В 2022 году Россия заняла второе место по использованию VPN в мире после Индии. Рост по количествам скачиваний VPN-сервисов составил 167%: если в 2021 году было скачано 12,59 млн. VPN-приложений, то в 2022 году уже 33,54 млн. О точном количестве пользователей VPN это не говорит, потому что некоторые пользователи могут устанавливать устройства на несколько гаджетов или скачивать несколько разных приложений VPN в течение года. Тем не менее, эксперты предполагают, что VPN сейчас пользуется каждый четвёртый росиянин. Большинство используемых россиянами VPN — бесплатные. Более подробной статистики по использованию VPN в России нет, но для сравнения можно взять американские данные: в США число людей, пользующихся VPN для работы или в личных целях в 2022 году тоже выросло — с 24% до 33% американцев. Почти половина пользователей личных VPN используют бесплатные VPN, и почти двое из трех сообщают о проблемах с производительностью своих бесплатных сервисов.
Популярность бесплатных VPN обусловлена ценовой политикой большинства VPN-сервисов. Средняя цена VPN-серверов на долгосрочных планах, которые обеспечивают их основной доход — $3-4. Проблема в том, что такую цену за месяц можно получить, только оплатив 2-3 года сервиса разом — а это повышает разовый платёж до $80-120, при этом помесячная оплата намеренно завышена — $10 и выше. Например, ExpressVPN на месяц сегодня составит 1200₽ в месяц — запретительный, по сути, прайс для тех, кто просто хочет заходить в признанный экстремистским и запрещённый Instagram (основная причина ставить VPN для рядового пользователя в России сегодня). Причиной этого являются принятые в сегодняшней VPN-индустрии маркетинговые практики, о которых мы рассказывали в предыдущей статье — и которые Xeovo не разделяет. Для сравнения, стоимость помесячного тарифа Xeovo — €4.99, вдвое дешевле даже с учётом выросшего курса евро.
Высокие цены крупнейших VPN-провайдеров толкают людей в сторону бесплатных VPN, что делает ситуацию с ростом установок VPN довольно неоднозначной. С одной стороны, VPN — это хорошо: он позволяет обходить цензуру, географические ограничения и скрывать свой трафик от интернет-провайдера.
С другой, высокая доля бесплатных VPN несёт потенциальную угрозу прямо противоположного эффекта: многие пользователи не знают или недооценивают риски, идущие с установкой бесплатных VPN, ожидая, как обещает реклама, большей безопасности и приватности, а на деле — рискуя и тем, и другим.
Может ли VPN-сервис быть бесплатным?
Короткий ответ: нет, ничего бесплатного не бывает. Да, для пользователя VPN может быть бесплатен, но любой VPN-сервис — это выделенные сервера, канал, трафик, приложения и их безопасность. Владельцам сервисов так или иначе необходимо всё это оплачивать. Поэтому реальность бесплатных VPN определяется двумя вопросами: как снизить расходы и на какие деньги обеспечить всё необходимое.
На чём экономят бесплатные VPN
Ограниченный функционал. Бесплатные VPN обычно предлагают базовый набор функций, которых может быть недостаточно для продвинутых пользователей. Им часто не хватает расширенных функций, таких как раздельное туннелирование, которое отправляет часть интернет-трафика через VPN, а остальную часть — через открытую сеть, а также возможности обходить географические ограничения для потоковой передачи.
Слабое шифрование. Наличие надёжных протоколов шифрования является главным отличием VPN от обычных прокси и одной из основных причин использования VPN. Однако многие бесплатные VPN используют слабые или устаревшие протоколы шифрования, такие как PPTP, которые могут сделать вас уязвимыми для киберугроз, кражи данных и многого другого.
