VPN จริงสามารถปกป้องความเป็นส่วนตัวได้หรือไม่? ผู้บริหารด้านความปลอดภัยไซเบอร์ของ IBM วิเคราะห์ความเสี่ยงด้านความเชื่อมั่นที่อยู่เบื้องหลัง

เมื่อ VPN (VPN) กลายเป็น “เครื่องมือความเป็นส่วนตัว” ที่ได้รับการส่งเสริมอย่างมากในโลกออนไลน์ โฆษณาที่เกี่ยวข้องตั้งแต่เว็บไซต์ แอป ไปจนถึงโฆษณาบน YouTube ก็สามารถพบเห็นได้ทั่วไป โดยเน้นการใช้งานแบบไม่ระบุชื่อและการปกป้องข้อมูลส่วนตัว สำหรับเรื่องนี้ Jeff Crume หัวหน้าฝ่ายเทคโนโลยีความปลอดภัยของ IBM ในวิดีวิเคราะห์ ได้เริ่มจากสถานการณ์การส่งข้อมูลบนเครือข่ายจริง ค่อยๆ แยกกลไกการทำงานของ VPN แบบทีละขั้นตอน รวมถึงโมเดลความเชื่อถือและข้อจำกัดด้านความเป็นส่วนตัว อธิบายให้เห็นว่า VPN ไม่ใช่คำตอบสุดท้าย แต่เป็นเครื่องมือ “การกระจายความเชื่อถือใหม่”

ข้อมูลที่ละเอียดอ่อนเข้าสู่เครือข่ายสาธารณะ Wi-Fi ที่เป็นอันตรายกลายเป็นวิธีโจมตีที่พบได้บ่อย

Crume ชี้ให้เห็นว่า เมื่อผู้ใช้ส่งหมายเลขบัตรเครดิต ข้อมูลบัตรประชาชน หรือข้อมูลที่มีมูลค่าทางธุรกิจผ่านเครือข่าย ข้อมูลเหล่านี้จะถูกส่งผ่าน “เครือข่ายสาธารณะ” ซึ่งเปรียบเสมือนการพูดเสียงดังในที่สาธารณะ อาจถูกบุคคลที่ไม่ได้รับอนุญาตดักฟังได้

เขายังเน้นย้ำเทคนิคการโจมตีแบบหนึ่ง ซึ่งมักพบในร้านกาแฟหรือโรงแรมในสถานที่สาธารณะ ผู้โจมตีอาจสร้างจุดเชื่อมต่อ Wi-Fi ที่มีชื่อคล้ายกับชื่อ Wi-Fi ที่ถูกกฎหมาย เพื่อหลอกให้ผู้ใช้เชื่อมต่อ เมื่อเชื่อมต่อสำเร็จ ข้อมูลอาจถูกดักจับและตรวจสอบได้ก่อนที่จะเข้าสู่เครือข่ายอินเทอร์เน็ตจริง

หลักการพื้นฐานของ VPN: สร้างช่องทางเข้ารหัส

เพื่อรับมือกับความเสี่ยงข้างต้น Crume อธิบายว่า ฟังก์ชันหลักของ VPN คือการสร้างช่องทางการส่งข้อมูลที่เข้ารหัสระหว่างอุปกรณ์ของผู้ใช้และผู้ให้บริการ VPN

ในโครงสร้างนี้ ข้อมูลที่ส่งออกไปจะถูกเข้ารหัสก่อน แล้วส่งไปยังผู้ให้บริการ VPN ซึ่งจะทำการถอดรหัสและวิเคราะห์ปลายทาง จากนั้นเข้ารหัสใหม่และส่งต่อไปยังเว็บไซต์จริง ข้อมูลในเส้นทางกลับก็ทำตามขั้นตอนเดียวกัน

ดังนั้น ผู้ดักฟังภายนอก ผู้โจมตี Wi-Fi สาธารณะ หรือแม้แต่ผู้ให้บริการอินเทอร์เน็ต (ISP) ก็จะเห็นเพียงการเชื่อมต่อระหว่างผู้ใช้และผู้ให้บริการ VPN เท่านั้น ไม่สามารถทราบเนื้อหาจริงหรือปลายทางสุดท้ายได้

