Securitywatch: задръстване, дезинформация и лоша журналистика: състоянието на vpn индустрията

Преглеждам VPN за PCMag и това означава, че прекарвам много време в опити да обясня на хората, че всъщност не съм платена шил или активно работя срещу безопасността на другите. Защо? Защото културата около VPN и как се продават някои от тези продукти стана невероятно токсична.

Нека първо да кажа, че като цяло моите взаимодействия с доставчици на VPN са положителни. Искрено вярвам, че повечето доставчици в VPN пространството наистина правят най-добрия продукт, който могат, и се опитват да направят правилно от своите клиенти. И все пак съм виждал проблясъци на лошо поведение, големи и малки, в цялата индустрия.

Борба с мръсния

От моя опит в работата с VPN, мога да кажа със сигурност, че има култура на саботаж и параноя сред някои доставчици. Анонимните сметища на проклетата информация за един доставчик на VPN се обвиняват за друг доставчик на VPN. Идват съвети, които предполагат, че корпоративната собственост е обвързана с руската мафия или друга престъпна операция. Коментаторите държат един VPN сайт за преглед като пример за коректност, докато други казват, че този сайт се управлява тайно от доставчик на VPN с дневен ред. Когато има толкова много дезинформация и противодезинформация (която също може да е дезинформация), е невъзможно да се каже кой казва истината.

Нийл Рубенкинг работи за PCMag толкова дълго, колкото съм жив и го попитах дали е виждал нещо подобно, което да покрива антивирусни продукти. Той не е направил. Тези компании от време на време снайперират и понякога са обвинявани в изневери, но основните играчи са достатъчно умни, за да осъзнаят, че стабилността на пазара им като цяло зависи от възприемането им като надеждни играчи.

Освен това има цяла индустрия, която носи отговорността на антивирусните доставчици. AMTSO (Организация за стандарти за тестване на анти-малуер), чийто Rubenking е член на Консултативния съвет, е определила насоки и пусна инструменти, така че всеки да може да провери дали техният антивирусен софтуер прави нещо . Има и индустрия от антивирусни тестери като AV-Test, AV Comparatives и други, които не само потвърждават дали тези продукти работят, но реално определят колко добре работят. Други изследователи предоставят на живо емисии от зловреден софтуер, които Rubenking може да използва, за да провери сам, че антивирусният софтуер действително прави това, което обещава.

Този тип общност все още не съществува за VPN. Освен това не е особено лесно да се провери дали VPN мрежите действително правят нещо. Как можем да кажем, че VPN всъщност пречи на интернет доставчика или хакера да разбере кой сте или прихваща вашия трафик? Как можем да проверим дали всеки един от сървърите и приложенията на компанията са конфигурирани правилно? Как можем да сме сигурни, че компанията не продава нашите данни или инжектира реклами в нашия уеб трафик? Дори да проверите дали даден VPN продукт всъщност криптира трафика ви е трудно и отнема много време.

Ето още един пример: В края на април Регистърът разказа история за необичаен трафик, идващ от NordVPN, който изглежда като трафик на ботнет. Компанията е предоставила различни обяснения, като най-вече се стига до очакваното поведение, предназначено да скрие потребителските дейности. Това има смисъл, но възможностите за проверка на това твърдение са ограничени. Освен това как да разбера, че самите обвинения не идват от друга VPN компания с дневен ред? Когато доверието стане ерозирано, дори основните предположения се поставят под въпрос.

Как се случи това?

VPN-ите не са нови в най-малкото, но за повечето от записаната история те са били използвани в корпоративен контекст, а не в потребителски. Голямото изключение бяха политическите дисиденти, действащи в страни с ограничителна интернет политика. Тогава изведнъж се появиха десетки нови играчи и избутаха продуктите си по-силно от всякога. Това масово разпространение и спорните практики, които последваха, са резултат от изравняване на уникални сили.

Първо, стрийминг услуги като Netflix предложиха убедителна алтернатива на пиратските филми и телевизионни предавания. След като хората разбрали, че могат да използват VPN, за да отключат още по-законно съдържание, като подправят местоположението си, всички искат такова. Всъщност имам данни, за да подкрепя това. Според проучванията на PCMag, по-голямата част от хората използват VPN за достъп до поточно съдържание онлайн. Според някои от индустрията за VPN, това може да е истинската причина хората да купуват VPN, а всичко останало е просто обличане на прозорци, за да му даде въздух на легитимност.

Второ, глобалният възход на крайнодясната политика предизвика интерес към VPN. Хората на места, които обикновено не са били загрижени за личния живот или цензурата, изведнъж имаха причина да получат VPN. В САЩ, по-специално, сривът на нашите правила за неутралност на мрежата, доставчиците на интернет услуги, които осигуряват приходи от потребителска активност и обобщената загриженост за наблюдението в света след Сноудън не помогна.

Трето и накрая са парите. Стартирането на малка VPN компания е сравнително евтино. Благодарение на облачните сървъри и VPN протоколите с отворен код, въртенето на няколко сървъра е доста лесно. По дяволите, направих си собствен VPN и това беше работа на може би 30 минути. Сега моят имаше само един сървър, а не хилядите сървъри на множество места, предлагани от големи играчи, но ниската бариера за влизане със сигурност улесни влизането на пазара на лошите актьори.

