Кто на самом деле видит ваш интернет-трафик? Провайдер, работодатель, государство и сайты — с VPN и без него

Почти каждое руководство отвечает на один узкий вопрос: видит ли мой интернет-провайдер историю посещений, если я пользуюсь VPN? Честный короткий ответ — нет: как только VPN-туннель поднят, ваш провайдер видит лишь зашифрованный трафик к одному адресу и ничего не знает о том, куда вы на самом деле заходите. Но сам по себе этот ответ вводит в заблуждение, ведь ваш провайдер — лишь одна из как минимум пяти сторон, наблюдающих за разными срезами вашего трафика, а VPN не стирает слепые зоны, а лишь перемещает их.

На этой странице мы собираем то, что большинство статей пропускает: полную карту видимости. Мы пройдёмся по каждому наблюдателю на пути трафика — ваш провайдер, ваш работодатель, государство, посещаемые вами сайты и сам VPN-сервис — и покажем, что именно каждый из них может и не может видеть в современную эпоху HTTPS, как с VPN, так и без него. Два вывода удивляют большинство читателей: корпоративный VPN переворачивает ожидаемую приватность с ног на голову, а мониторинг на конечном устройстве в управляемой компании сильнее любого существующего VPN.

Карта видимости: кто на самом деле находится на пути трафика

Когда вы загружаете страницу, ваш запрос проходит через цепочку сторон, и каждая из них может наблюдать свой слой. Представляйте это не как одного подслушивающего, а как концентрические кольца:

• Ваше устройство — всё, что на нём установлено (ваша ОС, браузер, корпоративное ПО для управления), видит всё до того, как данные шифруются. Этот слой выигрывает всегда.

• Ваша локальная сеть — домашний роутер или Wi-Fi в кафе, аэропорту или офисе видит те же сетевые метаданные, что и ваш провайдер.

• Ваш интернет-провайдер (или мобильный оператор) — видит, к каким серверам вы подключаетесь, и, исторически, ваши DNS-запросы.

• Всё, что на пути передачи — магистральные сети, а в некоторых странах и государственные точки перехвата, сидящие на линии.

• Сайт назначения — видит ваш IP-адрес, вашу учётную запись, если вы входите в неё, ваши cookie и отпечаток браузера.

• VPN-сервис (только если вы им пользуетесь) — видит то, что раньше видел ваш провайдер.

VPN шифрует трафик между вашим устройством и VPN-сервером. Это помогает средним кольцам — вашей локальной сети, провайдеру, наблюдателям на пути, — но никак не влияет на самое внутреннее кольцо (ваше собственное устройство) и на самое внешнее (сайт, в который вы входите). Держите эту форму в голове; она объясняет каждый ответ ниже.

Базовый уровень HTTPS: что уже скрыто ещё до любого VPN

Большинство людей сильно переоценивают степень своей незащищённости без VPN, потому что представляют себе незашифрованный веб образца 2010 года. Сегодня веб подавляющим образом зашифрован по умолчанию. Согласно отчёту Google о прозрачности шифрования HTTPS, значительно более 95% загрузок страниц в Chrome происходят по HTTPS. TLS — та самая S в HTTPS — уже защищает то, что волнует людей больше всего.

Вот что ваш провайдер и наблюдатели на пути не могут увидеть при HTTPS-соединении вообще без какого-либо VPN:

• Полный путь URL — например, они видят, что вы зашли на wikipedia.org, но не то, что вы читали статью о конкретном заболевании.

• Содержимое страниц, поисковые запросы, введённые на сайте, и данные форм.

• Логины, пароли, сообщения и всё прочее внутри зашифрованного тела запроса.

Что они всё же могут видеть при обычном HTTPS — это метаданные, и именно этот пробел реально закрывает VPN:

• IP-адрес назначения каждого сервера, к которому вы подключаетесь.

• Доменное имя, потому что при TLS-рукопожатии имя сервера передаётся открытым текстом в поле под названием SNI (Server Name Indication). Его преемник — Encrypted Client Hello (ECH) — скрывает это, но он всё ещё внедряется и пока не стал повсеместным.

• Ваши DNS-запросы, если вы используете DNS-резолвер провайдера по умолчанию через классический незашифрованный порт 53. Зашифрованный DNS — DoH (DNS over HTTPS) или DoT (DNS over TLS) — закрывает это даже без VPN.

