- Сообщения
- 57
- Реакции
- 57
Ты платишь $10 в месяц за VPN, читаешь на сайте "strict no-log policy" — и спишь спокойно. А потом оказывается, что провайдер два года писал твой реальный IP, время подключений и даже к каким серверам ты цеплялся. И всё это уже лежит у следователя на столе. Это не гипотетический сценарий — это реальные судебные дела, с документами, с приговорами.
Разберём конкретные кейсы, посмотрим как работают warrant canary и RAM-only серверы, и попробуем понять — кому вообще можно доверять.
PureVPN и дело о кибerstalking
2017 год, Массачусетс. ФБР расследует дело о киберсталкинге — мужик преследовал бывшую коллегу, создавал фейковые профили от её имени, рассылал угрозы. Работал через PureVPN, потому что на сайте чёрным по белому было написано: "We do NOT keep any logs that can identify or help in monitoring a user's activity."
ФБР отправили запрос в PureVPN. И вот тут начинается самое интересное — компания из Гонконга, которая клялась что ничего не пишет, выдала федералам реальный IP подозреваемого, его домашний адрес через провайдера RCN и IP рабочего места. Больше того — они смогли подтвердить, что один и тот же человек подключался к их сервису с двух разных точек. То есть вели полноценные connection logs, просто молчали об этом.
Парня арестовали. Судебные документы стали публичными. PureVPN потом переписали политику конфиденциальности и заказали аудит у KPMG — но осадочек, как говорится, остался.
IPVanish — "no logs" для Homeland Security
Кейс ещё жёстче. 2016 год, расследование DHS (Department of Homeland Security) по делу о детской порнографии. Подозреваемый использовал IPVanish — американский провайдер, который тоже кричал про zero logs на каждом углу.
По судебным документам, IPVanish передал агентам DHS:
То есть провайдер вёл полный журнал подключений. Не метаданные, не агрегированную статистику — полноценные connection logs с привязкой к конкретному аккаунту. Потом IPVanish сменил владельца (купила StackPath, затем Ziff Davis), заказал аудиты, но факт остаётся: years of lying.
HideMyAss и LulzSec
Классика. 2011 год, ФБР охотится за хакерами из LulzSec — группа которая ломала Sony, PBS, ЦРУ и кучу других контор. Один из участников, Cody Kretsinger, использовал HideMyAss (ирония названия тут зашкаливает).
Британский суд выдал ордер, HMA отдала логи — IP, время подключений, всё что нужно для идентификации. Kretsinger получил срок. HMA даже не особо отпирались — в их ToS было написано что они логируют, просто маркетинг кричал обратное.
А кто реально не сдал?
Есть и обратные примеры, их стоит знать.
Mullvad, 2023. Шведская полиция (NOA, National Operations Department) пришла в офис Mullvad в Гётеборге с ордером. Шесть человек, план — изъять серверы с данными клиентов. Mullvad показали копам как работает их инфраструктура, объяснили что данных физически нет. Адвокаты компании заявили что изъятие будет незаконным по шведскому праву. Полиция ушла ни с чем. Буквально — пришли с ордером, ушли с пустыми руками.
Mullvad принципиально не принимают email при регистрации, генерируют случайный номер аккаунта, принимают наличные по почте и Monero. Даже если захотят что-то отдать — нечего.
Windscribe, 2025-2026. Голландские власти физически изъяли сервер Windscribe в дата-центре. CEO компании Yegor Sak попал под суд в Греции в связи с действиями одного из пользователей. Суд закрыл дело в апреле 2025 — Windscribe не смогли предоставить данные, потому что их серверы работают на RAM-only, и на изъятом железе нашли только стоковую Ubuntu. В феврале 2026 — ещё один рейд в Голландии, снова ничего.
ExpressVPN, 2017. Турецкие власти изъяли сервер ExpressVPN в рамках расследования убийства российского посла. На сервере ничего не нашли — TrustedServer (RAM-only) сделал своё дело.