Лимитированный трафик. Бесплатные VPN обычно дают ограниченный объём трафика на месяц, которого может хватить, чтобы читать сайты, сидеть в соцсетях, но не позволит скачивать фильмы или активно смотреть видео и играть в игры онлайн. При этом лимитированный трафик VPN принципиально несовместим с обещаемыми стандартами приватности: если провайдер ведет лимитирование трафика, то значит уже происходит в той или иной форме логирование пользователя.
Низкие скорости. Все VPN немного снижают скорость соединения, но на бесплатных VPN скорости часто начинает заметно не хватать. Они содержат меньше серверов на пользователя, чем могут себе позволить платные сервисы, что повышает среднюю нагрузку на сервер и снижает скорость соединения. Для пользователя это означает медленную загрузку контента и частую буферизацию. Это сильно повлияет на просмотр видео, игры и даже голосовые и видеозвонки.
Ограниченное количество серверов. Меньшее количество серверов на бесплатном VPN означает, что сервису труднее будет обеспечить надежное соединение, и может вызвать затруднения при доступе к контенту с географическими ограничениями.
Качество сервиса и техподдержки. Время людей — самый дорогой ресурс, поэтому в бесплатных VPN не стоит ожидать круглосуточную оперативную техподдержку. Кроме того, качество разработки и скорость исправления багов зачастую оставляет желать лучшего.
Безопасность самих сервисов. Экономия на всём до добра не доводит. Вот несколько примеров утечек только за 2020 и 2021 годы: в июле 2020 года эксперты по цифровой безопасности обнаружили в открытом доступе 1,2 Тб логов сервисов UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. В базе данных содержались незашифрованные пароли, IP-адреса устройств, данные о моделях смартфонов и идентификаторы устройств пользователей. В 2021 году крупных утечек было сразу две. В марте в открытом доступе оказалась база с данными 21 миллионов пользователей сервисов Gecko VPN, Super VPN и Chat VPN. Среди них — сведения о мобильных устройствах, адреса электронной почты, пароли и информация о совершенных пользователями платежах. В ноябре 2021 года на продажу в даркнете выставили базу данных 45 миллионов пользователей сервисов FreeVPN.org и DashVPN.io. В нее вошла информация с 2017 по 2021 год с адресами электронных почт пользователей, зашифрованными паролями, датами регистрации, обновлений профиля и последнего входа. Такой набор информации дает мошенникам возможность взламывать другие ресурсы, где пользователи регистрировались с теми же данными, а также шантажировать клиентов VPN-сервисов посещаемыми ими сайтами.
При этом, исчисляемое миллионами и десятками миллионов количество пользователей бесплатных VPM означает, что при всей экономии на сервисе, качестве и безопасности они всё равно требуют значительных средств на своё содержание.
На чём зарабатывают бесплатные VPN
Даже если пользователь не платит напрямую VPN-сервису, то он всё равно должен получать деньги за этого пользователя каким-то образом. «Если вы не платите за продукт, то продукт — это вы».
Мотивы предоставлять бесплатный для пользователей VPN могут быть самые разные: от откровенно мошеннических и зловредных до самых благородных и вполне коммерчески рассудительных. Понимать их важно, потому что у бесплатных VPN-сервисов на самом деле много способов заработка:
Продажа личных данных. Многие бесплатные VPN зарабатывают, собирая и продавая данные о своих пользователях третьим лицам — от рекламодателей до мошенников.
Реклама и всплывающие окна. Помимо продажи пользовательских данных, бесплатные VPN зарабатывают деньги на показе рекламы пользователям. Некоторые из них напичканы навязчивой рекламой, всплывающими окнами и могут даже открывать страницы сайтов без спроса.
Вредоносное ПО. Вместе с бесплатным VPN может идти вредоносное ПО, которое может воровать данные, деньги или использовать устройство пользователя без его ведома и сделать юзера частью ботнета.
В худшем случае бесплатный VPN-сервис будет воровать у вас логины и пароли от разных веб-сайтов, пытаться получить доступ к вашему банковскому счету, модифицировать трафик посещаемых сайтов для загрузки вирусов на компьютер. Если заполучить такие данные, их можно использовать для атак «человек посередине», когда злоумышленник перехватывает веб-сессии пользователей. Так они могут получить доступ к паролям и CVV-кодам банковских карт.
