В последнее время на российских маркетплейсах продают новую категорию устройств — маршрутизаторы с VPN. Их активно рекламируют как простое решение для защиты личных данных, обхода блокировок без подписок и обеспечения полной анонимности в Сети. На первый взгляд, звучит идеально: купил, подключил и забыл. Но за этим удобством скрываются риски, о которых пользователи узнают слишком поздно.
Эксперты отмечают, что встроенный VPN — это потенциальная уязвимость. А использование таких устройств — сплошные риски.
Риск 1. VPN перестанет работать в любой момент
Начальник отдела по информационной безопасности компании «Код Безопасности» Алексей Коробченко объяснил, что отключение VPN в таком маршрутизаторе практически гарантировано, поскольку публичный сервис, скорее всего, будет заблокирован.
Если же провайдер настроил на устройстве свой собственный VPN-сервис, он может отключить его в любой момент, когда поддержка VPN станет для него невыгодной. Но это меньшее из зол.
Риск 2: Утечка данных
Есть риск, что использование такого Wi-Fi-маршрутизатора может быть опасно для информационной безопасности. К злоумышленникам могут утечь данные карт, логины, пароли, копии паспортов и другая информация.
Как отмечают специалисты, через такой VPN проходят все данные пользователя, и оператор может их собирать и использовать в корыстных целях. Например, передавать информацию третьим лицам.
Риск 3: Программы-шпионы
Компания-изготовитель может внедрить программное обеспечение для сбора конфиденциальной информации еще до продажи. В устройство может быть заранее установлено стороннее программное обеспечение, включая программы-шпионы или вредоносные импланты.
Такие программы способны не только перехватывать данные, но и использовать маршрутизатор для атак на другие ресурсы (например, для DDoS-атак).
Выводы
Приобретение маршрутизатора с предустановленным VPN — это игра в доверие с неизвестными участниками. За обещаниями удобства и анонимности часто скрываются бэкдоры, сбор данных и возможность внешнего управления устройством. Такой маршрутизатор превращается в кота в мешке, который работает не в интересах пользователя, а в интересах того, кто его настроил.
Эксперт по инфраструктурному тестированию в компании «Бастион» Иван Глинкин исследовал три роутера с предустановленным «пожизненным» VPN разной ценовой категории, которые он купил на маркетплейсе. И ни один из них не оказался надежным с точки зрения информационной безопасности.
Продавцы с целью экономии могут оставлять стандартные пароли типа admin для входа в систему роутера, а также показывать другие подключенные роутеры.
«Лучший совет — откажитесь от использования таких роутеров. В ИБ не бывает бесплатного сыра. Если вам обещают пожизненный VPN за доплату в 1500 рублей, задайтесь вопросом — на чем экономит продавец, и что он получает взамен», — предостерег Глинкин.
По его словам, не стоит доверять восторженным отзывам в карточке товара и заверениям продавцов во вкладке ответов на вопросы. Они не информативны («товар пришел быстро, рекомендую»), а ответы продавцов уклончивы и могут вводить в заблуждение неспециалистов.
Хотите опубликовать свой разбор на сайте «Лапша Медиа»? Как это сделать — подробно рассказываем здесь.