RAM-only серверы — панацея или маркетинг?
Идея простая: сервер работает полностью из оперативной памяти, без жёстких дисков. Выключили питание — всё стёрлось. Нечего изъять, нечего анализировать. Звучит идеально, и провайдеры вроде ExpressVPN, NordVPN, Surfshark, PIA активно это продвигают.
Но есть нюанс, и его хорошо сформулировал Proton VPN (который, кстати, RAM-only НЕ использует). Их аргумент такой: защита RAM-only работает только если сервер выключен. Если adversary получает доступ к работающей машине — root-shell, эксплойт в гипервизоре, физический доступ с cold boot attack — он получает всё то же самое, что лежало бы на диске. Оперативка на работающем сервере — такая же читаемая, как SSD.
Proton вместо этого ставит на full-disk encryption с удалённым управлением ключами. Логика: если сервер изъяли — диск зашифрован, ключ уже стёрт удалённо. Если сервер работает — что RAM, что диск, разницы нет.
Кто прав? Ну, в кейсе с Windscribe RAM-only реально спас — голландские копы забрали физическое железо и нашли пустую ОС. В кейсе с ExpressVPN в Турции — тоже сработало. Так что технология не бесполезна, она защищает от конкретного сценария — физического изъятия выключенного сервера. Но это не серебряная пуля, не позволяющая вообще никак отследить трафик.
Warrant canary — мёртвая канарейка
Концепция из угольных шахт, перенесённая в IT. Провайдер публикует на сайте текст типа: "мы никогда не получали секретных ордеров от спецслужб." Каждый месяц обновляет дату. Если текст исчез или дата перестала обновляться — значит ордер пришёл, а рассказать об этом провайдер не может по закону (gag order).
Красиво в теории. На практике — куча проблем:
Во-первых, NordVPN в 2025 году вообще отказался от warrant canary в пользу "детальных transparency reports". Формулировка мутная, и что именно они теперь раскрывают (или не раскрывают) — вопрос открытый.
Во-вторых, Proton VPN из Швейцарии говорит что warrant canary в их юрисдикции бессмысленна — по швейцарскому праву объект слежки обязан быть уведомлён постфактум, так что секретных ордеров в американском понимании просто нет.
В-третьих, если канарейка пропала — и что? Ты узнал что провайдер получил ордер, но не знаешь когда, на кого, и касается ли это тебя. К тому моменту, когда ты заметишь исчезновение — может быть уже поздно.
Кстати, Perfect Privacy в своё время просто перестал обновлять warrant canary без объяснений, и на форуме AirVPN это вызвало нехилый скандал. Никто так и не понял — забили или реально получили ордер.
Five Eyes и юрисдикция
Если провайдер сидит в стране Five Eyes (США, Великобритания, Канада, Австралия, Новая Зеландия) — у спецслужб есть законные механизмы принудить его к сотрудничеству. IPVanish в США — обязан подчиниться. HMA в Великобритании — обязан подчиниться. Девять Eyes добавляет Данию, Францию, Нидерланды, Норвегию. Четырнадцать Eyes — ещё Германию, Бельгию, Италию, Швецию, Испанию.
Между этими странами работает обмен разведданными — если NSA получила информацию о пользователе шведского VPN, она может передать её шведам и наоборот. Riseup, почтовый сервис из Сиэтла, был вынужден начать собирать данные пользователей по секретному ордеру. Lavabit закрылся, когда от него потребовали ключи шифрования (там сидел Сноуден).
Панама, BVI, Малайзия, Швейцария — традиционно считаются более безопасными юрисдикциями, но и тут есть нюансы. Гонконгский PureVPN слил данные FBI без проблем — формально другая юрисдикция, а на практике сотрудничество идёт через MLAT (Mutual Legal Assistance Treaty).