Обычно это никому не известные сервисы, которые не встречаются в статьях в профессиональных изданиях, а рассылаются случайным людям (или же, наоборот, целенаправленно выбранным жертвам) напрямую — через ссылки в мессенджерах, рекомендации в соцсетях, — или же рекламируются на сомнительных ресурсах. Иными словами, попадаются на глаза пользователю примерно теми же путями, что и вирусы. И ставить такой VPN равносильно добровольной установке вируса. Согласно исследованию 2016 года, два из трёх бесплатных VPN оказались заражены вредоносным ПО.
Исследователи отобрали 9 VPN из Google Play с 500 000 и более установок, которые, судя по отзывам, пользователи считают наиболее вредоносными или навязчивыми и проверили их на вредоносное ПО на VirusTotal. Всего было пять срабатываний, из них четыре пришлось на бесплатные VPN, а пятое — на платный VPN под названием VPN Free.
Поэтому никогда не нужно кликать на увиденные в мессенджере, соцсетях или на неизвестных сайтах ссылки на VPN-сервисы; нужно гуглить название VPN по названию, смотреть, что и где о нём пишут в интернете и переходить непосредственно на сайт сервиса.
В плохом случае, бесплатный VPN-сервис может подменять рекламу на некоторых посещаемых вами сайтах. Или же продавать информацию о вашей сетевой активности третьим лицам, например, рекламным агентствам. От худшего случая это отличается тем, что такие сервисы не пытаются напрямую атаковать пользователя, пытаясь взломать его аккаунты и украсть его деньги, а всего лишь «монетизируют» его через продажу его данных и его просмотров рекламодателям. Это модель, в которой подозревают (а иногда и ловят) большинство известных бесплатных VPN — HideMyAss, Hola VPN, Hotspot Shield. Упомянутое выше исследование показало, что только 28% бесплатных VPN-приложений не используют никакие сторонние трекеры.
При этом грань между плохим и худшим случаем при использовании бесплатных VPN довольно размыта, как оказалось в случае с Hola, которую многие подозревали в «просто» продаже данных пользователей рекламодателям — а попавшуюся, в итоге, на использовании интернет-соединения своих пользователей для атак ботнетов. А HotSpot Shield влезал в браузеры пользователей, и без разрешения перенаправлял их на сайты Alibaba и Ebay.
Ещё один плохой случай — «продавать» под видом бесплатного VPN то, что VPN является. Да-да, мы смотрим на тебя, Opera: дополнительная функция браузера Opera, продвигаемая как бесплатный встроенный VPN для «большей интернет-приватности», которая, во-первых, не является VPN, а во-вторых — не обещает приватности. Эксперты по безопасности показали, что это всего лишь веб-прокси, который лишь создаёт ощущение ложной безопасности у пользователя. А политика конфиденциальности Opera включает положения о сборе данных (включая данные об использовании) и об их передаче третьим лицам.
Под вопросом: бесплатные тарифы коммерческих VPN-сервисов. Среди всех вариантов, когда коммерческие организации предлагают бесплатный VPN, это единственный, который допускает мотивацию без подвоха — например, как промотариф для привлечения пользователей. Как правило, этот вариант предлагает ограниченный по скорости либо по трафику вариант коммерческой версии продукта. Таким образом, этот вариант уже подразумевает какое-то логирование. При этом гарантировать, что VPN-сервис не будет «отбивать затраты», продавая анонимизированные пользовательские данные рекламным сетям, опять же, нельзя — остаётся только полагаться на имя и репутацию каждого отдельно взятого сервиса. Поэтому все VPN-компании с бесплатными тарифами обязательно надо гуглить и искать, что про них писали в новостях.