• Время, объём и частоту соединений — форму вашего трафика.

VPN не шифрует ваш трафик впервые. Это уже сделал HTTPS. VPN скрывает метаданные, которые HTTPS оставляет на виду — прежде всего то, с какими серверами вы общаетесь, — направляя всё через единый зашифрованный туннель.

Ваш интернет-провайдер: с VPN и без него

Именно этот вопрос приводит сюда большинство читателей, поэтому давайте точно ответим на него в обоих состояниях.

Без VPN

Ваш провайдер может составить достоверный журнал доменов, которые вы посещаете, и времени посещений — из сочетания SNI, IP-адресов назначения и (если вы не используете зашифрованный DNS) ваших DNS-запросов. Он не может прочитать содержимое HTTPS-страниц, но список доменов и временных меток сам по себе является чувствительным профилем посещений. Во многих юрисдикциях провайдеры по закону обязаны хранить эти метаданные месяцами, а в некоторых им разрешено их монетизировать.

С VPN

После установления туннеля ваш провайдер видит одно зашифрованное соединение к одному IP-адресу — VPN-серверу — а также объём и время прохождения байтов через него. И всё. Обычно он может определить, что вы используете VPN (IP-адрес назначения принадлежит известному диапазону VPN, а отпечаток протокола узнаваем), но не то, какие сайты вы посещаете, что ищете и что делаете. Итак: нет, ваш провайдер не может видеть историю посещений, когда подключён работающий VPN — при условии, что нет утечек (см. примечания о DNS и kill-switch в разделе FAQ).

Ловушка корпоративного VPN: рабочий VPN переворачивает вашу приватность

Вот самый непонятый момент в этой теме. Коммерческий VPN для приватности направляет ваш трафик к провайдеру, чья задача — не интересоваться тем, кто вы. Корпоративный VPN направляет ваш трафик в сеть вашего работодателя — а работодателя это очень даже интересует. Роли меняются местами.

Когда вы подключаетесь к корпоративному VPN, шлюз вашего работодателя становится эквивалентом вашего провайдера. В зависимости от конфигурации он может видеть, к каким адресам вы обращаетесь, журналировать их и — через корпоративную инспекцию TLS — иногда расшифровывать и читать содержимое HTTPS, потому что компания установила собственный доверенный корневой сертификат на управляемое устройство. Рабочий VPN не даёт вам приватности от работодателя; он передаёт работодателю ту видимость, которая иначе была бы у вашего домашнего провайдера.

И всё ещё категоричнее. На корпоративном ноутбуке или телефоне мониторинг конечного устройства превосходит любой VPN, и точка. Профили MDM (Mobile Device Management) и агенты endpoint/DLP работают на самом устройстве — самом внутреннем кольце карты — до того, как что-либо шифруется, и после того, как что-либо расшифровывается. Они могут записывать посещённые URL, делать снимки экрана, фиксировать нажатия клавиш, инвентаризировать установленные приложения и применять политики независимо от того, туннелируете ли вы трафик через личный VPN, используете режим инкогнито или меняете сети. Никакой инструмент сетевого уровня не способен скрыть активность от ПО, работающего выше него на той же машине.

• Личное устройство + ваш домашний Wi-Fi, без корпоративного VPN: ваш работодатель не видит практически ничего.

• Устройство под управлением компании, где угодно и в любой сети: исходите из того, что работодатель может видеть всё, что решит отслеживать. Личный VPN этого не меняет.

• Личное устройство, подключённое к корпоративному VPN (или к корпоративному Wi-Fi): компания видит адреса назначения, маршрутизируемые через их сеть.

Государство: метаданные, корреляция и юридические запросы

Государству редко нужно взламывать шифрование. Оно работает по краям карты через три механизма.

Юридические запросы к сторонам, которые ведут записи. Власти направляют провайдерам и VPN-сервисам повестки, ордера или предписания о хранении данных. Провайдер может выдать сохранённые им метаданные соединений. VPN-сервис может выдать только то, что он фактически хранит — вот почему подлинная политика отсутствия логов имеет значение: сервис не может предоставить записи о посещениях, которые он никогда не вёл. Именно поэтому важна и юрисдикция, ведь она определяет, каким юридическим предписаниям сервис обязан подчиняться и что он вынужден хранить.