Что реально проверять при выборе
Маркетинг врёт — это мы уже выяснили. Вот что реально имеет значение:
1. Публичные аудиты — не один раз для галочки, а регулярные. Proton VPN прошёл четвёртый аудит подряд в 2025. ExpressVPN, NordVPN, Surfshark — тоже аудитируются ежегодно. Если провайдер ни разу не проходил независимый аудит — это красный флаг.
2. Судебные кейсы — лучший аудит это реальный запрос от правоохранителей. Mullvad (рейд 2023), Windscribe (суд 2025, рейд 2026), ExpressVPN (Турция 2017) — все прошли проверку боем. PureVPN и IPVanish — провалили.
3. Модель оплаты — если VPN принимает только карту и требует email при регистрации, всё no-log рассыпается при первом же субпоене к платёжному процессору. Mullvad принимает кэш и Monero. IVPN — тоже крипту и кэш.
4. Юрисдикция — не панацея, но имеет значение. BVI (ExpressVPN), Панама (NordVPN), Швеция (Mullvad), Гибралтар (IVPN) — у всех разная степень устойчивости к запросам.
5. Инфраструктура — свои серверы или арендованные? RAM-only или нет? Кто имеет физический доступ к железу? ExpressVPN держит свои серверы (TrustedServer), Mullvad — тоже часть инфраструктуры своя. Если провайдер арендует VPS у Hetzner и называет это "приватным сервером" — ну, ты понял.
Ну и что со всем этим делать
VPN — это один слой, не щит бога. Провайдер может врать, сервер могут изъять, юрисдикцию могут прожать через MLAT. Кто реально параноит — строит цепочки: Tor поверх VPN, или VPN поверх VPN от разных провайдеров в разных юрисдикциях, или Whonix в Qubes с выходом через мосты.
Из тех кто на сегодня прошёл реальную проверку — Mullvad и IVPN выглядят наиболее крепко. ExpressVPN и Windscribe тоже показали себя в деле. Остальные — на веру, и эта вера может стоить свободы.
Кто после PureVPN и IPVanish до сих пор выбирает VPN по рекламе на ютубе — ну, удачи.
Разберём конкретные кейсы, посмотрим как работают warrant canary и RAM-only серверы, и попробуем понять — кому вообще можно доверять.
PureVPN и дело о кибerstalking
2017 год, Массачусетс. ФБР расследует дело о киберсталкинге — мужик преследовал бывшую коллегу, создавал фейковые профили от её имени, рассылал угрозы. Работал через PureVPN, потому что на сайте чёрным по белому было написано: "We do NOT keep any logs that can identify or help in monitoring a user's activity."
ФБР отправили запрос в PureVPN. И вот тут начинается самое интересное — компания из Гонконга, которая клялась что ничего не пишет, выдала федералам реальный IP подозреваемого, его домашний адрес через провайдера RCN и IP рабочего места. Больше того — они смогли подтвердить, что один и тот же человек подключался к их сервису с двух разных точек. То есть вели полноценные connection logs, просто молчали об этом.
Парня арестовали. Судебные документы стали публичными. PureVPN потом переписали политику конфиденциальности и заказали аудит у KPMG — но осадочек, как говорится, остался.
IPVanish — "no logs" для Homeland Security
Кейс ещё жёстче. 2016 год, расследование DHS (Department of Homeland Security) по делу о детской порнографии. Подозреваемый использовал IPVanish — американский провайдер, который тоже кричал про zero logs на каждом углу.
По судебным документам, IPVanish передал агентам DHS:
- Реальное имя пользователя
- Email при регистрации
- Настоящий IP-адрес от Comcast
- Детальные логи — когда подключался, когда отключался, к какому серверу цеплялся
То есть провайдер вёл полный журнал подключений. Не метаданные, не агрегированную статистику — полноценные connection logs с привязкой к конкретному аккаунту. Потом IPVanish сменил владельца (купила StackPath, затем Ziff Davis), заказал аудиты, но факт остаётся: years of lying.