Лучший случай: некоммерческий VPN во имя добра. Обычно это или благотворительные, основанные ради поддержки принципов интернет-свободы, или политические проекты, призванные помогать обходить цензуру и помогать политическим активистам и журналистам скрывать свою интернет-активность. Такие сервисы обычно существуют на пожертвования частных доноров или государственные гранты. Иногда бесплатные публичные VPN-сервисы делают отдельные интернет-активисты, но таких примеров мало, трафик через них носит существенные ограничения и подобные сервисы сложно поддаются проверке на доверие. Это, скорее, модель «для друзей» и работает она настолько, насколько вы доверяете своим друзьям.
Что до сервисов с институциональной поддержкой, то недоверчивый пользователь тоже наверняка спросит: «а откуда мы знаем, что VPN на деньги Госдепа не прослушивается ФБР?» — но политические активисты и журналисты обычно опасаются спецслужб своих стран больше, чем иностранных. Тем не менее, осторожность не повредит: доверять некоммерческим VPN можно лишь в той мере, в которой вы знаете, кто за ними стоит и доверяете их мотивам и репутации. И всё равно никогда нельзя знать наверняка. Кроме того, надо понимать, что реклама обычно преувеличивает возможности VPN: он позволяет обходить блокировки провайдеров и сервисов, но не является инструментом полной анонимизации и защиты от слежки и взломов. Поэтому тем, кому VPN нужен не просто для признанного экстремистским и запрещённого в России «Инстаграма», а для действительно высокой анонимности, лучше некоммерческого VPN подойдёт браузер Tor.
Из пяти вышеперечисленных сценариев, для рядового юзера самым адекватным является самый понятный и нейтральный вариант — бесплатные тарифы коммерческого VPN. Для более прошаренного юзера, который следит за новостями интернет-цензуры и усилиям по борьбе с ними подойдёт вариант некоммерческого VPN, рекомендованного изданиями с сильной журналистской репутацией. Так, в прошлом году, в ответ на петицию «Роскомсвободы», которую подписали более 64 тысяч человек, Amnezia VPN анонсировала бесплатный доступ для россиян к заблокированным в стране СМИ, соцсетям и сайтам некоммерческих организаций.
Однако вопрос, кому доверять в рекомендациях VPN — особенно, бесплатного VPN — тоже не имеет простого ответа.
Почему так трудно выбрать VPN
Одна из бед рынка VPN, особенно острая при выборе бесплатного сервиса — нехватка независимой экспертной оценки. Точнее, практически полная неразличимость экспертизы и рекламы. Причина тому — сложившиеся токсичные маркетинговые практики, главной из которой являются партнёрские программы. Из-за них интернет забит фейковыми сайтами «топ-10 лучших VPN», созданными вебмастерами с единственной целью: напихать свои партнёрские ссылки. И организованы эти топы обычно по единственному имеющему значение для их создателей критерию: размеру партнёрской комиссии от сервиса. И попытке загуглить “safe free VPN”, выдача будет забита как раз такими ноунейм-ресурсами с «рейтингами» VPN напополам с крупными известными порталами — как TechRadar. Проблема в том, что статьи на «Техрадаре» тоже оказываются набитыми партнёрскими ссылками!
И если в случае с ноунейм-ресурсами сомневаться в том, что никакой это не рейтинг, и под видом «безопасного бесплатного VPN» там может оказаться любой скам, то в случае с уважаемыми ресурсами на секунду задумаешься: а вдруг это всё-таки объективный рейтинг, за которым стоит реальная расследовательская журналистская работа, к которой партнёрская ссылка — это просто бонус? Проблема в том, что знать это наверняка практически невозможно.
Получается, VPN-маркетинг превращает интернет в среду, где разобраться в том, какой VPN — хороший, становится всё труднее. При том, что при выборе бесплатного VPN вопрос доверия к сервису на порядок острее. Поскольку обычным СМИ, даже специализированно-айтишным, из-за коммерциализации темы VPN доверять нельзя, остаётся самый древний и верный способ: мнение коммьюнити. Можно следить за рекомендациями проектов, которые занимаются цифровым и антицензурным активизмом — например, «Роскомсвобода» или других проектов, ведущих борьбу с цензурой.
