LibertyVPN обвинил сервисы Михаила Климарёва в прозрачности для российского государства и отсутствии шифрования
Фото: Михаил Климарёв / Linkedin
VPN-сервис LibertyVPN выложил 56-страничное расследование, в котором разобрал техническое состояние сетки Климарёва–Волкова VPN Generator. Утверждается, что ни один из сервисов сетки не использует шифрование, а идентифицировать их клиентов можно в том числе через MerchantID.
В соцсетях LibertyVPN указывается, что сперва их спросили, действительно ли параметр security=none в продуктах Климарёва опасен для пользователя. После ответа «Да. Это отключение шифрования» сервис начали «мочить».
«Саркис Дарбинян (Роскомсвобода) публично назвал нас "опасным сервисом", Климарев поддержал его, предварительно написав, что "есть сервисы, которые на меня прыгают, а не делом занимаются - их не надо использовать, вы им не верьте, они мошенники". Без пруфов», — говорится в соцсетях LibertyVPN.
После этого в независимом рейтинге VPN, также созданном Михаилом Климарёвым, LibertyVPN указали российскую юрисдикцию — по словам представителей сервиса, это ложь, — и не рекомендовали его к покупке.
В ответ на это LibertyVPN выпустил расследование. В нём авторы рассказали, что в продуктах Климарёва используется протокол VLESS, который позволяет обходить блокировки, однако не имеет встроенного шифрования и обычно дополняется вторым, уже зашифрованным протоколом — TLS или XTLS. Если это сделано, то соединение выглядит как обычный трафик и кажется, что пользователь заходит, например, на сайт банка или магазина.
Однако ранее расследование IT-специалиста Фёдора Горожанко показало, что в ключах доступа, выданных пользователям сервисов Плющева, Наки и других, присутствует параметр security=none.
Это означает, что на протоколе VLESS не включается никакого шифрования вообще: трафик пользователя виден провайдеру так же, как если бы никакого VPN не было вовсе. Кроме того, факт использования VPN также становится открытым для российских властей.
«Такой трафик светится как новогодняя ёлка. Это не "невидимый" доступ, это демонстративное использование инструмента обхода», — объясняют авторы расследования.
После начала скандала ряд сервисов обновил свои ключи: так, nVPN от Майкла Наки использовал маскировку XTLS-reality, которая должна показывать, что пользователь VPN всего лишь открывает сайт Amazon через браузер Chrome.
Однако, поясняют авторы, такая формально корректная связка Chrome → Amazon начинает использоваться массово, что делает её узнаваемым для российских властей маркером. Они могут понять, что на самом деле имеют дело с шаблоном для маскировки.
Помимо этого, согласно выводам расследования, силовики могут без проблем идентифицировать покупателей VPN, которые используют российскую Систему быстрых платежей (СБП): покупка через эту систему доступна на всех сервисах сетки Климарёва, в том числе на nVPN Майкла Наки.
Авторы также обращают внимание, что при оплате создаются уникальные идентификаторы — Terminal ID и Merchant ID. Они передаются в Национальную систему платёжных карт (НСПК), откуда российские силовики могут их извлечь в любой период времени.
«В случае успешной оплаты в мобильном приложении банка плательщика отображается кнопка "Вернуться в магазин" с соответствующим URL. Таким образом, НСПК на техническом уровне фиксирует связь между транзакцией и конкретным доменным именем или приложением, инициировавшим платеж», — заявляется в расследовании.
Авторы также предупреждают, что деанонимизация покупателей сервисов может привести к уголовным делам. Несмотря на то что покупка VPN в России легальна, а покупка товаров даже у признанных террористами людей не считается финансированием.
«Покупка не равно донат. Финансированием признаются только донаты. Здесь я предложу вам вспомнить формулировку с которой продают VPN сетки Generator. Верно, это форма поддержки. Практически у всех авторов это — финансирование», — рассуждают в LibertyVPN.
Авторы подчёркивают, что многие авторы VPN-сервисов признаны в России экстремистами, террористами или нежелательными организациями. По их мнению, «поддержка» таких сервисов может быть признана финансированием террористической или экстремистской деятельности, а также государственной изменой.