Проблемът за VPN предприемачите не е изграждането на продукта, а хората да го купуват. Ето къде идва партньорският маркетинг. Уикипедия определя партньорския маркетинг най-добре: „в който бизнес възнаграждава един или повече филиали за всеки посетител или клиент, донесен от собствените маркетингови усилия на съдружника.“ Ако някога сте се чудили защо има 10 милиона сайтове с URL адреси, които са някаква комбинация от „VPN“ и „Преглед“ или защо всеки сайт от CNet до Wirecutter е започнал преглед на VPN, това е заради партньорски маркетинг.

Както бе споменато по-горе, компанията-майка j2 Global на PCMag току-що установи връзка с пазара на VPN с покупката на IPVanish и StrongVPN миналия месец. И като CNET, Wirecutter, Tech Radar, The Verge и много други, самият PCMag също участва в партньорска търговска програма. Но нашите анализатори (това съм аз) са на заплата и не получават намаление на пари, генерирани от нашите отзиви. Освен това умишлено не сме запознати с бизнес споразуменията между нашите работодатели и доставчици и провеждаме строга политика на редакционната цялост. Това означава, че тествам широко VPN-тата, публикувам рецензии с оценки въз основа на действителни резултати от тестове и това и моите редактори подкрепят моите открития и ги защитавам, независимо от влиянието на доставчика. Понякога компаниите не са съгласни с нашите отзиви, често това е катализатор за тях да подобрят своите продукти.

Това не е задължително вярно за други сайтове, а добрата част от сайтовете за преглед на VPN изглежда са свързани с маркетингови ферми със съмнителна грижа за редакционната цялост. Публикувайки SEO-оптимизирано съдържание, тези сайтове насочват очни ябълки към страници и правят рейк в партньорските пари.

За да бъдем ясни: има добри прегледи за VPN от сайтове като PCMag, които разчитат на репутацията си на авторитет. Други са просто празни публикации, които се занимават с небрежен анализ или, най-лошото от всичко, може би чисто заплащане за игра. Партньорските програми могат да позволят лошо поведение. В случай на VPN, това прави още по-трудно да се пресее противоречивата информация за даден продукт.

Наскоро получихме полъх на гниенето в тази индустрия, когато колегата ми Майкъл Кан разследва TheBestVPN.com. Този сайт, оглавен от човек с непрекъснато изместващ се набор от имена, агресивно търсеше връзки от други сайтове, за да се движи нагоре в класацията за търсене, което от своя страна привлече повече посетители и повече партньорски долари. Усилията му бяха изключително успешни, изкачвайки резултатите от търсенето и печелейки връзки дори от PCMag. Сега не знаем дали съдържанието, произведено в TheBestVPN (или някое от другите му превъплъщения) е фалшиво, но не изглежда добре, ако собственикът (и може би единствен служител) не може да постави името си на произведението или да го защити когато задаваме въпроси.

Вярвай, но проверявай

Потребителската журналистика непрекъснато се сблъсква с този проблем. Само продавачът знае какви са всъщност процесите им и това остава вярно, освен ако не изтече информация, не се включат органите на реда или не се проверят интелигентни и надеждни трети страни. Мисля, че VPN компаниите знаят това и това помогна за разпространението както на законни, така и на фалшиви VPN продукти.

В моята работа решението ми беше директно да питам VPN компании за техните практики и политики. Разбира се, те могат да ме лъжат (а някои вероятно го правят), но ако трябва да лъжат, тогава могат да бъдат хванати да лъжат. Това, от което се нуждаем сега, е средство за постигане на това улов.

• Най-добрите VPN услуги за 2019 г. Най-добрите VPN услуги за 2019 г.
• Пропуски в поверителността изобилстват от безплатни VPN приложения в Google Play Пропуски в поверителността в безплатни приложения за VPN в Google Play
• Как сайт за преглед на VPN доминира в Google Търсене с измама Как сайт за преглед на VPN доминира в Google Търсене с измама

Тук има възможност за VPN компаниите да оправят своя индустрия. Ако основните участници се събраха, съгласиха се за набор от технически и етични принципи и предоставиха методологии за проверка на тези принципи, почти всички тези проблеми ще изчезнат. Мисля, че индустрията се приближава към това бъдеще, тъй като все повече компании наемат тестери на трети страни, за да одитират своите продукти и публично да публикуват резултатите.

Време е да почистим индустрията

Опасявам се, че объркването и стърчащите околни VPN мрежи ще направят пазара неустойчив. Всички компании, но особено охранителните компании, трябва да разчитат на клиентите, вярващи, че са добри участници. Репутацията им е тяхна работа. Когато клиентите вече не вярват на даден продукт, те не го използват, а когато нямат доверие в дадена индустрия, те го изоставят. Помислете отново за антивирусни компании. Злоупотребите и помия инженерство през 90-те години доведоха до публика, която беше подозрителна към цялата тази категория продукти - и с право. Когато обществото най-много се нуждаеше от защита, индустрията не успя да отговори на тези очаквания и плати висока цена. Все още има хора, които купуват "антивирусните компании, които всъщност правят вирусите" в школа за конспирация.

По същия начин, когато VPN компаниите директно или косвено финансират фалшиви сайтове за преглед, генерират дезинформация и разчитат на непрозрачност за продажба на своите продукти, те отравят кладенеца на доверието на потребителите. Тъй като атмосферата около VPN става все по-токсична, все повече клиенти ще се разочароват и ще се откажат напълно. И това е жалко, защото в ерата на интернет всеки има нужда от VPN. Вместо да се надпреварва към дъното, индустрията трябва да се осмисли сега, преди да е станало твърде късно.