แก่นแท้ของ VPN: ไม่ใช่การลบความเชื่อถือ แต่เป็นการเปลี่ยนความเชื่อถือ

Crume เน้นย้ำว่า ไม่ว่าจะใช้ VPN หรือไม่ “ความเชื่อถือ” ก็ไม่สามารถถูกลบออกไปได้ แต่สามารถถูกเปลี่ยนมือได้ เขาแบ่งประเภทของความเชื่อในแต่ละบริบทไว้ดังนี้:

ไม่ใช้ VPN: ผู้ใช้ต้องเชื่อใจ ISP และบุคคลที่อาจเข้าถึงแพ็กเกจข้อมูลในระหว่างการส่งข้อมูล

VPN สำหรับองค์กร: พนักงานเชื่อมต่อระยะไกลกับเครือข่ายภายในองค์กร ซึ่งเป็นการมอบความเชื่อใจให้กับนายจ้าง เน้นด้านความปลอดภัยขององค์กร มากกว่าความเป็นส่วนตัวส่วนบุคคล

VPN ของบุคคลที่สาม: ผู้ใช้รวมความเชื่อในเครือข่ายและ ISP ไปไว้ที่ผู้ให้บริการ VPN

เขายังกล่าวตรงๆ ว่า จุดประสงค์ที่แท้จริงของ VPN คือการเปลี่ยนจาก “คุณต้องเชื่อใจหลายคน” เป็น “คุณต้องเชื่อใจคนหรือองค์กรเดียวเท่านั้น”

ความเสี่ยงในความเป็นจริงของ VPN ของบุคคลที่สาม

Jeff Crume ชี้ให้เห็นว่า เนื่องจากผู้ให้บริการ VPN ต้องถอดรหัสข้อมูลในระหว่างทาง จึงสามารถเห็นเส้นทางการเชื่อมต่อ IP ที่อยู่ ความถี่ในการใช้งาน และแม้แต่เนื้อหาข้อมูลจริง ซึ่งนำไปสู่ความเสี่ยงหลายประการที่ไม่ควรมองข้าม:

โมเดลการทำเงินจากข้อมูลของ VPN ฟรี: หากผู้ใช้ไม่ชำระเงิน ผู้ให้บริการอาจเก็บรวบรวมและขายข้อมูลเพื่อสร้างรายได้

ความเสี่ยงด้านความปลอดภัย: แม้ผู้ให้บริการจะไม่มีเจตนาร้าย แต่หากถูกแฮก ข้อมูลของผู้ใช้ก็อาจรั่วไหลได้

ข้อกำหนดทางกฎหมายและศาล: ในบางประเทศ ผู้ให้บริการ VPN อาจถูกบังคับให้เปิดเผยบันทึกการใช้งานของผู้ใช้ตามกฎหมาย

เขาเตือนว่า การใช้ VPN ของบุคคลที่สามสำคัญไม่ใช่แค่ “ใช้งานได้หรือไม่” แต่คือ “เข้าใจอย่างแท้จริงว่าคุณไว้วางใจใคร”

การตั้ง VPN เองก็ไม่สามารถหลีกเลี่ยงปัญหาความเชื่อถือได้ทั้งหมด

สำหรับผู้ใช้ที่ให้ความสำคัญกับความเป็นส่วนตัวสูง Crume ยังแนะนำว่า “การตั้ง VPN เอง” เป็นทางเลือกที่ทำให้ควบคุมโครงสร้างพื้นฐานได้เองทั้งหมด แต่เขาก็ชี้ให้เห็นว่า แม้จะเป็นเช่นนั้น ผู้ใช้ก็ยังต้องเชื่อใจซอฟต์แวร์ VPN ไม่ว่าจะเป็นแบบโอเพ่นซอร์สหรือเชิงพาณิชย์ ซึ่งเกี่ยวข้องกับความเชื่อใจในโค้ดและกลไกการอัปเดต ซึ่งไม่มีความเสี่ยงเป็นศูนย์

(เทคโนโลยีสารพัน: ทูตสันติภาพสองฝั่งระบุ จีนไม่ได้ห้ามใช้ VPN แค่ใช้ VPN ก็สามารถดูทุกอย่างได้)

บทความนี้ VPN จริงสามารถปกป้องความเป็นส่วนตัวได้หรือไม่? ผู้บริหารด้านความปลอดภัยของ IBM วิเคราะห์ความเสี่ยงด้านความเชื่อถือที่ซ่อนอยู่ เริ่มต้นจาก ABMedia.