Метаданные в масштабе. Даже когда всё зашифровано, паттерн соединений — кто подключается к VPN, когда, как надолго и сколько данных передаётся — сам по себе является разведданными. VPN скрывает ваши адреса назначения от локального наблюдателя, но не делает вас невидимым; он делает вас одним из многих людей, подключающихся к этому VPN-узлу.

Корреляция трафика. Противник, способный наблюдать оба конца туннеля одновременно — канал от вас к VPN и канал от VPN к остальному интернету, — иногда может сопоставить время и объём потоков и деанонимизировать пользователя, так ничего и не расшифровав. Это известное ограничение всех одношаговых туннелей, включая VPN и, в определённой степени, Tor. Для этого нужен мощный и удачно расположенный наблюдатель, но именно поэтому ни один серьёзный источник не утверждает, что VPN делает вас неотслеживаемым для государства.

Сами сайты по-прежнему точно знают, кто вы

VPN меняет IP-адрес, который видит сайт. Он никак не влияет на все прочие способы, которыми сайт вас опознаёт, — а для большинства людей они куда красноречивее IP-адреса.

• Учётные записи с входом. В тот момент, когда вы входите в Google, Facebook, Amazon или свой банк, вы сообщили сайту в точности, кто вы. Ваш IP на этом этапе уже не имеет значения.

• Cookie и трекинговые пиксели. Постоянные идентификаторы следуют за вами между сайтами и сессиями независимо от IP. Одни и те же рекламные сети встроены в миллионы страниц.

• Отпечаток браузера (fingerprinting). Сочетание разрешения экрана, шрифтов, часового пояса, языка, GPU и десятков других атрибутов браузера часто достаточно уникально, чтобы заново вас опознать вообще без cookie и без постоянного IP.

Итак, VPN улучшает анонимность на сетевом уровне — он мешает сайту записать ваш настоящий IP и приблизительное местоположение, — но это не плащ-невидимка для вашей личности. Если вы вошли в аккаунт, вас знают. Вот почему скрываться от провайдера и скрываться от сайтов — это два разных проекта.

Ваш VPN-сервис становится вашим новым провайдером

Проследите туннель до его другого конца. Ваш трафик выходит из VPN-сервера и оттуда отправляется в открытый интернет — а значит, VPN-сервис оказывается ровно в той позиции, которую раньше занимал ваш провайдер. Он может видеть адрес назначения каждого вашего соединения — в точности как раньше мог провайдер. Вы не устранили доверенного посредника; вы сменили того, кто им является.

Это переосмысляет всё решение целиком. Настоящие вопросы — не скрывает ли меня VPN, а заслуживает ли этот сервис большего доверия, чем мой провайдер, и способен ли он сопротивляться запросам данных или ограничивать их? Конкретно:

• Политика отсутствия логов — ведёт ли сервис журналы соединений или активности, и проверялось ли это утверждение когда-либо независимым аудитом или реальным судебным запросом?

• Юрисдикция — под законами какой страны и под какими обязательствами по хранению данных и слежке работает сервис?

• Техническая архитектура — такие функции, как серверы, работающие только в оперативной памяти (RAM-only), сокращают то, что можно изъять, но не меняют того, что сервис мог бы наблюдать в реальном времени.

Если сервис финансируется за счёт продажи ваших данных — а это бизнес-модель некоторых бесплатных VPN, — вы, возможно, передали худшему игроку ту самую видимость, от которой пытались уйти.

Прямые ответы и практический вывод

Прямые ответы на три вопроса, которые читатели задают на самом деле:

1. Видит ли мой провайдер историю посещений, если я пользуюсь VPN? Нет. При работающем VPN без утечек ваш провайдер видит только зашифрованный трафик к VPN-серверу — не сайты, которые вы посещаете, не ваши поисковые запросы и не содержимое страниц. Без VPN он может видеть домены и время посещений через SNI, IP-адреса и DNS, но не содержимое HTTPS.

2. Может ли работодатель видеть мою интернет-активность дома? Только если вы используете рабочее устройство или подключаетесь через корпоративный VPN/Wi-Fi. На вашем собственном устройстве в вашей сети, без рабочего VPN, работодатель не видит практически ничего. На управляемом устройстве мониторинг конечной точки может видеть вашу активность независимо от любого VPN.