HideMyAss и LulzSec
Классика. 2011 год, ФБР охотится за хакерами из LulzSec — группа которая ломала Sony, PBS, ЦРУ и кучу других контор. Один из участников, Cody Kretsinger, использовал HideMyAss (ирония названия тут зашкаливает).
Британский суд выдал ордер, HMA отдала логи — IP, время подключений, всё что нужно для идентификации. Kretsinger получил срок. HMA даже не особо отпирались — в их ToS было написано что они логируют, просто маркетинг кричал обратное.
А кто реально не сдал?
Есть и обратные примеры, их стоит знать.
Mullvad, 2023. Шведская полиция (NOA, National Operations Department) пришла в офис Mullvad в Гётеборге с ордером. Шесть человек, план — изъять серверы с данными клиентов. Mullvad показали копам как работает их инфраструктура, объяснили что данных физически нет. Адвокаты компании заявили что изъятие будет незаконным по шведскому праву. Полиция ушла ни с чем. Буквально — пришли с ордером, ушли с пустыми руками.
Mullvad принципиально не принимают email при регистрации, генерируют случайный номер аккаунта, принимают наличные по почте и Monero. Даже если захотят что-то отдать — нечего.
Windscribe, 2025-2026. Голландские власти физически изъяли сервер Windscribe в дата-центре. CEO компании Yegor Sak попал под суд в Греции в связи с действиями одного из пользователей. Суд закрыл дело в апреле 2025 — Windscribe не смогли предоставить данные, потому что их серверы работают на RAM-only, и на изъятом железе нашли только стоковую Ubuntu. В феврале 2026 — ещё один рейд в Голландии, снова ничего.
ExpressVPN, 2017. Турецкие власти изъяли сервер ExpressVPN в рамках расследования убийства российского посла. На сервере ничего не нашли — TrustedServer (RAM-only) сделал своё дело.
RAM-only серверы — панацея или маркетинг?
Идея простая: сервер работает полностью из оперативной памяти, без жёстких дисков. Выключили питание — всё стёрлось. Нечего изъять, нечего анализировать. Звучит идеально, и провайдеры вроде ExpressVPN, NordVPN, Surfshark, PIA активно это продвигают.
Но есть нюанс, и его хорошо сформулировал Proton VPN (который, кстати, RAM-only НЕ использует). Их аргумент такой: защита RAM-only работает только если сервер выключен. Если adversary получает доступ к работающей машине — root-shell, эксплойт в гипервизоре, физический доступ с cold boot attack — он получает всё то же самое, что лежало бы на диске. Оперативка на работающем сервере — такая же читаемая, как SSD.
Proton вместо этого ставит на full-disk encryption с удалённым управлением ключами. Логика: если сервер изъяли — диск зашифрован, ключ уже стёрт удалённо. Если сервер работает — что RAM, что диск, разницы нет.
Кто прав? Ну, в кейсе с Windscribe RAM-only реально спас — голландские копы забрали физическое железо и нашли пустую ОС. В кейсе с ExpressVPN в Турции — тоже сработало. Так что технология не бесполезна, она защищает от конкретного сценария — физического изъятия выключенного сервера. Но это не серебряная пуля, не позволяющая вообще никак отследить трафик.
Warrant canary — мёртвая канарейка
Концепция из угольных шахт, перенесённая в IT. Провайдер публикует на сайте текст типа: "мы никогда не получали секретных ордеров от спецслужб." Каждый месяц обновляет дату. Если текст исчез или дата перестала обновляться — значит ордер пришёл, а рассказать об этом провайдер не может по закону (gag order).
Красиво в теории. На практике — куча проблем:
Во-первых, NordVPN в 2025 году вообще отказался от warrant canary в пользу "детальных transparency reports". Формулировка мутная, и что именно они теперь раскрывают (или не раскрывают) — вопрос открытый.
