśmy w stanie zorientować się, że dnia tego i tego, o godzinie tej i tej, Pan/Pani, korzystający/a z komputera o adresie IP takiego i takiego, przeglądał/a stronę taką i taką i spędził/a tam tyle i tyle czasu.
Całkiem sporo informacji. Mimo wykorzystania szyfrowanego protokołu HTTPS.
Podsumowując i przekładając to na realia pracy programistów, ISP może całkiem precyzyjnie ustalić jakie funkcjonalności pojawią się w przyszłości, w aplikacji, nad którą właśnie pracujesz (mimo, że informacje te są poufne).
Jak się przed tym zabezpieczyć?
Przed zapędami ISP zbierającymi metadane dotyczące aktywności swoich klientów, można się uchronić. Nie jest to rozwiązanie w żaden sposób skomplikowane i raczej każdy jest sobie w stanie z tym poradzić. Jedynie co wystarczy zrobić to zainstalować i korzystać z usługi VPN.
Na rynku jest sporo darmowych rozwiązań. Weź jednak pod uwagę, że za „darmowe obiady” i tak finalnie trzeba zapłacić, a walutą w tym przypadku są różnego rodzaju ograniczenia oraz spowolnione łącze. Rozwiązaniem tej bolączki jest skorzystanie z komercyjnych usług, które wcale drogie nie są.
Jednym z najlepszych tego typu rozwiązań (jak nie wierzysz, to poczytaj dostępne w Internecie opinie osób mądrzejszych ode mnie) jest NordVPN. Aplikacja ta dostępna jest na każdy system operacyjny (Windows, macOS, Linux, Android, iOS), a do jej obsługi nie jest wymagana zaawansowana wiedza. W ramach jednej licencji można z niej korzystać nawet na 6 urządzeniach równocześnie.
NordVPN może pochwalić się największą liczbą serwerów wśród komercyjnych dostawców VPN-ów, polityką całkowitego braku przechowywania logów i braku ograniczeń pasma. Jednak jego największą zaletą jest to, że podlega jurysdykcji w Panamie więc z punktu widzenia polskich służb to poważny problem.
VPN nie gwarantuje anonimowości w stosunku do wspomnianego w artykule ISP. W skrócie, Twój prywatny ISP (np. Orange, Netia, UPS, …) widzą tylko jedno połączenie do NordVPN. Są więc kompletnie pozbawione zbierania jakichkolwiek danych o Twojej aktywności. Cały Twój ruch przechodzi przez inny kraj (im bardziej „egzotyczny” tym lepiej) oraz przez innego ISP. Ten „inny” ISP może monitorować wszystko co robisz (tak samo jak wcześniej robił to lokalny ISP) ale jest tutaj kilka punktów, na które trzeba zwrócić uwagę:
- „nowy” ISP to nie lokalny ISP i polskie służby bądź służby innego „cywilizowanego” kraju, nie od razu zorientują się, gdzie szukać danych,
- nawet jeśli ten ISP zostanie namierzony, to „wyciągnięcie” informacji może okazać się niemałym problemem,
- wyciągnięcie konkretnych fragmentów ruchu i udowodnienie, że należą one właśnie do Ciebie, również nie jest prostą sprawą, jeśli nie niemożliwą.
Te wszystkie czynniki, mogą zagwarantować Ci nieco więcej prywatności, ale nie sprawią 100% anonimowości. Patrząc na to praktycznie, trzeba by popełnić naprawdę bardzo, bardzo (tutaj wstaw dużą liczbę „bardzo”) poważne przestępstwo, aby komuś chciało się to robić.
Podsumowanie
W podsumowaniu mam tylko jedną myśl: nie samym programowaniem człowiek żyje, a VPN można również wykorzystać do ominięcia blokad geolokalizacyjnych w takich serwisach jak Netflix, Disney+ i innych… ale o tym cii!