3. Может ли государство видеть мой VPN-трафик? Прочитать зашифрованное содержимое оно не может, но может запросить метаданные у вашего провайдера и VPN-сервиса, увидеть, что вы используете VPN, и — при достаточно мощной позиции наблюдения — попытаться провести атаки корреляции трафика. Сервис без логов в дружественной к приватности юрисдикции ограничивает то, что можно передать.

Вывод — подбирать инструмент под наблюдателя. Используйте HTTPS повсюду (он и так почти везде) и зашифрованный DNS, чтобы сократить то, что ваш провайдер видит по умолчанию. Добавляйте VPN, когда ваша цель — именно скрыть адреса назначения от провайдера, от враждебной локальной сети или сменить IP, который видят сайты. Никогда не ждите, что личный VPN защитит вас на устройстве под управлением компании — эта битва проиграна на конечной точке. И помните, что сохранение анонимности перед самими сайтами — это отдельная дисциплина: выход из аккаунтов, изоляция личностей и противодействие отпечаткам браузера, и её один лишь VPN никогда не решит.

Часто задаваемые вопросы

Видит ли мой провайдер историю посещений, если я пользуюсь VPN?

Нет. Когда подключён работающий VPN, ваш провайдер видит только зашифрованное соединение к одному IP-адресу VPN-сервера, а также время и объём данных. Он не может видеть, какие сайты вы посещаете, ваши поисковые запросы или содержимое страниц. Главное исключение — утечка DNS или соединения, которую призваны предотвратить kill-switch и собственный DNS VPN-сервиса.

Что видит мой провайдер с VPN и без него?

Без VPN ваш провайдер может видеть домены, к которым вы подключаетесь (через SNI и IP-адреса назначения), и ваши DNS-запросы, но не зашифрованное содержимое HTTPS-страниц. С VPN всё это сворачивается в один зашифрованный туннель к VPN-серверу, поэтому провайдер видит лишь то, что вы подключены к VPN и сколько данных передаётся, но не то, куда они идут.

Может ли работодатель видеть мою интернет-активность дома?

Это полностью зависит от устройства и соединения. На личном устройстве в вашей домашней сети, без корпоративного VPN, работодатель обычно не видит ничего. На устройстве под управлением компании или при подключении к корпоративному VPN либо корпоративному Wi-Fi он может отслеживать вашу активность — а ПО endpoint или MDM на управляемом устройстве видит её независимо от любого личного VPN, который вы запускаете.

Даёт ли рабочий VPN приватность от работодателя?

Нет — он делает обратное. Корпоративный VPN направляет ваш трафик в сеть работодателя, которая затем занимает позицию, обычно принадлежащую вашему домашнему провайдеру, и может журналировать адреса назначения, а иногда и инспектировать HTTPS через установленный компанией сертификат. Рабочий VPN защищает данные компании, а не вашу приватность от компании.

Может ли государство видеть мой VPN-трафик?

Расшифровать содержимое оно не может, но может направить юридические запросы вашему провайдеру и VPN-сервису для получения метаданных, увидеть, что вы используете VPN, и в некоторых случаях провести анализ корреляции трафика, если способно наблюдать оба конца туннеля. Подлинный сервис без логов в дружественной к приватности юрисдикции ограничивает то, что можно передать, ведь сервис способен раскрыть только те записи, которые он действительно ведёт.

Если VPN скрывает мой IP, почему сайты всё равно знают, кто я?

VPN меняет лишь IP-адрес, который видит сайт. Он не мешает сайту опознавать вас через учётные записи с входом, cookie и трекинговые пиксели или отпечаток браузера — уникальное сочетание настроек вашего браузера и устройства. В момент входа в аккаунт ваш IP перестаёт иметь значение, поэтому сетевая анонимность и анонимность личности — это две разные задачи.

Может ли мой VPN-сервис видеть всё то, что раньше видел мой провайдер?

Да. Ваш трафик выходит из туннеля на VPN-сервере, поэтому сервис оказывается ровно там, где был ваш провайдер, и может видеть адреса назначения ваших соединений. Вот почему настоящие вопросы — это политика отсутствия логов у сервиса, проходил ли он независимый аудит и его юридическая юрисдикция: вы выбираете нового доверенного посредника, а не устраняете его.