Во-вторых, Proton VPN из Швейцарии говорит что warrant canary в их юрисдикции бессмысленна — по швейцарскому праву объект слежки обязан быть уведомлён постфактум, так что секретных ордеров в американском понимании просто нет.
В-третьих, если канарейка пропала — и что? Ты узнал что провайдер получил ордер, но не знаешь когда, на кого, и касается ли это тебя. К тому моменту, когда ты заметишь исчезновение — может быть уже поздно.
Кстати, Perfect Privacy в своё время просто перестал обновлять warrant canary без объяснений, и на форуме AirVPN это вызвало нехилый скандал. Никто так и не понял — забили или реально получили ордер.
Five Eyes и юрисдикция
Если провайдер сидит в стране Five Eyes (США, Великобритания, Канада, Австралия, Новая Зеландия) — у спецслужб есть законные механизмы принудить его к сотрудничеству. IPVanish в США — обязан подчиниться. HMA в Великобритании — обязан подчиниться. Девять Eyes добавляет Данию, Францию, Нидерланды, Норвегию. Четырнадцать Eyes — ещё Германию, Бельгию, Италию, Швецию, Испанию.
Между этими странами работает обмен разведданными — если NSA получила информацию о пользователе шведского VPN, она может передать её шведам и наоборот. Riseup, почтовый сервис из Сиэтла, был вынужден начать собирать данные пользователей по секретному ордеру. Lavabit закрылся, когда от него потребовали ключи шифрования (там сидел Сноуден).
Панама, BVI, Малайзия, Швейцария — традиционно считаются более безопасными юрисдикциями, но и тут есть нюансы. Гонконгский PureVPN слил данные FBI без проблем — формально другая юрисдикция, а на практике сотрудничество идёт через MLAT (Mutual Legal Assistance Treaty).
Что реально проверять при выборе
Маркетинг врёт — это мы уже выяснили. Вот что реально имеет значение:
1. Публичные аудиты — не один раз для галочки, а регулярные. Proton VPN прошёл четвёртый аудит подряд в 2025. ExpressVPN, NordVPN, Surfshark — тоже аудитируются ежегодно. Если провайдер ни разу не проходил независимый аудит — это красный флаг.
2. Судебные кейсы — лучший аудит это реальный запрос от правоохранителей. Mullvad (рейд 2023), Windscribe (суд 2025, рейд 2026), ExpressVPN (Турция 2017) — все прошли проверку боем. PureVPN и IPVanish — провалили.
3. Модель оплаты — если VPN принимает только карту и требует email при регистрации, всё no-log рассыпается при первом же субпоене к платёжному процессору. Mullvad принимает кэш и Monero. IVPN — тоже крипту и кэш.
4. Юрисдикция — не панацея, но имеет значение. BVI (ExpressVPN), Панама (NordVPN), Швеция (Mullvad), Гибралтар (IVPN) — у всех разная степень устойчивости к запросам.
5. Инфраструктура — свои серверы или арендованные? RAM-only или нет? Кто имеет физический доступ к железу? ExpressVPN держит свои серверы (TrustedServer), Mullvad — тоже часть инфраструктуры своя. Если провайдер арендует VPS у Hetzner и называет это "приватным сервером" — ну, ты понял.
Ну и что со всем этим делать
VPN — это один слой, не щит бога. Провайдер может врать, сервер могут изъять, юрисдикцию могут прожать через MLAT. Кто реально параноит — строит цепочки: Tor поверх VPN, или VPN поверх VPN от разных провайдеров в разных юрисдикциях, или Whonix в Qubes с выходом через мосты.
Из тех кто на сегодня прошёл реальную проверку — Mullvad и IVPN выглядят наиболее крепко. ExpressVPN и Windscribe тоже показали себя в деле. Остальные — на веру, и эта вера может стоить свободы.
Кто после PureVPN и IPVanish до сих пор выбирает VPN по рекламе на ютубе — ну, удачи.