И, конечно, можно обращаться к Хабру. Дело даже не в статьях — написать в статье что угодно можно и на Хабре — а в коммьюнити: в отличие от сайтов изданий, где комментариев либо нет, либо они контролируются редакцией, на Хабре авторы публикаций не имеют контроля над комментариями. И это меняет ситуацию кардинально: комментарии на Хабре помогают читателю, не разбирающемуся в предмете статьи, понять её реальную ценность. Если в статье написана ерунда или даны плохие советы — комментарии дадут это понять. Если же комментарии дополняют и одобряют статью — это знак качества сообщества.
Из какой страны ваш VPN?
Под юрисдикцией мы подразумеваем фактическое местонахождение компании, предоставляющей VPN, а не местонахождение её серверов (хотя это тоже имеет значение). Это крайне важно по ряду причин, но основной проблемой является государственный надзор. Спецслужбы в большинстве развитых стран имеют возможность отслеживать и контролировать почти всё, что делает пользователи онлайн. И они используют эти полномочия в полной мере, как показали разоблачения Эдварда Сноудена.
А если речь о таких странах как Китай, то там и разоблачения не нужны, чтобы понимать, что китайские сервисы будут прозрачны для государства. Это — главный повод идущих в США разбирательств по поводу ТикТока. Согласно исследованию VPNPro, по состоянию на 2023 год треть VPN-приложений только для мобильных устройств или принадлежит китайцам, или базируется в Китае. 10 самых популярных приложений в США принадлежат Китаю и Гонконгу, где подобные сервисы незаконны. Возникает вопрос, как эти приложения продолжают работать, если они не скомпрометированы, тем более что по законам Гонконга поставщики услуг должны сохранять журналы активностей пользователей.
При этом западные страны, вопреки сложившемуся либеральному имиджу, имеют (и используют) возможности для контроля за интернетом, не только не уступающим, но и заметно превосходящим возможности российских или китайских спецслужб в своих юрисдикциях.
Из какой страны ваш VPN
Будучи профессионалами VPN-рынка, мы в первую очередь смотрим на бизнес-сторону: на чём сервис зарабатывает и каких принципов придерживается. Follow the money: отсутствие адекватной коммерческой или идеологической мотивации, непрозрачность средств, на которые обеспечивает себя сервис — главные «красные флаги» для нас. И практика подтверждает наши ожидания: бесплатные для пользователей VPN идут с повышенными рисками приватности и вредоносной активности. С нашей точки зрения, это главный довод против большинства бесплатных VPN.
Однако с точки зрения личного опыта, у пользователей VPN другие приоритеты. Как показал анализ отзывов VPN-приложений с более, чем миллионом установок в Google Play, на приватность и безопасность жалуются менее 1% пользователей. Зато каждый третий юзер жалуется на баги и повышенный расход батарейки.
Получается, что приватность и безопасность для подавляющего большинства пользователей не являются решающим аргументом. Для не-айтишника соображения приватности и безопасности слишком абстрактны — большинство рядовых пользователей просто отмахнутся от таких доводов.
С другой стороны, баги, ограничения скорости, ограничения трафика, долгая загрузка и частая буферизация — это аргументы, которые понятны любому пользователю, и если не склонят к платному сервису, то хотя бы убедят не ставить какой-то ноунейм.
Ну а для пользователей, которых нужен не бесплатный, но недорогой и надёжный VPN, есть Xeovo.
Автор текста: @EgorKotkin
Иллюстрации: Антон Дмитриев
Для оплаты зарубежными картами или криптовалютой: xeovo.com. Минус 10% по промокоду HABR2023
Для оплаты рублями: VPNPay
